NEDELJSKI NASVET: Nehajte kriviti uporabnike za slaba gesla

Marjan Kodelja • 3. aprila 2022 ob 06:18

Odgovorni smo za svoja početja. To drži kot prebito. A če ponudnik ne naredi ničesar, da bi preprečil slabo prakso, potem (vsaj) nima moralne pravice pametovati!

Prenehajmo si zatiskati oči. Malo nas uporablja urejevalnike gesel, še vedno uporabljamo enakega za večino storitev in ravno tako preprosta gesla tipa »12345678« še vedno niso izumrla. Kljub večletnim naporom in obveščanju o nevarnostih tovrstnega početja in prednostim uporabe močnejših gesel. Torej. Če ni učinka, potem bi se morali ponudniki storitev vprašati, kaj delajo narobe in spremeniti taktiko. Varnost je zanje ravno tako pomembna, kot je pomembna za slehernega uporabnika. Prelaganje odgovornosti zato nima smisla. Spremeniti morajo pristop iz pasivnega v aktivno uveljavljanje spletne higiene. Če se bo kriza v Ukrajini nadaljevala, sprememba spleta v divji zahod, kjer bo veljala pravica močnejšega in bodo spletni napadi eskalirali, namreč niso zgolj strahovi večnih kiber-pesimistov.

Preprosto je s prstom kazati na uporabnika, ko izbere slabo geslo. Ravno tako lahko domnevamo sledeče. Če mehanizem registracije dovoli vpis preprostega gesla, potem bo večina z nevarno prakso nadaljevala. Kazalnik moči gesel nima (skoraj) nobenega učinka, kot ga nimajo na dolgo in široko izpisana priporočila. Kljub temu sem se do zdaj vpisal le v peščico storitev, ki niso hotele sprejete očitnih preprostih gesel in gesel z imenom »Marjan« v njem, kljub dodanim črkam, številkam ali znakom. To, da večina zahteva v nizu najmanj eno veliko črko, številko in (ali) dodatni znak, še zdaleč ni dovolj.

Ko je v igri varnost, je demokratičnost drugotnega pomena. Izgovori, da ima uporabnik pravico, da počne, kar se mu zahoče, niti približno niso na mestu. Ponudniki storitev s tem zgolj prelagajo odgovornost. V resnici je še huje. Če sistem dovoli vpis slabega gesla, kljub morebitnemu kazalniku moči poleg vpisnega polja, potem se nekateri niti ne bodo zavedali nevarnega početja. Nasprotno jih bo strogo spoštovanje varnostnih protokolov prisililo uporabljati močnejša gesla in varnejše načine preverjanja identitete in tako bi težavo rešili pri njenem izvoru. V praksi to pomeni, da bi morala prijavni proces in način kasnejšega spreminjanja gesla vključevati postopke za »filtriranje« – nekakšni črni seznam pogosto izbranih.

Pogostejši je tudi dvom o varnosti morebiti celo prve zapovedi varnega gesla. Da naj ta vsebuje kombinacijo velikih in malih črk ter številk z vsaj enim posebnim simbolom. Izkazalo se je, da je preprosto v naboru simbolov, a daljše geslo celo varnejše od krajšega, a bolj zapletenega v napadih z golo silo, v katerih nepridipravi preizkusijo vse kombinacije črk, številk in znakov. Manj zapletena dolga gesla, morda celo stavek – Danes je en lep dan in prav vesel sem, da sedim na soncu – pa si je tudi lažje zapomniti. Kljub tej ugotovitvi, nekatere storitve še naprej zahtevajo zapletenost in postavljajo zgornje meje dolžine, pri čemer pogosto celo ne sprejmejo gesel, ki so jih za nas ustvarila programska orodja, narejena za ta namen.

Pred več kot 15 leti, ko so se začela uveljavljati tipala prstnih odtisov, so nekateri napovedovali konec uporabe gesel za preverjanje istovetnosti uporabnika, pa so kljub temu še vedno prevladujoč način. Tako bo še kar nekaj časa, saj gesla ne gredo nikamor. Tudi zato je smiselno uporabljati dvonivojsko preverjanje vedno, ko je možno.