Dobré heslo

Nechci se opakovat, ale klíčem k dobrému heslu je jeho délka. Co si budeme povídat, je to všechno o matematice a samozřejmě i o důvtipnosti útočníka. Hned udělám malou odbočku – víte, jaká technika samoobslužné obnovy hesla je považována za nejhorší? Je to kontrolní otázka, tak často kdysi používaná u různých webmailů. A proč tomu tak je? Jednak, protože všichni používali svého času stejnou, kdy první volba zpravidla byla jméno matky za svobodna a také je uživatelé sami zapomínali a útočníci je dokázali poměrně snadno vyluštit.

Takže, v první řadě by naše heslo nemělo být s námi nijak spojeno a nemělo by být uhodnutelné slovo, kterému případně dáme nápovědu na sociálních sítích. Když už jsem zmínil resetovací otázku, ono je to dost podobné i s hesly. Sice máme složité politiky hesel nutící uživatele k malému a velkému písmenu, číslici a divokému znaku, ale na druhou stranu si ty hesla uživatelé nepamatují. Pokud vygenerujeme nějaké složité náhodné heslo, je velmi pravděpodobné, že uživatel si ho nezapamatuje, což znamená, že si ho někde bude zapisovat a na druhou stranu, pokud není heslo dostatečně dlouhé, dokážou je stroje celkem rychle luštit. Mimochodem, víte o tom, že zpravidla velké písmeno dáváme jako první znak hesla a číslici jako poslední? Je to přirozenost vyplývající z toho, jak jsme se učili ve škole psát a kyberzločinci to ví také.

Pokud uděláme pseudonáhodné heslo tvořené sekvencí znaků klávesnice jako jsou „qwert“ nebo „qazwsx“, určitě tím nástroje na lámání hesel neoklameme a navíc to znamená, že jsme se za 75 let moc neposunuli. Stejnou chybu totiž dělali během druhé světové války němečtí šifranti, při vytváření denních šifrovacích klíčů, což mj. přispělo k prolomení Enigmy.

Pojďme tedy k matematice a délce klíče. Odhadovaná doba prolomení hesla „qscrgn“ je 7 milisekund podle stránky How Secure Is My Password? Heslo má 6 znaků, a to opravdu není v dnešní době pro počítače žádný oříšek. Zkusím tedy prodloužit délku na 12 znaků a neudělám to nijak chytře, prostě jen zopakuji sekvenci na „qscrgnqscrgn“. Dostáváme výsledek 3 týdny, to už sice útočníkovi trochu otráví život, ale pokud o to bude stát, tak ty tři týdny vydrží počkat.

Zkusíme to tedy ještě protáhnout na 18 znaků a dáme „qscrgnqscrgnqscrgn“. Výsledek je 23 miliónů let! Když půjdeme po časové ose zpět, tak před 23 milióny let teprve začínala na zemi éra savců. Samozřejmě testovací program pracuje s výkonem jednoho běžného PC, takže při zapojení více a silnějších strojů se dostáváme na řádově nižší čísla, nicméně pokud budeme u hesla uvažovat o 15 znacích, věřte tomu, že bude ještě dlouhou dobu bezpečné. I když nevím, jak daleko jsou s kvantovými počítači 😊.

A jak dosáhnout dlouhého hesla a přitom zapamatovatelného? Použijte frázi, větu ... Fráze, věta, která má nějaký smysl, se dá snáze zapamatovat a přitom naplní všechny požadavky na bezpečnost. Mimochodem, původně se kdysi v „dřevních“ dobách počítačů používal výraz „Passphrase“ a nikoliv „Password“.

Nespoléhejte na to, že se Vaši uživatelé dokážou vždy sami ubránit, chystejte je na to, trénujte je na to. Bohužel se dá čekat, že ten útok jednou přijde.

Pokud nevíte, kde je největší nebezpečí, co byste měli udělat hned a co počká, jaký bezpečnostní systém je vhodný pro vás s ohledem na váš business a velikost, klidně se obraťte na AUTOCONT. Rádi Vám poradíme a jak se říká, za zeptání nic nedáte :-). AUTOCONT ví jak.