Unikalne hasła: zakała współczesnego internetu. Jak pozbyć się tego problemu?

Kiedy niemal każda strona oferuje dodatkowe możliwości zalogowanym użytkownikom, a każda aplikacja wymaga logowania, niepowtarzalne hasła mogą stać się bardziej problematyczne niż bezpieczne.

Z tego artykułu dowiesz się:

  1. Jaki procent użytkowników korzysta z unikalnych haseł?
  2. Menedżer haseł — dlaczego to mało popularne rozwiązanie?
  3. Jakie są alternatywy dla haseł?
  4. Co stoi za problemem nadmiaru haseł?

Tradycyjny system logowania powoli mnie przerasta. Hasła z wielkimi literami, znakami specjalnymi i cyframi są trudne do zapamiętania, a nie można po prostu mieć jednego do wszystkich kont. Nie będę logował się tymi samymi danymi do banku, na poczcie i w usłudze gry online – choć tak robi 75 proc. użytkowników. Właśnie taki odsetek używa wielokrotnie jednego hasła — wynika z raportów Verizon i Telesign, dotyczących naruszeń bezpieczeństwa danych.

To nie wszystko. Aż 54 proc. internautów używa nie więcej niż pięciu różnych haseł do wszystkich kont. Z kolei 37 proc. użytkowników co najmniej raz w miesiącu resetuje jedno ze swoich haseł. Potrafię zrozumieć, dlaczego.

Konta, konta, wszędzie konta

Praca zmusza mnie do posiadania licznych kont w różnych serwisach i aplikacjach. Mam osiem aktywnie używanych adresów e-mailowych, jestem zalogowany w trzech systemach organizacji pracy, do tego konta w pięciu serwisach społecznościowych, kilkadziesiąt logowań w systemach CMS, kilka w sklepach internetowych, w portalach aukcyjnych. Do tego – prywatnie – konta u dostarczycieli mediów czy dostawcy internetu.

Sam już nie wiem, w ilu miejscach podałem numer karty płatniczej. Od kilku miesięcy resetuję hasło za każdym razem, kiedy chcę zapłacić za usługi internetowe, bo nie potrafię go zapamiętać – wymogi co do jego tworzenia są absurdalne. Jako że pracuję na laptopie, który czasem zabieram w świat, wolę nie korzystać z opcji zapamiętywania przez przeglądarkę.

Efekt: przestałem to wszystko ogarniać. Nie czuję się też bezpieczny. Kiedy platforma Playstation Network została zhakowana i dostałem zalecenie zmiany hasła, zacząłem się zastanawiać, czy gdzieś jeszcze go nie wykorzystałem w połączeniu z tym samym mailem. Czy systemu uwierzytelnień nie można zorganizować inaczej?

Ułatwienia-utrudnienia

Istnieją menedżery haseł, ale to zapewne nie przypadek, że nie zrobiły furory. Mozilla próbowała zawojować rynek swoją Personą, która pod koniec 2016 roku zakończyła jednak swój żywot. Inne rozwiązania tego typu także nie cieszą się popularnością – i nietrudno zrozumieć, dlaczego.

Chronienie wszystkich haseł jednym hasłem wydaje się nieco ryzykowne. Dane przechowywane przez menedżery są zwykle szyfrowane i lepiej zabezpieczone niż przeciętny e-mail, ale mimo tego w ostatnich latach zdarzyły się włamania do takich systemów – na przykład do LastPassa. Użytkownikom zalecono… zmianę hasła.

Można oczywiście pójść jeszcze dalej i wybrać weryfikację z użyciem narzędzia takiego jak Sesame, instalowanego na przenośnej pamięci flash, którą podczas logowania podpina się do urządzenia. Tylko że to nie ułatwienie, a kolejne mnożenie problemów, bo tym razem nie tylko mogę zapomnieć hasła, ale i zgubić swój przenośny klucz.

A może by wymyślić coś nowego?

Są przyjaźniejsze metody weryfikacji. Sprawdzanie danych biometrycznych to już nie terytorium science fiction. Skanery odcisków palców to już w zasadzie standard w smartfonach. W Samsungu Galaxy Note 7 można nawet korzystać ze skanera tęczówki oka. Tylko czy warto?

Wszystkie te informacje muszą przecież być gdzieś przechowywane – a skoro są przechowywane, mogą zostać wydobyte. Im więcej o nas wie sprzęt podłączony do internetu, tym więcej informacji może dostać się w niepowołane ręce. Na dodatek mówimy o urządzeniu, które łatwo zgubić, a nie o zamkniętym systemie, z serwerem umieszczonym w najgłębszej piwnicy Pentagonu.

Ciekawym rozwiązaniem wydaje się system Clef. Na ekranie komputera, zamiast ekranu logowania, pojawia się unikalny obraz, który trzeba uchwycić kamerą w telefonie. Jest on synchronizowany z podobnym obrazem przez aplikację – a kiedy proces dobiegnie końca, otrzymujesz dostęp do konta. W przypadku zgubienia telefonu wystarczy dezaktywować logowanie na stronie Clefa. Brzmi świetnie, ale…

Wykorzystajcie mój smartfon!

…ale nie oszukujmy się – szanse na upowszechnienie się tego systemu są praktycznie zerowe. To rozwiązanie do zastosowania wewnątrz firm, o którym przeciętny Polak nawet nie usłyszy.

