NAZWA.PL: PEWNA NADGORLIWOŚĆ?

Uwaga: Ten post pochodzi z poprzedniej odsłony bloga, więc formatowanie tekstu oraz sposób wyświetlania niektórych elementów mogą być nieoptymalne. Nie są także wyświetlane komentarze znajdujące się niegdyś pod wpisem.

Dwa lata temu szukałem firmy hostingowej: wybór padł na NetArt (nazwa.pl, serwery.pl), którego panel administracyjny i – zwłaszcza – interfejs www poczty wyróżniały się wówczas zdecydowanie tak użytecznością, jak estetyką; drugie miejsce na liście top100 polskich providerów dawało zaś gwarancję solidności firmy.

W trakcie kilkunastu miesięcy prowadzenia działalności gospodarczej skutecznie poleciłem usługi hostingowe NetArtu co najmniej kilku klientom (wiadomo zaś, że lojalność klientów jest w przypadku hostingu bardzo duża: nikt nie będzie wikłał się w przenoszenie baz danych, plików i domen bez ważnej przyczyny). Obecnie działalności nie prowadzę, ale bywam dosyć regularnie proszony o drobną pomoc – zwykle założenie nowego konta pocztowego lub zmianę hasła do już istniejącej skrzynki.

Kilka tygodni temu NetArt zdecydował się na wprowadzenie „nowych rozwiązań zmierzających do zwiększenia bezpieczeństwa i funkcjonalności świadczonych usług”, informując jednocześnie, że „zadbał również o siłę wprowadzanych haseł poprzez udostępnienie narzędzia do pomiaru siły nadawanych haseł”.

W trosce o „siłę wprowadzanych haseł” zdecydowano się także zmusić wszystkich klientów do zmiany dotychczasowych kodów dostępu na zgodne z nowymi wytycznymi. Jakie są nowe wytyczne?

Hasło powinno składać się z min. 8 znaków oraz zawierać przynajmniej jedną cyfrę lub znak specjalny, dwie duże i jedną małą literę.

Jeszcze raz:

  • co najmniej 8 znaków,

w tym:

  • jedna cyfra LUB „znak specjalny”,
  • dwie duże litery,
  • jedna mała litera.

Wydaje się skomplikowane? Takie właśnie jest. Żadne spośród około 10 haseł, którymi posługuję się wymiennie w różnych serwisach nie spełnia równocześnie wszystkich warunków (w każdym występuje co najwyżej jedna duża litera). Nie spełniało ich także żadne z haseł ustawionych na poleconych przeze mnie kontach. Nie spełniało ich, jak sądzę, bardzo wiele haseł na kilku (kilkunastu? kilkudziesięciu?) tysiącach kont użytkowników nazwa.pl/serwery.pl. Dlaczego wszystkie te hasła nie spełniały nowych wymagań? Ponieważ te wymagania są – raz jeszcze – zbyt skomplikowane, a hasła, które je spełniają – trudne do zapamiętania. Jak wiele ośmioliterowych zestawiań liter, cyfr i pozycji wielkich liter można przetrzymywać w pamięci? Sprawdziłem – badany dwudziestoośmioletni mężczyzna z miasta powyżej 500 tys. mieszkańców zapamiętuje jedno (i to po trzykrotnym użyciu mechanizmu awaryjnego ustawiania nowego hasła). Pozostałe zapisuje w pamięci przeglądarki. Czy poziom bezpieczeństwa kont wzrósł? Nie sądzę. Nie znam statystyk, ale podejrzewam, że utrata komputera bądź dostęp osoby niepowołanej zdarza się zdecydowanie częściej niż skuteczny atak typu brute force.

W charakterze wisienki na szczycie tortu występuje jednak anonsowane już „narzędzie do pomiaru siły nadawanych haseł”:

Miernik siły hasła dysponuje bodaj pięcioma różnymi stanami1, oceniając aktualną siłę jakimś wyrafinowanym algorytmem – brakuje tylko jednej informacji, przypadkiem kluczowej: czy hasło jest już wystarczająco silne, czy też nadal zbyt słabe. Tego dowiadujemy się dopiero po przeładowaniu strony2.

W ciągu ostatnich tygodni kilkunastokrotnie musiałem użyć mechanizmu awaryjnej zmiany hasła – często wielokrotnie na tym samym koncie (jeżeli siedziałem przy innym komputerze niż ten, z którego ostatnio dokonywałem zmian). Moja sympatia dla NetArtu gwałtownie osłabła (chociaż na migrację pewnie się nie zdecyduję), a poczucie bezpieczeństwa w żaden sposób nie wzrosło (ba, pojawiła się i taka myśl, że serwery firmy wprowadzającej tak rygorystyczne wymagania muszą być najwyraźniej celem licznych ataków). Czy cała operacja była uzasadniona – nie wiem; intuicja podpowiada mi jednak, że ktoś-gdzieś wykazał się odrobinę przesadną gorliwością. To zwykle wystarczy.

O zmęczeniu hasłami i znacznie lepszych metodach skutecznego podwyższania bezpieczeństwa:

___

1 Tamlyn Rhodes w dyskusji toczonej na forum IxDA pisał niedawno:

I was user testing a sign-up form that included a password strength indicator recently. It had three states „Too Short” (which prevented users from submitting the form), „Weak” and „Strong”. The only users who paid any attention to the strength indicator were those who initially chose a password which was „Too Short” and all they did was add a few characters until the display changed to „Weak” then resubmit the form. Only one out of 6 users ended up choosing a password which was „Strong” and that didn’t appear to be as a result of using the password strength indicator.

Próbę sześcioosobową trudno oczywiście uznać za reprezentatywną – mam jednak wrażenie, że ujawniona tu reguła jest powszechna.

2 Sprawdziłem – coś jednak zmieniono, bo obecnie informacja o niedostatecznej sile hasła przekazywana jest przez JavaScriptowy alert. Miernik nadal oznacza jednak hasła niewystarczająco silne jako „średnie”.

AUTOR

Kordian Piotr Klecha - projektant serwisów od 1998, 2008-2014 w WP.pl więcej  »


ARCHIWA


KATEGORIE