Unikalne hasła: zakała współczesnego internetu. Jak pozbyć się tego problemu?
12.02.2017 10:53, aktual.: 10.03.2022 08:36
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Kiedy niemal każda strona oferuje dodatkowe możliwości zalogowanym użytkownikom, a każda aplikacja wymaga logowania, niepowtarzalne hasła mogą stać się bardziej problematyczne niż bezpieczne.
Tradycyjny system logowania powoli mnie przerasta. Hasła z wielkimi literami, znakami specjalnymi i cyframi są trudne do zapamiętania, a nie można po prostu mieć jednego do wszystkich kont. Nie będę logował się tymi samymi danymi do banku, na poczcie i w usłudze gry online – choć tak robi 75 proc. użytkowników. Właśnie taki odsetek używa wielokrotnie jednego hasła - wynika z raportów Verizon i Telesign, dotyczących naruszeń bezpieczeństwa danych.
To nie wszystko. Aż 54 proc. internautów używa nie więcej niż pięciu różnych haseł do wszystkich kont. Z kolei 37 proc. użytkowników co najmniej raz w miesiącu resetuje jedno ze swoich haseł. Potrafię zrozumieć, dlaczego.
Konta, konta, wszędzie konta
Praca zmusza mnie do posiadania licznych kont w różnych serwisach i aplikacjach. Mam osiem aktywnie używanych adresów e-mailowych, jestem zalogowany w trzech systemach organizacji pracy, do tego konta w pięciu serwisach społecznościowych, kilkadziesiąt logowań w systemach CMS, kilka w sklepach internetowych, w portalach aukcyjnych. Do tego – prywatnie – konta u dostarczycieli mediów czy dostawcy internetu.
Sam już nie wiem, w ilu miejscach podałem numer karty płatniczej. Od kilku miesięcy resetuję hasło za każdym razem, kiedy chcę zapłacić za usługi internetowe, bo nie potrafię go zapamiętać – wymogi co do jego tworzenia są absurdalne. Jako że pracuję na laptopie, który czasem zabieram w świat, wolę nie korzystać z opcji zapamiętywania przez przeglądarkę.
Efekt: przestałem to wszystko ogarniać. Nie czuję się też bezpieczny. Kiedy platforma Playstation Network została zhakowana i dostałem zalecenie zmiany hasła, zacząłem się zastanawiać, czy gdzieś jeszcze go nie wykorzystałem w połączeniu z tym samym mailem. Czy systemu uwierzytelnień nie można zorganizować inaczej?
Ułatwienia-utrudnienia
Istnieją menedżery haseł, ale to zapewne nie przypadek, że nie zrobiły furory. Mozilla próbowała zawojować rynek swoją Personą, która pod koniec 2016 roku zakończyła jednak swój żywot. Inne rozwiązania tego typu także nie cieszą się popularnością – i nietrudno zrozumieć, dlaczego.
Chronienie wszystkich haseł jednym hasłem wydaje się nieco ryzykowne. Dane przechowywane przez menedżery są zwykle szyfrowane i lepiej zabezpieczone niż przeciętny e-mail, ale mimo tego w ostatnich latach zdarzyły się włamania do takich systemów – na przykład do LastPassa. Użytkownikom zalecono... zmianę hasła.
Można oczywiście pójść jeszcze dalej i wybrać weryfikację z użyciem narzędzia takiego jak Sesame, instalowanego na przenośnej pamięci flash, którą podczas logowania podpina się do urządzenia. Tylko że to nie ułatwienie, a kolejne mnożenie problemów, bo tym razem nie tylko mogę zapomnieć hasła, ale i zgubić swój przenośny klucz.
A może by wymyślić coś nowego?
Są przyjaźniejsze metody weryfikacji. Sprawdzanie danych biometrycznych to już nie terytorium science fiction. Skanery odcisków palców to już w zasadzie standard w smartfonach. W Samsungu Galaxy Note 7 można nawet korzystać ze skanera tęczówki oka. Tylko czy warto?
Wszystkie te informacje muszą przecież być gdzieś przechowywane – a skoro są przechowywane, mogą zostać wydobyte. Im więcej o nas wie sprzęt podłączony do internetu, tym więcej informacji może dostać się w niepowołane ręce. Na dodatek mówimy o urządzeniu, które łatwo zgubić, a nie o zamkniętym systemie, z serwerem umieszczonym w najgłębszej piwnicy Pentagonu.
Ciekawym rozwiązaniem wydaje się system Clef. Na ekranie komputera, zamiast ekranu logowania, pojawia się unikalny obraz, który trzeba uchwycić kamerą w telefonie. Jest on synchronizowany z podobnym obrazem przez aplikację – a kiedy proces dobiegnie końca, otrzymujesz dostęp do konta. W przypadku zgubienia telefonu wystarczy dezaktywować logowanie na stronie Clefa. Brzmi świetnie, ale...
Wykorzystajcie mój smartfon!
...ale nie oszukujmy się – szanse na upowszechnienie się tego systemu są praktycznie zerowe. To rozwiązanie do zastosowania wewnątrz firm, o którym przeciętny Polak nawet nie usłyszy.
Mimo wszystko sprzężenie systemu weryfikacji z telefonami wydaje się kierunkiem, w którym warto podążyć. Twitter i wiele innych stron umożliwia na przykład stosowanie uwierzytelnienia dwuczynnikowego, czyli podania, oprócz standardowego hasła, hasła wygenerowanego automatycznie i wysłanego SMS-em pod przypisany do konta numer telefonu. Co prawda takie rozwiązanie nie zastąpi haseł, ale dzięki niemu nawet prostsze hasła, łatwiejsze do zapamiętania i stosowane w kilku miejscach, będą bezpieczniejsze.
Twitter: Two-Factor Logins Explained
Jest jeszcze jedna opcja. Może by tak, zamiast wynajdować nowe technologie uwierzytelniania, zastosować technologiczną brzytwę Ockhama i zacząć zmierzać do prostoty?
Czy naprawdę wszędzie potrzebne jest konto?
Czy niewielkie, niszowe serwisy, które odwiedza w porywach pięć tysięcy użytkowników, muszą wykorzystywać system komentarzy wymagający logowania? Czy sklep online, do którego zajrzę prawdopodobnie raz w życiu, naprawdę nie może zaoferować zakupu bez rejestracji?
Gdyby wywalić konieczność logowania z większości serwisów, nie stałoby się absolutnie nic. Na mniejszych forach czy stronach mogę korzystać z ksywki jako gość i pozostać rozpoznawalny. Nie muszę mieć dostępu do statystyk i listy utworzonych tematów. Z oferty plakatów filmowych korzystam raz na trzy lata i moje konto zdąży wygasnąć, zanim znów tam zawitam. Jeśli trafię na ciekawy artykuł w nieznanym mi serwisie i zechcę dołączyć do dyskusji, to nie znaczy, że zamierzam stać się członkiem społeczności.
Założenie konta powinno użytkownikowi coś dawać. Powinno ułatwiać korzystanie z usługi, zamiast je utrudniać. Tymczasem w 90 proc. przypadków rejestrujesz się, żeby być zarejestrowanym. Właściciel serwisu może powiedzieć reklamodawcom: patrzcie, ilu mam zaangażowanych użytkowników. Czy to – z perspektywy usera – ma sens?
Konto to narzędzie wykorzystywane bezmyślnie. W tym tkwi przyczyna problemu, jakim jest nadmiar haseł i być może tu należy szukać jego rozwiązania.