Na spletni strani howsecureismypassword.net lahko preverimo, koliko časa heker potrebuje, da uspešno vdre v račun ali napravo, zavarovano z različno močnimi gesli z metodo gole sile in povprečno zmogljivim osebnim računalnikom. Tipičen primer velikokrat uporabljenega gesla je ime otroka in njegova letnica rojstva. Preverimo. Emma se je rodila leta 2010. Geslo emma2010 hekerji sile razbijajo v pičlih 11 minutah, zgolj emma pa v trenutku. Toliko glede uporabe gesel z imeni otrok in rojstnimi podatki. Tudi če letnici rojstva dodamo še dan in mesec rojstva, nismo veliko storili. Geslo emma342010 pade v desetih dneh. Sliši se veliko, a v resnici ni! Omenjeni primeri gesel niso dobri, ker jih preprosto uganejo prijatelji, ki te podatke poznajo, ali pa vsi spletni uporabniki, če jih zapišemo v javnem profilu Facebooka. To je sicer že druga zgodba. In kakšno je torej res dobro geslo? Na primer takšno, UKop6&wlk560_AIJ%. Že pravilno ga je težko prepisati, kaj šele zapomniti, a hekerji se bodo z njim mučili 931 trilijonov let. Oziroma se ne bodo, ker nimajo toliko časa. Da bi bila naloga za uporabnike še težja, moramo za vsako spletno storitev imeti enako močno, a drugačno geslo. Še enega si ne moremo zapomniti, kaj šele deset ali več.
Izziv. Geslo si lahko zapomnimo le, če poznamo logiko, po kateri smo ga oblikovali. Gornje močno geslo je nastalo z naključnim pritiskanjem tipk na tipkovnici in upoštevanja pravila, da mora imeti geslo čim več znakov, med njimi pa male in velike črke, številke in, kar je najpomembnejše, posebne znake. Včasih moramo gesla spletnih storitev čim prej zamenjati, saj vdrejo vanje, gesla pa so hekerji ukradli iz sistemov storitev. Potrebujemo strategijo oblikovanja močnih gesel.
Prvo pravilo je znano, vedno najprej začnemo z njim, a kljub vsemu ga veliko uporabnikov še vedno krši. Nikoli ne uporabljamo enakega gesla za več storitev. Uspešen vdor v eno pomeni vdor v vse. Ker pa vemo, da kljub opozorilom to še vedno počnemo, malo omilimo težavo. Pred leti smo v članku o varnem odprtju računa PayPal (tinyurl.com/lowqj77) omenili naslednjo najboljšo možnost. Imejmo močna gesla (in različna) vsaj za storitve, pri katerih nas bo vdor takoj močno udaril po financah. Pri teh sta nujna močno geslo in uporabniško ime (ali kot naslov za komunikacijo), a nikar ne uporabljajte običajnega naslova elektronske pošte. Raje odprimo še en poštni predal Gmail, ki ga bomo uporabljali samo za komunikacijo s storitvijo, tega pa prav tako zaščitimo z močnim geslom.
Naslednje pravilo smo že omenili. Geslo naj bo dolgo najmanj osem znakov, še bolje je, če je daljše. Ker si je predolgo geslo še težje zapomniti, je kompromis dolžina od 10 do 15 znakov. Uporabimo kombinacijo malih in velikih črk, številk in posebnih znakov. S tem otežimo delovanje orodji za vdor z metodo gole sile, ki za razbijanje gesla potrebujejo več časa zaradi večjega nabora znakov, katere medsebojne kombinacije mora orodje preveriti. Več je kombinacij, dlje razbijanje traja. Enako velja tudi, če je geslo zelo dolgo. Torej ne potrebujemo hudo zapletenega niza? Prav tako dobro geslo je morda stavek danesjeenlepsoncendanbrezenegasamegaoblacka. Omenjena spletna storitev vrne število let za razbitje takšnega gesla, ki ga ne znamo niti prevesti v slovenščino. Kaj bi se torej mučili s kombinacijo čudnih znakov, če si lahko izmislimo dolg stavek, ki si ga preprosto zapomnimo, in smo hkrati prepričani, da ga nihče ne bo uganil. Ker preprosto tako geslo ni varno, kar nam pove na primer Facebook, ko ga želimo vpisati kot novo geslo. Po njegovem je šibko kljub dolžini. Primer le kaže, da spletni storitvi preverjanja »moči« gesla ne gre slepo zaupati. Kot tudi ne Facebookovem prikazu moči gesla, ki ga ne zanima toliko dolžina gesla kot raznovrstnost znakov. Hekerji imajo na voljo še drugačne metode za razbijanje gesel, zato primer stavka res ni najboljši.
Na koncu pa ni pomembno, ali sami oblikujemo močno geslo ali to namesto nas storijo spletni generatorji ali generatorji v obliki programske opreme. Gesla si moramo zapomniti. Lahko uporabimo program za upravljanje gesel, vendar je za vse nas najbolj preprosto, če jih imamo nekje zapisane. A ne tako, kot bi morda misli. Uporabimo kartico Savernova, v kateri so naključno zapisani liki. Geslo si oblikujemo tako, da si na njej zamislimo lik, po katerem si znaki gesla sledijo. Kartico imamo vedno pri sebi, njena moč pa je v tem, da imamo lahko na njej različna gesla za različne storitve. Lažje si je zapomniti več likov kot več močnih gesel.
Moj mikro, september – oktober 2014 | Jan Kosmač |
