Premalo varna gesla izbirajo tudi hekerji

Tisti, ki ves svoj čas s takšnimi ali drugačnimi prijemi namenijo internetnemu vdiranju v zasebnost drugih, so pri varovanju svojih osebnih podatkov podobno malomarni kot njihove žrtve, je na uradnem blogu Avasta, proizvajalca protivirusne zaščite avast!, zapisal programer Antonin Hyža. Kar trije odstotki gesel hekerjev v tekstovni obliki Hyža je pri analizi približno 40 tisoč primerkov zlonamerne programske opreme, kot so zadnja vrata in različni boti, ugotovil, da je bilo med njimi več kot 1200 takšnih, ki so bila v obliki navadnega besedila, še 350 pa je bilo zaščitenih le s preprostim algoritmom MD5 (gre za tako imenovani hash oziroma kriptografsko zgoščevalno funkcijo po slovensko).

Češki programer je štiri odstotke vseh programov (približno 1600 primerkov) nato vzel pod drobnogled in ugotovil, da je precej gesel mogoče izluščiti že s prečesavanjem vrstic izvorne kode. Hekerjev tako niso zaščitile ne naključno generirane 75-znakovne kombinacije črk in številk ne besedne zveze, v katerih so bili uporabljeni sleng, male in velike začetnice ter simboli. 123456 Povprečno geslo iz zgornjega vzorca je za nameček vsebovalo le šest znakov, število spremenljivk, kot so velike črke, številke in dovoljeni simboli, pa je bilo resnično minimalno. "Z metodo 'brute force', ki sistematično preveri vse mogoče kombinacije znakov, dokler ne najde rešitve, je tako slaba gesla mogoče streti že v nekaj minutah," pojasnjuje Hyža. Poleg tega, da so premalo pozornosti posvečali raznovrstnosti znakov, so hekerji pri zaščiti programov iz vzorca za gesla izbirali zares predvidljive besede, ki jih je mogoče najti v praktično vsaki podatkovni bazi, namenjeni napadom z grobo silo (brute force).