Komplexné alebo dlhé heslo: čo je lepšie?

Najprv nástroj (nevkladajte sam svoje obvyklé heslá!) howsecureismypassword.net. Iste ste sa stretli s požiadavkami systémov či ich administrátorov na to, aby ste použili zložité heslo.

heslo

TLDR: voľte radšej dlhé heslo formulované ako zapamätateľná veta z viacerých slov

Označenie zložité sa často chápe ako komplexné a až v druhom slede dlhé. Pod komplexné sa chápe použitie najširšieho možného rozsahu typov znakov, nielen písmená, nielen malé alebo kombinácia malých, veľkých, číslic a často aj iných znakov, ďalej sa pridávajú kontroly na použitie uhádnuteľných reťazcov (obvykle výskyt časti mien, prezývok, či už vlastných ale aj najbežnejších slov, zrejme s použitím slovníkov) ako aj pravidlá na počty týchto znakov. K tomu sa prakticky vždy pridáva povinnosť meniť takéto heslo po zadanom období s kontrolou opakovaného použitia toho istého hesla (často si to pamätá aj niekoľko hesiel do histórie).

Tu invencia komplexnosti končieva ale aj tak je to nesmierne náročná záležitosť na neustále vymýšľanie pomerne nezapamätateľných kombinácií. Alebo si striktne zjednodušíte prácu a naplníte najnižšie možné kritéria stanovené v systéme. Tým pádom sa nenamáhate použiť viac znakov ako minimálny počet, viac slov a pod.

Existuje však ešte jedna metóda ako urobiť “nenabúrateľné” heslo, ktorého rozlúsknutie môžete tiež trvať podobne dlho ako komplexné heslo.

Finta je jednoduchá: miesto jedného či dvoch slov alebo nezrozumiteľnej kombinácie písmen, číslic a znakov si za heslo zvolím celú vetu resp. sled úplne obyčajných slov.

Poďme si to však vyskúšať na uvedenom webe:

bratislava 9 hodín
Bratislava 1 rok
Bratislava1 412 rokov
Bratislava1* 344 000 rokov

Výsledky nezohľadňujú možnosť, že na lúskanie sa najskôr použije slovník s najbežnejšími slovami (povedzme, že Bratislava v ňom nefiguruje a potom tabuľka platí).

Poďme skúsiť viac slov za sebou:

bratislava 9 hodín
bratislavaje/td> 276 dní
bratislavajepekne 8 000 000 rokov
bratislavajepeknemesto 106 triliónov rokov

Poďme ešte zadať meno Vášho kocúra:

NHk236XAzb*3#!- 157 miliárd rokov
NHk12X*ASda3/td> 344 tisíc rokov
NaH39AX* 3 dni
Na1* 0.0087882602 sekundy

K uvedeným tabuľkám môžeme spochybniť výpočty daného webu, možno prílišnú abstrakciu od slovníkových útokov alebo sociálneho inžinierstva ale ukazuje sa, že komplexné heslá (najmä pravidlo o použití veľkých, malých písmen, číslic a iných znakov) sú pre ich lúsknutie menej dôležité ako dĺžka hesla.

Z toho aj vyplýva, že ak by ste sa stretli s obmedzením maximálneho počtu znakov, tak je to bezpečnostne kontraproduktívne.

No a najväčším záverom je, že zdanlivo jednoduchá logicky znejúca veta je porovnateľne silná ako komplexné heslá z prvej tabuľky.

No a naopak, ak komplexné heslo skracujeme, drasticky sa skracuje čas jeho lúsknutia a už osemznakové komplexné heslo je “nebezpečné”.

Ako vyriešiť tento problém v praxi, keď Váš admin verí komplexnosti hesiel viac ako ich dĺžke?

Vytvorte si logickú vetu s použitím povinných znakov:

BratislavaJeCislo1MedziMestami!

Lúska sa púhych 239 duodecillion rokov (neviem, čo je to za rád) :-)

Napísal rony