Atwood: to przez wymagania wobec haseł tak wielu korzysta z „123456”

Ciekawymi uwagami na ten temat podzielił się na swoim blogu Jeff Atwood, twórca serwisu społecznościowego dla programistów StackOverflow, a także wykorzystywanego przez dobreprogramy Discourse. We wpisie zatytułowanym Wymogi tworzenia haseł są g*** warte* rozprawia się on z mitami, według których stawianie użytkownikom warunków przy tworzeniu haseł przyczynia się ich bezpieczeństwu.

Każdy z nas zna sytuacje, kiedy rejestracja konta w serwisie wydłuża się nieskończenie za sprawą wymogu dodawania do haseł kolejnych znaków. A to potrzebna jest wielka litera, a to cyfra, a to znak interpunkcyjny, ale nie taki znak interpunkcyjny, inny znak interpunkcyjny, a to hasło jest za krótkie, a to za długie.

W wymogach, które mają zmotywować użytkowników do wymyślania haseł, Atwood upatruje powód, dla którego tak wielu wykorzystuje właśnie hasła w rodzaju 123456. Blokowane są bowiem generatory haseł, zaś zmęczony kolejnymi niepowodzeniami użytkownik wpisze w końcu dowolny ciąg znaków, który spełnia wymagania. Na przykład Qwerty-1.

Według Atwooda, jedyną słuszną regułą jest wymóg odpowiedniej długości znaków w haśle, mierzonej w znakach unicode. We wspomnianym raporcie, jedynie 5 z 25 najpopularniejszych haseł było złożonych z 10 znaków. Nawet w tym przypadku reguła nie jest jest bezwarunkowa: nic nie stoi przecież na przeszkodzie, aby spełnić wymóg 10 znaków jednym znakiem. Sytuacja może się także różnić w zależności od języków, czy układów klawiatury.

Atwood podsumowuje swoją tyradę postulatem oddania kreatywności w ręce samych użytkowników, jedynie z zastrzeżeniem długości hasła i braku jego zgodności np. z wprowadzonym loginem czy adresem e-mail. Wszelkie inne stawiane przed rejestrującymi się wymogi, osiągają według założyciela Discourse skutek odwrotny do zamierzonego.