Mimo wszystko sprzężenie systemu weryfikacji z telefonami wydaje się kierunkiem, w którym warto podążyć. Twitter i wiele innych stron umożliwia na przykład stosowanie uwierzytelnienia dwuczynnikowego, czyli podania, oprócz standardowego hasła, hasła wygenerowanego automatycznie i wysłanego SMS-em pod przypisany do konta numer telefonu. Co prawda takie rozwiązanie nie zastąpi haseł, ale dzięki niemu nawet prostsze hasła, łatwiejsze do zapamiętania i stosowane w kilku miejscach, będą bezpieczniejsze.

Jest jeszcze jedna opcja. Może by tak, zamiast wynajdować nowe technologie uwierzytelniania, zastosować technologiczną brzytwę Ockhama i zacząć zmierzać do prostoty?

Czy naprawdę wszędzie potrzebne jest konto?

Czy niewielkie, niszowe serwisy, które odwiedza w porywach pięć tysięcy użytkowników, muszą wykorzystywać system komentarzy wymagający logowania? Czy sklep online, do którego zajrzę prawdopodobnie raz w życiu, naprawdę nie może zaoferować zakupu bez rejestracji?

Gdyby wywalić konieczność logowania z większości serwisów, nie stałoby się absolutnie nic. Na mniejszych forach czy stronach mogę korzystać z ksywki jako gość i pozostać rozpoznawalny. Nie muszę mieć dostępu do statystyk i listy utworzonych tematów. Z oferty plakatów filmowych korzystam raz na trzy lata i moje konto zdąży wygasnąć, zanim znów tam zawitam. Jeśli trafię na ciekawy artykuł w nieznanym mi serwisie i zechcę dołączyć do dyskusji, to nie znaczy, że zamierzam stać się członkiem społeczności.

Założenie konta powinno użytkownikowi coś dawać. Powinno ułatwiać korzystanie z usługi, zamiast je utrudniać. Tymczasem w 90 proc. przypadków rejestrujesz się, żeby być zarejestrowanym. Właściciel serwisu może powiedzieć reklamodawcom: patrzcie, ilu mam zaangażowanych użytkowników. Czy to – z perspektywy usera – ma sens?

Konto to narzędzie wykorzystywane bezmyślnie. W tym tkwi przyczyna problemu, jakim jest nadmiar haseł i być może tu należy szukać jego rozwiązania.

Podziel się:

Przeczytaj także:

Także w kategorii Technologie:

Ernő Rubik, człowiek schowany za kostką Trójkąt Bermudzki. Wielka tajemnica czy wielka bzdura? Binairy Talk – dane zapisane w obłokach dymu. Odczytamy je laserem Życie na pokaz. W sieci udajemy zdrowych i szczęśliwych, bo zmuszają nas różne aplikacje Nietypowe zastosowania WD-40. Do czego można go wykorzystać? Jak oni podrabiają! Chińczycy skopiowali kuchenkę gazową Apple'a i... alpejski kurort Bałakława - tajna baza radzieckich okrętów podwodnych Niesamowity XC-120 Packplane: eksperymentalny samolot z lat 50. Kosmiczne technologie, których używamy na co dzień Tego używaliśmy przed internetem. Skazane na zapomnienie stare nośniki danych Cyfrowi aktorzy w filmach. Jak wyglądała droga od prostych modeli 3D do fotorealizmu? Jaki nóż wybrać? Najlepsze scyzoryki i foldery za 50, 100 i więcej złotych Tego się po Apple nie spodziewałeś. 13 nieznanych faktów Hatsune Miku: oto przyszłość muzyki. Ta Japonka zawsze będzie miała 16 lat Algorytm zabijania. Skynet istnieje i dzięki big data decyduje, kogo trzeba uśmiercić Za kulisami rezerwacji online. Jak kupić tani bilet? Jak odzyskać hasło ukryte za gwiazdkami? Bill Gates: kradnij pomysły, zdradzaj przyjaciół, ciężko pracuj. Tak zostaniesz miliarderem Współczesne czołgi i pojazdy bojowe Wojska Polskiego. Ten sprzęt ma nas obronić Tajny projekt NASA: dlaczego rozsypano w Kosmosie miliony miedzianych igieł? Nieznane samoloty polskich konstruktorów, które nigdy nie weszły do produkcji Test monitora 4K AOC U3277PQU. To doskonała alternatywa dla dwóch ekranów LG X w naszych rękach. Oto LG X power, X mach, X cam oraz X screen Układy pamięci nowej generacji: prędkość mierzona w pikosekundach

Popularne w tym tygodniu:

Nietypowe zastosowania WD-40. Do czego można go wykorzystać? Życie na pokaz. W sieci udajemy zdrowych i szczęśliwych, bo zmuszają nas różne aplikacje Unikalne hasła: zakała współczesnego internetu. Jak pozbyć się tego problemu? Jak oni podrabiają! Chińczycy skopiowali kuchenkę gazową Apple'a i... alpejski kurort Bałakława - tajna baza radzieckich okrętów podwodnych Trójkąt Bermudzki. Wielka tajemnica czy wielka bzdura? Developerzy Microsoftu zdradzają tajemnicę datowania sterowników na 2006 rok Niesamowity XC-120 Packplane: eksperymentalny samolot z lat 50. W dobie Internetu rzeczy hakerzy mogą zaatakować nawet przez lodówkę. Wywiad z Karoliną Małagocką z F-Secure Binairy Talk – dane zapisane w obłokach dymu. Odczytamy je laserem Analogue Nt Mini: klasyczny NES w luksusowej odsłonie Tobii Pro Glasses 2: zaawansowane okulary z technologią śledzenia wzroku