Video: Indus Valley Civilization: Crash Course World History #2 (Oktober 2024)
I forrige måned har John Dvorak, mangeårig PCMag-spaltist og selverklært "cranky geek, " skrevet en diatribe om tilbakestilling av passord. Jeg var seriøst opptatt med å dekke RSA-konferansen i San Francisco, så jeg ga ikke så mye oppmerksomhet. Nå som jeg har sett på, kan jeg uttale at Johns stilling er helt og helt feil. For å låne en setning fra " Game of Thrones ", vet du ingenting, John Dvorak!
Dvorak sa: "Hva skjedde med ideen om å sende noen passordet i stedet for en tilbakestillingslink? Jeg likte det gamle passordet." Han fortsatte med å lure på bruken av en tilbakestillingslenke i stedet og sa "Ikke noe av dette beskytter meg eller noen andre mot noe. Det er en sjanse. Hvordan beskytter det noe?" Vel, John, det skal jeg si deg.
De har ikke det
Den største grunnen til at et sikkert nettsted ikke vil sende deg et glemt passord, er veldig enkel: de har ikke det. De lagrer det ikke noe sted. Og det er bra. Hvis de ikke lagrer passordet ditt, kan ikke passordet bli stjålet av hackere, eller lagt ut på Pastebin av en misfornøyd ansatt. Virkelig, et nettsted som faktisk lagrer passordet ditt, er din personvern i fare.
Så hvis de ikke lagrer passordet ditt, hvordan kan de da vite at du har skrevet det riktige? Svaret ligger i et konsept som heter hashing. Hashing ligner mye på kryptering, men det er en enveis prosess. Den samme inngangen til en hashingsalgoritme gir alltid den samme utdata, men det er ingen måte å ta den utdata på og oppdage originalen.
Si at du registrerer deg for en ny online konto ved å bruke favorittpassordet ditt, som tilfeldigvis er "passord." Nettstedet legger det du skrev inn gjennom en hashingsalgoritme og får tilbake noe søppel som 991CEFz & Nw36, som det lagrer. Når du logger deg på, kjører nettstedet passordet du oppga gjennom den samme algoritmen. Hvis resultatet stemmer, er du inne.
De burde ikke sende det
Selv om et sikkert nettsted hadde lagret ditt faktiske passord, bør de ikke sende det til deg via e-post. E-post er iboende usikker. Meldingene dine spretter rundt fra server til server på vei til innboksen. Med mindre du har brukt en slags e-postkryptering, er passordet ditt bare ikke trygt under sine reiser.
Dvorak hevder at en kobling til tilbakestilling av passord er like sårbar. Han tar feil. For en ting er tilbakestillingslenker vanligvis kortvarige. En liten stund etter at du har bedt om lenken, blir den ugyldig. Når du har brukt lenken igjen, blir den ugyldig. Ved å bruke lenken setter du også opp en sikker SSL-forbindelse mellom nettleseren din og nettstedets servere. Du oppgir det nye passordet ditt, nettstedet hasjer det og lagrer resultatet, og du er tilbake i bransjen.
Men jeg kan ikke huske!
Dvorak tar opp problemet med sin Dropbox-konto, som han bare bruker noen få ganger i året. Når han blir tvunget til å bruke det, kan han naturligvis ikke huske passordet. Faktisk er et passord som du enkelt kan huske, sannsynligvis et annet som noen andre kan gjette. Det han virkelig trenger å gjøre er å begynne å bruke en passordbehandling, og endre alle de eksisterende passordene hans til nye, sterke, unike.
- Hvordan lage sinnsykt sikre passord Hvordan lage sinnsykt sikre passord
- De beste passordadministratorene for 2019 De beste passordadministratorene for 2019
- Passord Reset Dilemma Password Reset Dilemma
Ja, det er et visst arbeid med å bytte til sterke passord, men det er vel verdt innsatsen. Vår egen Jill Duffy forklarer hvordan hun gjorde det i løpet av en periode på fem uker. Og det trenger ikke være dyrt. Noen av de ledige ledere med gratis passord gjør en utmerket jobb.
"Men jeg må fremdeles huske det sterke hovedpassordet, " kan jeg nesten høre John si. Det gjør du faktisk. Men det er bare ett passord, og det er måter å gjøre det minneverdig. I tillegg bruker du det hver dag, ikke en gang i året. Så John, vurder dette som din vekker; det er på tide å bli med i den moderne verden og få en passordbehandler.
