Najosnovniji oblik provjere autentičnosti korisnika, posebno na webu, je protokol provjere autentičnosti lozinke. Ova metoda provjere autentičnosti prisiljava vas da zapamtite kombinacije korisničkog imena i lozinke za pristup računima ili posebnim odjeljcima web stranice. Iako su učinkoviti i na neki su način u osnovi dio mrežne sigurnosti, protokoli za provjeru autentičnosti zakazuju kada im se ne obratite ozbiljno. To znači izradu složenih lozinki i održavanje tajnosti. To također znači da subjekti koji provode provjeru autentičnosti lozinke moraju na neki način zaštititi lozinke.
Napadi i složenost grube sile
Lozinku obično ne možete pogoditi ako ne znate nešto o korisniku te lozinke, i to samo ako lozinka predstavlja nešto o tom korisniku. Međutim, računalni programi mogu pokretati napade grubom silom na sustave lozinki. To znači da program doslovno čita ponuđeni rječnik pojmova, pokušavajući svaku riječ dok točna kombinacija znakova ne slomi lozinku. Tipično je da se zaštitite od ovih napada trebate stvoriti složene lozinke koje uključuju brojeve, slova i posebne simbole, a kojih je teško zapamtiti.
Pohrana i šifriranje
Kada koristite autentifikaciju lozinkom, morate pohraniti lozinke i korisnička imena u bazu podataka da biste provjerili autentičnost korisnika. Ako nemate jaku sigurnost poslužitelja, netko može provaliti u bazu podataka i pročitati lozinke. Jedan od načina da se to riješi je korištenje "raspršivanja lozinke", što uključuje pokretanje lozinke kroz algoritam raspršivanja koji stvara jedinstvenu vrijednost na temelju lozinke i pohranjuje vrijednost raspršivanja umjesto same lozinke. Ako je baza podataka probijena, napadač može čitati samo hashove i nema pojma koje su lozinke. Međutim, raspršivanje u tom smislu postoji samo zbog urođene slabosti provjere autentičnosti lozinke u običnom tekstu.
Tajnost i javna upotreba
Kao i mnogi ljudi, internet vjerojatno upotrebljavate u stidnim mjestima poput knjižnica ili kafića. Neizbježno ćete se također prijaviti na razne web stranice koristeći lozinke dok ste na ovom javnom mjestu. Ovo uvodi više sigurnosnih problema svojstvenih provjeri autentičnosti lozinke. Prvo, netko tko je fizički u vašoj blizini može pogledati preko vašeg ramena i pročitati vašu lozinku ili pogledati tipkovnicu i primijetiti vaše udarce tipkama. Drugo, netko povezan s mrežom mogao bi pokušati presresti podatke o vašoj lozinci dok se prijavljujete pomoću mrežnih programa koji nadziru lokalnu Wi-Fi žarišnu točku.
Angažman korisnika
Možda najvažnije, lozinke su toliko jake i sigurne koliko su jednake naporu koji se koristi za njihovo održavanje. Možda ćete otkriti da mnogi ljudi koriste uobičajene trofeje lozinki, poput "lozinka", "1234" ili "prolaz" kao lozinke za web lokacije koje koriste. Nadalje, mnogi će koristiti istu lozinku za više web lokacija, što znači da ako je jedna web lokacija ugrožena, tada je ugrožena i svaka druga web lokacija koja koristi tu lozinku. Također ćete otkriti da se mnogi korisnici ne mijenjaju sa zadanih lozinki, poput lozinki koje su definirali proizvođači softvera namijenjene samo privremenom funkcioniranju. Ako netko zna zadanu lozinku proizvođača za proizvod, dužan je prvo isprobati te lozinke.
