Reklama

Polityka i prawo

Nie aktualizuj swoich haseł - radzą brytyjskie służby specjalne

Jeden ze slajdów z dokumentu CESG. Fot. cesg.gov.uk
Jeden ze slajdów z dokumentu CESG. Fot. cesg.gov.uk

Częsta aktualizacja haseł nie poprawia bezpieczeństwa - przekonuje brytyjska służba specjalna CESG, która z okazji „Światowego Dnia Hasła”, obchodzonego 5 maja, opracowała specjalny poradnik dla użytkowników Sieci.  

"Przewodnik po hasłach. Przystępne podejście (do problemu - przyp. red.)" to tytuł poradnika opracowanego przez CESG (dawny Communications-Electronics Security Group), który jako jednostka brytyjskiej służby wywiadu radioelektronicznego GCHQ (Government Communications Headquarters) odpowiada za bezpieczeństwo informacji i ochronę kryptograficzną rządu Zjednoczonego Królestwa. Adresatem liczącej 16 stron publikacji są administratorzy systemów komputerowych, których zadaniem jest opracowanie racjonalnej polityki hasłowej.

Oprócz przypomnienia tradycyjnych zasad bezpieczeństwa jak np. zmiana haseł domyślnych czy niestosowanie takiego samego hasła w różnych kontach dokument wprowadza rewolucyjną zmianę w refleksji na temat kodów dostępu w komunikacji elektronicznej. Otóż według ekspertów CESG częsta zmiana haseł wcale nie musi nie prowadzić do poprawy bezpieczeństwa. Co więcej, bywa wręcz przeciwnie  - „Dotychczas stosowana polityka bezpieczeństwa nakładała na użytkowników przykry obowiązek zmiany haseł (zwykle stosowali oni nową wariację starego hasła) nie przynosząc żadnych realnych korzyści. Głównie dlatego, że wykradzione hasła były na ogół używane natychmiastowo”.

Jako skuteczniejszą metodę radzenia sobie z problemem bezpieczeństwa haseł CESG poleca monitorowanie i informowanie użytkowników o dziwnych lub niezidentyfikowanych działaniach na ich kontach elektronicznych. Jednak nie każdej firmy stać na systemy monitorujące własnych użytkowników, znacznie tańszym rozwiązaniem jest właśnie częsta zmiana haseł.

W raporcie CESG czytamy też, że według ekspertów tworzenie bezpiecznych haseł przez specjalnie oddelegowanych do tego informatyków nie jest tak efektywne jakby się mogło wydawać.

Hasła generowane losowo mają być - w ocenie CESG - znacznie mniej bezpieczne niż hasła wymyślane przez samych użytkowników, nawet gdy są one tylko hasłami słownikowymi.

Zdaniem brytyjskiego portalu "The Register" porady służb specjalnych są co najmniej dziwne - „Takie działanie ze strony organizacji, która powołana do zapewnienia obywatelom większego bezpieczeństwa usiłuje ich monitorować, jest niepojęte. Nie przypominamy sobie ani jednego przypadku, w którym GCHQ byłaby na serio szczera, jeśli chodzi o intencje jej działań i ich metody" - ocenił "The Register".

Twórca artykułu z "The Register" miał zapewne na myśli udział GCHQ w sojuszu służb wywiadu radioelektronicznego Five Eyes, który obejmuje poza Wielką Brytanią także USA, Kanadę, Australią i Nową Zelandię. Jednym z jego celów jest doskonalenie metod inwigilacji za pomocą techniki operacyjnej umożliwiającej monitorowanie i przechwytywanie komunikacji elektronicznej. Narzędziem umożliwiającym prowadzenie tego rodzaju działań operacyjnych ma być głośny program PRISM, którego istnienie ujawnił były kontraktor NSA Edward Snowden, żyjący obecnie pod ochroną władz Rosji.

Czytaj też: Kolejny atak hakerów z Korei Północnej

Reklama

Komentarze

    Reklama