Video: Edward Snowden on Passwords: Last Week Tonight with John Oliver (HBO) (Oktober 2024)
Sidste måned lavede John Dvorak, længe PCMag-spaltist og selvudnævnt "cranky geek, " en diatribe om nulstilling af adgangskoden. Jeg var alvorligt optaget af RSA-konferencen i San Francisco, så jeg var ikke meget opmærksom på det. Nu hvor jeg har set et kig, kan jeg konstatere, at Johns holdning er fuldstændig og fuldstændig forkert. For at låne en sætning fra " Game of Thrones " ved du intet, John Dvorak!
Dvorak sagde, "Hvad skete der med tanken om at sende nogen adgangskoden i stedet for et nulstillingslink? Jeg kunne godt lide det gamle kodeord." Han fortsatte med at spot for brugen af et nulstillingslink i stedet og sagde "Intet af dette beskytter mig eller nogen anden mod noget. Det er en charade. Hvordan beskytter det noget?" Nå, John, jeg siger dig.
De har ikke det
Den største grund til, at et sikkert websted ikke sender dig et glemt kodeord, er meget simpelt: de har ikke det. De opbevarer det ikke overalt. Og det er en god ting. Hvis de ikke gemmer din adgangskode, kan adgangskoden ikke stjæles af hackere eller udsendes på Pastebin af en utilfredse medarbejder. Virkelig sandt, et websted, der faktisk gemmer din adgangskode, bringer dit privatliv i fare.
Så hvis de ikke gemmer din adgangskode, hvordan kan de da vide, at du har indtastet den rigtige? Svaret ligger i et begreb kaldet hashing. Hashing er meget som kryptering, men det er en envejs proces. Den samme input til en hash-algoritme giver altid den samme output, men der er ingen måde at tage denne output og genopdage originalen.
Lad os sige, at du tilmelder dig en ny online-konto ved hjælp af din foretrukne adgangskode, som tilfældigvis er "adgangskode." Webstedet sætter det, du har indtastet via en hash-algoritme og får tilbage noget snavs som 991CEFz & Nw36, som det gemmer. Når du logger ind kører webstedet det adgangskode, du indtastede gennem den samme algoritme. Hvis resultatet matcher, er du inde.
De skulle ikke sende det
Selv hvis et sikkert sted lagrede din faktiske adgangskode, skulle de ikke sende den til dig via e-mail. E-mail er i sagens natur usikker. Dine meddelelser springer rundt fra server til server på vej til din indbakke. Medmindre du har brugt en slags e-mail-kryptering, er din adgangskode bare ikke sikker under dens rejser.
Dvorak hævder, at et link til nulstilling af adgangskode er lige så sårbart. Han har forkert. For det første er nulstillingslinks typisk kortvarige. Lidt efter, at du har anmodet om linket, bliver det ugyldigt. Når du først har brugt linket, bliver det ugyldigt. Brug af linket opretter også en sikker SSL-forbindelse mellem din browser og webstedets servere. Du indtaster din nye adgangskode, webstedet hasjer det og gemmer resultatet, og du er tilbage i branchen.
Men jeg kan ikke huske!
Dvorak bringer problemet med sin Dropbox-konto op, som han kun bruger et par gange om året. Når han er tvunget til at bruge det, kan han naturligvis ikke huske adgangskoden. Faktisk er en adgangskode, som du nemt kan huske, meget sandsynligvis en, som en anden kunne gætte. Hvad han virkelig har brug for, er at begynde at bruge en password manager og ændre alle hans eksisterende adgangskoder til nye, stærke, unikke.
- Sådan oprettes sindssikre adgangskoder Sådan oprettes sindssyge sikre adgangskoder
- De bedste adgangskodeadministratorer for 2019 De bedste adgangskodeadministratorer for 2019
- Password Reset Dilemma Password Reset Dilemma
Ja, der er en vis mængde arbejde involveret i at skifte til stærke adgangskoder, men det er værd at gøre det. Vores egen Jill Duffy forklarer, hvordan hun gjorde det over en periode på fem uger. Og det behøver ikke være dyrt. Nogle af de tilgængelige gratis adgangskodeadministratorer gør et fremragende job.
"Men jeg skal stadig huske den stærke hovedadgangskode, " kan jeg næsten høre John sige. Det gør du faktisk. Men det er kun et kodeord, og der er måder at gøre det mindeværdigt på. Derudover bruger du det hver dag, ikke en gang om året. Så John, overvej dette som dit vågne opkald; det er tid til at tilslutte sig den moderne verden og få en password manager.
