Badacze bezpieczeństwa twierdzą obecnie, że długość, siła i złożoność haseł nie mają znaczenia.
Od lat strony techniczne udostępniają te same wskazówki dotyczące haseł, w tym używanie długie i skomplikowane hasła. Szkoda, że wszystkie te porady przez wiele lat miały niewielki lub żaden wpływ na sposób, w jaki przeciętny użytkownik domowy wybiera swoje hasła. Obecny konsensus wśród badaczy bezpieczeństwa jest taki, że w prawdziwym świecie to, jak silne, długie lub złożone jest hasło, prawie nigdy nie ma znaczenia.
Pełny ujawnienie: fragmenty tego artykułu są oparte na tym Artykuł na blogu Malwarebytes
Najczęstszym typem ataku na hasła jest upychanie danych uwierzytelniających, w którym wykorzystywane są hasła skradzione w wyniku naruszenia bezpieczeństwa danych. Działa, ponieważ ludzie tak często używają tego samego hasła w dwóch miejscach i jest całkowicie niezależny od siły hasła. Kolejnym najczęstszym atakiem jest rozpylanie haseł, w ramach którego przestępcy używają krótkich list bardzo prostych haseł na jak największej liczbie komputerów. W obu przypadkach śmiesznie proste, ale unikalne hasło jest wystarczająco dobre, aby pokonać atak.
Istnieją rzadkie rodzaje ataków – zgadywanie hasła w trybie offline – w przypadku których silne hasło może pomóc, ale kompromis polega na tym, że silne hasła są znacznie trudniejsze do zapamiętania, co prowadzi do używania tego samego hasła do wszystkiego, co czyni ich znacznie bardziej podatnymi na upychanie danych uwierzytelniających ~ <źródło>
Oczywiście menedżery haseł stanowią dobre rozwiązanie, ale rzeczywistość jest taka, że pomimo wszystkich lat pozytywnych recenzji i rekomendacji większość przeciętnych użytkowników domowych nadal z nich nie korzysta. Jaka jest więc odpowiedź?
Uwierzytelnianie dwuetapowe (2FA)
Zacznę od zacytowania fragmentu artykuł z 2019 r. napisany przez Alexa Weinerta z firmy Microsoft, który mówi… „ Na podstawie naszych badań prawdopodobieństwo naruszenia bezpieczeństwa Twojego konta jest o ponad 99,9% mniejsze, jeśli korzystasz z usługi MFA”.
Alex nazywa to MFA (uwierzytelnianie wieloskładnikowe), a Google nazywa to weryfikacją dwuetapową (weryfikacja dwuetapowa), ale wszystkie oznaczają dokładnie to samo – udowodnienie tożsamości na więcej niż jeden sposób.
Oczywiście zawsze wymagane jest hasło oraz dodatkowy sposób identyfikacji, którym jest zazwyczaj w postaci unikalnego 6-cyfrowego kodu wysyłanego na Twój telefon. Teraz, kiedy w przeszłości polecałem 2FA, prawie zawsze otrzymywałem komentarz od kogoś, kto jest sceptycznie nastawiony do podania swojego numeru telefonu komórkowego i nie mogę powiedzieć, żebym go winił. Jednak jakiś czas temu skonfigurowałem 2FA (przez mój numer telefonu komórkowego) na wielu kontach i NIGDY nie otrzymałem żadnego spamu ani niechcianych wiadomości/połączeń. Jedyny raz, kiedy słyszę z tych kont, to kiedy się loguję i w grę wchodzi 2FA.
Mój telefon komórkowy jest zawsze w moim posiadaniu, a dostęp do niego jest chroniony, więc moim zdaniem jest to niezwykle bezpieczną metodę upewnienia się, że nikt inny nie będzie miał dostępu do moich kont. Zawsze niechętnie używałem telefonu lub iPada do transakcji finansowych, ale dzięki 2FA nie mam takich skrupułów. Jeśli na przykład dokonam płatności za pośrednictwem PayPal, zostanę poproszony o wprowadzenie kodu weryfikacyjnego. Z przyjemnością się dostosuję, wiedząc, że niezależnie od tego, jak bezpieczne może być połączenie, tylko ja mogę otrzymać i wprowadzić ten kod.
KONIECZNIE:
Najwyraźniej 4 maja był Światowym Dniem Hasła, o czym nie wiedziałem. Jeśli jednak w tym roku nie zrobicie nic innego, rozważcie jak najszybsze skonfigurowanie 2FA na jak największej liczbie kont. 2FA, MFA, 2SV, jakkolwiek chcą to nazwać, to absolutnie najlepsza metoda ochrony kont, o wiele skuteczniejsza niż samo hasło, niezależnie od jego siły lub złożoności.
Niektóre konta oferują 2FA jako opcjonalne, inne wcale, ale moim skromnym zdaniem 2FA powinno być obowiązkowym wymogiem dla wszystkich kont internetowych.
—
