Hem yttranden John dvorak har helt fel om lösenord | neil j. rubenking

John dvorak har helt fel om lösenord | neil j. rubenking

Video: SM-kisat 1996Tikkurila, (2h45m) (November 2024)

Video: SM-kisat 1996Tikkurila, (2h45m) (November 2024)
Anonim

Förra månaden pennade John Dvorak, lång tid PCMag-kolumnist och självutnämnd "cranky geek", en diatribe om lösenordets återställningsprocess. Jag var allvarligt ockuperad som täcker RSA-konferensen i San Francisco, så jag uppmärksammade den inte så mycket. Nu när jag har tittat kan jag konstatera att Johannes ståndpunkt är helt och helt fel. För att låna en fras från " Game of Thrones " vet du ingenting, John Dvorak!

Dvorak sa, "Vad hände med idén att skicka någon lösenord snarare än en återställningslänk? Jag gillade det gamla lösenordet." Han fortsatte med att spotta med att använda en återställningslänk istället och sa: "Inget av detta skyddar mig eller någon annan från någonting. Det är en charade. Hur skyddar det någonting?" Tja, John, jag ska säga dig.

De har det inte

Det största skälet till att en säker webbplats inte skickar ett glömt lösenord är mycket enkelt: de har det inte. De lagrar det inte någonstans. Och det är bra. Om de inte lagrar ditt lösenord, kan lösenordet inte stulas av hackare eller publiceras på Pastebin av en missnöjd anställd. Verkligen är det en webbplats som faktiskt lagrar ditt lösenord som äventyrar din integritet.

Så om de inte lagrar ditt lösenord, hur kan de veta att du har angett rätt? Svaret ligger i ett begrepp som kallas hashing. Hashing är ungefär som kryptering, men det är en enkelriktad process. Samma ingång till en hashalgoritm ger alltid samma utgång, men det finns inget sätt att ta den utgången och återupptäcka originalet.

Säg att du registrerar dig för ett nytt onlinekonto med ditt favoritlösenord, som råkar vara "lösenord." Webbplatsen sätter vad du skrev in via en hashningsalgoritm och får tillbaka lite gibberish som 991CEFz & Nw36, som den lagrar. När du loggar in kör webbplatsen lösenordet du angav genom samma algoritm. Om resultatet matchar är du i.

De borde inte skicka det

Även om en säker webbplats hade ditt faktiska lösenord lagrat, bör de inte skicka det till dig via e-post. E-postmeddelanden är i sig osäkra. Dina meddelanden studsar från server till server på väg till din inkorg. Om du inte har använt någon form av e-postkryptering är ditt lösenord helt enkelt inte säkert under resorna.

Dvorak hävdar att en länk till återställning av lösenord är lika sårbar. Han har fel. För en sak är återställningslänkar vanligtvis kortlivade. En liten stund efter att du har begärt länken blir den ogiltig. När du har använt länken igen blir den ogiltig. Genom att använda länken ställer du också in en säker SSL-anslutning mellan din webbläsare och webbplatsens servrar. Du anger ditt nya lösenord, webbplatsen haskar det och lagrar resultatet och du är tillbaka i branschen.

Men jag kan inte komma ihåg!

Dvorak tar upp problemet med sitt Dropbox-konto, som han bara använder några gånger om året. Naturligtvis när han tvingas använda det kan han inte komma ihåg lösenordet. Faktum är att ett lösenord som du lätt kommer ihåg är mycket troligt att någon annan kan gissa. Vad han verkligen behöver göra är att börja använda en lösenordshanterare och ändra alla sina befintliga lösenord till nya, starka, unika.

  • Hur man skapar vansinnigt säkra lösenord Hur man skapar vansinnigt säkra lösenord
  • De bästa lösenordshanterarna för 2019 De bästa lösenordshanterarna för 2019
  • Lösenord Återställ Dilemma Lösenord Återställ Dilemma

Ja, det finns en viss mängd arbete med att byta till starka lösenord, men det är väl värt ansträngningen. Vår egen Jill Duffy förklarar hur hon gjorde det under en period av fem veckor. Och det behöver inte vara dyrt. Några av de tillgängliga gratis lösenordshanterarna gör ett utmärkt jobb.

"Men jag måste fortfarande komma ihåg det starka huvudlösenordet, " kan jag nästan höra John säga. Det gör du verkligen. Men det är bara ett lösenord, och det finns sätt att göra det minnesvärt. Dessutom använder du det varje dag, inte en gång om året. Så, John, anser detta som ditt väckarklocka; det är dags att gå med i den moderna världen och få en lösenordshanterare.

John dvorak har helt fel om lösenord | neil j. rubenking