A múlt héten kövéret mosolyogtunk a leggyakoribb, béna jelszavakon, amiket egy pillanat alatt feltörnek: „password”, „1234”, „qwerty”, ilyesmik.
A valóság azonban az, hogy ma már egy komoly rendszer aligha engedi, hogy ilyen jelszóval legyen hozzáférésed. Emlékszel azokra az idegesítő kis piros ikszekre a jelszó-doboz jobb oldalán, amik csak akkor változnak zöld pipává, amikor a beírt jelszavad egy újabb bonyolító-tényező kívánalmainak is megfelel?
Egyrészt azért, mert minden rendszer más és más követelményeket támaszt a jelszavaddal kapcsolatban. Ez persze nem azért gond, mert mindenhol ugyanazt a jelszót akarnád megadni (hiszen olyat úgyse tennél, igaz?). Hanem sokkal inkább azért, mert amikor majd 2-3 hónap múlva az alkalmazás arra kér (vagy kényszerít), hogy változtasd meg a jelszót, akkor legalább ötször kell próbálkoznod, mire sikerül egy megfelelő új jelszót kitalálnod. Eddigre pedig teljesen összezavarodsz, és már az anyukád születésnapját is elfelejted, nemhogy az új belépési kódot.
Az is a baj ezekkel a kritériumokkal, hogy ezek egyetlen dologra vannak optimalizálva: olyan jelszót kell kitalálnod, amit nehéz megjegyezned. Még egyszer leírom: olyat, amit nehéz megjegyezned.
Pedig az ember azt gondolná, hogy egy jelszónak a lényege, hogy te meg tudd jegyezni.
Ráadásul az egész olyan, mintha arra menne ki a játék, hogy mások ne tudják kitalálni a jelszavadat. Mintha bizony mások fejből próbálnák meg kitalálni, hogy mi is lehetett a jelszó.
Jó, persze, ilyen is előfordult már: amikor feltörték Paris Hilton postafiókját, akkor a „hacker” egészen egyszerűen bepróbálkozott Paris kiskutyájának a nevével, amit a bulvársajtóból addigra az egész világ ismert. „Tinkerbel” – és voilá! Teljes hozzáférése volt mindenhez.
De azért azt ne felejtsük el, hogy ez 2000. környékén volt, azóta pedig kijelenthetjük, hogy az IT-biztonság – még a múlt heti ijesztő lista ellenére is – fejlődött valamelyest.
Mit csinálunk tehát, amikor a jelszavunkkal szemben a fentiekhez hasonlóan rengeteg követelményt támasztanak?
Elkészült tehát a tökéletes jelszó – gondoljuk egészen addig, amíg másnap meg nem próbálunk belépni vele. Mert hogy elsőre nem fogjuk eltalálni, az borítékolható.
Most nézzük, hogy valójában mennyire biztonságos az így megszült jelszavunk. Nem fogunk technikai részletekkel, lopott hashekkel és szivárványtáblákkal fárasztani benneteket, egyszerűen meglátogatjuk az alábbi weboldalt, beírjuk a jelszót, és dobpergés…
3 Nap! Egy átlagos PC három nap alatt törné fel a jelszavunkat, amit hosszasan, nagy erőfeszítések árán megalkottunk – és még hosszas, nagy erőfeszítések árán sem leszünk képesek hosszú távon megjegyezni!
Nem mondom, három nap nem kevés idő, de figyelembe véve, hogy ha valaki komolyan gondolja a dolgot, akkor aligha egy átlag PC-vel fog nekiállni hackelni, és ha azt is hozzávesszük, hogy milyen értékes adatok lapulnak a jelszó mögött, akkor azért a B0drI!78-at aligha nevezhetjük jó lelkiismerettel biztonságosnak.
Összességében tehát elmondhatjuk, hogy a rendszergazdák az elmúlt húsz évben arra treníroztak minket, hogy olyan jelszavakat alkossunk, amiket egy ember nehezen jegyez meg, egy gép viszont könnyedén kitalál.
Mi lenne, ha valami olyat választanánk jelszónak, amit azonnal meg tudunk jegyezni, és soha többé nem tudjuk elfelejteni?
Mondjuk azt, hogy „csakegyszálbikinithoztamelazútra”? Vagy – vérmérséklettől függően – „jelszavainkvalánakhazaéshaladás”?
Az első eredménye: 27 kvindecillió év. Egy átlagos PC 27,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000 év alatt lenne képes feltörni ezt a jelszót! Az azért elég biztonságosnak tűnik, nem?
Mi a helyzet a másodikkal?
Egy kicsivel kevésbé biztonságos, de azért még mindig nem rossz: 225,000,000,000,000,000,000,000,000,000,000,000,000,000,000,000 év. És sehol egy szám vagy egy speciális karakter!
Annyi mondjuk, hogy nem valószínű, hogy találsz bármilyen alkalmazást, ami a fenti két jelszó valamelyikét elég biztonságosnak fogadja majd el. Szóval itt az ideje, hogy leülj a rendszergazdáddal, és komolyan elbeszélgessetek!
A viccet félretéve: nem árt, ha tudod, hogy az a tulajdonság, ami a leginkább meghatározza egy jelszó biztonságosságát, az a jelszó hossza. Bár a legtöbb rendszerben a megadható maximális jelszóhosszúság le van korlátozva valahol, de a modern rendszerek némelyikében ez a korlátozás csak 255 karakter környékén lép életbe.
Minthogy a megjegyezhetőség és a hossz között – értelmezhető szöveg esetén – alig van összefüggés, a mindennapi használat során már akkor is beljebb vagy, ha a kutyád neve helyett Brad Pitt (vagy pláne Jennifer Aniston) nevéből indulsz ki.
Szóval hajrá: J3nniferAnist0n<3<3
(14,000,000,000,000,000,000 év)