Dobre hasło może być na wagę złota w niebezpiecznych sytuacjach. Jeszcze lepiej jest, gdy korzystamy z dwuskładnikowego uwierzytelniania, które nie zapewni nam stuprocentowej ochrony, ale znacznie utrudni działanie cyberprzestępcom. Warto wiedzieć, jakie platformy ułatwiają użytkownikom ustawienie bardzo prostego do złamania hasła, co może mieć dla nich bardzo przykre konsekwencje.
Uber, Spotify, Facebook. Na tych stronach użytkownicy mają najprostsze hasła
Wiele stron internetowych oraz platform z powodu dbałości o bezpieczeństwo użytkowników wymusza tworzenie określonego typu haseł. Jeżeli usługa przywiązuje do tego uwagę, spotkamy się z sytuacją, w której ustawienie pięcioznakowej, prostej kombinacji nie będzie wystarczało i zostaniemy poproszeni o stworzenie bardziej rozbudowanego hasła. To wynika oczywiście z tego, że krótkie, mało skomplikowane kombinacje są prostsze do rozpracowania. Jak pokazało już wiele raportów, bardzo częstą praktyką jest stosowanie haseł wręcz trywialnie prostych, począwszy od "password" (lub "hasło"), a skończywszy na znanego w pracowniach komputerowych "zaq1@WSX", które tylko pozornie przypomina ciąg trudny do odgadnięcia.
Ten raport nie pozostawia złudzeń. Okazuje się, że popularne usługi - Spotify, Uber, Facebook i inni nie przywiązują większej uwagi do bezpieczeństwa haseł użytkowników
Ekipa stojąca za Dashlane, aplikację - menedżera haseł stworzyła listę platform z uwzględnieniem wymaganego przez nie poziomu bezpieczeństwa hasła. Brano pod uwagę kilka czynników: długość hasła (pow. 8 znaków); wymóg stosowania znaków specjalnych, dużych liter oraz cyfr; czy istnieje "miernik" trudności hasła; czy jest obecny mechanizm anti-bruteforce; czy obecna jest metoda dwuskładnikowego uwierzytelniania. I co ciekawe, najgorsze pozycje w zestawieniu otrzymały te platformy, z których na co dzień korzystają miliony użytkowników.
Wspomniany przeze mnie Facebook na przykład stosuje dwuskładnikowe uwierzytelniania, ale przy okazji nie jest specjalnie restrykcyjny, jeżeli chodzi o hasła. Wśród wymienionych wyżej czynników wpływających na bezpieczeństwo ustawionego przez użytkownika hasła, spełnia więc tylko jedno założenie postawione przez twórców badania. Trzeba wiedzieć, że dwuskładnikowe uwierzytelnianie wśród jeszcze bardzo wielu użytkowników to "niepotrzebny wynalazek", a moje doświadczenia ujawniły już kilka nieprzyjemnych sytuacji, w których ta metoda okazała się zbawienna.
Spotify oraz Uber nie stosują żadnych z wymienionych przez badaczy metod na uzyskanie przez użytkownika dobrego hasła do swojego konta. Doświadczeni, świadomi użytkownicy zapewne nie będą sobie nic z tego robić, ale warto wiedzieć, że przejęcie takiego konta może narazić nas na dodatkowe koszty. Możliwe również, że informacje pozyskane w tych platformach mogą stanowić furtkę do przejęcia innych usług danego użytkownika. W wielu przypadkach to właśnie nieostrożni właściciele kont wręcz zapraszają do siebie cyberprzestępców, którzy bardzo chętnie wykorzystają znalezione słabe punkty. I podkreślam - w ogromnej części przypadków to właśnie człowiek stanowi najsłabsze ogniwo systemu zabezpieczeń.
A może te dane wskazują na zmierzch tradycyjnych haseł?
Nie skazywałbym tradycyjnych haseł na odejście do lamusa już teraz. Oczywiście, mamy sporo innych metod uwierzytelniania - odciski palców, twarz, a nawet tęczówkę oka. Wszystkie te metody działają całkiem nieźle i we flagowych przykładach ich wykorzystania oferują spory poziom bezpieczeństwa, a także pewność, że nigdy nie ich nie zapomnimy. Odpada też problem z ich ewentualnym przechowywaniem. Ale... tekstowe hasło jest zarazem najbardziej uniwersalną metodą - w prosty sposób możemy przekazać komuś takie dane, jeżeli sobie tego życzymy. Z odciskiem palca, tęczówką oka, czy twarzą raczej tego nie zrobimy, prawda?
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu