klawiatura enter odcisk palca
17

Uber, Spotify, Facebook. Na tych stronach użytkownicy mają najprostsze hasła

Dobre hasło może być na wagę złota w niebezpiecznych sytuacjach. Jeszcze lepiej jest, gdy korzystamy z dwuskładnikowego uwierzytelniania, które nie zapewni nam stuprocentowej ochrony, ale znacznie utrudni działanie cyberprzestępcom. Warto wiedzieć, jakie platformy ułatwiają użytkownikom ustawienie bardzo prostego do złamania hasła, co może mieć dla nich bardzo przykre konsekwencje.

Wiele stron internetowych oraz platform z powodu dbałości o bezpieczeństwo użytkowników wymusza tworzenie określonego typu haseł. Jeżeli usługa przywiązuje do tego uwagę, spotkamy się z sytuacją, w której ustawienie pięcioznakowej, prostej kombinacji nie będzie wystarczało i zostaniemy poproszeni o stworzenie bardziej rozbudowanego hasła. To wynika oczywiście z tego, że krótkie, mało skomplikowane kombinacje są prostsze do rozpracowania. Jak pokazało już wiele raportów, bardzo częstą praktyką jest stosowanie haseł wręcz trywialnie prostych, począwszy od „password” (lub „hasło”), a skończywszy na znanego w pracowniach komputerowych „zaq1@WSX”, które tylko pozornie przypomina ciąg trudny do odgadnięcia.

Ten raport nie pozostawia złudzeń. Okazuje się, że popularne usługi – Spotify, Uber, Facebook i inni nie przywiązują większej uwagi do bezpieczeństwa haseł użytkowników

Ekipa stojąca za Dashlane, aplikację – menedżera haseł stworzyła listę platform z uwzględnieniem wymaganego przez nie poziomu bezpieczeństwa hasła. Brano pod uwagę kilka czynników: długość hasła (pow. 8 znaków); wymóg stosowania znaków specjalnych, dużych liter oraz cyfr; czy istnieje „miernik” trudności hasła; czy jest obecny mechanizm anti-bruteforce; czy obecna jest metoda dwuskładnikowego uwierzytelniania. I co ciekawe, najgorsze pozycje w zestawieniu otrzymały te platformy, z których na co dzień korzystają miliony użytkowników.

hasła dashlane's raport mocy haseł 2017 infografika

Wspomniany przeze mnie Facebook na przykład stosuje dwuskładnikowe uwierzytelniania, ale przy okazji nie jest specjalnie restrykcyjny, jeżeli chodzi o hasła. Wśród wymienionych wyżej czynników wpływających na bezpieczeństwo ustawionego przez użytkownika hasła, spełnia więc tylko jedno założenie postawione przez twórców badania. Trzeba wiedzieć, że dwuskładnikowe uwierzytelnianie wśród jeszcze bardzo wielu użytkowników to „niepotrzebny wynalazek”, a moje doświadczenia ujawniły już kilka nieprzyjemnych sytuacji, w których ta metoda okazała się zbawienna.

Spotify oraz Uber nie stosują żadnych z wymienionych przez badaczy metod na uzyskanie przez użytkownika dobrego hasła do swojego konta. Doświadczeni, świadomi użytkownicy zapewne nie będą sobie nic z tego robić, ale warto wiedzieć, że przejęcie takiego konta może narazić nas na dodatkowe koszty. Możliwe również, że informacje pozyskane w tych platformach mogą stanowić furtkę do przejęcia innych usług danego użytkownika. W wielu przypadkach to właśnie nieostrożni właściciele kont wręcz zapraszają do siebie cyberprzestępców, którzy bardzo chętnie wykorzystają znalezione słabe punkty. I podkreślam – w ogromnej części przypadków to właśnie człowiek stanowi najsłabsze ogniwo systemu zabezpieczeń.

A może te dane wskazują na zmierzch tradycyjnych haseł?

Nie skazywałbym tradycyjnych haseł na odejście do lamusa już teraz. Oczywiście, mamy sporo innych metod uwierzytelniania – odciski palców, twarz, a nawet tęczówkę oka. Wszystkie te metody działają całkiem nieźle i we flagowych przykładach ich wykorzystania oferują spory poziom bezpieczeństwa, a także pewność, że nigdy nie ich nie zapomnimy. Odpada też problem z ich ewentualnym przechowywaniem. Ale… tekstowe hasło jest zarazem najbardziej uniwersalną metodą – w prosty sposób możemy przekazać komuś takie dane, jeżeli sobie tego życzymy. Z odciskiem palca, tęczówką oka, czy twarzą raczej tego nie zrobimy, prawda?

  • Grzegorz93

    U mnie hasła wszędzie są tego typu: 8Ug$!%T_&4/K(wNJv-)7@

    Jeśli nie można używać określonych znaków w haśle (co mi się też zdarzyło) to zamieniam je na coś innego, natomiast zazwyczaj używam (jeśli to tylko możliwe) min. 21 znaków. :-)

  • kim

    najlepsze hasło to takie niestandardowe ktore zapamietamy np. babaspadlazwozuwstodole$

    ostatnio wypowiedzia łsie tworca slawetnego 8 liter, liczb i znaki specjalne, że jego słowa zostały przeinaczone.

    8Ug$!%T_&4/K(wNJv-)7@

    takie haslo wcale nie jest proste do zapamietania i stanowi luke bezpieczenstwa bo zapewne zostanie gdzies zapisane.

    • Mailosz

      A może np. cały wiersz pt. Lokomotywa Tuwima? Siłowo nie do złamania, że zapisane gdzieś jest to nie ma znaczenia, bo i tak nikt się nie domyśli, że to hasło, a żeby się zalogować wystarczy wejść na jakieś wiersze.pl i skopiować tekst :)

    • kim

      jeszcze lepiej, w pewnym wyrazie wierszu przestawic literkę lub dodac znak specjalny.

