Komplexné alebo dlhé heslo: čo je lepšie?
Najprv nástroj (nevkladajte sam svoje obvyklé heslá!) howsecureismypassword.net. Iste ste sa stretli s požiadavkami systémov či ich administrátorov na to, aby ste použili zložité heslo.
TLDR: voľte radšej dlhé heslo formulované ako zapamätateľná veta z viacerých slov
Označenie zložité sa často chápe ako komplexné a až v druhom slede dlhé. Pod komplexné sa chápe použitie najširšieho možného rozsahu typov znakov, nielen písmená, nielen malé alebo kombinácia malých, veľkých, číslic a často aj iných znakov, ďalej sa pridávajú kontroly na použitie uhádnuteľných reťazcov (obvykle výskyt časti mien, prezývok, či už vlastných ale aj najbežnejších slov, zrejme s použitím slovníkov) ako aj pravidlá na počty týchto znakov. K tomu sa prakticky vždy pridáva povinnosť meniť takéto heslo po zadanom období s kontrolou opakovaného použitia toho istého hesla (často si to pamätá aj niekoľko hesiel do histórie).
Tu invencia komplexnosti končieva ale aj tak je to nesmierne náročná záležitosť na neustále vymýšľanie pomerne nezapamätateľných kombinácií. Alebo si striktne zjednodušíte prácu a naplníte najnižšie možné kritéria stanovené v systéme. Tým pádom sa nenamáhate použiť viac znakov ako minimálny počet, viac slov a pod.
Existuje však ešte jedna metóda ako urobiť „nenabúrateľné“ heslo, ktorého rozlúsknutie môžete tiež trvať podobne dlho ako komplexné heslo.
Finta je jednoduchá: miesto jedného či dvoch slov alebo nezrozumiteľnej kombinácie písmen, číslic a znakov si za heslo zvolím celú vetu resp. sled úplne obyčajných slov.
Poďme si to však vyskúšať na uvedenom webe:
| bratislava | 9 hodín |
| Bratislava | 1 rok |
| Bratislava1 | 412 rokov |
| Bratislava1* | 344 000 rokov |
Výsledky nezohľadňujú možnosť, že na lúskanie sa najskôr použije slovník s najbežnejšími slovami (povedzme, že Bratislava v ňom nefiguruje a potom tabuľka platí).
Poďme skúsiť viac slov za sebou:
| bratislava | 9 hodín |
| bratislavaje/td> | 276 dní |
| bratislavajepekne | 8 000 000 rokov |
| bratislavajepeknemesto | 106 triliónov rokov |
Poďme ešte zadať meno Vášho kocúra:
| NHk236XAzb*3#!- | 157 miliárd rokov |
| NHk12X*ASda3/td> | 344 tisíc rokov |
| NaH39AX* | 3 dni |
| Na1* | 0.0087882602 sekundy |
K uvedeným tabuľkám môžeme spochybniť výpočty daného webu, možno prílišnú abstrakciu od slovníkových útokov alebo sociálneho inžinierstva ale ukazuje sa, že komplexné heslá (najmä pravidlo o použití veľkých, malých písmen, číslic a iných znakov) sú pre ich lúsknutie menej dôležité ako dĺžka hesla.
Z toho aj vyplýva, že ak by ste sa stretli s obmedzením maximálneho počtu znakov, tak je to bezpečnostne kontraproduktívne.
No a najväčším záverom je, že zdanlivo jednoduchá logicky znejúca veta je porovnateľne silná ako komplexné heslá z prvej tabuľky.
No a naopak, ak komplexné heslo skracujeme, drasticky sa skracuje čas jeho lúsknutia a už osemznakové komplexné heslo je „nebezpečné“.
Ako vyriešiť tento problém v praxi, keď Váš admin verí komplexnosti hesiel viac ako ich dĺžke?
Vytvorte si logickú vetu s použitím povinných znakov:
BratislavaJeCislo1MedziMestami!
Lúska sa púhych 239 duodecillion rokov (neviem, čo je to za rád) :-)
