Opakujeme to stále, zní to banálně, ale klíčem k dobrému heslu je jeho délka. Je to všechno o matematice a samozřejmě o možnostech a důvtipu útočníka. Odhadovaná doba prolomení hesla „qscrgn“ je 7 milisekund podle stránky How Secure Is My Password? Heslo má 6 znaků, a to opravdu není v dnešní době pro počítače žádný oříšek. Zkusíme prodloužit délku na 12 znaků a neuděláme to nijak chytře, prostě jen zopakujeme sekvenci na „qscrgnqscrgn“. Dostáváme výsledek 3 týdny, to už sice útočníkovi trochu otráví život, ale pokud o to bude stát, tak ty tři týdny vydrží počkat.Zkusíme to tedy ještě protáhnout na 18 znaků a dáme „qscrgnqscrgnqscrgn“. Výsledek je 23 miliónů let! Když půjdeme po časové ose zpět, tak před 23 milióny let teprve začínala na Zemi éra savců. Samozřejmě testovací program pracuje s výkonem jednoho běžného PC, takže při zapojení vícero a silnějších strojů se dostáváme na řádově nižší čísla.
Nicméně pokud budeme u hesla uvažovat o 15 znacích, věřte tomu, že bude ještě dlouhou dobu bezpečné. Mimochodem, nevíte, jak daleko jsou na tom s kvantovými počítači?
Jak dosáhnout dlouhého hesla a přitom zapamatovatelného? Použijte frázi, větu.Věta, která má nějaký smysl, se dá snáze zapamatovat a přitom naplní všechny požadavky na bezpečnost. Mimochodem, původně se kdysi v „dřevních“ dobách počítačů používal výraz „Passphrase“, a nikoliv „Password“.
V první řadě by naše heslo nemělo být s námi nijak spojeno a nemělo by to být uhodnutelné slovo, kterému navíc dáme nápovědu na sociálních sítích. Sice máme složité politiky hesel nutící uživatele k malému a velkému písmenu, číslici a divokému znaku, ale na druhou stranu si ty hesla uživatelé nepamatují. Pokud vygenerujeme nějaké složité náhodné heslo, je téměř jisté, že si ho uživatel nezapamatuje. To znamená, že si ho někam bude muset zapsat…
Na druhou stranu, pokud není heslo dostatečně dlouhé, dokáží je stroje celkem rychle rozluštit. Mimochodem, víte o tom, že zpravidla velké písmeno dáváme jako první znak hesla a číslici jako poslední? Je to přirozenost vyplývající z toho, jak jsme se učili ve škole psát. A kyberzločinci to ví samozřejmě také.
Pokud uděláme pseudonáhodné heslo tvořené sekvencí znaků klávesnice, jako jsou „qwert“ nebo „qazwsx“, určitě tím nástroje na lámání hesel neoklameme. Navíc to znamená, že jsme se za 75 let moc neposunuli. Stejnou chybu totiž dělali během druhé světové války němečtí šifranti při vytváření denních šifrovacích klíčů, což mj. přispělo k prolomení Enigmy.
Nespoléhejte se na to, že se uživatelé vašeho informačního systému dokáží sami ubránit. Připravujte je, vzdělávejte. Ten útok jednou přijde. Bezpečné heslo je tím nejjednodušším, co můžeme všichni udělat.
