Internetowe testery haseł kłamią
- Antoni Steliński,
- 07.04.2015, godz. 21:42
Od dobrych kilkunastu lat jesteśmy informowani, jak ważne jest tworzenie odpowiednio odpornych na złamanie haseł – okazuje się jednak, że użytkownicy nie mają łatwego sposobu na sprawdzenia „siły” hasła, a z raportu przygotowanego przez Concordia University wynika, że popularne internetowe narzędzia do audytu haseł często nie potrafią poprawnie i spójnie ocenić przedstawianych im fraz.
Takie narzędzia często wykorzystywane są przez operatorów stron w procesie tworzenia konta użytkownika – internauta musi poddać swoje hasło ocenie, a serwis sprawdza, czy jest ono odpowiednio odporne na złamanie. Najsłabsze hasła są odrzucane, a reszta podlega ocenie (zwykle „kolorowej” – na czerwono i żółto oznaczane są frazy najbardziej podatne na złamanie, na zielono – bezpieczne).
Niestety, wygląda na to, że ta metoda może być słabo skuteczna – według badaczy z Concordia University: „Najpopularniejsze narzędzia do mierzenia siły haseł dostarczają bardzo rozbieżne wyniki, nie prezentują użytkownikowi trafnej opinii na temat danego hasła, zaś niekiedy mogą po prostu wprowadzać go w błąd”.
Zobacz również:
Nymi – technologia, dzięki której hasła i PIN-y odejdą do lamusa
Intel zapowiada rychły koniec systemów uwierzytelniania opartych na hasłach
Co ważne, podobny problem stwierdzono nie tylko na stronach, ale również w popularnych aplikacjach do przechowywania haseł i zarządzaniami nimi – przetestowano m.in. LastPass, RoboForm, KeePass oraz 1Password.
Specjaliści podkreślają jednak, że mimo tych słabości takie programy są zdecydowanie godne polecenia – wiele z nich generuje własne, trudne do złamania hasła (znacznie bezpieczniejsze od typowych fraz wymyślanych przez człowieka). Warto też rozważyć wykorzystanie wszędzie tam, gdzie to możliwie, dwustopniowego systemu uwierzytelniania (wprowadza go coraz więcej stron WWW).