2013-06-10

Síla hesel


To neděláš dobře s těmi sirkami, Jaromíre.“

Citát ze známé české komedie by dnes šel upravit pro většinu populace používající Internet a počítače. „To neděláte dobře s těmi hesly, vy skoro všichni.“ Motivace pro toto tvrzení viz článek Bruce Schneiera, který poukazuje na nedávný test ArsTechnica (čte se to dobře, jako taková krátká detektivka).

Ukazuje se, že stále rostoucí výpočetní výkon (nejlevněji dostupný v podobě výpočetních jader grafických karet) v kombinaci s obsáhlými a na lámání hesel vyladěnými slovníky způsobuje, že nároky na kvalitní, odolné heslo jdou opravdu vysoko. Fakticky tak vysoko, že většina populace je možná začne považovat za extrémní.

Co s tím? Učit lidi algoritmy tvorby složitých hesel? Bruce Schneier jeden nabízí v druhé polovině svého textu. Každý ajťák možná nějaký takový oblíbený algoritmus má, ale jaký je vztah k tvorbě hesel u běžných uživatelů?

Co přísnější politiky pro tvorbu hesla? I tady jsou limity. Například „Gonefishing1125!“ přece vyhoví každé běžně používané password policy a většina uživatelů vám o něm řekne, že je dost dobré.

Nebo propagovat extrémně dlouhá, nejlépe generovaná a fakticky nezapamatovatelná hesla v kombinaci s bezpečnými správci hesel? Jak kdy, jak u koho. Ale je to možná schůdnější než přechozí varianty, bude-li použitelnost odpovídat potřebám průměru populace uživatelů.

V podstatě jde o ukázkovou těžkou úlohu použitelnosti. Na jedné straně stojí jednoduchost, přímočarost a průhlednost, kterou potřebují uživatelé - ajťáky nevyjímaje, stoupající složitost je přestane bavit jen o něco později než ostatní. A to je nutné doplnit na straně druhé odolností proti extrémnímu výpočetnímu výkonu a řadě pokročilých statistických i psychologických postupů.