Nie przepadam za pisaniem tydzień po tygodniu o tym samym, ale zobaczyłem ciekawy wpis u Briana Krebsa i jestem ciekaw Waszej opinii. Obiło Wam się pewnie o uszy - czy raczej oczy - że ostatnio cyber-przestępcy dostali świra jeśli chodzi o kradzieże danych autoryzacyjnych do dużych firm/serwisów, a liczba "wyciekniętych" w ciągu kilku miesięcy haseł zbliżyła się już chyba do miliarda. Dlatego też najważniejsi gracze na rynku wpadli na nieco przewrotny pomysł i w sytuacji, gdy wykradziona baza była już dostępna... porównywali loginy z danymi z własnej listy użytkowników, w kolejnym kroku porównując hashe haseł. Jeśli w obu przypadkach zapalała się "zielona lampka" - użytkownik otrzymywał informację z sugestią zmiany hasła, lub wręcz link z jego resetem, którego kliknięcie było warunkiem ponownego zalogowania się na konto. Z tego typu działań znani są póki co Netflix i Facebook, ale nie dałbym sobie ręki uciąć, że są w tej materii jedyni.
A jak Wam podoba się ten pomysł? Ja, jako zwolennik permanentnej edukacji, wychodzący z założenia, że nigdy nie zabraknie ludzi, którym o bezpieczeństwie myśleć się nie chce, nie mają na to czasu, mają to gdzieś* (*-niepotrzebne skreślić) i tego typu informacja na pewno nie przeszkodzi. Powiem więcej - zdecydowanie brakuje mi proaktywności u wielu dostawców treści, dla których wciąż hasło o długości ośmiu znaków wystarcza, a ich systemy akceptują nawet 11111111. Dlaczego? Czyżby bali się tego, że ludzie zaczną się irytować, że muszą wymyślać bardziej skomplikowane hasła? To trochę tak, jak czepianie się kasjerki w sklepie, że mając wątpliwości co do naszej tożsamości, prosi o okazanie dokumentu ze zdjęciem, żeby sprawdzić, czy nazwisko jest takie same, jak na karcie płatniczej. W obu przypadkach powinniśmy dziękować, za to, że o nas dbają!
Bo choć w badaniu CyLab (badawczego ramienia Carnegie Mellon University Security&Privacy Institute) 79 procent respondentów rozpoznało, które z prezentowanych im haseł są mocne, wciąż pozostaje 21% potencjalnych "klientów" opisywanych aktywności. A po stokroć bardziej wolałbym przeczytać: "Ranyboskieojezusmariazmieńhasłonatychmiast!" niż przekonać się, że do części serwisów nie zdołam się już zalogować. Nawet jeśli to społecznościówki, czy serwisy VOD, bo zakładam, że haseł do poczty, czy banku (!) nigdzie nie dublujecie. Prawda?
Frontpage graphic: Pixabay.com
Kasia Barys 
Michał Rosiak