Michał Rosiak Witajcie noworocznie, życzenia świąteczne były, a teraz jeszcze dodam te, co by Wam się w Nowym Roku wiodło przede wszystkim BEZPIECZNIE.
A na dzień dobry temacik krótki, lekki i trochę wizjonerski. Czytając przeróżne podsumowania starego roku i wizje na nowy, już miłościwie nam panujący, kilkakrotne wpadłem na dyskusję o przyszłości haseł. Czy faktycznie niebawem czeka nas śmierć haseł w formie, w jakiej do tej pory je znaliśmy?
Przeczytałem sobie w święta tekst, z jednej strony pasjonujący, z drugiej trochę przerażający. Pokrótce, trzech zawodowców dostało bazę 16 tysięcy zahashowanych haseł z zadaniem odszyfrowania ich jak największej liczby. Efekt? Najskuteczniejszemu z nich złamanie 82% haseł zajęło godzinę. GO-DZI-NĘ. Na początku, po kilku sekundach, padły oczywiście te najbardziej trywialne, kolejne kroki przynosiły jednak wciąż po kilkaset-kilka tysięcy kolejnych haseł, gdy nasi bohaterowie bazując na schematach, wg. których zbudowane były złamane hasła, podejmowali kolejne kroki. Ostatecznie zaledwie kilkaset kont pozostało niezłamanych...
Co zatem robić? Na pewno:
- Układać hasła 12-znakowe lub większe
- Składać je z wielkich i małych liter, cyfr oraz znaków specjalnych
- Stanowczo unikać wyrażeń słownikowych (jedna z metod ataku kojarzyła ze sobą słowa ze słownika, czyniąc metodę "Poprawnej zszywki końskiego akumulatora" kompletnie bezużyteczną)
- Unikać schematów (np. wielka litera na początku, dalej małe, a na końcu cyfry i/lub znaki specjalne)
A przede wszystkim używać zdrowego rozsądku i mieć świadomość, że hasło nie spełniające przynajmniej powyższych wymagań dość słabo chroni dostęp do naszych pieniędzy, czy danych wrażliwych.
No i przede wszystkim warto zastosować wszędzie, gdzie się da - i gdzie faktycznie przetwarzamy dane o wyższym stopniu wrażliwośći - uwierzytelnianie dwuskładnikowe. Póki co występuje ono głównie w formie kodu SMS, aplikacji na telefon, bądź fizycznego tokena. I tu przechodzimy do części wizjonerskiej, która powoli w zasadzie staje się już faktem. Mieliśmy już przecież odblokowywanie telefonu czułym spojrzeniem w kamerę (kiedyś wystarczyło pokazać mu zdjęcie, w nowszych wersjach można ustawić, by system wymagał mrugnięcia oczami), czy odciskiem palca (iPhone 5S, HTC One Max). Co następne? Ja jako zapamiętały gadżeciarz chętnie oddałbym w tym celu serce :), a dokładnie unikalny dla każdej istoty ludzkiej rytm bicia serca. Inteligentne opaski na nadgarstek są coraz popularniejsze, a czytałem już o takiej, która analizując mój rytm bicia serca, może odblokować np. mój komputer, smartfon, czy też np. dostęp do programu magazynującego hasła. Jako oddzielny produkt w mojej opinii nie ma sensu, ale jako jedna z funkcjonalności multi-urządzenia - jak najbardziej. Bo o ile akurat dla mnie nie stanowi problemu wpisanie kodu z aplikacji na komórce, czy też podpięcie tokena, generującego jednorazowe hasła, jestem świadom, że konieczność rozbudowanej interakcji dla wielu okazuje się z różnych względów barierą nie do przejścia.
A Wy, jak sądzicie? Co okaże się hitem roku 2014 w dziedzinie uwierzytelniania dwuskładnikowego? Może zapowiadany przez Samsunga w nowym Galaxy S5 skaner siatkówki? A może jeszcze coś innego? Jakiego rodzaju rozwiązania używali byście najchętniej, jakie byłoby dla Was najbardziej naturalne i najmniej inwazyjne?
Photo: FormallFallacy/Flickr under Creative Common licence