Nedovolím si používať dostatočne jednoduché heslá na zapamätanie a neodporúča sa mi to

autor: Adrian Spinei, utorok 16. októbra 2012, 12:13 hod.

heslá

Postupom času som si musel pamätať viac hesiel, pretože som mal prístup k čoraz väčšiemu počtu systémov a aplikácií, ktoré boli v drvivej väčšine vystavené priamo internetu. Ale nie je to tak, internet bol v tom čase iba metódou komunikácie medzi univerzitnými inštitúciami a nemohlo sa stať nič zlé. Správne? Správne? A pretože som nechcel zdôrazňovať svoje neuróny (moje sú nedostatočné, ako si to čitatelia blogov opakovane všimli) memorovaním hesiel, mojou vtedajšou „neomylnou“ metódou ochrany bolo všade používať jediné heslo. Neviem, či mi skutočnosť, že to bola zložitejšia struna, priniesla nejaké poľahčujúce okolnosti.

Áno, Al, ktorý mi znie pekne svinsky, vyzerá to, že BT už pre mňa nie je, vyzerá to, že BT už pre mňa nie je, vyzerá to, že BT už pre mňa nie je, vyzerá to, že BT už pre mňa nie je, vyzerá to, že BT už pre mňa nie je. ohrozené, ak sa útočníci zmocnili hesiel.

A keď hovorím, že myslím na množstvo porušení bezpečnosti v posledných rokoch, niekedy s jasným odhalením hesiel pre milióny používateľov: EHarmony, Gawker Media (sieť blogov, ktorá vlastní okrem iného Lifehacker a Gizmodo), Zappos, Last.fm, RockYou, Blizzard, LinkedIn, fóra nVidia, Yahoo a dokonca aj prestížny inštitút IEEE. Kryt na kotle predstavuje 77 miliónov účtov vrátane bankových kariet odcudzených zo siete Sony Playstation Network. Niet divu, že Drobox zaznamenal na svojich systémoch zvýšenú nelegálnu aktivitu (spam, phishing) a zistil, že išlo o účty so zneužitím hesiel „z iných zdrojov“.

Máte účet na niektorej z vyššie uvedených webových stránok a vaše heslo je znova použité inde? Porozmýšľajte. Popremýšľajte, koľko ďalších webov možno preniklo a ktoré sa do dnešného dňa nepodarilo zistiť alebo skryť (vyššie uvedené škandály sú väčšinou spúšťané súbormi s účtami, ktoré sa na internete nachádzajú „zadarmo“, a nie interné vyšetrovanie týchto služieb). Priznajme si, že dnes takmer všetci poskytovatelia služieb robia veci dobre a nenechávajú si čisté heslo, ale jeho kryptografický podpis. A teraz sa pozrime na výkon systémov, ako je Project Erebus, ktoré dokážu prejsť celým 8-znakovým priestorom pre heslo za približne 12 hodín. Je pravda, že sa to stáva u algoritmov považovaných za slabé z hľadiska kryptografie, ako sú NTLM, MD5 alebo SHA1 (ktoré sa ešte stále používajú pomerne intenzívne), ale „prelomenie hesla“ nie je prehnaná ani príliš dlhá aktivita.

Z toho všetkého by som mohol vyvodiť jeden záver. Nemôžem si dovoliť používať heslá, ktoré sú dostatočne krátke alebo jednoduché na zapamätanie, a navyše sa neodporúča opakovane používať rovnaké heslo vo viacerých dôležitých službách. Aké je teda riešenie? Rôzne slová, aby si program pamätal pre mňa!

Prečítajte si zvyšok článku a komentujte Netuality.