Herley zwraca uwagę, że większość z pojawiających się ostatnimi czasy propozycji zastąpienia haseł jakimś innym rozwiązaniem potwierdzającym tożsamość użytkownika, to tak naprawdę "strzały w ciemno" - osoby, które je proponują, zakładają z góry, że hasła mają same wady, ale nie tak naprawdę nie są w stanie precyzyjnie wytłumaczyć, na czym te wady polegają.

"Musimy unowocześnić systemy oparte na hasłach - ale żeby to zrobić, musimy dokładnie zrozumieć, jakie konsekwencje niesie ze sobą naruszenie bezpieczeństwa haseł. Wielu specjalistów nawołuje do zastąpienia tego systemu innym - ale te apele zwykle nie są oparte na żadnych konkretach" - tłumaczy przedstawiciel Microsoft Research.

Zobacz również:

• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła
• Menedżer haseł open source - czy warto się nimi interesować?
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

Wiadomo na pewno, że typowymi atakami wykorzystującymi słabości systemów opartych na hasłach są m.in. przechwytywanie znaków (np. przez keyloggery), ataki typu brute force, przechwytywanie sesji, phishing, ataki słownikowe czy po prostu zgadywanie łatwych haseł - ale Cormac Herley podkreśla, że tak naprawdę nie wiadomo, które z powyższych zagrożeń jest najpoważniejsze i najczęstsze. "Tego nikt nie bada, więc nie znamy proporcji - nawet orientacyjnych" - tłumaczy specjalista i dodaje, że w tej sytuacji trudno jest stawiać jakieś konkretne diagnozy dotyczące problemów z hasłami.

Zdaniem Herleya, do zwiększenia skuteczności haseł potrzebne będą następujące działania:

- określenie realnej szkodliwości poszczególnych typów ataków na hasła

- zapewnienie użytkownikom lepszego wsparcia w zakresie haseł - m.im. poprzez wyjaśnianie jak bezpiecznie korzystać z tej formy autentykacji

- precyzyjne zdefiniowanie scenariuszy, w których same hasła nie są wystarczającym zabezpieczeniem - i stosowanie w nich dodatkowych rozwiązań.

- stworzenie metody obiektywnego oceniania alternatywnych zabezpieczeń.

Specjalista tłumaczy, że hasła są tak powszechne i wygodne w użyciu, że jeszcze przez wiele lat nie zostaną masowo zastąpione przez inne rozwiązanie. A skoro tak, to należy zrobić wszystko, by uczynić ten system maksymalnie szczelnym i skutecznym.

"Hasła mają mnóstwo zalet - są darmowe, można z nich korzystać z dowolnego urządzenia, ich zmiana jest prosta, w przypadku zapomnienia można je łatwe odzyskać lub zresetować. Żadna z zaproponowanych do tej pory alternatyw nie oferuje takiej kombinacji wygody, bezpieczeństwa i wszechstronności" - tłumaczy Herley.

Z drugiej strony, specjalista zwraca uwagę, że zachowanie odpowiednio bezpiecznej polityki haseł - tzn. używanie we wszystkich serwisach i aplikacjach unikalnych, silnych haseł - może być dla użytkowników poważnym obciążeniem. Dlatego niezbędna jest takie udoskonalanie haseł, by owo obciążenie przynajmniej częściowo mogło zostać wyeliminowane.