Četrtek, 10. 8. 2017, 4.00
7 let, 1 mesec
Mož, čigar izum uporabljamo vsi, priznal: Polomil sem ga
Bill Burr, zdaj že upokojeni računalniški strokovnjak, je avtor pravil za izmišljanje in uporabo spletnih gesel, ki jih mora že skoraj 15 let upoštevati vsak od nas. A kombinacije velikih in malih črk, številk ter znakov, ki jih je treba na marsikateri spletni strani zamenjati vsakih nekaj mesecev, niso ravno učinkovita zaščita, se s pepelom zdaj posipa Burr.
Najbolj varno geslo vsebuje več vsakdanjih besed brez presledkov in je dolgo več kot 16 znakov. Uporabnik si ga zapomni lažje, hekerji pa ga strejo težje, navajajo nove smernice za učinkovito zaščito uporabniških računov z gesli.
Pravila za uporabo spletnih gesel, ki določajo, kakšne kombinacije znakov moramo izbrati za najbolj optimalno zaščito in kako pogosto je gesla treba menjati, je leta 2003 standardiziral ameriški Narodni urad za standarde in tehnologijo (v nadaljevanju NIST). Našteta so v dokumentu z naslovom Posebna publikacija 800-63, ki ga je napisal Bill Burr, nekdanji sodelavec NIST.
Bill Burr, ki je delal za NIST, ime deli s slavnim ameriškim komikom (na fotografiji).
Burr je pred kratkim za ameriški medij Wall Street Journal priznal, da leta 2003 praktično nihče v NIST ni vedel, kako se lotiti izdelave smernic za uporabo spletnih gesel. Zasnovati so jih želeli na primerih iz resničnega sveta, a takrat je imel svetovni splet precej manj uporabnikov kot danes, na področju gesel pa je vladal divji zahod.
Ker mu vodstvo organizacije ni dovolilo niti vpogleda v gesla, ki so jih uporabljali njegovi sodelavci v NIST, se je Burr obrnil na dokument iz osemdesetih let prejšnjega stoletja, ko svetovni splet sploh še ni obstajal, in smernice za uporabo gesel večinoma zasnoval kar po njem.
Večina pravil, ki jih pri uporabi spletnih gesel danes upošteva velika večina ljudi, je zato naravnost napačnih, priznava Burr, a so kljub temu standard tehnološkega sveta že od leta 2003.
Težava je, da lahko danes najpogosteje uporabljani model za izmišljanje močnega in varnega gesla – naključno kombinacijo osmih ali desetih črk in številk – nekdo, ki to želi storiti, zlorabi oziroma stre zelo hitro. S tako imenovanim napadom s surovo silo, to je preprosto računalniško preizkušanje vseh mogočih kombinacij črk, številk in znakov, je takšno geslo mogoče ugotoviti v nekaj dneh.
Kakšno geslo naj torej izberem, da bo najbolj varno?
Veliko bolj zanesljiva rešitev je uporaba daljšega gesla, v katerem si brez presledkov sledijo preproste in pogosto uporabljane besede, na primer "mačkanovoletoavtoventilator". Ne le, da si je takšno geslo zapomniti lažje kot, na primer, zapleteni "1hkPiyz32", ugotovitev tako dolgega gesla z napadom s surovo silo bi trajala več sto let.
Zgornji nasvet za izmišljanje gesel zdaj priporoča NIST, ki je lani na novo napisal smernice za izmišljanje in uporabo spletnih gesel, izšle pa so pred komaj mesecem in pol.
Ko pravi Paul Grassi, vodilni svetovalec za standarde in tehnologijo pri NIST, bodo poskusili kmalu doseči, da na spletnih portalih ne bo več potrebe po rednem menjanju in izmišljevanju nepotrebno zapletenih gesel, temveč zgolj zahteva po uporabi dolgega gesla.
Priporočilo Grassija je, naj uporabnik izbere kombinacijo vsakdanjih besed, ki si jih bo zapomnil z lahkoto, a naj se hkrati izogne uporabi imen, priimkov, naslovov, vzdevkov in športnih klubov, s katerimi bi ga lahko povezali.
Preberite tudi:
Pred skoraj 40 leti je naredil neumnost, posledice pa čutimo še danes
3