Blog
Artykuły o hasłach, bezpieczeństwie i o tym, dlaczego prawie wszystko, czego nas uczono, było nieprawdą.
Czym jest hasło i dlaczego od sześćdziesięciu lat się mylimy
Hasło komputerowe narodziło się w MIT w 1961 roku. Pierwszy wyciek nastąpił rok później i nie sprawił go przestępca: był to student, który chciał więcej czasu na maszynie. Oto historia tego, dlaczego reguły, których wszyscy się nauczyliśmy, były złe — i skąd się wzięły.
Dlaczego password.es nigdzie nie wysyła twojego hasła
Każda strona może napisać u siebie „nie zapisujemy twojego hasła”. To nic nie kosztuje, do niczego nie zobowiązuje i nie da się tego sprawdzić. Jedyne uczciwe wyjście to nie potrzebować tych danych: wszystko dzieje się w twojej przeglądarce, a tutaj tłumaczymy, jak otworzyć inspektora i zweryfikować to bez wiary na słowo.
Twój menedżer kontra twoja pamięć: jedyna zasada, która przetrwała
Ze wszystkiego, czego nas uczono o hasłach, przetrwała jedna zasada: inne hasło w każdym serwisie. I akurat tej nikt nie przestrzega, bo pamięć na tyle nie starcza. Menedżer haseł to nie wygoda — to jedyne, co zamienia tę zasadę w coś wykonalnego.
Passkeys: hasło, którego nie ma
Przez dekady próbowaliśmy sprawić, żeby hasło było trudniejsze do odgadnięcia. Passkeys robią coś innego: usuwają z drogi sekret, który serwer musiał przechowywać. Serwisowi zostaje klucz publiczny, nic niewart dla złodzieja, a phishing przestaje działać. To nie naprawia wszystkiego.
Pytania zabezpieczające to hasło, którego nie wybierałeś
Pytanie zabezpieczające to hasło z trzema wadami: nie wybierałeś go, da się je zgadnąć i zwykle jest gdzieś publicznie zapisane. W 2015 roku Google zmierzył je na prawdziwych danych i wynik okazał się miażdżący podwójnie: odpowiedzi da się odgadnąć, a do tego się je zapomina. Kto kłamie, żeby się chronić, kończy pod własnymi drzwiami bez klucza.
2FA: dlaczego SMS jest najgorszy z dobrych
Włączenie 2FA przez SMS to jedna z najlepszych decyzji, jakie możesz dziś podjąć, i zarazem pierwsza, którą będziesz musiał zrewidować. Słaby punkt nie tkwi w szyfrowaniu ani w twoim telefonie: tkwi w osobie, która odbiera połączenie na infolinii operatora. Oto cała drabina, od SMS-a po klucz sprzętowy.