Zastanawialiście się kiedyś jak są zbudowane Wasze hasła? Nie mówię o tych trywialnych, najprostszych, ale nawet o tych, które – przynajmniej teoretycznie – trudniej złamać. Coraz to kolejne badania dowodzą bowiem, że nawet przy mocniejszych hasłach zazwyczaj tworzymy je w bardzo podobny sposób.
Weźmy taki przykład: chcecie stworzyć bezpieczne hasło, z małych liter, jednej wielkiej, cyfr i znaków specjalnych. Załóżmy dla ułatwienia, że trudne hasło brzmi: „haselko”. Jak je zapiszemy? Większość z nas tak:
Haselko1!
może zmienią się cyfry, może znak specjalny (aczkolwiek w znacznej większości przypadków będzie to wykrzyknik) i tyle!
I tu pada pytanie: czy cyber-przestępcy o tym wiedzą? Cóż, zmartwię Was – obawiam się, że tak. Do tego stopnia, że po wykradzeniu bazy najpierw przeprowadzają atak słownikowy, by w kolejnym kroku podstawić odpowiednie tzw. „maski”, czyli schematy według których użytkownicy tworzą hasła. W naszym przypadku maska wygląda tak:
U(W6)ds
U to upper-case (wielka litera), W6 to słowo z sześciu małych liter, d – digit (cyfra), s – symbol.
I tu zaczynają się schody. Testerzy z Praetorian Labs spróbowali złamać bazy z kilku ostatnich wycieków, w sumie niemal 35 milionów haseł. Były one stworzone przy użyciu 260,5 tysiąca unikalnych masek. Wiecie w ilu maskach mieściło się 50 procent najszybciej złamanych haseł? W trzynastu!
Paradoksalnie rzecz biorąc w tej sytuacji można zakładać, że zmiana naszego testowego hasła na:
1!elkoHas
w znaczny sposób zmniejszyłaby ryzyko jego złamania (a jeszcze bardziej, gdyby miało np. 15, a nie 9 znaków)! Crackerowi nie opłaca się siedzieć do końca świata nad bazą (chyba, że łamie hasło do konta Billa Gatesa, którego kasy z całego serca Wam życzę) – wykorzysta hasła fraje... lekkomyślnych, a pozostałe zostawi. I choć aż do tak luźnego podejścia jak w naszym testowym przypadku raczej Was nie namawiam, tym niemniej brak oczywistych wyrazów słownikowych, w miarę porządna długość hasła i „zerwanie” maski mogą znacznie polepszyć naszą sytuację „w razie czego”.