Microsoft zachęca do korzystania ze słabych haseł

Login oraz hasło to podstawowe formy ochrony naszych kont. Z takiej metody autoryzacji korzystają praktycznie wszelkie możliwe usługi, począwszy od usług poczty elektronicznej, serwisów społecznościowych, a kończąc na bankowości internetowej. Dlaczego akurat ten sposób uwierzytelniania zdobył tak wielką popularność? Gdyż jest bardzo prosty w implementacji oraz tani. Niektóre serwisy na nasze szczęście zaczynają wdrażać dwuskładnikowe uwierzytelnianie, czyli oprócz podania loginu oraz hasła musimy podać kod, który np. otrzymaliśmy przy pomocy wiadomości SMS. Wszelkie organizacje zajmujące się bezpieczeństwem zalecają, aby stosować unikalne oraz mocne hasła przy zakładaniu kont – co jest oczywiście rzeczą naturalną i zdroworozsądkową. My również na łamach PurePC zachęcaliśmy Was do stosowania menedżerów haseł, które nie tylko potrafią wygenerować silne hasła, ale i zarządzać naszym zbiorem kluczy. Microsoft jednak w swojej najnowszej pracy przekonuje zupełnie do czegoś innego.

Dinei Florencio, Cormac Herley oraz Paul van Oorschot opublikowali pracę pod nazwą Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts z której możemy się dowiedzieć, że korzystanie z tego samego hasła bądź zestawu haseł w wielu serwisach internetowych o niewielkim dla nas znaczeniu jest praktycznie koniecznością.

Komuś upały nie służą?

Dlaczego? Jeżeli ktoś wymaga stosowania silnego hasła, dodatkowo nakłada okres ważności tego hasła, to użytkownik zaczyna z czasem wymyślać coraz prostsze sekwencje znakowe po to, aby łatwiej było mu je zapamiętać. Według autorów pracy użytkownicy powinni podzielić strony internetowe na kilka kategorii w oparciu o wrażliwość przechowywanych na nich danych. W witrynach pokroju forum, konta powinny korzystać ze słabego i tego samego hasła, ponieważ w razie ataku nie tracimy cennych danych. Usługi typu poczta elektroniczna, czy też serwis społecznościowy powinny być zabezpieczone odpowiednio mocnymi hasłami. Opublikowany dokument ma po części rację, gdyż nie od dzisiaj wiadomo, że wzrost bezpieczeństwa jest odwrotny do wygody, jednak według nas nie można namawiać użytkowników do tego, aby dzielili witryny internetowe na odpowiednie grupy i według ważności danych zabezpieczali je odpowiednimi hasłami.

Nie dajmy się omamić!

My nadal będziemy twierdzić, że każde nasze konto powinno zostać zabezpieczone hasłem o długości minimum 8 znaków, zawierającym duże i małe litery oraz cyfry i znaki specjalne. Obowiązkowo każdy serwis musi być zabezpieczony unikatowym hasłem. Zwolennicy teorii spiskowej mogą wyczuwać w tym dokumencie nutkę NSA i my również ją czujemy – czyżby po tej całej aferze użytkownicy stali się bardziej świadomi i zaczęli korzystać z mocnych haseł?Zainteresowani mogą przeczytać dokument pod tym linkiem.

Źródło: Microsoft