Microsoft nie chce, żebyśmy wszędzie mieli silne hasła, ale w tym szaleństwie jest metoda
Najpopularniejszą metodą autoryzacji użytkownika w internecie jest kombinacja w postaci loginu i hasła. Nazwa użytkownika jest często publiczna, ale hasło powinno, przynajmniej w teorii, być niepowtarzalne i zapisane jedynie w głowie użytkownika . Niestety liczba tożsamości online, z których korzystamy rośnie. Czy rozwiązaniem problemu jest stosowanie możliwie prostych haseł tam, gdzie utrata konta byłaby najmniej bolesna, jak proponują badacze Microsoftu? Nie jestem przekonany.
Zawsze uśmiecham się pod nosem, gdy w filmach widzę domorosłych “hakerów” łamiących zabezpieczenia zgadują hasło zapewniające nieskrępowany dostęp do komputera czarnego charakteru. Ma to co prawda pewną wartość edukacyjną i może uświadomić kilka osób na krzyż, że hasło będące datą urodzin, nazwiskiem panieńskim matki lub imieniem ukochanego kota nie jest najlepszym pomysłem.
Z hasłami generalnie jest spory problem.
Nie tylko nowoczesne urządzenia mobilne mają ograniczoną pojemność pamięci, ale też w naszej głowie nie sposób umieścić wszystkich haseł. W czasach, gdy liczbę tożsamości online użytkownika można było policzyć na palcach jednej ręki zdawało to egzamin. Dzisiaj sam mam pozakładane dziesiątki, jeśli nie setki kont w najróżniejszych usługach i serwisach. Konia z rzędem temu, kto ma w swojej głowie tyle wewnętrznej pamięci, żeby to wszystko spamiętać.
Oczywiście nawet skomplikowanego ciągu znaków człowiek jest w stanie się nauczyć. Sam testując co chwila różne urządzenia z segmentu elektroniki użytkowej, chcąc nie chcąc, wbiłem sobie do głowy klucz uwierzytelniający domową sieć Wi-Fi. Nie jest problemem to, że składa się on z losowego ciagu ponad dwudziestku cyfr i liter od A do F. Niestety, nie każde z haseł wpisujemy z pewną dozą regularności, a po pewnym czasie wylatują one z głowy.
Złe praktyki
Nie pomagają tutaj wszelkie mechanizmy zapamiętywania haseł w przeglądarkach internetowych i aplikacjach mobilnych. Mało kto zresztą zdaje sobie sprawę, że zapisanie takich danych w przeglądarce lub systemie operacyjnym nie jest najlepszym pomysłem, bo po stracie dostępu do urządzenia (komputera lub telefonu) osoba o niecnych zamiarach ma podane wszystko na tacy.
Panuje przekonanie, że haseł nie powinno się nigdzie na stałe zapisywać. Każde hasło zresztą powinno być unikalne, długie, trudne i zawierać mnóstwo znaków specjalnych. Z pewnością to pomaga w utrzymaniu bezpieczeństwa, chociaż… okazuje się, że ciąg znaków przypominający inne słowo w postaci dajmy na to $t0jAK (zamiast “stojak”) wcale nie będzie bezpieczniejszy (w przypadku ataku typu brute-force) od hasła składającego się z kilku słów w postaci np. kotłopatakoniecskarb, które ma po prostu… więcej znaków.
A może wręcz korzystać z prostych haseł zamiast tych trudnych i skomplikowanych?
Dla osób zainteresowanych tematem polecam załączony obrazek ze strony XKCD oraz analizę zagadnienia na stronie Dropboksa. Nie o tym jednak chcę dzisiaj pisać. Trafiłem bowiem na ciekawy artykuł na stronie Guardiana, którego tytuł może na pierwszy rzut oka elektryzować. Okazuje się bowiem, że wbrew powszechnie przyjętej praktyce, duża korporacja zachęca ludzi do stosowania... krótkich i prostych (w domyśle: łatwych do złamania) haseł tam, tam gdzie utrata konta nie byłaby zbytnio bolesna.
Brzmi absurdalnie? Zdecydowanie tak, bo od kiedy istnieje internet, jesteśmy przekonywani o tym, że hasła trzeba często zmieniać, powinny być trudne i skomplikowane. Badacze Microsoftu mają jednak trochę racji: użytkownicy, zwłaszcza niedzielni, nie mają do tego głowy. Chcą wrzucać posty na Facebooka, wysyłać Snapchaty, zdjęcia na Instagrama i odpowiadać na pytania na Ask.fm. Nie starcza już czasu na zapamiętywanie haseł, a nawet tworzenie sobie systemu rozróżniania haseł - np. w każdym serwisie wariacja na temat samego rdzenia z np. dodaną końcówką w postaci hasło_fb, hasło_google itp.
Odważna teza
Przywołani przez Guardiana badacze Microsoftu sugerują, że użytkownicy powinni używać prostego (łatwego do zapamiętania) hasła, nawet może się ono powtarzać w większości serwisów, z których korzystają okazjonalnie. Ważne, by były to strony, gdzie utrata kontroli nie miałaby większych negatywnych skutków. Brzmi to jak najgorsza rada dotycząca haseł w historii, ale… czy na pewno? Mam straszne mieszane uczucia, ale nie mogę w pełni odrzucić propozycji pracowników Microsoftu, bo nieźle swój pomysł argumentują.
