Na łamach BIZNESU BEZ STRESU zajmowałem się już problemem haseł do systemów komputerowych i serwisów internetowych, czyli „kluczy” zabezpieczających nasze cyfrowe zasoby przed kradzieżą i nieuprawnionym dostępem. Hasła te powinny być jednocześnie łatwe do zapamiętania (żeby nie trzeba było ich zapisywać) i trudne do złamania (z oczywistych powodów). Te dwie cechy wydają się być nie do pogodzenia, więc albo stosujemy hasła banalne, albo skomplikowane, które zapisujemy na karteczkach lub przechowujemy w zaszyfrowanej postaci, korzystając z wyspecjalizowanego oprogramowania lub serwisów sieciowych.

Steve Gibson, specjalista do spraw bezpieczeństwa komputerowego, twórca znakomitego programu do odzyskiwania danych SpinRite oraz terminu „spyware”, odkrył ostatnio nową, genialną w swej prostocie metodę tworzenia haseł. Haseł, które są jednocześnie łatwe do zapamiętania i trudne do złamania!

Zastanówmy się najpierw, jak Niedobry Haker podchodzi do łamania naszych haseł. Po pierwsze za pomocą olbrzymiego słownika sprawdza wszystkie ciągi znaków, które mogą się z czymś kojarzyć: liczby, słowa, zmodyfikowane słowa oraz ich nieskomplikowane połączenia – na przykład:

• „pies”, „pies0”, „pies1”, „pies2”,… „pies9”;
• „Pies”, „Pies0”, „Pies1”, „Pies2”,… „Pies9”;
• „piEs”, „piEs0”, „piEs1”, „piEs2”,… „piEs9”;
• „pie5”, „pie50”, „pie51”, „pie52”,… „pie59”;
• i tak dalej…

Atak słownikowy wymaga znacznej liczby sprawdzeń, jednak ogranicza się do stosunkowo skromnego repertuaru ludzkich skojarzeń. Co to jest „pies”, wie każdy, zaś „pvra” to słowo, które raczej nikomu nie przyjdzie samoistnie do głowy.

Gdy powyższa metoda nie przynosi sukcesu, Niedobry Haker musi uciec się do znacznie bardziej pracochłonnego łamania hasła „brutalnom siłom” poprzez sprawdzenie WSZYSTKICH możliwych, „niekojarzących się z niczym” ciągów znaków. Liczba kombinacji, które trzeba w tym przypadku poddać próbie jest olbrzymia i zależy od nieznanej Niedobremu Hakerowi długości hasła i nieznanego repertuaru użytych w nim znaków (czy są to tylko małe litery, czy małe i wielkie litery, czy małe i wielkie litery oraz cyfry, czy wreszcie małe i wielkie litery oraz cyfry i znaki przestankowe).

Zatem podsumujmy: dobre hasło to takie, którego nie da się znaleźć w słowniku i które jest długie. Dobre hasło nie musi być wcale skomplikowane! Pracochłonność procedury szukania od tego nie zależy! Zależy od wielkości stogu, który trzeba przekopać!

Na przykład 24-znakowe hasło „Pie5………………..” jest 95 razy trudniejsze do złamania niż 23-znakowe hasło „PrXyc.N(n4k77#L!eVdAfp9”.

Oczywiście pod warunkiem, że Niedobry Haker nie wie, jak długi jest ogon, który doczepiliśmy naszemu psu. I z jakich znaków się ten ogon składa. I czy doczepiliśmy go z tyłu, z przodu, czy w środku.

Dodatkowo warto różnicować swoje hasło tak, żeby nie używać tego samego ciągu znaków do uzyskiwania dostępu do wielu witryn internetowych, ponieważ Niedobry Haker mógłby jednym, zgubionym przez nas kluczem otworzyć wszystkie nasze cyfrowe szuflady.

A oto prosty przykład użycia metody Steve Gibsona do utworzenia zbioru mocnych, łatwych do zapamiętania haseł do wybranych witryn internetowych: słowo kluczowe: „klon” (zmodyfikowane w następujący sposób: „kl0N”), wypełniacz: „.1” powtórzony 4 razy, identyfikator witryny: dwa pierwsze znaki:

• gmail: „kl0N.gm.1.1.1.1”
• amazon: „kl0N.am.1.1.1.1”
• twitter: „kl0N.tw.1.1.1.1”
• facebook: „kl0N.fa.1.1.1.1”

PS. Steve Gibson opisał swoją metodę w artykule „Password Haystacks: How Well Hidden is Your Needle?”.

• x-a-propos