Lozinke više nisu to — riječi koje dopuštaju prolaz. Zadnji put kad sam provjerio, riječi nisu sadržavale nasumična slova ili simbole, ali neprestano tretiramo lozinke kao da su riječi iz jednog razloga: prikladno je. Praktičnost je razlog zašto lozinke u konačnici ne rade i zašto će nas i dalje iznevjeravati.
komentar Lozinke više nisu to — riječi koje dopuštaju prolaz. Zadnji put kad sam provjerio, riječi nisu sadržavale nasumična slova ili simbole, ali neprestano tretiramo lozinke kao da su riječi iz jednog razloga: prikladno je. Praktičnost je razlog zašto lozinke u konačnici ne rade i zašto će nas i dalje iznevjeravati.
(Unesite sliku svoje lozinke do Marc Falardeau, CC BY 2.0)
Neugodnosti tjeraju ljude da rade čudne stvari. Morate čekati na semaforu i vidite kako ljudi trče preko ceste, riskirajući život i tijelo samo kako bi negdje stigli nekoliko sekundi brže. Ljudi dopuštaju da paketi budu "skriveni" na pragu umjesto da budu osigurani u poštanskom uredu. I ljudi namjerno krše zakon kako bi odmah preuzeli filmove ili glazbu koju ne bi imali ništa protiv plaćanja.
Neugodnosti su razlog zašto se nitko ne želi pridržavati strogih pravila o složenosti lozinki ili slijediti brojne takozvane najbolje prakse.
Na papiru se čini da politike složenosti rješavaju problem brutalnog forsiranja lozinki. Oni osiguravaju da hakeri imaju više kombinacija znakova koje će morati pogoditi. Učinkovito je ako hakeri prolaze kroz lozinke mijenjajući jedan po jedan znak, ali većina hakera to ne čini.
U stvarnosti, većina ljudi reagira na takva složena pravila uzimajući svoju postojeću lozinku i mijenjajući je tako da ispunjava minimalne zahtjeve. To znači da "lozinka" postaje "Passw0rd!", ili čak "Passw0rd! Passw0rd!" kako bi zadovoljili zahtjeve minimalne duljine.
Hakeri mogu koristiti procesorsku snagu računala za pokretanje čitavih rječnika riječi protiv pristupnih sustava. Čak su razvijeni popisi najčešćih riječi kako bi se ubrzao proces. Samo iz tog razloga, najbolja praksa nalaže da se nikada ne koriste riječi kao zaporke, ali to ih čini užasno teškim za zapamtite osim ako se ne koristi neki oblik mnemotehnike, a čak je i to podložno dobivanju putem društvenih mreža inženjering.
Pa ako lozinke nisu riječi, što su? U idealnom slučaju, oni su potpuno nasumični, dugi, imaju najveći izbor znakova kako bi napravili grubo forsiranje njihov lik po lik mukotrpan zadatak, i nemaju ništa što bi se moglo odbiti kroz društvene inženjering.
Ali to otvara drugo pitanje. Ako lozinka poput "nF1HU;.N.YC^N`:HH9]rQt2^" nema nikakve veze s korisnikom, koja je svrha tražiti od njih da odaberu lozinku?
Povijesno gledano, razlog zašto se korisnicima dopušta odabir lozinki bila je pogodnost. No to znači da su organizacije diljem svijeta, bile one toga svjesne ili ne, donijele odluku o trgovanju sigurnošću radi praktičnosti.
Ta pogodnost nas je skupo koštala.
Sjećam se da sam užasnuto čitao (doduše s povremenim osmijehom na licu) nakon hakiranja Sony PlayStation Network (PSN) dok su ljudi pokušavali procuriti lozinke. Twitter je bio pun ljudi koji govore stvari poput: "Upravo sam pronašao PayPal račun s 50 dolara!" ili "Razgovaram s djevojkom ovog tipa na Facebooku. Ona nema pojma". Korisnici su na teži način otkrivali da ih korištenje iste lozinke na više stranica u nekim slučajevima doslovno košta.
Kad bi svi prestali tretirati lozinke kao riječi i umjesto toga kao nasumične, nepovezane nizove znakova kakvi bi trebali biti, imali bismo zanimljiv razvoj događaja.
Provodit će se jedinstvenost lozinke. Ako je vaša zaporka nemarno pohranjena i otkrivena na jednoj usluzi, to ne znači nužno da ste bili ugroženi na drugoj. Ako bi netko želio provaliti u vaš račun, ne bi ostao bez ikakvih tragova o tome odakle početi, s jedinom mogućnošću da uđe grubom silom. Zvuči kao idealno rješenje.
Međutim, iz praktičnosti, a tu je opet ta riječ, ljudi će morati pronaći načine za pohranjivanje i upravljanje svojim sada nezaboravnim lozinkama. Gdje nas ovo vodi? Lozinke na samoljepljivim papirićima ili nesigurno pohranjene u preglednicima, koji u nekim slučajevima ne rade ništa drugo osim da ih pohranjuju u otvorenom tekstu. Učinili smo malo, ali prebacili smo problem negdje drugdje i možda na gore.
Optimistično, upravitelji lozinki poput LastPass i Keepass mogli bi vidjeti veću upotrebu, ali u svom trenutnom stanju nisu dovoljno prikladni za prosječnom korisniku, jer korištenje mobilnih aplikacija čini mukom i zahtijevaju da njihove baze podataka budu dostupne na svakom računalu koje korisnik pokušava koristiti.
Upravitelji zaporki su nešto što koristim, na što sam se navikao i preporučio bih svima koji su tehnički potkovani. Oni su vjerojatno naša najveća nada za ono u čemu smo trenutno zapeli. Ali za većinu, ideja uparivanja podataka s uslugama pohrane temeljenim na oblaku kao što je Dropbox i postavljanje svi njihovi uređaji za pokretanje kompatibilnog klijenta su pretjerano komplicirani i nimalo prikladni za svakodnevnu upotrebu koristiti.
Ali čak i ako svi koriste potpuno nasumične lozinke, usvajaju ono što je nedvojbeno najbolja praksa korištenja sigurnog upravitelja lozinki, uspijevaju ga konfigurirati i Nositi se s poteškoćama koje njegova upotreba može sa sobom donijeti, još uvijek postoji jedna kobna greška koja može uzrokovati da se sve razotkrije — taj upravitelj zaporki još uvijek treba lozinku za otvaranje to. A iz udobnosti će i dalje biti onih koji će izabrati prilično jadnu.