הצורה הבסיסית ביותר של אימות משתמשים, במיוחד באינטרנט, היא פרוטוקול אימות הסיסמה. שיטת אימות זו מאלצת אותך לזכור שילובי שם משתמש / סיסמה כדי לגשת לחשבונות או לחלקים מיוחדים באתר. אמנם יעיל ובמובנים מסוימים הוא חלק מהאבטחה המקוונת, אך פרוטוקולי אימות סיסמה נכשלים כאשר אינך מתייחס אליהם ברצינות. משמעות הדבר היא בניית סיסמאות מורכבות ושמירה על סודיות. פירוש הדבר גם כי ישויות המיישמות אימות סיסמה חייבות להגן על סיסמאות בדרך כלשהי.
התקפות כוח בוטה ומורכבות
אתה בדרך כלל לא יכול לנחש סיסמה אלא אם כן אתה יודע משהו על המשתמש של הסיסמה, ואז רק אם הסיסמה מייצגת משהו שניתן לדעת על אותו משתמש. תוכנות מחשב, לעומת זאת, יכולות לפתוח במתקפות אכזריות על מערכות סיסמאות. פירוש הדבר שתוכנית קוראת ממש דרך מילון מונחים מסופק, מנסה כל מילה עד ששילוב התווים הנכון שובר את הסיסמה. בדרך כלל, הגנה על עצמך מפני התקפות אלה מחייבת אותך ליצור סיסמאות מורכבות הכוללות מספרים, אותיות וסמלים מיוחדים, שקשה לזכור.
אחסון והצפנה
כאשר אתה משתמש באימות סיסמאות, עליך לאחסן סיסמאות ושמות משתמש במסד נתונים כדי לאמת משתמשים. אם אין לך אבטחת שרתים חזקה, מישהו יכול לפרוץ למסד הנתונים ולקרוא את הסיסמאות. אחת הדרכים לטפל בכך היא להשתמש בסיסמת "hashing", הכוללת הפעלת הסיסמה באמצעות אלגוריתם hash שמייצר ערך ייחודי על בסיס הסיסמה ושומר את ערך ה- hash במקום הסיסמה עצמה. אם מסד הנתונים נפרץ, התוקף יכול לקרוא רק את החשיפות ואין לו מושג מה הסיסמאות. עם זאת, גיבוב במובן זה קיים רק בשל חולשתו הטבועה באימות סיסמאות בטקסט רגיל.
סודיות ושימוש ציבורי
כמו אנשים רבים, ככל הנראה אתה משתמש באינטרנט במקומות ערווה כגון ספריות או בתי קפה. באופן בלתי נמנע, כנראה שתתחבר לאתרים שונים באמצעות סיסמאות בזמן שאתה נמצא במקום ציבורי זה. זה מציג מספר בעיות אבטחה הטמונות באימות סיסמאות. ראשית, מישהו קרוב פיזית עשוי להסתכל מעבר לכתף ולקרוא את הסיסמה שלך, או להסתכל במקלדת ולשים לב למשיכות המקשים שלך. שנית, מישהו המחובר לרשת עשוי לנסות ליירט את פרטי הסיסמה שלך בעת כניסה באמצעות תוכניות רשת העוקבות אחר נקודת ה- Wi-Fi המקומית.
מעורבות משתמשים
והכי חשוב, סיסמאות חזקות ובטוחות באותה מידה כמו שווה לכמות המאמץ שמשמשת לתחזוקתן. יתכן שתגלה שאנשים רבים משתמשים בסיסמאות נפוצות, כגון "סיסמה", "1234" או "מעבירים" כסיסמאות לאתרים בהם הם משתמשים. יתר על כן, רבים ישתמשו באותה סיסמה למספר אתרים, כלומר אם אתר אחד נפגע, אזי כל אתר אחר המשתמש בסיסמה זו נפגע. כמו כן, תגלה שמשתמשים רבים אינם משתנים מסיסמאות ברירת מחדל, כגון סיסמאות שהוגדרו על ידי יצרני תוכנה שנועדו לתפקד באופן זמני בלבד. אם מישהו יודע את סיסמת ברירת המחדל של היצרן למוצר, הוא עלול לנסות את הסיסמאות תחילה.