r   e   k   l   a   m   a
r   e   k   l   a   m   a

Badacze Microsoftu zalecają, by korzystać w większości z tych samych, łatwych do zapamiętania haseł

Strona główna AktualnościOPROGRAMOWANIE

Przywykliśmy do czytania komunikatów prasowych od firm zajmujących się bezpieczeństwem IT, w których na wszelkie możliwe sposoby podkreśla się, jak ważne jest stosowanie silnych haseł do logowania w witrynach internetowych i jak niebezpieczne jest stosowanie tych samych haseł w różnych witrynach. Ze zdroworozsądkowego punktu widzenia ma to sens – napastnik, który zdobył hasło powiązane z adresem e-mailowym może wypróbować je w innych serwisach, przejmując całą cyfrową tożsamość użytkownika. Badacze z Microsoftu opublikowali jednak właśnie artykuł, w którym rozprawiają się ze zdroworozsądkowymi dogmatami i zalecają wręcz masowe stosowanie słabych haseł.

Dinei Florencio, Cormac Herley (obaj z Microsoft Research) oraz Paul van Oorschot (Carleton University, Kanada) to autorzy pracy pt. Password portfolios and the Finite-Effort User: Sustainably Managing Large Numbers of Accounts, w której badają kwestię zarządzania portfolio haseł i podnoszą poważne argumenty przeciwko najlepszym praktykom bezpieczeństwa IT. Ich zdaniem wielokrotne wykorzystywanie tych samych haseł na różnych witrynach o niewielkim znaczeniu jest koniecznością. Bez tego użytkownicy nie będą w stanie zapamiętać unikatowych haseł o wysokiej entropii, wykorzystywanych do logowania się do witryn o kluczowym znaczeniu – np. skrzynki poczty elektronicznej czy serwisu bankowości elektronicznej.

Zdaniem badaczy, strategie bezpieczeństwa dla użytkowników muszą bowiem uwzględniać ich realne możliwości umysłowe, jak również ogólną niechęć do przejmowania się takimi kwestiami. Złożoność hasła jest odwrotnie proporcjonalna do szans jego zapamiętania. Nieuwzględniające tego faktu praktyki, takie jak np. zmuszanie użytkowników do regularnej zmiany haseł, przynoszą skutki odwrotne od zamierzonych – z czasem użytkownicy sięgają po prostsze hasła, które łatwiej im zapamiętać. Co gorsze, nie ma też zgodności co do tego, czym są dobre hasła, czy powinny być one ciągami pozbawionych znaczenia znaków (w tym niealfanumerycznych), czy też dłuższymi frazami – zdaniami, które łatwo sobie przypomnieć, a które mają jednak wysoką entropię.

r   e   k   l   a   m   a

Dlatego autorzy pracy radzą, by pogrupować wykorzystywane witryny internetowe według wrażliwości przechowywanych w nich danych. Serwisy, w których praktycznie nie mamy żadnych cennych informacji osobistych, powinny być chronione hasłami w stylu haslo123. Serwisy o kluczowym znaczeniu muszą korzystać z haseł o znacznie większej złożoności. Użycie dla witryn z pierwszej grupy mocniejszych haseł nie przynosi żadnych korzyści, a wręcz marnuje wysiłek umysłowy użytkowników.

Nie jest to jednak całkowite rozwiązanie problemu zarządzania hasłami. Jak sformalizować reguły grupowania witryn? Badacze ostrzegają, że arbitralne grupowanie może zakończyć się konsekwencjami daleko odbiegającymi od oczekiwanych. Przyznają, że pewnym rozwiązaniem może być też zastosowanie menedżerów haseł, ale i one mają swoje problemy – przede wszystkim podatność na ataki przeprowadzane przez szkodniki działające po stronie klienta. W wypadku menedżerów, które przechowują dane tylko lokalnie, zwiększamy bezpieczeństwo poprzez możliwość wykorzystania silniejszych haseł i eliminujemy konieczność wielokrotnego korzystania z tych samych haseł. Tracimy jednak wówczas główną zaletę takich rozwiązań, czyli przenośność.

Sięgając po menedżery haseł działające w chmurze zachowujemy przenośność hasła, ale otwieramy się na nową klasę ataków, wymierzonych w samą usługę w chmurze. Z perspektywy strategii zarządzania portfolio haseł, menedżery takie przypominają posiadanie portfolio z tylko jedną grupą, gdyż jeden skuteczny atak przeciwko hasłu głównemu lub samej usłudze zagraża wszystkim kontom. O tym, że nie są to tylko przemyślenia wynikające z zabaw z algebrą może świadczyć ostatni raport poświęcony bezpieczeństwu takich usług jak LastPass, My1Login czy Passwordbox – badacze z Uniwersytetu Kalifornijskiego znaleźli w większości z nich błędy znacząco ułatwiające przeprowadzenie ataku pozwalającego na przejęcie czy wykorzystanie przechowywanych w nich haseł.

Nie będziemy oczywiście nakłaniać Was teraz do natychmiastowej zmiany wszystkich haseł do mniej znaczących serwisów na haslo123. Nie możemy też jednak zanegować realnej wartości odkryć autorów artykułu. Po raz kolejny okazuje się, że bezpieczeństwa w IT nie da się zapewnić za pomocą wprowadzenia kilku prostych praktyk. Bezpieczeństwo jest bowiem procesem, a nie stanem do osiągnięcia – i być może, jako takie, jest w wielu wypadkach niemożliwe do utrzymania.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.