Kekurangan Protokol Pengesahan Kata Laluan

Bentuk pengesahan pengguna yang paling asas, terutamanya di Web, adalah protokol pengesahan kata laluan. Kaedah pengesahan ini memaksa anda untuk mengingat kombinasi nama pengguna / kata laluan untuk mengakses akaun atau bahagian khas laman web. Walaupun berkesan dan pada asasnya sebahagian daripada keselamatan dalam talian, protokol pengesahan kata laluan gagal apabila anda tidak menanganinya dengan serius. Ini bermaksud membina kata laluan yang kompleks dan menjaga kerahsiaan. Ini juga bermaksud bahawa entiti yang melaksanakan pengesahan kata laluan mesti melindungi kata laluan dalam beberapa cara.

Serangan dan Kerumitan Brute Force

Anda biasanya tidak dapat meneka kata laluan kecuali anda mengetahui sesuatu tentang pengguna kata laluan itu, dan hanya jika kata laluan mewakili sesuatu yang dapat diketahui mengenai pengguna tersebut. Program komputer, namun, dapat melancarkan serangan kekerasan pada sistem kata laluan. Ini bermaksud bahawa program secara harfiah membaca kamus istilah yang disediakan, mencuba setiap perkataan sehingga gabungan watak yang betul memecahkan kata laluan. Biasanya, melindungi diri daripada serangan ini menghendaki anda membuat kata laluan yang rumit yang merangkumi nombor, surat, dan simbol khas, yang sukar diingat.

Penyimpanan dan Penyulitan

Apabila anda menggunakan pengesahan kata laluan, anda mesti menyimpan kata laluan dan nama pengguna dalam pangkalan data untuk mengesahkan pengguna. Sekiranya anda tidak mempunyai keselamatan pelayan yang kuat, seseorang boleh masuk ke dalam pangkalan data dan membaca kata laluan. Salah satu cara untuk mengatasi ini adalah dengan menggunakan kata laluan "hashing, "yang melibatkan menjalankan kata laluan melalui algoritma hash yang menghasilkan nilai unik berdasarkan kata laluan dan menyimpan nilai hash dan bukannya kata laluan itu sendiri. Sekiranya pangkalan data dilanggar, penyerang hanya boleh membaca hash dan tidak tahu apa kata laluan. Walau bagaimanapun, hashing dalam pengertian ini hanya wujud kerana kelemahan pengesahan kata laluan teks biasa.

Kerahsiaan dan Penggunaan Awam

Seperti banyak orang, anda mungkin menggunakan Internet di tempat-tempat kemaluan seperti perpustakaan atau kafe. Tidak dapat tidak, anda mungkin juga akan melayari pelbagai laman web menggunakan kata laluan semasa berada di tempat awam ini. Ini memperkenalkan banyak masalah keselamatan yang wujud dalam pengesahan kata laluan. Pertama, seseorang yang berada di dekat anda mungkin melihat ke atas bahu anda dan membaca kata laluan anda, atau lihat papan kekunci anda dan perhatikan sebatan kekunci anda. Kedua, seseorang yang tersambung ke rangkaian mungkin cuba memintas maklumat kata laluan anda semasa anda log masuk menggunakan program rangkaian yang memantau tempat panas Wi-Fi tempatan.

Penglibatan Pengguna

Mungkin yang paling penting, kata laluan hanya sekuat dan selamat sama dengan jumlah usaha yang digunakan untuk mengekalkannya. Anda mungkin mendapati bahawa banyak orang menggunakan kata laluan umum, seperti "kata laluan, "1234, "atau" lulus "sebagai kata laluan untuk laman web yang mereka gunakan. Selanjutnya, banyak yang akan menggunakan kata laluan yang sama untuk beberapa laman web, yang bermaksud bahawa jika satu laman web dikompromikan, maka laman web lain yang menggunakan kata laluan itu juga terganggu. Juga, anda akan mendapati bahawa banyak pengguna tidak berubah dari kata laluan lalai, seperti kata laluan yang ditentukan oleh pengeluar perisian yang hanya bermaksud berfungsi sementara. Sekiranya seseorang mengetahui kata laluan lalai pengeluar untuk produk, dia bertanggungjawab untuk mencuba kata laluan tersebut terlebih dahulu.