  • Nazwa artykułu wprowadza w błąd. Najniższe wymagania dotyczące hasła z tej statystyki ma Spotify, Uber I Netflix, a nie Facebook. I poziom wymagań nie musi mieć związku z najprostszymi hasłami. Swoją drogą weźcie zastanówcie się nad przejściem na https (loguję się tu na disqusa, który jest dla mnie dość ważną usługą). Dlaczego ładują się 2 artykuły jeden pod drugim na stronie w wersji mobilnej? Wniosek – AW nie dba o bezpieczeństwo swoich najaktywniejszych czytelników oraz olewa ich pakiety internetowe, a pisze o bezpieczeństwie..

    • Anonim

      Ładuje drugi, bo się wyświetlenia doliczają (nawet jak nie miałeś zamiaru go załadować). Normalka wśród stronek prowadzonych na WP.

    • To jaką metodologię być zaproponował do takiego badania?

    • Usher

      1. Nie chodzi tylko o metodologię, lecz o samą umiejętność czytania załączonych tabelek i wyciągania wniosków. Facebook ma 3 na 5 badanych cech, więc umieszczenie go w tytule stawia pod znakiem zapytania logikę wszystkich wywodów.
      2. Przedstawione w tabelkach wymagania teoretyczne (czyli minimalne) nie muszą odzwierciedlać faktycznego (czyli średniego) poziomu zabezpieczeń stosowanego przez użytkowników. Statystycznie powinna być zauważalna pewna korelacja – im serwis bardziej popularny, tym średni poziom bliższy minimalnemu, ale tego nie zbada żadna firma zewnętrzna bez współpracy z badanymi serwisami.
      3. Aby badania wewnętrzne były miarodajne, należałoby dodatkowo powiązać poziom zabezpieczeń stosowanych faktycznie przez użytkowników z tym, czy uważają zabezpieczone dane za ważne (powinna być korelacja) i z tym, czy te dane rzeczywiście mogą być cenne (oczekiwane są rozbieżności).

    • Nie da się zrobić badania jakości haseł użytkowników poszczególnych platform bez posiadania w plain textcie haseł wszystkich użytkowników. A platformy nie powinny trzymać haseł użytkowników w plain textcie I raczej żaden duży serwis ich tak nie trzyma.

      Zauważ, że w takim Spotify z ponoć słabymi wymaganiami dot. haseł można mieć hasło HuTq5rKj37z1JAM, a w serwisach, którego miały 5 kłódek można mieć Grazynka11 (bo 2fa nie jest obowiązkowe) i jasne jest, które hasło jest gorsze, mimo niby lepszych wymagań. Ogólnie ludzie zawsze będą w stanie ustawić głupie hasło niezależnie od wymagań.

    • Marcin “Shnx” Frączek

      Nie tylko o bezpieczeństwie. Przeczytać napisany przez siebie artykuł i poprawić literówek też nie łaska. Zdanie typu:
      „…a także pewność, że nigdy nie ich nie zapomnimy.”
      Jak na WP normalnie.

  • Usher

    dwuskładnikowe uwierzytelnianie wśród jeszcze bardzo wielu użytkowników to „niepotrzebny wynalazek”,

    Bo tak może być. W szczególności niepotrzebne jest wymuszanie tego przez serwisy, które użytkownicy traktują rozrywkowo.

    a moje doświadczenia ujawniły już kilka nieprzyjemnych sytuacji, w których ta metoda okazała się zbawienna.

    Ale się nimi nie podzielisz, więc nie można ocenić, czy masz rację. I nie wspomnisz też o sytuacjach, kiedy ta metoda sama stwarza problemy.

    zmierzch tradycyjnych haseł?

    Kolejny, który nie wie, że można wyróżnić trzy grupy metod uwierzytelniania opisane rymowanką „Coś co mam, coś co znam i ja sam”. Różne grupy się nawzajem uzupełniają, ale NIE zastępują. Tradycyjne hasło należy do grupy „coś, co znam”, odcisk palca to „ja sam”, więc nie może być mowy o pełnym zastąpieniu jednej z tych metod przez drugą. Może się znaleźć jednak inna metoda z grupy pamięciowej zamiast hasła (rozumianego jako „password”) – już teraz w literaturze anglojęzycznej pisze się, że passphrase wypiera password.

  • Mailosz

    Najprostsze hasła stosują użytkownicy najmniej technicznych portali – no kto by pomyślał…

    A ja, głupi, obstawiałem że najsłabsze hasła będą mieć ci jajogłowi ze StackOverflow…

  • Grzegorz Krycki

    A kto by się chciał włamywać do tych usług? Szkoda zachodu.

  • Camis ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    Ja korzystam z LastPass, i w każdym serwisie mam inne hasło. W generatorze mam ustawione na 32 znaki/liczby.

    Np: z4KvErDTj1n&$Wnob64LdBLkvUwn722L

    Do szczególnie ważnych serwisów zmieniam hasła co kilka tygodni. Oczywiście wszędzie gdzie się da mam włączone 2FA.

  • Odciski palców, twarz, a nawet tęczówkę oka ≠ bezpieczeństwo. A co do zapamiętywania to TYLKO KeePass (nie LastPass czy inne siedzące w chmurze). KeePass w wersji offline :)

  • Grzegorz Krycki

    A prawda jest taka, że kto ma przejąć hasło, nawet najbardziej skomplikowane i tak to zrobi.

  • Cwany Janusz

    moze userzy tego to w wiekszosci idioci?