Światowy Dzień Hasła
4 maja 2022. Kategoria: wszystkie. 1 komentarz.
Idealne hasło nie istnieje. Kropka. Powiedzieć tyle, to jakby nic nie powiedzieć, a jednak próbujemy dbać o bezpieczeństwo online – na tyle, na ile jest to możliwe. W pierwszy czwartek maja obchodzone jest ciekawe święto – Światowy Dzień Hasła. Wydarzenie to może stać się okazją do podjęcia tematów bezpieczeństwa w sieci…po raz kolejny.
Idealne hasło nie istnieje
Przez długi czas pokutowało przekonanie, że im dłuższe i bardziej skomplikowane hasło, tym lepiej. Teza ta przez lata była wtłaczana do głów czy to uczniów podczas zajęć informatyki (wszelakie plakaty z okazji Dnia Bezpiecznego Internetu, kodeksy i zasady), czy na wyższych szczeblach przez działy IT poszczególnych firm. Niejednokrotnie było to również wymuszane przez politykę bezpieczeństwa poszczególnych narzędzi. Niech pierwszy rzuci kamień, kto z nas nie zobaczył nigdy komunikatu „hasło musi posiadać 1 wielką literę, 2 znaki specjalne, cyfry, musi różnić się od poprzedniego minimum w 50% i nie zawierać Twojej daty urodzenia ani loginu…”.
W pewnym momencie jednak, poziom skomplikowania hasła robi więcej złego, niż dobrego. Przykład? Hasło typu TajneHasło01, za miesiąc najpewniej zmieni się na TajneHasło02 i tak dalej. To wbrew pozorom częsta praktyka, która w przypadku wycieku daje złudne poczucie bezpieczeństwa. Podobnie z „super trudnymi” hasłami typu arTf4^^7-12343;DDf5E` – problem z nimi jest taki, że najczęściej trafiają na żółtą karteczkę typu PostIt, przyklejone gdzieś pod klawiaturą.
Jak rozmawiać z uczniami?
Czasem przykłady przez zaprzeczenie są całkiem niezłą strategią – jeśli uczniowie są w stanie poprawnie określić, które hasło jest łatwe – wiedzą, czego unikać. To już niezły początek. Kolejny krok – oddać wychowankom głos. Z całą pewnością cześć z nich gra w gry. A skoro zainwestowali w nie kilkadziesiąt złotych, nierzadko wiedzą jak chronić swoje konta, bo leży to w ich interesie. Mowa między innymi o SteamGuard, czy innych rozwiązaniach typu 2FA.
Generator haseł wbudowany w przeglądarkę
Kolejnym istotnym elementem tzw. wiedzy powszechnej, która mimo wszystko podnosi w pewnym stopniu bezpieczeństwo, jest wiedza dotycząca menadżerów haseł. Większość nowoczesnych przeglądarek posiada menadżery haseł, które umożliwiają zapamiętanie kredencji do strony czy usługi. Jest to z jednej strony wygodne, z drugiej – takie hasła mogą zostać łatwo podejrzane. W szczególności należy wyczulić uczniów na to, aby nie zapamiętywali haseł w przeglądarkach ogólnodostępnych komputerów (sale komputerowe, szkoła, biblioteka). Mechanizmy przeglądarek nie ograniczają się jedynie do zarządzania hasłami, istnieje możliwość skorzystania z „wygenerowanego” hasła (opcja „zaproponuj silne hasło”). Z jednej strony logiczne rozwiązanie – skoro korzystamy z menadżera haseł, nie musimy pamiętać hasła. Jeżeli nie musimy pamiętać, bo przeglądarka robi to za nas – hasło losowe nie powinno być problemem.
Możemy zatem z uczniami spróbować opracować generator losowych (czy pseudolosowych) haseł. Poruszyć zagadnienie mechanizmu „zaproponuj silne hasło” odpowiadając na pytania: dlaczego hasło zaproponowane przez program może być skuteczniejsze, niż wymyślone przez człowieka? W jakim celu hasła losowane przez przeglądarkę zawierają znaki specjalne, liczby, wielkie litery? Sky is the limit. Przykładowa realizacja w Scratchu poniżej:
kuba dnia 11 maja 2022
Ciekawy wpis :) W temacie haseł zawsze na czasie jest XKCD – https://xkcd.com/936/ Co do menadżerów haseł, polecam odpalić na własnym komputerze bitwarden’a.