Zmuszanie użytkownika do częstej zmiany hasła i zakaz użycia hasła już raz wykorzystanego, działają na niekorzyść bezpieczeństwa
Krążący od kilku dni po internecie mem o zmianie hasła przypomniał mi odwieczny problem wojny administratorów z użytkownikami systemów komputerowych (czasem pieszczotliwie nazywanych użyszkodnikami). Administratorzy chcieliby, żeby ich owieczki korzystały z jak najdłuższych i jak najbardziej skomplikowanych haseł, najlepiej zmienianych niezwłocznie po każdorazowym użyciu. Tak podobno mówią Mądre Księgi Administratorów, tak również uczą na szkoleniach. Więc administratorzy wymyślają Korporacyjne Reguły Częstej Zmiany Haseł i starannie je egzekwują w formie korpoprocedur oraz metodą przymusu bezpośredniego, poprzez regułki wbudowane w systemy. Systemy do zmiany haseł, oczywiście.
Tymczasem wśród moich znajomych (również administratorów) w zasadzie nikt nie potrafi pochwalić się udokumentowanym przypadkiem złamania hasła. Są hasła wykradzione przez różnego rodzaju programy szpiegujące, nawet przez programy przechwytujące klawiaturę. Są znane przypadki wycieku haseł od usługodawców. Czasem hasła do systemu odnajduje się na słynnych żółtych karteczkach przyklejonych do monitora, a czasem są wypisane na jego obudowie flamastrem. Sporadycznie ktoś jako hasła używa imienia swojego psa czy teściowej, i wtedy osoby go dobrze znające są w stanie dojść, o którą teściową chodzi. Są znane metody przejęcia uprawnień do odzyskania hasła. Ale żeby zgadnąć? Nikt się niczym takim nie pochwalił.
Dlatego uważam, że zmuszanie użytkownika do częstej zmiany hasła, zakaz użycia hasła już raz wykorzystanego oraz konieczność używania DUŻYCH i małych ZnAkÓw oraz Zn@k0w spec%^$#*nych działa bardziej na niekorzyść bezpieczeństwa. W dawnych, nieomal prehistorycznych czasach, poprawnym z punktu widzenia bezpieczeństwa hasłem było takie o długości 6 znaków, zawierające co najmniej jedną dużą i co najmniej jedną małą literę, co najmniej jedną cyfrę oraz co najmniej jeden znak specjalny. Czyli hasło Dupa.6 spełniało wszystkie wymogi, było proste do zapamiętania oraz dodatkowo wywoływało uśmiech na twarzy jego autora. Obecnie najprostszy system oczekuje od użytkownika podania co najmniej ośmiocyfrowego hasła, w tym po jednej małej i dużej literze, znaku specjalnym i cyfrze, oraz jego zmiany co 30 dni. Jeśli uda Wam się w tym czasie pójść na urlop i nie logować do systemu, to kilka godzin pierwszego dnia po powrocie z wakacji macie zmarnowanych na przezwyciężanie Systemu.
Co powoduje rygorystyczne przestrzeganie zmiany i komplikacji haseł? Zgodnie z ludzką naturą, pamiętanie rzeczy zbędnych jest czynnością bezużyteczną, więc jeśli trzeba pamiętać kilkanaście haseł do różnych logowań, najlepiej... zastąpić je jednym hasłem. Tak przynajmniej postępują sprytni użytkownicy. Wtedy wyciek haseł od jednego usługodawcy powoduje, że tzw. hackerzy próbują użyć wykradzione loginy i hasła w tysiącach miejsc. Drugą możliwością przetrzymywania tych skomplikowanych haseł są przeglądarki, które z wielką ochotą proponują swoim użytkownikom tę opcję, nawet wbrew intencjom autorów serwisów. Powstaje teraz pytanie, na ile jesteśmy w stanie ufać Google'owi czy Firefoksowi oraz autorom tysięcy dodatków i wtyczek do ich przeglądarek.
Wreszcie moja ulubiona opcja polepszania pamięci, czyli nieśmiertelne żółte karteczki. Ulubiona od czasu, gdy gdzieś koło roku 2000 w moim ulubionym banku wszystkie panie logowały się do systemu tym samym loginem i hasłem z karteczki. Dziś też można spotkać takie panie (panów też), którzy korzystają z klasycznej metody pamięci zewnętrznej w wersji analogowej.
Należy mieć nadzieję, że z czasem wszystkie dotychczasowe metody logowania zostaną zastąpione czymś bardziej współczesnym, związanym z użytkownikiem. W Polsce funkcjonuje już sieć biometrycznych bankomatów. Już w tej chwili część nowszych (i droższych) telefonów można odblokować przy użyciu odcisku palca. Ale z kolei ostatnie doniesienia mówią, że w najnowszym modelu koreańskiego flagowca mężczyźni zamiast palca mogą użyć innego wystającego organu, i nie jest nim nos. Oby nie połączono kilku technologii i nie kazano mężczyznom wypłacać gotówki z rozpiętym rozporkiem...
