Blog

Artykuły o hasłach, bezpieczeństwie i o tym, dlaczego prawie wszystko, czego nas uczono, było nieprawdą.

Czym jest hasło i dlaczego od sześćdziesięciu lat się mylimy

Hasło komputerowe narodziło się w MIT w 1961 roku. Pierwszy wyciek nastąpił rok później i nie sprawił go przestępca: był to student, który chciał więcej czasu na maszynie. Oto historia tego, dlaczego reguły, których wszyscy się nauczyliśmy, były złe — i skąd się wzięły.

Dlaczego password.es nigdzie nie wysyła twojego hasła

Każda strona może napisać u siebie „nie zapisujemy twojego hasła”. To nic nie kosztuje, do niczego nie zobowiązuje i nie da się tego sprawdzić. Jedyne uczciwe wyjście to nie potrzebować tych danych: wszystko dzieje się w twojej przeglądarce, a tutaj tłumaczymy, jak otworzyć inspektora i zweryfikować to bez wiary na słowo.

Twój menedżer kontra twoja pamięć: jedyna zasada, która przetrwała

Ze wszystkiego, czego nas uczono o hasłach, przetrwała jedna zasada: inne hasło w każdym serwisie. I akurat tej nikt nie przestrzega, bo pamięć na tyle nie starcza. Menedżer haseł to nie wygoda — to jedyne, co zamienia tę zasadę w coś wykonalnego.

Passkeys: hasło, którego nie ma

Przez dekady próbowaliśmy sprawić, żeby hasło było trudniejsze do odgadnięcia. Passkeys robią coś innego: usuwają z drogi sekret, który serwer musiał przechowywać. Serwisowi zostaje klucz publiczny, nic niewart dla złodzieja, a phishing przestaje działać. To nie naprawia wszystkiego.

Pytania zabezpieczające to hasło, którego nie wybierałeś

Pytanie zabezpieczające to hasło z trzema wadami: nie wybierałeś go, da się je zgadnąć i zwykle jest gdzieś publicznie zapisane. W 2015 roku Google zmierzył je na prawdziwych danych i wynik okazał się miażdżący podwójnie: odpowiedzi da się odgadnąć, a do tego się je zapomina. Kto kłamie, żeby się chronić, kończy pod własnymi drzwiami bez klucza.

2FA: dlaczego SMS jest najgorszy z dobrych

Włączenie 2FA przez SMS to jedna z najlepszych decyzji, jakie możesz dziś podjąć, i zarazem pierwsza, którą będziesz musiał zrewidować. Słaby punkt nie tkwi w szyfrowaniu ani w twoim telefonie: tkwi w osobie, która odbiera połączenie na infolinii operatora. Oto cała drabina, od SMS-a po klucz sprzętowy.