Praktika onak aspalditik eskatzen zituzten pasahitzak iraungitzea aldian behin betearazteko. Beti izan dut pertsonalki eszeptikoa derrigortutako pasahitza iraungitzeko prozesuarekiko, baina praktika hau oso errotuta dago IT-ko kulturan, ez dudala inoiz arazo hau gainditu nahi izan politika horien erabilerari buruzko aholkuak emanez. Nolabait, hori egitea arduragabea zen. Hala ere, Microsoft-ek berriki argitaratu zituen sistema eragileentzako segurtasun arauak Windows 10 1903 W. Windows 1903. zerbitzaria Gida honetan, Microsoft-ek gomendatzen du pasahitzak iraungitzeko politikak ez erabiltzea. Galdera zergatik da.
Ustekabeko urrats horren atzean dagoen arrazoiketa ulertzeko, IT egunetan pentsatu behar duzu berriro. Garai hartan, oso zaila zen lapurtutako egiaztagirien erabilera aurkitzea. Kasu honetan, pasahitzak iraungitzeko politikak ezarri dira norbaitek pasahitza lapurtu badio, lapurtu duen pasahitza denbora mugatu batez bakarrik erabilgarria izango dela ziurtatzeko.
Gaur egungo estandarren arabera, ikuspegi hori barregarria da. Norbaitek pasahitza lapurtzen badu, minutu gutxitan kalteak eragin ditzake. Zentzuzkoa al da pertsona horri konpromisozko kontuari epaiketa doan ateratzea baimena pasahitza aste batzuetan iraungi arte? noski ezetz. Segurtasuneko arau-hausteak denbora errealean zuzendu behar dira.
Segurtasun ahula, errefortzua ez
Arazoaren beste aldean, aldizkako pasahitz aldaketak eskatzeak erakundearen segurtasuna ahuldu dezake. Informatikako nire hastapenean lan egin nuen erakunde bat baino ezin dut pentsatu. Pentsa dezaketen beste erakunde guztiak bezala, enpresa jakin honek aldizkako pasahitza berrezartzeko eskatu du. Hala ere, edozein lekutan ikusi nuen beste modu batera egin zuten. Erabiltzaileak bere pasahitza sartu beharrean, sistemak pasahitzak ezarri zituen erabiltzaileentzat. Pasahitz hauek ausazko bi hitzek osatzen dute (normalean silaba bat edo bi silaba), espazio batez bereizita. Sistemak sortutako pasahitz baten adibidea “Church Hotel” izan liteke.
Pasahitz eredu honi buruz nabarituko duzun gauza bat da bere sinpletasuna. Pasahitzak 12 karaktere luze baditu ere, bi hitzek, silaba bana osatzen dute eta biak hiztegian daude. Dena den, garbi dut nire pasahitzak gogoratzeko arazoak dituzten pertsonak. Pasahitza berrezarri behar izan nuen ez nintzelako gogoan eman zidan sistemaren pasahitz berria.
Orain, alderatu erakunde askok eskatzen duten pasahitz sinplea gaur egun. Ez da batere arrunta pasahitz modernoak 12 karaktere luze izatea, nire denbora luzeko pasahitza bezalaxe. Baina desberdina da pasahitz modernoak hizki, zenbaki eta goiko eta beheko ikurrak guztiz ausazkoak izan ohi direla. Erabiltzaileek silaba bakarreko hitz bakar bat memorizatzeko arazorik badute, imajina ezazu zein zaila izango den erabiltzaileak ausazko karaktere sorta konplexu bat memorizatzea, batez ere erabiltzailearen pasahitza aste bakoitzean aldatzen denean.
Nire ustez, ez dago ezer pasahitz konplexu eta ausazkoekin. Pasahitzek nahikoa konplexuak izan behar dute hiztegiaren eraso batean piratatuak izan ez daitezen. Hala ere, pasahitz luze eta konplexuak erabiltzeko eskaera eta baita pasahitz aldaketak maiz egin behar izatea arazo bat hasteko eskaera besterik ez da. Erabiltzaile gehienek arazoak izango dituzte oraingo pasahitza gogoratzeko, eta horrek pasahitz berrezartze etengabea, pasahitz ohitura txarrak edo biak dakartza. Adibide konkreturen bat behar baduzu, ez zaitez gehiago hawaiiar larrialdietarako kudeaketa agentzia baino gehiago jaso. Kritika zorrotzak jaso zituen langileetako bat erabiltzailearen pasahitza ohar itsatsi batean idatzita zegoela.