Ludzki mózg ma olbrzymi potencjał, ale nie sposób spamiętać setek różnych haseł, zwłaszcza jeśli często się je zmienia. Taki scenariusz jest utopijny, niemożliwy do zrealizowania, więc proponowana jest użytkownikom inna droga: niech skupią się na ochronie tych najbardziej istotnych kont (poczta, portale społecznościowe, bank, platformy e-commerce), a dbanie o bezpieczeństwo konta na forum dyskusyjnym, na którym się napisze dwa posty i więcej na nie nie wróci, to niepotrzebne obciążanie swoich (analogowych) zasobów.
Internauci są leniwi
Wszyscy się zgodzą, że statystyczny internauta albo będzie korzystał z tego samego hasła wszędzie, albo w końcu się pogubi. Jest kilka sposobów na to, żeby radzić sobie z tym problemem, ale… żaden nie jest idealny. Pytania pomocniczne (“jaka jest Twoja ulubiona książka?”) to raj dla phisherów; z drugiej strony wiele osób zakochało się (w tym wyżej podpisany) w możliwości logowania się za pomocą innego konta - Facebooka, Google itp. - w nowym serwisie.
Skraca to czas potrzebny na założenie konta i sprowadza procedurę logowania do jednego kliknięcia. Niestety, w wypadku wycieku danych od usługodawcy lub straty dostępu do głównego serwisu użytkownik traci też wszystkie podpięte usługi. Ten sam problem dotyczy, niestety, popularnych menedżerów haseł. Nawet po wygenerowaniu zupełnie losowego ciągu znaków najsłabszym ogniwem pozostaje... główne hasła samego menedżera.
Nie ma siły, hasło bezpieczne będzie tylko w głowie.
Sam korzystam z KeePassa, zapisuję hasła w Pęku Kluczy i przeglądarce Chrome. Znam wielu użytkowników takich rozwiązań jak 1Password i LastPass. Nie należy jednak się łudzić: to rozwiązania wygodne, a nie zwiększające bezpieczeństwo. Wystarczy błąd ludzki i wyciek danych po stronie usługodawcy (jeśli baza haseł trzymana jest online) lub złamanie jednego hasła, które chroni bazę danych użytkownika. W tym kontekście pomysł Microsoftu “jedno hasło do mało ważnych usług” połączone “trudne, często zmieniane hasła do najważniejszych kont” ma sens.
Tylko tak naprawdę, czemu nie połączyć obu podejść? Idealnym tandemem jest menedżer haseł do wszystkich “mało ważnych” serwisów, do którego - wbrew zachętom twórców takiego oprogramowania - nie trafią hasła do banku, poczty, Facebooka i dowolnego innego istotnego dla użytkownika serwisu. Polecam też włączanie dwuskładnikowego uwierzytelniania, ale jak pokazuje przykład Christophera Mimsa, nawet wtedy strata hasła może mieć poważne skutki (osoba znająca hasło poznała numer telefonu właściciela, na który przychodzą dodatkowe kody).
Przykład powinien iść z góry
Niestety, patrząc na zalinkowany wcześniej artykuł, od Microsoftu idzie przekaz “krótkie i proste hasła są okay”. To jest dość niebezpieczne i skłania użytkowników do marginalizacji problemu bezpieczeństwa tożsamości online. Jak o tym myślę, to jednak po prostu radziłbym użytkownikom połączyć oba podejścia. Po pierwsze, te najbardziej istotne konta zabezpieczać w maksymalny możliwy sposób, a tylko do wszystkich pozostałych korzystać z menedżera haseł - wbudowanego w przeglądarkę lub w postaci osobnego programu.
Najbardziej mnie martwi w tym wszystkim to, że o konieczności chronienia swoich kont i tożsamości online klepie się od lat, a użytkownicy mają to po prostu w głębokim poważaniu. Nie są świadomi zagrożeń, lub świadomie je ignorują w myśl zasady, że “kto miałby chcieć włamać się na moje konto” lub “to się może przydarzyć każdemu, ale nie mi”. Nikogo już nie dziwi, że przy publikacji bazy danych haseł wykradzionych z tej czy innej usługi najczęściej powtarza się jakiś prosty ciąg znaków (12345, qwerty, password, admin itp.).
Wiele osób, niewzruszone wspomnianym we wstępie, Hollywoodem, ustawia jako zabezpieczenie dostępu do każdego kolejnego konta datę urodzin lub imię partnera lub partnerki. Niestety, bardzo często trafia się na osoby, które wręcz kultywują złe praktyki. Mnie ostatnio zelektryzowała osoba pracująca w salonie sieci Play, które zaproponowała na hasło abonenckie ciąg cyfr od 1 do 6 “bo wszyscy zwykle takie ustalają”. To po co w ogóle operator te hasła wprowadza?
A jak na razie nic lepszego od kombinacji loginu i hasła, co przyjęłoby się na szerszą skalę, nikt nie wymyślił.
---
Zdjęcia pochodzą z Shutterstock