Nová studie Georgia Institute of Technology zjišťovala zásady používání hesel na oblíbených webových stránkách a ukázala, že řada z nich umožňuje uživatelům vytvářet a používat slabá hesla. Velmi rozšířené jsou i zastaralé doporučené postupy při zadávání hesel.
Výzkumníci pro svou práci použili první automatizovaný nástroj svého druhu, který dokáže vyhodnotit zásady tvorby hesel na mnoha webových stránkách. Pomocí strojového učení pak mohli výzkumníci zjistit konzistenci požadavků na délku hesla a omezení pro čísla, velká a malá písmena, speciální symboly, kombinace a počáteční písmena. Mohli také ověřit, zda stránky povolují slova ze slovníku nebo známá prolomená hesla.
Pomocí tohoto nástroje následně zjistili, že 12 % zkoumaných webových stránek zcela postrádá požadavky na délku hesla. Tři ze čtyř pak nesplňují standardy minimálních požadavků, což znamená, že povolují velmi krátká hesla, neblokují běžná hesla a používají zastaralé požadavky, například na speciální znaky.
Mohlo by vás zajímat
Více než polovina webových stránek ve studii akceptovala hesla se šesti nebo méně znaky, přičemž 75 % z nich nevyžadovalo doporučené minimum osmi znaků. Přibližně 12 % webových stránek nemělo žádné požadavky na délku a 30 % nepodporovalo mezery nebo speciální znaky.
Pohodlnost před bezpečností
Většině webových stránek záleží více na spokojenosti zákazníků než na bezpečnosti. Uživatelé nemají rádi hesla, zejména proto, že situaci s hesly zhoršují směšná a zbytečná pravidla, jako je požadavek, aby uživatelé volili hesla podle vzorců, nebo nucení uživatelů měnit heslo každých několik měsíců.
Obě pravidla už byla zdiskreditována, ale nadále nás pronásledují. Vzorce snižují počet možných hesel, která si uživatel může vybrat, a pravidelné obnovování hesel podporuje uživatele ve výběru hesel, která odpovídají předvídatelnému vzoru, což může usnadnit hádání hesel – to je opak toho, co chceme.
Mohlo by vás zajímat
Mnoho z toho, co vám bylo v průběhu let o heslech řečeno, bylo buď chybné (měňte hesla stejně často jako spodní prádlo), zavádějící (vybírejte dlouhá a složitá hesla), nebo kontraproduktivní (nepoužívejte hesla opakovaně). Měli bychom zcela opustit model, který vyžaduje, aby si uživatelé vytvářeli a pamatovali hesla. Je čas na to, používat něco bezpečnějšího a uživatelsky přívětivějšího. Například přístupové klíče. Pokud se musíte spoléhat na hesla, použijte správce hesel.
Zdroj: Georgia Tech, A Large-Scale Measurement of Website Login Policies, Malwarebytes
5 foto
