Потребителите е добре да използват, при това не само на едно място, слаби пароли за уеб сайтове, в които няма ценна информация, обявиха изследователи от Microsoft, оборвайки десетилетия на предупреждения за Интернет сигурността.
Като не се налага да помните сложни и уникални пароли за всеки отделен сайт, може да насочите усилията си към помненето на наистина надеждни пароли за много по-важни сайтове, от типа на електронно банкиране или е-търговия.
Не на мениджърите на пароли
Нещо повече, изследователите Динеи Флоренсио и Кормак Хърли от редмъндския софтуерен гигант и Пол на Орскот от университета "Карълтън" в Канада се противопоставят и приложенията, които помнят много различни пароли,а са достъпни само с една. Според изследването им, те създават повече проблеми, отколкото решават. Въпреки че те позволяват употребата на напълно случайни и уникални пароли, те създават и единична точка на пробив: потребителите може да изгубят или забравят паролата за мениджъра си на пароли, или облачната услуга, която съхранява техните пароли, може да бъде хакната.
"Стратегиите за справяне с неспособността на хората да използват силни пароли навсякъде, без да ги използват многократно, включва принцип за единична регистрация, употреба на базирани на имейл системи за възстановяване или смяна на пароли, и мениджъри на пароли," пишат те. Ако мениджърът на пароли съхранява пароли в компютъра на потребителя, "основният риск все така си остава… атаки от рода на зловреден софтуер при клиента, но за сметка на това… преносимостта между различните клиентски устройства се губи, тъй като паролите (ако са уникални и случайни) са на практика закрепени за клиента, в който те се съхраняват."
Когато обаче потребителите започнат да съхраняват пароли в облака, те "заменят един набор от рискове за друг"
От една страна, една отделна открадната парола е по-малко опасна. Но "тя създава сериозни нови рискове: ако главната парола бъде отгатната или използвана със заразен със зловреден софтуер клиент, или облачното хранилище бъде хакнато, то всичката информация за достъп се губи наведнъж."
Какво тогава да правят потребителите?
Изследването твърди, че потребителите трябва да избирати използват многократно лесни за помнене пароли за "нискорискови" сайтове, за да увеличат максимално способността си да помнят сложни и уникални пароли за високорисковите. "В оптималния случай, незначителната възвращаемост на положените усилия е обратнопропорционална на ценността на акаунтите… Ако акаунтите се групират на случаен принцип, резултатът няма да е оптимален."
С други думи, освободете място за помнене в мозъка си, за да направите паролата си за онлайн банкирането максимално сложна, но все пак запомняща се, като използвате името на домашния си любимец за всичко, което не ви вълнува особено дали ще изгубите.
Това е достатъчно, за да накара потребителите да се замислят дали напълно да не се откажат от паролите, както направи примерно
Кристофър Мимс, който сподели паролата си за Twitter в седмичната си рубрика в Wall Street Journal
Мимс разчита на мощта на двустъпковата идентификация, при която за допълнителна безопасност се изпраща SMS до телефона му със специален код за влизане; според него "може да изглежда глупаво да замените код за идентификация, който съхранявате в главата си (парола) с такъв, който съхранявате в джоба си (телефон), но помислете: първият може да бъде разгадан или измъкнат от хакери, а втория може да бъде изключен в момента, в който изчезне устройството."
Стотици опити за хакване по-късно, акаунтът му все още остава защитен – въпреки че Twitter разкрива номера на мобилния му телефон на всеки потребител, опитващ се да влезе.
Впрочем, паролата на @mims е "christophermims".
Но допълнителни проучвания от Хърли и ван Орскот, в сътрудничество с Джоузеф Боно и Франк Стахано от Кембридж показват, че дори и Twitter да не беше допуснал тази грешка, мисията за замяна на паролите с нещо по-надеждно е далеч от това да е приключила.
Само един възможен заместител на паролите: чиповете и четците на ПИН кодове, използвани в някои сайтове за банкиране – са постигнали максимален резултат в тестовете за сигурност на изследователите, а нищо не е било така лесно за внедряване, както паролите.
Нито една отделна система не е могла да измести паролите по всеки от показателите, разгледани от учените, въпреки че повечето са били по-защитени. "Незначителните предимства," обобщават те, "често не са достатъчни, за да се достигне предалната точка, необходима за преодоляване на сериозните усилия и разходи за преход към друга технология, което дава и най-доброто обяснение защо вероятно ще мине още много време, преди да видим паролите да преминават в небитието."
