Autentizace: proč uživatelé volí slabá hesla
V tomto příspěvku se dozvíte, proč uživatelé tak rádi volí slabá hesla jako je 123456.
Tento příspěvek vznikl na základě hysterie, která se rozpoutala kolem úniku hesel ze serveru RockYou.com. V tomto příspěvku však nechci řešit, jak je možné, že se útočník k heslům dostal, zda byla či nebyla v DB uložena v otevřeném tvaru, kdo za to nese odpovědnost apod. Ne, chtěl bych se spíš věnovat tomu, jak byl tento incident mnohými bezpečnostními experty vyhodnocen a k jakým dospěli překvapujícím závěrům. A závěr bezpečnostních expertů byl naprosto jednoznačný. Uživatelé bezpečnost podceňují a používají slabá hesla. Ostatně, pokud na prvním místě, co se týká četnosti použití, figuruje heslo 123456, tak snad není ani možné dospět k jinému závěru, že. Neexistuje ale i nějaké jiné vysvětlení?
Heslo 123456 je super
Pojďme se podívat se na celou tu hysterii kolem slabých hesel z pohledu uživatele. Jestliže je uživatel nucen se na kdejakém webu registrovat jen kvůli tomu, aby se dostal k tomu, co potřebuje, tak co udělá? Stiskne prostě klávesy, které jsou nejblíže. A zadání posloupnosti 123456 na numerické klávesnici se přímo nabízí. Že je to slabé heslo tyto uživatele vůbec netrápí, protože i kdyby dané heslo někdo uhádnul, tak k čemu mu bude? Bude moci hlasovat v anketě, dostane se na články jen pro registrované uživatele, bude moci psát urážlivé komentáře v diskusi pod článkem, změnit vzhled profilu. Přijde tím snad oprávněný uživatel účtu k nějaké újmě? Těžko. Na internetu totiž málokdo používá skutečnou identitu, a jedna fyzická osoba má dost často i několik různých identit pro nejrůznější účely. A ty se slabými hesly používá právě pro weby, které ho s registrací otravují.
Homo economicus
Bezpečnostní experti sice bijí na poplach a pozastavují se nad tím, jak je možné, že se tolik uživatelů chová tak nezodpovědně a používá slabé heslo. Nechová se ale naopak většina uživatelů naprosto racionálně a ekonomicky? Řekl bych, že ano. Což ještě neznamená, že se chovají vždy správně. Proč by měl ale uživatel vyvíjet nějaké úsilí za účelem vytvoření a zapamatování si bezpečného hesla, když mu to nepřináší vůbec žádný užitek? Problém je v tom, že registrace je často vyžadována nikoliv kvůli bezpečnosti, ale z čistě marketingových účelů. Uživatele proces takovéto účelové registrace značně obtěžuje a nevidí jediný rozumný důvod, proč by se měl autentizovat jen proto, aby se dostal k informaci nebo službě, která by z jeho pohledu měla být dostupná všem. Dle našich průzkumů uživatel volí slabá hesla dokonce i tam, kde se za obsah a službu platí. Pro mnohé je toto zjištění překvapující, ale důvod je opět prostý. V okamžiku, kdy přihlašovací údaje uživatele použije někdo jiný, tak užitek oprávněného a platícího uživatele se tím nijak nesníží. Škoda vznikne pouze a jenom provozovateli dané služby, který přijde o příjem, který by mu generoval nový klient.
Slabé heslo
Některá rizika zde přesto hrozí. A to, že uživatel slabé heslo zadá i na webu, kde by měl použít heslo silné. Ne proto, že by byl tak hloupý a nevěděl jak vytvořit silné heslo, ale protože už je tak zmatený z těch webů, kde požadavek na autentizaci nemá opodstatnění, že si v té chvíli neuvědomí, jaká rizika mu v konkrétním případě hrozí. Paradoxně skutečnost, že je autentizace vyžadována všude, tedy i tam, kde nemá smysl, vede uživatele k tomu, že volí slabá hesla, aby už ten otravný proces registrace měli za sebou.
Poškození dobrého jména
Problém může nastat v okamžiku, kdy daný web změní rozsah poskytovaných služeb a umožní např. zasílání zpráv mezi svými uživateli. V takovém případě by mohl být účet chráněný slabým heslem zneužit pro šíření spamu nebo nežádoucích názorů. A to může v krajním případě vést až zahájení vyšetřování, v rámci kterého pak může být identifikována i skutečná osoba, která si učet na daném webu založila a ta potom hnána k odpovědnosti. Nezapomínejme, že byť je identita virtuální, s větším či menším úsilím lze téměř vždy dohledat konkrétní fyzickou osobu.
Závěr: Uživatelé volí taková hesla, která odpovídají hodnotě informací, které potřebují chránit nebo výši škody, kterou jsou schopni ustát. Jestliže jsou přesvědčeni, že by na daném webu nemusela být autentizace žádná, berou tento požadavek jako zbytečné obtěžování a volí hesla, která se dají snadno zapamatovat a rychle zadat. Pokud chceme hodnotit, zda se uživatelé chovají nezodpovědně, nemůžeme tak činit pouze na základě hesla získaného z nějaké databáze. Vždy se musíme ptát, za jakým účelem byl daný účet vytvořen, jaké je uživatelské jméno, kolikrát byl účet použit a především, jaká rizika z jeho případného zneužití vyplývají pro uživatele.
Štítky: autentizace, informační bezpečnost
K článku “Autentizace: proč uživatelé volí slabá hesla” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.