A szakértők és az FBI szerint könnyebben meg tudjuk jegyezni őket, mint a speciális karaktereket is tartalmazó jelszavakat, és sokkal erősebbek is.
Amikor jelszavakról ás azok hatásosságáról van szó, a szakértők általában két táborra oszlanak. Az első tábor azt mondja, hogy használjunk jelszavakat, melyben speciális karaktereket is beépítettünk, és legyen benne szám és nagybetű is egyaránt.
A másik tábor azonban azt javasolja, hogy úgy növeljük a jelszó erősségét, hogy jelmondatot csinálunk belőle. Azzal érvelnek, hogy a jelmondat hosszabb, mint egy jelszó, de könnyebben észben tudjuk tartani, mint a bonyolult karaktereket tartalmazó jelszavakat.
És mivel a jelmondatok hosszabbak a jelszavaknál, a hagyományos, tömeges próbálkozáson (brute force) alapuló feltörési módszerekkel sokkal nehezebb őket feltörni.
Ebben a szakmai vitában az FBI is állást foglalt, és az amerikai szövetségi iroda a hosszabb és könnyebben megjegyezhető jelmondatok mellett tette le a voksát. Az FBI javaslata szerint a legalább 15 betűből álló jelmondatban nem kell különleges karaktereket használnunk, elegendő csupán megjegyezni a pontos sorrendet, és mégis egy erős és nehezen feltörhető jelmondathoz jutunk.
Néhány példa
Okos jelszavaknak tűnnek például az alábbiak:
AlMaL3! (30 bit, gyenge)
Katic@12 (31 bit, gyenge)
J3lszó-12 (50 bit, átlagos)
Tr0uba4dor&3 (56 bit, átlagos)
De akárhány karaktert változtatunk meg bennük, ha egy számítógép másodpercenként ezer kombinációval tud megpróbálkozni, akkor néhány nap alatt ki tudja őket találni. Ráadásul ezeket a jelszavakat sokkal nehezebb megjegyezni, és gépeléskor viszonylag könnyű elrontani.
A lenti jelmondatok viszont sokkal könnyebben megjegyezhetőek, mégis erősebbek:
vuk megfogta a madarat (85 bit, erős)
kedvencem a törökméz (122 bit, erős)
120 fekvőtámaszt nyom Péter (168 bit, nagyon erős)
fáradt ló poroszkál a ködben (174 bit, nagyon erős)
Egy 2015-ben megjelent akadémiai dolgozat is alátámasztja az FBI érvelését, a kutatás szerint ugyanis a jelszó hosszának növelése csökkenti az ábécé kiterjesztésének (speciális karakterek használatának) hatásait. A fenti jelmondatok feltörése már több száz évet venne igénybe a mai számítási kapacitásokkal.
A tanulság tehát: használjunk 4-5 szavas jelmondatokat.
2 Comments
Az a baj ezzel, hogy rosszul számoltok. A mondatoknál nem a karaktereket, hanem a szavakat kell alapul venni az erősség kiszámolásához. https://hu.wikipedia.org/wiki/Sz%C3%B3kincsm%C3%A9retek_%C3%B6sszehasonl%C3%ADt%C3%B3_list%C3%A1ja Ez alapján olyan 20.000 szó van egy szótárban. Az átlag nem fog ennél többet használni a jelmondataiban, mert lusta, de legyen mondjuk 2^16 = 65536 szó a szótárunkban, akkor 5 szóval 2^(16*5) = 2^80 permutáció lehetséges, tehát 80 bitesnek felel meg. A magyar szerencsésebb ilyen szempontból, mint az angol, mert keményen ragozunk és toldalékozunk, nem csak a szavakat pakoljuk egymás mellé, ezért könnyebb nehezen törhető jelszót választani így, elég csak egy ritka szót vagy ragozást beletenni. Nem lehet abból kiindulni, hogy a hackerek nem próbálkoznak a módszereik továbbfejlesztésével, és ugyanúgy karakterenként próbálják megtörni, pláne ha azt nézzük, hogy a dictionary attack elég alap módszer már ma is. Semmi nem gátolja azt sem, hogy a szavak kombinálása helyett mondjuk csináljanak egy adatbázist a wikipedia összes mondatával, és azt próbálják végig. Ehhez még magyarul sem kell tudni. A számok érdekesek lehetnek ilyen szempontból, mert ha befűzünk egy egyedi számot vagy dátumot egy mondatba, akkor máris jóval nehezebb ilyen dictionary jelleggel feltörni.
Nem számoltunk rosszul. Egy jelmondat elfogadása egyben történik, nem lehet szavanként kitalálni.
Ha a jelmondatom az, hogy “Felrúgta 1 kövér ló az almalevem!” – akkor a “ló” vagy a “kövér” szavakat nem lehet külön-külön kitalálni, ezt egyben kell megtenni.
Annyi igaz, hogy jelmondatnak sem érdemes általánosan ismert mondatokat használni, így például a közismert idézetek rosszabbak lehetnek, mint az egyedi jelmondatok.