Varnost v praksi- Kaj pomeni dobro geslo?

Geslo pa ja ni nek problem, ne? Ko ste si izmišljaji vaše prvo geslo, ste pomislili na vaše ime, priimek in letnico, češ da ste slišali, da je dobro imeti v geslu številke. Pametno. Potem ste naredili, kar bi naredila večina.

10 najbolj uporabljenih gesel na svetu

Kdo vam je svetoval, da mora biti geslo dolgo najmanj 6 znakov, vsebovati vaše ime, priimek in letnico rojstva? Ko smo že pri “neumnostih”, najbolj uporabljena gesla na svetu so:

1. password
2. 123456
3. qwerty
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. (vaše ime)

Ste kdaj pomislili, kako bi lahko vaše geslo naredili bolj varno ali bolj močno? Poglejmo par primerov, ki bodo morda rešili marsikako nevšečnost.

Primer izboljševanja gesla

Vzamimo kot primer, da je vaše geslo kot ga uporablja večina- janeznovak1980. Če bi ocenjevali geslo v procentih, bi za naše izmišljeno geslo dobili negativno oceno oz. pod 50%. Zakaj? Geslo vsebuje le majhne črke, in par številk. Poglejmo, kako bi lahko geslo izboljšali po korakih:

1. Velike in male črke (Case Sensitivity)

Večina programja ali strani, ki zahtevajo geslo pozna občutljivost med velikimi črkami. Kar pomeni da J ni enako kot j. In tukaj že velika razlika, s čimer smo moč našega gesla izboljšali za skoraj enkrat. Zamenjamo le 2 znaka: JanezNovak1980

2. Zamenjava določenih črk s posebnimi znaki ali številkami

Bi znali prebrati naslednje besede: greg0r, m4rko, ml3ko, let@lo, mavr!ca? V tem primeru smo zamenjali črko O z ničlo (O > 0), črko A s številom štiri (A > 4), črko E s številom 3 (E > 3), še en A z znakom afna (A > @) in črko i s klicajem (i > !). Kako bi sedaj izgledalo naše geslo? J4n3zN0v4k1980, kar pa že nam povzroča preglavice in nečitljivost (kljub temu, da bi bilo slednje zelo varno), naj bo naše novo geslo tako: J@n3zN0v@k1980.

3. Zamenjava črk/številk z ostalimi znaki ali dodajanje ostalih znakov

Kateri so “posebni” znaki, ki jih je pametno koristiti? . , : ; ” ! $ # * ? = % &; Da bo naše geslo dovolj enostavno za nas, bomo številke enostavno pisali z držanjem tipke SHIFT. Namesto “1980″ bomo sedaj pisali “!)(=”. Naše končno geslo bo sedaj J@n3zN0v@k!)(=.

Enostavna matematika oziroma “Kako vemo, da je to geslo boljše oz. bolj varno?”

No prav, če že sprašujete, gre za izračunavanje možnih kombinacij z uporabo variacij- Variacije s ponavljanjem so razporeditve, pri katerih poskušamo na r prostih mest razporediti elemente n različnih vrst. Pri tem se lahko element določene vrste v razporeditvi pojavi poljubno mnogokrat.

Poglejmo število izračunov za naše kombinacije po matematični poti:

janeznovak1980 (vsebuje različne črke in različne številke- 26 po angleški abecedi in 9 števil, skupaj 35 znakov).
Matematično: 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 * 35 oziroma 35^14 (14 je znakov v našem geslu).

Rezultat: 4,139,545,122,369,384,765,625.

Rezultat zgoraj je skupno število vseh možnih variacij.

JanezNovak1980 (vsebuje različne VELIKE ali male črke in različne številke).
Matematično: 61^14.

Rezultat: 9,876,832,533,361,318,095,112,441

J@n3zN0v@k!)(= (vsebuje različne VELIKE ali male črke, različne številke in posebne znake, ki jih lahko uporabimo (recimo da so le-te iz naslednjega seznama: !”#$%&/()=?*@{},.-;:_~ – teh je 22)
Matematično: 82^14.

Rezultat: 621,432,458,361,496,515,414,605,824

Kaj so torej slaba gesla (kot tista, našteta zgoraj)? Matematično gledano bo to najbolj jasno:

1. password: 208,827,064,576
2. 123456: 531,441
3. qwerty: 308,915,776
4. abc123: 1,838,265,625
5. letmein: 8,031,810,176
6. monkey: 308,915,776
7. myspace1: 2,251,875,390,625
8. password1: 78,815,638,671,875
9. blink182: 2,251,875,390,625

Preverite sedaj najboljše “zaščiteno” geslo iz seznama z našim najboljše zaščitenim geslom:

password1 (78,815,638,671,875) proti J@n3zN0v@k!)(= (621,432,458,361,496,515,414,605,824).

