Zmęczenie hasłem

Zmęczenie hasłem to uczucie, którego doświadcza wiele osób, które muszą pamiętać nadmierną liczbę haseł w ramach codziennych czynności, takich jak logowanie się do komputera w pracy, otwieranie blokady rowerowej lub przeprowadzanie operacji bankowych z bankomatu . Koncepcja ta jest również znana jako chaos haseł lub szerzej jako chaos tożsamości .

Powoduje

Rosnące znaczenie technologii informacyjnej i Internetu w zatrudnieniu, finansach , rekreacji i innych aspektach życia ludzi, a także związane z tym wprowadzenie technologii bezpiecznych transakcji , doprowadziło do gromadzenia wielu kont i haseł.

Według badania przeprowadzonego w lutym 2020 r. przez menedżera haseł Nordpass, typowy użytkownik ma 100 haseł.

Niektóre czynniki powodujące zmęczenie hasłem to:

• nieoczekiwane żądanie utworzenia przez użytkownika nowego hasła
• nieoczekiwane żądania, aby użytkownik utworzył nowe hasło, które zawiera określony wzór liter, cyfr i znaków specjalnych
• zażądać od użytkownika dwukrotnego wpisania nowego hasła
• częste i nieoczekiwane żądania ponownego wprowadzenia hasła przez użytkownika w ciągu dnia podczas przeglądania różnych części intranetu
• ślepe pisanie, zarówno podczas odpowiadania na pytanie o hasło, jak i podczas ustawiania nowego hasła.

Odpowiedzi

Niektóre firmy są dobrze zorganizowane w tym zakresie i wdrożyły alternatywne metody uwierzytelniania lub przyjęły technologie, dzięki którym dane uwierzytelniające użytkownika są wprowadzane automatycznie. Jednak inni mogą nie skupiać się na łatwości użytkowania , a nawet pogarszać sytuację, stale wdrażając nowe aplikacje z własnym systemem uwierzytelniania.

• Oprogramowanie do jednokrotnego logowania (SSO) może pomóc złagodzić ten problem, wymagając od użytkowników zapamiętania tylko jednego hasła do aplikacji, co z kolei automatycznie zapewni dostęp do kilku innych kont, z lub bez konieczności instalowania oprogramowania agenta na komputerze użytkownika. Potencjalną wadą jest to, że utrata jednego hasła uniemożliwi dostęp do wszystkich usług korzystających z systemu SSO, a ponadto kradzież lub niewłaściwe użycie takiego hasła stawia przestępcę lub atakującego przed wieloma celami.
• Zintegrowane oprogramowanie do zarządzania hasłami — wiele systemów operacyjnych zapewnia mechanizm przechowywania i pobierania haseł przy użyciu hasła logowania użytkownika w celu odblokowania zaszyfrowanej bazy danych haseł. Microsoft Windows zapewnia Credential Manager do przechowywania nazw użytkowników i haseł używanych do logowania się do stron internetowych lub innych komputerów w sieci, Mac OS X ma funkcję pęku kluczy , która zapewnia tę funkcjonalność, a podobna funkcjonalność jest obecna w pulpitach open source GNOME i KDE . Ponadto, przeglądarek internetowych dodali podobną funkcjonalność do wszystkich głównych przeglądarek. Chociaż, jeśli system użytkownika zostanie uszkodzony, skradziony lub naruszony, może on również utracić dostęp do witryn, w których polega na przechowywaniu haseł lub funkcjach odzyskiwania w celu zapamiętania danych logowania.
• Oprogramowanie do zarządzania hasłami, takie jak KeePass i Password Safe , może pomóc złagodzić problem zmęczenia hasłami, przechowując hasła w bazie danych zaszyfrowanej jednym hasłem. Stwarza to jednak problemy podobne do tych z pojedynczym logowaniem, ponieważ utrata pojedynczego hasła uniemożliwia dostęp do wszystkich innych haseł, podczas gdy ktoś inny, kto je uzyska, będzie miał do nich dostęp.
• Odzyskiwanie hasła — większość usług internetowych chronionych hasłem zapewnia funkcję odzyskiwania hasła , która umożliwia użytkownikom odzyskanie hasła za pośrednictwem adresu e-mail (lub innych informacji) powiązanych z tym kontem. Jednak ten system sam stał się celem socjotechnicznych przeprowadzanych przez przestępców. Przestępcy ci uzyskują wystarczającą ilość informacji o celu, aby się pod niego podszyć i zażądać zresetowania wiadomości e-mail, która jest następnie przekierowywana w inny sposób na konto kontrolowane przez atakującego, umożliwiając atakującemu przejęcie konta.
• Uwierzytelnianie bez hasła — jednym ze sposobów wyeliminowania zmęczenia hasłami jest całkowite pozbycie się haseł. Usługi uwierzytelniania bez hasła, takie jak Okta , Transmit Security i Secret Double Octopus, zastępują hasła alternatywnymi metodami weryfikacji, takimi jak uwierzytelnianie biometryczne lub tokeny bezpieczeństwa . W przeciwieństwie do SSO lub oprogramowania do zarządzania hasłami, uwierzytelnianie bez hasła nie wymaga od użytkownika tworzenia ani zapamiętywania hasła w dowolnym momencie.

Zobacz też

• BugMeNot
• Zmęczenie decyzyjne
• Zarządzanie tożsamością
• Menedżer haseł
• Siła hasła
• Pytanie bezpieczeństwa
• Użyteczność systemów uwierzytelniania sieciowego

Notatki

Linki zewnętrzne

• Noguchi, Yuki. Odmowa dostępu , Washington Post, 23 września 2006 r.
• Catone, Josh. Zła forma: 61% używa tego samego hasła do wszystkiego , 17 stycznia 2008 r.