Bezpieczne hasło to mit. Nie dajmy się zwariować.
Bezpieczne hasło, bezpieczne hasło, bezpieczne hasło, bezpieczne hasło... Powtarzane w kółko stało się wyznawanym przez wielu mitem. Mitem bo bezpieczne same w sobie hasła nie istnieją. Hasło "elemeledudki" jest tyle samo warte co "lC!$uNu^A\Qd"...
Problem bezpieczeństwa nie leży w samym haśle tylko w mechanizmie implementacji całej procedury bezpieczeństwa w chronionym zasobie w której to procedurze hasło jest tak naprawdę mało istotnym elementem. Nie zgadzam się więc z tezą, że: "Łatwe do złamania lub odgadnięcia hasło to wymarzona furtka dla przestępców internetowych" bo to jest bardzo duże uproszczenie, żeby nie powiedzieć bzdura... Pin do mojej karty płatniczej to cztery cyfry z zakresu 0‑9 co oznacza, że ilość wszystkich możliwych kombinacji to 10 tys. Prawdziwym więc zabezpieczeniem nie jest siła tego hasła tylko procedura polegająca na tym, że podanie złego pinu po raz czwarty będzie skutkowało zablokowaniem karty do której ten pin jest kluczem. Krótko mówiąc mamy 3 podejścia i ponad 10 tys kombinacji co praktycznie oznacza, że żaden z przywołanych wyżej przestępców internetowych nie będzie nawet próbował zgadywania tego hasła tylko skorzysta z jakiejś innej metody. Przeżyłem w swoim życiu włamanie na moje konto pocztowe. Stosowałem wtedy bardzo proste hasło. Mimo tego włamywacz nawet nie próbował go zgadywać. Zadzwonił na numer BOK mojego operatora hostingowego i podał się za mnie. Bardzo miła i pomocna Pani szybko rozwiązała problem...
Rejestrowałem ostatnio oprogramowanie co wymagało podania adresu email jako loginu i zdefiniowanie hasła, które musiało jednocześnie składać się co najmniej z 6 znaków, zawierać co najmniej jedną dużą, jedną małą literę oraz jedną cyfrę. PARANOJA!!! Po za "widzimisię" Admina takie rozwiązanie niczemu co związane z bezpieczeństwem nie służy. Mało tego, z ciekawości sprawdziłem ile razy mogę próbować wpisać nieprawidłowe hasło i tak wpisywałem, wpisywałem, wpisywałem, aż mi się znudziło. Wniosek: Admin uległ mitowi "bezpiecznego hasła" i wymusza je na użytkownikach ale od swojej strony systemu nie przemyślał i nie zabezpieczył się w ten prosty sposób, że czwarta próba wpisania złego hasła skutkuje np. czasową blokadą możliwości logowania się na to konto, aż do kliknięcia np. w link odblokowujący wysyłany na adres mail (który jest loginem). Oczywiście jeszcze lepiej byłoby gdyby login nie był mailem ale adres mail na który wysyłać takie powiadomienia był przypisany do tego loginu.
Dlatego apeluję: nie dajmy się zwariować niedouczonym Adminom, którzy wymagają od nas "bezpiecznych" haseł do forów dyskusyjnych, e‑banków albo elektronicznej rejestracji w przychodni lekarskiej bo w tych miejscach to nie siła i moc hasła jest dla bezpieczeństwa naprawdę istotna!
Siła i moc hasła istotne są tylko tam gdzie hasło jest jedynym stosowanym zabezpieczeniem. Są takie przypadki, np. ograniczenie dostępu hasłem do pliku ze spakowanym archiwum. Tu jednak trzeba pamiętać, że takie zabezpieczenie jest samo w sobie słabym bo póki co nie wynaleziono jeszcze metody kodowania, której na pewno nie można i nigdy nie będzie można złamać.
Na koniec jedna małą uwaga, jeśli uwierzyłeś marketingowemu językowi i na stronie www.bezpiecznehaslo.info wpisałeś swoje prawdziwe hasło w celu sprawdzenia czy jest ono bezpieczne to w tym samym momencie przestało ono być bezpieczne. O czym z resztą można na tej samej stronie przeczytać. Jedną z podstawowych zasad bezpieczeństwa jest: "nie ujawniaj hasła osobom trzecim". Dlatego na tej stronie powinno być tak, że każdy kto wpisze w pole weryfikacyjne dowolne hasło otrzyma zwrotną informację, że: właśnie dałeś się podejść i zdradziłeś swoje hasło!!!
ps.
I twierdzenie januszka o silnych hasłach: Wraz ze wzrostem siły hasła wzrasta prawdopodobieństwo, że user nie będzie go pamiętał i zapisze je sobie w podręcznym kajeciku...
II twierdzenie januszka o silnych hasłach: Dobrze zaprojektowany i administrowany system nie będzie wrażliwy na słabe hasło usera i odwrotnie: w źle zaprojektowanym i administrowanym systemie użytkownika nie zabezpieczy nawet super-mega silne i wymyślne hasło składające się z pierdyliona znaków.
