Parole ir Fayleyure

Notiek pārskatīšana: paroles atlase Yahoo! Pasts utt.





PokeKey1…ou812$…twasbri11ig!. Visas sen bija manas iecienītākās paroles. Pirmais ir tā kucēna vārds, kurš man īsi bija bērnībā. Otrais tika nekaunīgi pacelts no Van Halen albuma vāka. Atveras trešais, kā jūs atceraties Jabberwock y. Es noteikti esmu ierakstījis katru simtiem reižu.

Sekojiet naudai

Šis stāsts bija daļa no mūsu 2005. gada marta numura

  • Skatiet pārējo izdevuma daļu
  • Abonēt

Atskatoties atpakaļ, es jūtos kā idiots, jo ticēju, ka manas asprātīgi nenojaušamās paroles jebkādā nozīmīgā veidā uzlabo manu drošību. Paroles aizsardzība ir plaši izplatīta, kaitinoša, neērta un maz attur ikvienu, kas vēlas nodarīt ļaunumu. Bet bez tā jūs nevarat iegūt likumīgu piekļuvi daudziem pakalpojumiem.



Piemēram, Yahoo Mail reģistrācija ir nogājusi garu ceļu no atklāta uzaicinājuma surogātpasta izplatītājiem un spooferiem. Kurš gan iebilst, ka tā automatizētie ID/paroles atgādinājumi nav svētīgs mūsu slinkajiem un afāziskajiem? Taču Yahoo nerimstošā paļaušanās uz paroles aizsardzību ir drošības ielāps, kas vairāk šķiet izaicinājums ļaundariem, nevis nopietns atturošs līdzeklis. Un Yahoo Mail ir viens no labākajiem diezgan sliktā daudzumā.

Mūsdienu paroļu autentifikācijas shēmas ir tikai drošības placebo. Tie perversi iedvesmo ļaunprātīgu izmantošanu, ļaunprātīgu izmantošanu un noziedzīgu ļaunumu, apzināti padarot lietotājus par vājāko posmu drošības ķēdē. Lielāka teleapstrādes jauda ir padarījusi paroļu secību zagšanu vai uzlaušanu arvien ātrāku, labāku un lētāku. Drošības guru Marks Seidens atzīmē, ka daudziem hakeru uzbrukumiem nav nekā kopīga ar mērķa paroles stiprumu, jo šie uzbrukumi balstās uz burtu un ciparu secību brutālu spēku atklāšanu. Viņš saka, ka ļaundari patiešām uzbrūk jūsu tastatūrai. Tas, ka drošības sistēmu administratori liek lietotājiem atkārtoti lēkt cauri digitālajām stīpām, lai aizstāvētu mūsu četru līdz 12 rakstzīmju secību integritāti, ir kaut kur starp apvainojumu un joku.

Ja uzņēmums vēlētos izstrādāt drošības sistēmu, kas izsmej visu, ko mēs zinām par cilvēka uzvedību, kognitīvo psiholoģiju un kriptogrāfisko analīzi, tas nāktu klajā ar mūsu mūsdienu bitu paroļu bābeli. Kā novērojis autentifikācijas eksperts Ričards E. Smits, vairuma stingru paroļu politikas loģisks secinājums – neizmantot ģimenes locekļu vai mājdzīvnieku vārdus; neizmantojiet dzimšanas dienas vai kalendāra datumus; izmantot nejaušas speciālo rakstzīmju secības; neizmantojiet savu paroli vairāk nekā vienai vai divām vietnēm; mainiet paroles vairākas reizes gadā; neievietojiet paroli(-es) plaukstdatorā vai mobilajā tālrunī — parolēm nevajadzētu būt iegaumējamām un tās nekad nevajadzētu pierakstīt.



Pasaules bankomātu banku sistēmām vairāk nekā 20 gadus ir izdevies iztikt ar minimālu krāpšanu, paļaujoties tikai uz četrciparu kodiem. Tātad, ko banku speciālisti saprot par paroļu pārvaldību?

Acīmredzama atbilde: jo spēcīgāka un sarežģītāka paroļu shēma, jo slinkāks un tehniski nekompetentāks drošības sistēmas administrators. Kā Smits demonstrē virknē dedzīgu analīžu, vienkārša teksta sniffer tehnoloģijas attīstība apvienojumā ar skaitļošanas ziņā uzlabotu apstrādes jaudu padara tradicionālo paroles aizsardzību arvien vājāku un trauslāku.

Tātad, kāpēc mēs pieprasām, lai miljoniem cilvēku pavadītu arvien vairāk laika un atmiņas drošības procedūrai, kas nodrošina arvien mazāku aizsardzību? Pasaulei nav vajadzīgas labākas vai drošākas paroles; tai ir jāatrodas no parolēm un PIN kodiem kā autentifikācijas līdzekļiem. Mēs būtu daudz drošāki, izmantojot daudzslāņainākas autentifikācijas pieejas — aizdomu dzinēji, kas meklē novirzes — un smalkāki, taču noturīgāki tiešsaistes identitātes izsekošanas un izaicināšanas veidi.



Paroles mentalitātes globālā muļķība tika lieliski izcelta pagājušajā gadā veiktajā aptaujā, kurā atklājās, ka 70 procenti aptaujāto teica, ka viņi atklās savu datoru paroles šokolādes tāfelītei. Salds. Trešā daļa aptaujāto brīvprātīgi nodeva savas paroles intervētājiem, viņiem nepiedāvājot kukuli. Vēl viena aptauja atklāja, ka pilnībā 79 procenti cilvēku, kas tika aptaujāti Londonas ielās, atklāja tādus vēlamus drošības ziņā jutīgus datus kā mātes pirmslaulības uzvārds un dzimšanas datums. Mēs esam pārsteigti par patērētāju neziņas līmeni par nepieciešamību aizsargāt savu tiešsaistes identitāti, sacīja RSA, vadošās šifrēšanas firmas, kas sponsorēja pētījumu, pārstāvis.

Patiesībā mani pārsteidz globālo uzņēmumu slinkums, kas liek saviem lietotājiem būt galvenokārt atbildīgiem par sarežģītu sistēmu drošību un integritāti. Ja pēc desmit gadiem paroles ir gandrīz tikpat svarīgas tiešsaistes autentifikācijai, identitātei un drošībai kā šodien, tas būs skaidrākais iespējamais signāls, ka virtuālā pasaule ir kļuvusi par vēl bīstamāku un nepastāvīgāku vietu gan darījumiem, gan mijiedarbībām.

Michael Schrage ir pētnieks un konsultants inovāciju ekonomikā un autors Nopietna spēle (2000).



paslēpties