Nik pertsonalki ikusi nuen pasahitz impulsiboa erabiltzearen adibiderik ausartena erabiltzaileak pantaila-babesle bat erabiltzen zuen egoera zen Windows 3D Testua bere pasahitza bistaratzeko. Ezin dituzu gauza horiek konfiguratu.
Hala ere, pasahitzak aldatzeko politikak azken egunetako erlikia dira eta erasotzaileek konprometitutako kontuetarako sarbidea nola lor zezaketen zehaztea zuten helburu. Gaur egun, ordea, pasahitzen segurtasun arau-hausteak lehen baino askoz errazagoak dira. Erakundeak kontu bat hausteko hautemateko duen gaitasunaz konfiantza badago, ez dago arrazoirik erabiltzaileak bere pasahitza aldatzeko, kontua arriskuan jarri ezean.
Pasahitzen etorkizuna
Pasahitzen iraungitze politikak zaharkituta gelditu diren ideiak puntu garrantzitsua planteatzen du. Jende askok pasahitz berak antzinatzat jotzen ditu. 2012ko hitz kablezko artikuluen arabera, bere erroak MIT proiektuan koka daitezke 1960ko hamarkadatik aurrera. Zenbait iturriek zehaztu dute pasahitzen erabilera lehenagokoa izan daitekeela.
Pasahitzak benetan asmatu ziren garaia edozein dela ere, bidezkoa da esatea pasahitzak mende erdi baino gehiago daramatzala. IT teknologia gutxik iraun dute mota honetako iraupenarekin; hala ere, pasahitzaren kontzeptua berrogeita hamar urte baino gehiagoz aldatu da. Batzuek, pasahitzak denbora proba frogatu gabe dagoela esan dezakete, beste batzuek (ni neu barne) pasahitzek erabilgarritasuna gainditu dutela esan dezakete.
Pasahitzen arazo nagusia zera da, erraz hackatu daitekeela. Seguruenik denok entzun dugu sorbalda arakatzen duen norbaitek pasahitz baten istorioak lapurtu zizkion (norbaiten atzean zutik pasahitza idazten duen bitartean). Hala ere, pasahitza idazten duen norbait kontrolatzeko ekintza xumea sofistikatuagoa da. Atzo, norbaitek, aktore gaiztoak termikako kamera erabiltzen ari ziren esplotazio bat kontatu zidan teklei bero-sinadurak bilatzeko. Esan didatenaren arabera, ustiapen hau kutxazainetan PINak erabiltzen dira, PINak ezagutzeko, baina oinarrizko kontzeptu bera pasahitz lapurretei erraz aplika dakieke.
Azken urteotan, teknologiak alternatiba hobeak, seguruagoak eta ez hain sofistikatuak eskaini dizkigu. Adibidez, Microsoft Surface Book ordenagailu eramangarria konfiguratuta dago 2 Zure aurpegiaren aitorpen autentifikazioa egin. Saioa hasierako prozesuak harrigarriro funtzionatzen du, eta ez dago gogoratzeko pasahitzik. Besterik ez, aukera gutxi dago norbaitek pasahitza lapurtzeko, ez dagoelako pasahitzik. Emandako azalera liburuak erabiltzen du 2 PIN digitala babes-autentikazio mekanismo gisa, baina PIN bat aurpegiko aitorpen porrotaren kasuan soilik behar da eta aurpegiko aitorpen mekanismoak nahiko ondo funtzionatzen du, autentikazio akatsak oso bakanak izan daitezen.
Iraungitze politika aldatzea: abisu bat
Nire ustez, urrats hau espero zen pasahitza iraungitzeko politikak kentzeko. Pasahitz aldaketak egiteko aldizkako baldintzak ez dira oso ondo ari mundu modernoan, eta segurtasuna benetan ahultzen da. Pasahitza aldatzeko politika erabat abandonatu aurretik, gogoan izan behar da politika horiek uztea agian ez dela aukera bat erakunde arautuan. Araudi-eskakizun batzuek beren pasahitzak aldatu behar diren maiztasunari buruzko baldintza zehatzak izan ditzakete.