Bezpieczne hasła - czy istnieją?

Przeczytałem dziś dwa wpisy o bezpieczeństwie: Bezpieczne hasło to mit. Nie dajmy się zwariować. i Bezpieczne hasło jest mitem... a może admin wie co robi?.

Postanowiłem dorzucić swoje zdanie do tych wypowiedzi.

Każdy ma trochę racji, jednak popadanie w paranoje jest bezsensu.

Hasła mają być bezpieczne, czyli jakie? Takie aby użytkownik mógł je łatwo zapamiętać, jednak aby nie były łatwe do odgadnięcia. W całym tym bezpieczeństwie i tak najsłabszym ogniwem jest użytkownik - przykład nawet podał januszek. Jaki jest sens zmuszania użytkownika do wymyślania hasła w stylu "asd467vD3#$FB##@$%" posiadającego minimum np 32 znaki itp? Według mnie, nie ma. Użytkownik wymyśla sobie hasło sam, regulaminy często mówią że nie należy udostępniać tych danych nikomu innemu, a co zrobi użytkownik to jego problem.

Zmuszając użytkownika do wymyślania trudnego hasła zwiększamy tylko prawdopodobieństwo, że albo zapisze to hasło albo wszędzie będzie wpisywał to samo.

Są programy, jak np KeePass, które ułatwiają przechowywanie haseł. Jednak co jeżeli użytkownik już do samej bazy haseł zastosuje bardzo proste hasło? Wystarczy zdobyć plik i mamy dostęp do wszystkich haseł użytkownika. A często stosują hasła typu imie pupila czy coś w tym stylu.

Użytkownicy lubią sobie ułatwiać zadania a nie utrudniać. Jeżeli użytkownik chce proste hasło to jego problem. Każdy powinien ocenić sam gdzie zastosować trudniejsze hasło, gdzie zastosować różne hasła i zmieniać je co jakiś czas, a gdzie można sobie takie rzeczy odpuścić.

Dla wielu istotnymi hasłami mogą być np hasła do bankowości, portali aukcyjnych, konta e‑mail wykorzystywanego do transakcji itp. i myślę że te hasła powinny być inne, trudniejsze. Takie hasło można odzyskać, często podaje się jakieś proste odpowiedzi, których zdobycie wcale nie musi być trudne. Pomysłów dokładnych podawać nie będę - bo nie będziemy robić tutaj poradników jak zdobyć hasło podając się za kogoś.

Niejednokrotnie spotykam się w pracy, z tym że przychodzi jakiś użytkownik i ma wielki żal że musiał się pofatygować aby go zweryfikować czy to aby na pewno on.

Trudne hasła tacy ludzie zapisują na karteczkach i przyklejają do monitora, więc hasło jednocześnie przestaje spełniać swoje zadanie. Zmiana hasła co 30 dni, sprawia już większości duże problemy, ale niektórzy radzą sobie na swoje sposoby typu zmieniając jakąś część hasła i z hasła trudnego staje się łatwe. W końcu stosując hasło "J@c3kJ35tWsPaN1alY01" w styczniu, ktoś podaje to hasło z jakiegoś powodu komuś innemu, to przecież jeżeli będzie chciał skorzystać z takiego dostępu ponownie i pomyśli trochę to hasło np we wrześniu będzie miało tylko inną ostatnią cyfrę i nic z bezpieczeństwa nie mamy.

Można stosować hasła do portali, forum, stron itp proste tam gdzie wiemy że nic się nie stanie, nawet jak ktoś przechwyci hasło. Np są strony z raportami ogame, gdzie można dodawać raporty z walk/skanowania planet itp (nie pamiętam dokładnie bo dawno to było) i co komu przyjdzie że zdobędzie konto? Podrzuci śmieci? trudno.

Może dla osób wykorzystujących komputer dziennie do czegoś innego niż portale społecznościowe, komunikatory, poczta i gry to zmiana hasła niekoniecznie będzie taka trudna, bolesna i oczywiście bez takiego marudzenia "co ten p... admin znowu wymyślił".

Dlatego niech każdy sam przemyśli co potrzebuje i sam się zastanowi co potrzebuje.

Odnośnie przetwarzania danych osobowych, na forum owszem podaje się e‑mail jednak często on jest i tak widoczny bez logowania się. W większości miejsc jest opcja czy ma być dostępny dla innych. A sami często podajemy w różnej formie naszego e‑maila lub dajemy wskazówki jaki on jest.