Masih ramai yang membuat kata laluan mereka terlalu mudah. Shutterstock / Vitalii Vodolazskyi

Selama lebih dari 15 tahun, terdapat pelbagai ramalan dari pemimpin teknologi mengenai kematian kata laluan. Bill Gates meramalkannya semula dalam 2004 dan Microsoft mempunyai meramalkannya untuk tahun 2021. Terdapat banyak pernyataan serupa di antara mereka, di samping kritikan berterusan terhadap kata laluan sebagai cara perlindungan yang tidak mencukupi.

Namun kata laluan tetap menjadi aspek keselamatan siber yang biasa, sesuatu yang orang gunakan setiap hari. Lebih-lebih lagi, kata laluan menunjukkan sedikit tanda hilang. Tetapi ramai orang masih menggunakannya dengan teruk dan nampaknya tidak menyedari amalan baik yang disyorkan.

Ini sangat biasa bagi pakar keselamatan siber dan syarikat untuk menyalahkan pengguna kerana menggunakan kata laluan dengan buruk, tanpa menyedari bahawa sistem membenarkan pilihannya yang buruk.

Banyak laman web tidak memberikan panduan awal mengenai cara memilih kata laluan yang mereka perlukan, mungkin dengan anggapan kita sudah mengetahui perkara ini atau dapat mencarinya di tempat lain. Tetapi hakikat bahawa orang berterusan dalam menggunakan kata laluan yang lemah menunjukkan bahawa ini adalah pandangan yang optimis.

Nasihat usang

Selain kekurangan panduan, biasanya terdapat laman web yang menguatkuasakan syarat kata laluan yang usang. Anda mungkin biasa dengan sistem yang menekankan kerumitan kata laluan, dengan memerlukan huruf besar, angka atau watak khas untuk menjadikan kata laluan lebih kuat (tindak balas kami yang sering mencerminkan video di bawah).

Walau bagaimanapun, panduan semasa adalah untuk membiarkan kerumitan tetapi tidak memerlukannya, dan pada dasarnya menganggap kekuatan kata laluan sebagai sinonim dengan panjang kata laluan.

. Pusat Keselamatan Siber Nasional mengesyorkan membuat kata laluan panjang dengan menggabungkan tiga kata rawak, membolehkan sesuatu yang lebih lama dan lebih berkesan daripada banyak pilihan standard.

Kata laluan saya mencuba

Juga tidak membantu adalah bahawa, daripada memberikan panduan dan keperluan pada awalnya, banyak laman web hanya mendedahkan peraturan sebagai tindak balas kepada kami untuk mencuba perkara yang tidak dibenarkan. Saya cuba membuat kata laluan untuk satu laman web tersebut. Sebilangan besar percubaan saya mendapat maklum balas yang memerlukan tindakan lebih lanjut, sehingga saya memutuskan pilihan terakhir, yang diterima tanpa keluhan. Tetapi kata laluan yang diterima, steve !, pendek dan agak dapat diramalkan.

Bergelut dengan peraturan. Steven Furnell, Pengarang disediakan

Ketika saya bermain-main sedikit lagi, pelbagai pilihan lemah lain diterima. Contohnya 1234a !, abcde1 dan qwert! semua memenuhi peraturan, seperti juga Furnell1 - yang tidak begitu kuat, terutamanya kerana saya sudah memasukkan Furnell sebagai nama terakhir saya di tempat lain di borang pendaftaran.

Sementara itu, peraturan tersebut sering kali bermaksud kita tidak boleh menggunakan kata laluan yang dihasilkan oleh peranti kita secara automatik atau yang mungkin kita buat sendiri dengan mengikuti panduan semasa.

Banyak laman web tidak membenarkan kata laluan yang dihasilkan. Steven Furnell

Beberapa laman web nampaknya dapat mengimbangi kekurangan panduan dengan menggunakan teknik seperti kata laluan meter untuk menilai pilihan kami. Walau bagaimanapun, walaupun ini memberi maklum balas, mereka bukan pengganti untuk memberikan panduan bagaimana rupa.

Dengan menggunakan laman web lain, saya memasukkan kata laluan yang lemah (kata laluan), dan satu-satunya maklum balas yang saya terima ialah kata laluannya sangat lemah. Sekiranya pengguna benar-benar menawarkan kata laluan ini sebagai percubaan, apa yang perlu mereka diberitahu adalah mengapa ia lemah. Walaupun anda pasti dapat menjumpai beberapa laman web yang memberikan maklum balas yang lebih baik dan lebih bermaklumat, contoh ini sayangnya mewakili banyak laman web lain.

Peraturan yang mesti dipatuhi

Sudah tentu, setelah menyoroti kurangnya bimbingan yang berkesan, adalah salah untuk berakhir tanpa benar-benar menawarkan beberapa. Panduan NCSC mengenai memilih dan menggunakan kata laluan disenaraikan dan dijelaskan secara ringkas di bawah:

1. Gunakan kata laluan yang kuat dan berasingan untuk e-mel anda - kerana ini adalah laluan anda untuk mengakses akaun lain.
2. Buat kata laluan yang kuat menggunakan tiga kata rawak - ini akan memberi anda kata laluan yang lebih kuat dan lebih berkesan.
3. Simpan kata laluan anda di penyemak imbas anda - ini mengelakkan anda melupakan atau kehilangannya.
4. Hidupkan pengesahan dua faktor - ini menambahkan elemen perlindungan tambahan walaupun kata laluan anda terganggu.

Ia berguna untuk menambah ini dengan peringatan tambahan untuk tidak gunakan kata laluan yang sama merentasi beberapa akaun kerana bimbang pelanggaran satu menyebabkan pelanggaran semua, bukan untuk membaginya dengan orang lain kerana itu bukan lagi kata laluan anda, dan tidak menyimpan rekod yang dapat dijumpai. Menyimpannya di lokasi yang dilindungi, seperti alat pengurus kata laluan, tidak masalah.

Adalah membimbangkan untuk berfikir bahawa kata laluan telah wujud selama beberapa dekad dan kami masih salah. Dan itu hanyalah salah satu aspek keselamatan siber yang perlu kita gunakan dengan betul. Ini bukan pertanda baik untuk keselamatan siber secara lebih meluas.

Tentang Pengarang

Steven Furnell, Profesor Keselamatan Siber, University of Nottingham

buku_keselamatan

Artikel ini diterbitkan semula daripada Perbualan di bawah lesen Creative Commons. Membaca artikel asal.