Nejzákladnější formou ověřování uživatelů, zejména na webu, je protokol ověřování pomocí hesla. Tato metoda ověřování vás nutí zapamatovat si kombinace uživatelského jména a hesla pro přístup k účtům nebo zvláštním částem webu. I když jsou účinné a v některých ohledech v zásadě součástí zabezpečení online, protokoly pro ověřování hesel selžou, když se jimi nezabýváte vážně. To znamená budování složitých hesel a zachování tajemství. To také znamená, že entity implementující ověřování pomocí hesla musí nějakým způsobem chránit hesla.
Útoky a složitost hrubou silou
Obvykle nemůžete hádat heslo, pokud nevíte něco o uživateli tohoto hesla, a to pouze v případě, že heslo představuje něco známého o daném uživateli. Počítačové programy však mohou na systémy hesel zahájit útoky hrubou silou. To znamená, že program doslova čte poskytnutý slovník termínů a zkouší každé slovo, dokud správná kombinace znaků heslo nezlomí. Ochrana před těmito útoky obvykle vyžaduje, abyste vytvořili složitá hesla, která obsahují čísla, písmena a speciální symboly, což si lze těžko zapamatovat.
Úložiště a šifrování
Když používáte ověřování pomocí hesla, musíte hesla a uživatelská jména ukládat do databáze, abyste ověřili uživatele. Pokud nemáte silné zabezpečení serveru, může někdo proniknout do databáze a číst hesla. Jedním ze způsobů, jak to vyřešit, je použití hesla „hash“, které zahrnuje spuštění hesla pomocí hashového algoritmu, který na základě hesla vytvoří jedinečnou hodnotu a místo samotného hesla uloží hodnotu hash. Pokud je databáze narušena, může útočník číst pouze hodnoty hash a nemá tušení, co jsou hesla. Hashování v tomto smyslu však existuje pouze kvůli inherentní slabosti autentizace pomocí hesla v prostém textu.
Utajení a veřejné použití
Stejně jako mnoho lidí pravděpodobně používáte internet na veřejných místech, jako jsou knihovny nebo kavárny. Na tomto veřejném místě se nevyhnutelně také pravděpodobně budete přihlašovat k různým webům pomocí hesel. Tím se zavádí několik problémů se zabezpečením, které jsou vlastní autentizaci pomocí hesla. Za prvé, někdo fyzicky poblíž vás se může podívat přes rameno a přečíst si heslo, nebo se podívat na klávesnici a zaznamenat si stisky kláves. Zadruhé, někdo připojený k síti se může pokusit zachytit informace o vašem hesle, když se přihlašujete pomocí síťových programů, které monitorují místní aktivní bod Wi-Fi.
Zapojení uživatele
Snad nejdůležitější je, že hesla jsou pouze tak silná a bezpečná, že se rovná množství úsilí vynaloženého na jejich údržbu. Možná zjistíte, že mnoho lidí používá jako hesla pro weby, které používají, běžné hesla hesel, například „heslo“, „1234“ nebo „předat“. Mnozí navíc budou používat stejné heslo pro více webů, což znamená, že pokud dojde k ohrožení jednoho webu, dojde také k ohrožení jakéhokoli jiného webu, který toto heslo používá. Zjistíte také, že mnoho uživatelů se nemění z výchozích hesel, jako jsou hesla definovaná výrobci softwaru, která mají fungovat pouze dočasně. Pokud někdo zná výchozí heslo výrobce pro produkt, je povinen si tato hesla nejprve vyzkoušet.