Heslo je Fayleyure

Probíhá kontrola: Výběr hesla pro Yahoo! Mail atd.





PokeKey1…ou812$…twasbri11ig!. Všechna byla kdysi mými oblíbenými hesly. První je jméno štěněte, které jsem krátce měl jako dítě. Druhý byl bezostyšně vytažen z obalu alba Van Halen. Třetí, jak si vzpomenete, se otevře Jabberwock y Musel jsem každou napsat stokrát.

Následujte peníze

Tento příběh byl součástí našeho vydání z března 2005

  • Viz zbytek čísla
  • předplatit

Když se ohlédnu zpět, připadám si jako idiot, když jsem věřil, že moje vtipně neuhodnutelná hesla jakýmkoliv smysluplným způsobem posílí moji bezpečnost. Ochrana heslem je všudypřítomná, obtěžující, nepohodlná a nikoho neodradí od úmyslu škodit. Bez něj však nemůžete získat legitimní přístup k mnoha službám.



Například registrace Yahoo Mail ušla dlouhou cestu od toho, aby byla otevřenou pozvánkou pro spammery a spoofery. Kdo by tvrdil, že jeho automatické připomenutí ID/hesla není požehnáním pro líné a afatické mezi námi? Ale neúnavné spoléhání Yahoo na ochranu heslem je bezpečnostní záplata, která se cítí spíše jako výzva pro pachatele zla než jako vážný odstrašující prostředek. A Yahoo Mail patří k těm lepším na dost špatném místě.

Dnešní schémata ověřování hesel jsou jen o málo víc než bezpečnostní placebo. Zvráceně podněcují zneužívání, zneužívání a kriminální neplechu tím, že záměrně dělají z uživatelů nejslabší článek v bezpečnostním řetězci. Díky většímu výkonu teleprocessingu je krádež nebo prolomení sekvencí hesel ještě rychlejší, lepší a levnější. Bezpečnostní guru Mark Seiden poznamenává, že mnoho hackerských útoků nemá nic společného s tím, jak silné je cílové heslo, protože tyto útoky spoléhají na odhalování alfanumerických sekvencí hrubou silou. Zlí hoši skutečně útočí na vaši klávesnici, říká. To, že správci bezpečnostních systémů nutí uživatele opakovaně skákat přes digitální obruče, aby bránili integritu našich sekvencí o čtyřech až 12 znacích, spadá někde mezi urážku a vtip.

Pokud by nějaká společnost chtěla navrhnout bezpečnostní systém, který by se vysmíval všemu, co víme o lidském chování, kognitivní psychologii a kryptografické analýze, přišla by s naším současným bitově založeným babelem hesel. Jak poznamenal odborník na autentizaci Richard E. Smith, logický závěr většiny zásad silných hesel – nepoužívejte jména rodinných příslušníků nebo domácích mazlíčků; nepoužívejte datum narození nebo kalendáře; používat náhodné sekvence speciálních znaků; nepoužívejte heslo pro více než jeden nebo dva weby; změňte svá hesla několikrát ročně; nevkládejte svá hesla do svého PDA nebo mobilního telefonu – hesla by neměla být zapamatovatelná a nikdy by se neměla zapisovat.



Světové bankovní systémy ATM se nějakým způsobem dokázaly obejít s minimálním množstvím podvodů za více než 20 let, když se spoléhaly pouze na čtyřmístné kódy. Co tedy bankovní mágové chápou o správě hesel?

Jasná odpověď: čím silnější a složitější schéma hesel, tím línější a technicky neschopnější správce bezpečnostního systému. Jak Smith dokazuje v sérii pronikavých analýz, vzestup technologie sledování prostého textu v kombinaci s výpočetně vylepšeným výpočetním výkonem činí tradiční ochranu heslem stále slabší a křehčí.

Proč tedy požadujeme, aby miliony lidí trávily stále více času a paměti bezpečnostním postupem, který poskytuje méně a méně ochrany? Svět nepotřebuje lepší nebo bezpečnější hesla; potřebuje se zbavit hesel a PIN jako prostředku autentizace. Byli bychom mnohem bezpečnější s více vrstevnatými přístupy k autentizaci – motory podezřívání hledající deviantní chování – a jemnějšími, ale vytrvalejšími způsoby sledování a zpochybňování online identit.



Globální hloupost mentality hesel byla krásně zdůrazněna v průzkumu provedeném v loňském roce, který zjistil, že 70 procent dotázaných uvedlo, že by prozradili svá počítačová hesla pro tabulku čokolády. Bonbón. Třetina dotázaných dobrovolně poskytla svá hesla tazatelům, aniž by jim byl nabídnut úplatek. Další průzkum zjistil, že celých 79 procent lidí dotázaných v ulicích Londýna odhalilo tak žádoucí údaje citlivé na bezpečnost, jako je rodné jméno matky a datum narození. Jsme ohromeni mírou nevědomosti spotřebitelů o potřebě chránit svou online identitu, řekl mluvčí RSA, průkopnické šifrovací firmy, která výzkum sponzorovala.

Ve skutečnosti mě udivuje lenost globálních podniků, které činí jejich uživatele primárně odpovědnými za bezpečnost a integritu složitých systémů. Pokud jsou hesla pro online autentizaci, identitu a bezpečnost za deset let tak důležitá jako dnes, bude to nejjasnější možný signál, že virtuální svět se stal ještě nebezpečnějším a nestabilnějším místem pro transakce i interakce.

Michael Schrage je výzkumník a konzultant v oblasti ekonomiky inovací a autor Vážná hra (2000).



skrýt