Načini vdiranja / razbijanja gesel

Recimo tistim, ki vdirajo do vašega računalnika, ki je zaščiteno z geslom, hekerji (čeprav to niso; definicijo hekerja vam lahko najlažje razloži Wikipedia). Vzamimo, da je oseba Milan heker. Milan bi zelo rad prišel do slik na našem računalniku, ki pa je zaščiteno z geslom. Da vam bo zadeva lažje razumljiva bomo rekli tako, da ima Milan dostop do računalnika (je morda vaš partner, brat, sostanovalec?). Milan ima tri možnosti kako bo poskušal vse variacije gesel:

1.Z že vnaprej pripravljenim seznamom besed (dictionary list)- na internetu so prav strani, ki take sezname osvežujejo. Ena takih je Word List Page na Sourceforge-u. Resda je možno, da na tak način ne bo prišel do gesla, je pa verjetnost, da je naše geslo sestavjleno iz besed tega seznama (janez, novak, 1980 na seznamu so).

2. Z grobim pristopom (Brute Force), pri čemer bo verjetno uporabil program, ki bo mu izpisal vse možne kombinacije oz variacije (od tam tudi številke omenjene zgoraj!). Bolj kompleksno bo naše geslo, dalj časa bo trajal njegov podvig. Uspel bo, vendar čez veliko dalj časa. Preverimo časovno zahtevnost- na sekundo program preveri 1.000.000 gesel (primer). Če bi bilo vaša gesla med tistimi, 10 najbolj uporabljenimi, bi to zgledalo takole:

Če je vaše geslo “password”, bi Milan do vaših slik prišel v dobrih dveh dnevih, če bi bilo vaše geslo “123456″ bi do slik prišel v manj kot sekundi, odkrivanje za “abc123″ bi trajalo 30 minut, najdalje bi trajalo razbijanje gesla “password1″, ki bi trajalo 912 dni. In sedaj si mislite, kdo bo čakal tako dolgo, ne? No, 1.000.000 gesel na minuto je resnično minimum. Z močnimi grafičnimi karticami (ja, po novem uporabljajo procesorje grafičnih kartic za razbijanje) lahko razbijejo 200 milijonov gesel v sekundi (mi smo v primeru jemali milijon). V kolikor bi Milan razpolagal z dobro grafično kartico, bi do gesla “password1″ prišel v 4 dneh! Vendar smo vedeli, da bo Milan prej kot slej želel do slik, naše geslo smo izboljšali (saj se še spomnite, J@n3zN0v@k!)(=). Za tako geslo bi milan z dobro grafično kartico potreboval 9.84621346 × 10^10 let! Sedaj vidite, kaj je slabost razbijanja gesel na tak način (če imate dobro geslo seveda)?

3. Zadnja možnost vdora je najbolj banalna- Milan pozna vaše geslo. Morda se sliši smešno, vendar ne boste verjeli, več kot 80% vdorov pride iz notranjosti. To pomeni, da je največja verjetnost, da izgubite podatke ali se vaše slike znajdejo na internetu vaš bivši partner, sodelavec ali podobno!

Torej, če vas Milan ne pozna, bo najprej poskusil s seznamom besed, nato z grobim pristopom. Verjetnost, da bo dobil vaše geslo v manj kot tednu dni je prekleto velika!

Kako potem ravnati z gesli?

Kako ravnati z gesli je odvisno s kakimi podatki razpolagate, kakšno zahtevnost gesla želite in podobno. Našteli vam bomo točke, ki se jih poskusite držati za dobra gesla in delo z njimi:

1. Vaše geslo naj bo sestavljeno po primerih izboljševanja gesla (beri zgoraj),
2. Vaše geslo naj NE vsebuje besed iz slovarjev, letnic vašega rojstva,
3. Menjujte vaše geslo; NE uporabljajte istega gesla 5 let,
4. NE imejte le enega gesla za več dostopov. Seveda vas bo verjetno to zmedlo, gesla boste začeli pozabljati, vendar si lahko pomagate z dvema stvarema:a) Uporabite program za hrambo gesel, recimo KeePass, ki ga uporabljamo tudi sami ali
   b) uporabljajte vzorce: za geslo na ebayu m0j3_eb_g3sl0; za geslo na twitterju m0j3_tw_g3sl0; za geslo na facebooku m0j3_fb_g3sl0 itd.
5. Vaših gesel ne posredujte nikomur.

Dodatno branje in referenčno čtivo

1. Password Strength (Wikipedia),
2. Strong passwords: How to create and use them (Microsoft),
3. Choosing good passwords (AusCERT),
4. Password Strength Checker,
5. Yet Another Password Meter,
6. Insecure.org.

In kakšna so vaša gesla?

Se vam zdi taka resnost z gesli malček banalna? Zakaj sploh bi? Saj nimate ničesar, kar bi vam lahko ukradli? Zakaj pa ponorite, ko izgubite osebno izkaznico, vozniško, ali, bog ne daj, bančno kartico?

 Loading ...