Kakšno geslo je varno geslo? Hočem varno geslo!

Po naključju (še sam ne vem kako), sem naletel na ne samo zanimiv, ampak tudi poučen članek o geslih. Članek je v angleščini, napisan zelo razumljivo. Za vse, ki pa vam angleščina ne leži, bom poskušal na kratko povzeti napisano in sporočiti kakšno geslo je najboljše.

Ko se vpisujete v portale, vam pogosto svetujejo, da je vaše geslo dolgo in kompleksno. Vendar ta pogoj ni nujno pravilen za to, da bodo hekerji težko vdrli v vaš račun.

Kako hekerji (ne nujno hekerji) pravzaprav vdirajo v uporabniške sisteme? Naštel vam bom pet načinov:

1.) Vprašajo vas - Bolj enostavno kot se sliši. Mnogo ljudi namreč brez skrbi zaupa geslo svojim partnerjem, kolegom, družini. Na tak način geslo lahko kmalu pride v neprave roke.

2.) Ugibanje - Tudi ne ravno hekerski način, pa vendar učinkovit. Marsikdo uporabi takšno geslo, ki se ga je lahko zapomniti in je povezan z njim. Ime psa (rex), priimek, rojstni datum itd.

3.) Brute force attack, jaz pa bom rekel kar Napad črk - Prestopili smo črto navadnega smrtnika in hekerja.  V tej strategiji vlomilec uporabi program, ki gre v zaporedju abecednih črk (recimo da je naše geslo ime našega psa, rex): aaa, aab, aac,.......raa,.....rax,...rex!!!

4.) Common word attacks, recimo mu Napad besed - Podoben zgornji strategiji, le da tu program uporabi namesto črk znane besede, npr: run, ran, rex (okej, verjetno ni ravno znana beseda, ampak bistvo je opazno)

5.) Dictionary attacks ali Napad s slovarjem. Zopet se strategija nanaša na strategijo zgoraj. Tokrat program išče pravo besedo s pomočjo slovarja knjižnjega jezika. Recimo da smo imeli tukaj pri rexu srečo, pa tudi men se zdi ta zadnji način ne ravno zanesljiv. Ali pač?

Kdaj je geslo varno?

Hekerji se bodo verjetno lotili iskanja gesla s pomočjo tretje, četrte in pete točke. Naj nam bodo te točke v pomoč za to da bomo poiskali varno geslo, ki se ga bomo lahko zapomnili. Recimo da je naše geslo angleška beseda za sonce, sun. Koliko časa bo heker porabil za to da bo geslo odkril, če program uporabi sto gesel na sekundo.

Napad črk: 3 minute

Napad besed: 3 minute

Napad s slovarjem: 1 ura in 20 minut (okej, kateri heker že uporablja napad s slovarjem??)

Seveda nihče z vsaj malo pameti ne uporablja tako kratkih gesel, ampak naj bo to za lažjo predstavo. Koliko časa je potem dovolj, da se programu ne splača iskati našega gesla?

Ena minuta je premalo, prav tako ena ura. Boljše je že, če mora program vaše geslo iskati kakšen dan, ker je malo verjetno da se bo heker spravil na vaš račun s tako željo, da mu bo program iskal geslo en dan.

En mesec je že zadosti. Razen če vas kdo res ne mara?

Eno leto, deset let, geslo je popolno. Skoraj. Kaj pa če bi raje poskusili poiskati geslo, ki ga bo potrebo iskati 100 let? Glede na to, da ima heker lahko srečo in kljub temu najde geslo prej... Hočem geslo za 1000 let! Super in bolj enostavno kot si mislite. 

Poglejmo si spodnjo tabelo, pobrano s spletne strani, s tem originalnim člankom:

Naj povzamem: Za prvo besedo (črke so zmešane) je heker z načinom Napad črk porabil en mesec. Za drugo (zmešanim črkam so dodane številke) je porabil osem mesecev. Za tretjo (črke so zmešane, velike, male, dodana sta številka in znak) je porabil 219 let (teoretično seveda). Za zadnji dve besedi (slovnični in znani besedi) je z načinom Napad besed in Napad s slovarjem heker porabil samo tri minute oziroma eno uro in 22 minut.

Torej je prav da izbiramo zakomplicirana gesla? Ni nujno. Poglejmo si še eno tabelo:

Zgornji tabeli prikazujeta geslo sestavljeno iz dveh ali treh angleški besed, s presledki. Za prvo besedo je z načinom Napada besed heker porabil dva meseca. Zelo dober izbor gesla, glede na to, da si ga je lahko zapomniti. Prav tako pa si je zapomniti drugo geslo, vendar bo moral heker z njim porabiti kar 2 537 let.

vir: http://www.baekdal.com/tips/password-security-usability