Mam 200 różnych kont w Internecie. Marzę, by logowanie hasłem przeszło do historii
Przyznajcie się. Jak często zmieniacie hasła? Robicie to cyklicznie czy tylko wówczas, gdy media poinformują o kolejnym wycieku?
Dropbox, Opera, LinkedIn – to tylko trzy przykłady głośniejszych wycieków danych do logowania z ostatnich miesięcy. W pierwszym przypadku chodziło o prawie 70 mln kont użytkowników, w drugim być może około 2 mln. Trzeci, rekordowy, dotyczył 167 mln. Podobno był jednak pokłosiem wycieku sprzed kilku lat. To również jest ciekawe. Na przykład taki Dropbox ostatni raz apelował o zmianę hasła niecałe 2 lata temu. Całkiem niedawno.
Z jednej strony trudno ufać serwisom, których zabezpieczenia łamane są kolejny raz. Z drugiej, od lat w czołówce najgorszych haseł króluje „123456”. Statystyczny użytkownik nie dba najczęściej o własne bezpieczeństwo. Łamie podstawowe zasady, choćby używając jednego hasła do wielu kont. Skoro robi tak Mark Zuckerberg, który kilka miesięcy temu stracił dostęp do kont na Twitterze i Pintereście, trudno dziwić się zwykłemu internaucie.
Policzyłem, korzystam z ponad dwustu kont, które wymagają logowania.
Są to serwisy, sklepy, cała gama usług świadczonych drogą internetową. Nie oszukujmy się, zapamiętanie 200 haseł i loginów nie jest proste. Tam gdzie się da korzystam z weryfikacji dwuetapowej. Ta daje komfort psychiczny, ale zabiera wygodę.
Dochodzimy do istoty problemu. Hasła wyciekały, wyciekają i będą wyciekać. Nie każdy serwis oferuje podwójną weryfikację. Ba, nadal można spotkać sklepy internetowe, które hasła wysyłają mailem. Jest ich na szczęście coraz mniej. Użytkownik staje przed sporym wyzwaniem, bo dbając o bezpieczeństwo trudno mu będzie poradzić sobie z rosnącą listą haseł. Przecież nie będzie spisywał ich na kartce papieru.
Pomaga oczywiście synchronizacja w Google Chrome. Ratunkiem mogą być również usługi takie, jak 1Password. Ten ostatni oferuje sporo. Przede wszystkim szyfrowanie 256-bitowym kluczem AES. Usługa zapewni też generator silnych haseł, wsparcie dla Touch ID Apple’a, przechowywanie danych kart płatniczych i notatek. Brzmi dobrze, ale rozumiem sceptycznych użytkowników, zastanawiających się czy rozsądne jest powierzenie wszystkich (lub dużej część) drażliwych danych - mimo wszystko - mało znanym firmom, jak AgileBits czy LastPass. Większości te nazwy po prostu nic nie mówią. Tak, każdy świadomy użytkownik Internetu wie, że wpadki zdarzają się również rozpoznawalnym serwisom. Innych userów odstraszy odpłatność. Kolejną grupę zniechęci konieczność instalowania rozszerzeń, aplikacji czy konfiguracja usługi. 1Password czy LastPass to świetne rozwiązania, ale nie dla wszystkich.
Tradycyjne metody logowanie zapewne przejdą w niedalekiej przyszłości do historii.
Nie dają wystarczającego poczucia bezpieczeństwa i stają się uciążliwe w sytuacji, gdy używamy wielu kont. Trudno jednak wyobrazić sobie całkowicie uniwersalną i zarazem wygodną oraz innowacyjną alternatywę, która zadziała na wielu platformach i urządzeniach różnych producentów i dostawców oprogramowania.
Producenci elektroniki użytkowej próbują, ale ich rozwiązania nigdy nie będą powszechne. Touch ID da nam dostęp do iPhone’a, aplikacji banku (jeżeli ta wspiera standard), ale nie pozwoli zalogować się do konta w Google i czegokolwiek na pececie. Skaner siatkówki w Samsungu Galaxy Note 7 (załóżmy dla potrzeb tekstu, że jest niezawodny i bezpieczny) pozwoli odblokować smartfon. Logowanie się zegarkiem Apple do macOS to również rozwiązanie zapewne wygodne, ale globalnie niewiele zmieniające.
Tradycyjne hasła mają też jedną poważną zaletę. Można je zamienić. Z danymi biometrycznymi będzie znaczniej trudniej.
Wróćmy do początkowego pytania. Jak często zmieniacie hasła? Tak z ręką na sercu. Ja biję się w piersi, bo robię to za rzadko. Oczywiście staram się nie używać jednego przez lata, ale i tak mam wyrzuty sumienia. Jasne, okradzionym może zostać zaraz po ustanowieniu nowego hasła. Zmiany jednak zmniejszają ryzyko.
