Specjalista od haseł wyjawia swoje największe błędy

Internet, bezpieczeństwo, haker

Uwaga – poniższy tekst jest tłumaczeniem artykułu z 2017 roku!

Autor popularnego przewodnika po hasłach komputerowych twierdzi, że teraz żałuje kilku z podanych przez siebie wskazówek.

Bill Burr zalecał użytkownikom zmianę hasła co 90 dni i mieszanie słów poprzez dodawanie wielkich liter, cyfr i symboli – na przykład „protected” powinno przybrać postać „pr0t3cT3d4!”.

Jego zdaniem problem polega na tym, że teoria rozminęła się z praktyką. Burr przyznaje teraz, że jego podręcznik z 2003 roku „szczekał na niewłaściwe drzewo”. Swoje poglądy ujawnił w wywiadzie dla Wall Street Journal.

Współczesne wytyczne nie sugerują już, że hasła powinny być często zmieniane, ponieważ ludzie mają tendencję do reagowania poprzez wprowadzanie jedynie niewielkich zmian w swoich istniejących hasłach – na przykład zmieniając „monkey1” na „monkey2” – które są stosunkowo łatwe do wywnioskowania.

Co więcej, wykazano, że komputerom zajmuje więcej czasu złamanie losowej mieszanki słów – takiej jak „pig coffee wandered black” – niż odgadnięcie słowa z łatwymi do zapamiętania zamiennikami – takimi jak „br0k3n!”.

Pierwotne rady Burra zostały rozpowszechnione przez amerykański Narodowy Instytut Standardów i Technologii (NIST). Od tego czasu były one kilkakrotnie zmieniane, a najnowsza edycja została wydana w czerwcu.

– Wszystko opublikowane pod szyldem NIST ma tendencję do bycia powielanym, więc te wytyczne miały długotrwały wpływ – oznajmił profesor Alan Woodward z Uniwersytet Surrey.

– Ale od dłuższego czasu wiemy, że te wytyczne miały raczej niefortunny skutek. Na przykład, im częściej prosisz kogoś o zmianę hasła, tym słabsze hasła zazwyczaj wybiera. A ponieważ wszyscy mamy teraz tak wiele kont online, sytuacja jest spotęgowana, więc zachęca do takich zachowań, jak ponowne użycie hasła w różnych systemach.

Brytyjskie Narodowe Centrum Cyberbezpieczeństwa wydało własne wytyczne w tej sprawie w 2015 roku. Zalecano, by organizacje porzuciły politykę zmuszania użytkowników do regularnego resetowania haseł i by wspierały korzystanie z menedżerów haseł – programów, które bezpiecznie przechowują setki różnych loginów, co pozwala uniknąć konieczności zapamiętywania każdego z nich.

– To dobrze, że porady dotyczące haseł są obecnie aktualizowane w oparciu o dowody – skomentował dr Steven Murdoch z University College London.

– Jednak tradycyjne porady w innych obszarach bezpieczeństwa komputerowego są nadal utrwalane, mimo że wiemy, że nie zadziałają. Potrzebujemy badań, które powiedzą nam, jakie porady dotyczące bezpieczeństwa faktycznie poprawią sytuację, a rząd i firmy powinny zwracać uwagę na ich wyniki – skwitował.

Źródło: BBC

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *