Nietrafione strategie i ich lepsza alternatywa
Jak pewnie zauważyłeś, niejedna strona internetowa wymaga, by zakładając na niej swoje konto, wybrać hasło zawierające małe i wielkie litery, cyfry oraz przynajmniej jeden znak specjalny. Tymczasem, NCSC od lat kieruje do administratorów systemów informatycznych ostrzeżenia o tym, iż taka polityka jest przestarzała i nieprzydatna. To dlatego, iż zachęca ona użytkowników do korzystania z wariacji ich dotychczasowych haseł – wariacji dla hakerów dość przewidywalnych.
NCSC apeluje, by tam gdzie to możliwe korzystać z haseł składających się z trzech losowych wyrazów. Jest ku temu kilka powodów.
Trzy słowa zamiast przewidywalnego ciągu znaków
Po pierwsze, wciąż stosunkowo niewiele osób korzysta z menedżerów haseł. Osoby, które od menedżerów haseł stronią, mają tendencję do tworzenia haseł krótkich i przewidywalnych, bowiem obawiają się, że długiego hasła, składającego się z różnych znaków, po prostu nie zapamiętają. Hasła składające się z kolei z trzech losowych wyrazów, czyli tylko z liter, łatwo zapamiętać i nie trzeba zapisywać ich na kartce czy gdzieś w przeglądarce internetowej.
P odrugie, hasła złożone z trzech losowych wyrazów z reguły są też stosunkowo długie. Dzięki zawartości trzem wyrazów hasła nie zawierają przewidywalnych wzorców, na przykład w formie „@” czy „!” na końcu.
Po trzecie, hasła składające się z losowych słów pomagają zwiększyć różnorodność haseł, co utrudnia hakerom korzystanie z algorytmów mających na celu odkrywanie haseł i pozyskiwanie wrażliwych danych niskimi kosztami. Cóż, im prędzej takie hasła jak „password” czy „123456” stracą na popularności, tym lepiej.
„Obecnie, wymagania dotyczące złożoności aktywnie przeciwdziałają różnorodności haseł (ze względu na wszystkie powody wymienione powyżej). Prowadzi to do zbieżności strategii i spadku różnorodności haseł.”, wyjaśnia Kate R z NCSC na blogu instytucji. „Aby zwiększyć różnorodność, musimy zachęcić ludzi do sięgania po inne strategie konstruowania haseł (takich jak ‘trzy losowe wyrazy’), które wykorzystują długość, a nie zestawy znaków, by osiągnąć pożądaną siłę hasła.”
Strategia trzech losowych wyrazów z grubsza zbiega się z zaleceniami Google dotyczącymi ochrony kont Google. Gigant z Mountain View proponuje, by tworzyć hasła dłuższe, a jednocześnie łatwe do zapamiętania, wykorzystując teksty piosenek, fragmenty wierszy czy też cytaty z filmów lub przemówień – w skrócie serię słów, które są znaczące dla użytkownika.
Rozwiązanie bez wad?
NCSC przyznaje, iż istnieją algorytmy łamiące hasła zoptymalizowane pod kątem strategii trzech losowych słów. Niemniej, instytucja zaznacza, że większa różnorodność haseł promowana przez tę strategię sprawia, że proces łamania haseł jest droższy, bowiem wymusza na hakerach korzystanie z więcej niż jednego algorytmu.
NCSC ma nadzieję na to, że w najbliższej przyszłości więcej osób zacznie korzystać z menedżerów haseł. Póki jednak sięga po nie mało kto, strategia trzech losowych wyrazów jak najbardziej ma sens.
Źródło: NCSC, fot. tyt. Canva Pro