01.12.2020
PL EN
02.01.2020 aktualizacja 02.01.2020

Zawodne testery haseł mogą zwiększać ryzyko cyberataków

Fot. Fotolia Fot. Fotolia

Internetowe mierniki siły haseł mają za zadanie pomóc internautom w zabezpieczeniu ich danych przed cyberprzestępcami. Mimo to okazuje się, że ich działanie często jest zawodne.

Jak wynika z nowego badania, opisanego w „Computer Fraud and Security”, „niespójne i mylące” porady na temat haseł dostarczane przez kilka najpopularniejszych światowych serwisów mogą przynieść więcej szkód niż korzyści.

Naukowcy z brytyjskiego University of Plymouth ocenili efektywność 16 mierników siły haseł, których internauci często używają lub z którymi na co dzień się spotykają. Głównie skupiono się na serwisach przeznaczonych do testowania haseł, ale pod uwagę wzięto również portale, które mają wbudowaną taką usługę (jak Dropbox czy Reddit).

Badacze zaobserwowali duży stopień różnic między poradami oferowanymi przez badane serwisy. Podczas gdy niektóre skutecznie naprowadzały użytkowników na silne hasła, niektóre nie wyprowadzały ich z błędu, gdy próbowali użyć sformułowań typu „abc123”, „qwertyuiop” czy „iloveyou” – uznane za najgorsze hasła 2019 roku.

Prof. Steve Furnell, specjalista bezpieczeństwa informacji, który prowadził badanie, podkreślił, że miliony ludzi dostają prezenty związane z technologią lub wykorzystują swoje urządzenia do ich zakupu, a takie testery mogą dawać im złudne poczucie bezpieczeństwa. „Tym badaniem pokazujemy, że niektóre z dostępnych mierników oznaczą słabe hasła jako potencjalnie niebezpieczne, podczas gdy inne uznają je za akceptowalne” – zaznaczył.

Przetestowano 16 różnych haseł, w tym 10 uznanych za najczęściej używane na świecie, m.in. „password” (z ang. hasło) i „123456”. Spośród tych 10 tylko pięć zostało wychwyconych przez mierniki, natomiast „Password1!” uzyskało lepsze notowania, niż należałoby się spodziewać, a nawet zostało ocenione jako silne przez trzy serwisy.

Co pocieszające, wygenerowane przez wyszukiwarkę hasło było konsekwentnie oceniane jako silne, co oznacza, że takiej usłudze można ufać.

„Mierniki siły haseł nie są złym pomysłem, ale należy wybrać właściwy. Warto też pamiętać, że bez względu na to, jak testery oceniły hasło, wiele stron wciąż będzie akceptować słabe hasła bez zaoferowania użytkownikom rady, jak dokonać lepszego wyboru – powiedział prof. Furnell. – Aktualnie cała uwaga skupia się na poszukiwaniu rozwiązań, które zastąpią hasła, ale nadal ich używamy, a użytkownicy nie są wspierani w tym, aby robić to właściwie”. Jak dodał, wprowadzające w błąd mierniki haseł mogą działać wbrew interesom sił bezpieczeństwa i mogą dawać przewagę cyberprzestępcom. (PAP)

mrt/ agt/

Copyright © Fundacja PAP 2020