Najlepsze hasło to takie, którego… nie pamiętasz

Entropia informacyjna

Teoria kryptografii mówi, żesiła hasła jest ściśle związana z ilością możliwych kombinacjitego hasła. W 4-cyfrowym kodzie PIN istnieje 10.000 unikalnych kombinacji hasła (ilość wszystkich możliwych cyfr do potęgi ilości znaków w haśle). Jeśli 4 cyfry zamienimy na 4 litery, ilość unikalnych kombinacji rośnie (ilość liter alfabetu do potęgi ilości znaków). Jeśli dodamy wielkie i małe litery, cyfry, znaki specjalne, to poziom entropii informacyjnej (miara siły Twojego hasła) w 4-znakowym haśle jest olbrzymia. Tyle teoria i maszyny. Informatycy dążą do tego, byśmy zbudowali jak najbezpieczniejsze hasło za pomocą jak najmniejszej ilości znaków. Ta najmniejsza ilość znaków („twoje hasło musi mieć 4-16 znaków”) jest ważna dla programisty – do przechowywania długich haseł potrzeba więcej pamięci w bazie danych. Dla użytkownika jest całkowicie nieważna.

Polecana książka

Co chce wiedzieć klient?

Jak tworzyć treści w inbound marketingu i sprzedaży odpowiadające na pytania odbiorców

Marcus Sheridan

Sprawdź ofertę | 38,92 zł

O hakerach i dzieweczkach

Które hasło jest łatwiej zapamiętać: H@x00r, czy SzlaDzieweczkaDoLaseczka? To drugie, choćnie wymaga żadnego wysiłku przy zapamiętywaniu, charakteryzuje się dużo wyższym poziomem entropii, niż pierwsze. Nasz mózg nie myśli jak maszyna, dużolepiej mu zapamiętać nadmiar informacji w kontekście(„Litwo, ojczyzno moja…” – ile słów dalej potrafisz wyrecytować?), niż krótką informację, która jest pozbawiona kontekstu (w którym roku urodził się Mickiewicz?). Dużo łatwiej nam zapamiętać,jak dojechaćdo konkretnego miejsca (przejedziesz koło kościółka, przy uschniętym drzewie skręcisz w piaszczystą drogę), niż wyrwany z kontekstu adres. Jeśli chcesz tworzyć hasła, które są łatwe do zapamiętania, a jednocześnie trudne do złamania, zdaj się nasekwencje, które znasz na pamięć, a nie na komplikowanie sobie życia mnogością znaków użytych w haśle. Tą właśnie drogą poszedł Hristo Bojinov z Uniwersytetu Stanforda, kiedy projektował swójeksperymentalny system kryptograficzny. Jego zespół musiał jednak stawić czoło jeszcze jednemu wyzwaniu…

Jesteś swoim najgorszym wrogiem

Znam ludzi, którzymają bardzo skomplikowane hasła do różnych usług online, jeszcze bardziej skomplikowane hasła służą do szyfrowania zawartości ich twardego dysku w laptopie… Wyobrażają sobie, że ktoś, kto będzie chciał uzyskać dostęp do ich danych, ukradnie im laptop, podłączy do jakiegoś doskonałej klasy systemu łamiącego szyfr (w zaprojektowanie którego zainwestował mnóstwo czasu i pieniędzy) i będzie zgrzytał zębami, bo złamanie hasła zajmuje tak dużo czasu… Ja mam inne wyobrażenie o łamaniu haseł. Ktoś, kto będzie chciał uzyskać dostęp do mojego laptopa przejdzie się donajbliższego sklepu z artykułami metalowymi, zainwestuje 5 złotych w metalową rurkę i będzie mniewalił nią w kolano tak długo, aż podam mu hasło. Metoda szybsza, tańsza i o niebo bardziej efektywna, prawda? Bo najsłabszym ogniwem w zabezpieczaniu jakichkolwiek danych zawsze jest człowiek. Kevin Mitnick, legendarny hacker, ujął to najdobitniej: „Łamałem ludzi, nie hasła”.

Najlepiej, gdybyś nie znał swojego hasła

Poważnie, nie żartuję z tym tytułem. Najlepszym zabezpieczeniem byłoby takie, którego nie byłbyś w stanie przekazać osobom trzecim nawet pod presją, szantażem czy na torturach. „Nie podam Ci kodu wstępu do laboratorium, bo go nie znam!” Dziś nikt nie uwierzy Jamesowi Bondowi, który tak mówi na przesłuchaniu. Ale czy nie da się tego zrobić? Wspomniany wyżej Hristo Bojinov rzucił się właśnie na rozwiązanie tego problemu. Jego zespół złożony z kryptologów i neuropsychologów postanowiłzaprojektować system, który pozwoli użytkownikowiwpisać hasło, ale sam użytkowniknie będzie tego hasła znał ani pamiętał.

Nauka przez zabawę. Wpisywanie hasła przez grę.

Jak to działa? Widziałeś filmKarate Kid? Mądry nauczyciel, pan Miyagi, podejmuje się nauczyć Daniela (wymoczkowatego ucznia) karate. Jednak nie ma tam żadnych lekcji w tradycyjnym ujęciu tego słowa – Daniel maluje płot, nosi wodę… A jednak w pewnym momencie okazuje się, że czynności te nauczyły go podstawowych ruchów. Daniel zna karate, choć nie wiedział,kiedysię go nauczył. Proces ten nazywa sięimplicit learning(przetłumaczyłbym to jako „nauka przy okazji”). Wielu rzeczy uczymy się bezwiednie, powtarzając je wielokrotnie. Im dłużej piszesz na klawiaturze komputera, tym szybciej Ci to idzie. Nazywamy to wprawą. Rzeczy, w których jesteśmy wprawni przestają zajmować naszą uwagę, zaczynają się odbywać mniej lub bardziej automatycznie. Mało tego –jeśli zaczynamy się na tym koncentrować, robimy to gorzej. Zapytaj pianistę, który pomylił się w środku utworu. Zamiast koncentrować się na zagraniu konkretnego akordu, dużo łatwiej cofnąć się, zacząć od początku i pozwolić nawykom przejąć kontrolę – wyjdzie dużo lepiej, płynniej. Ta płynność pokazuje, że utwór masz opanowany. A gdybyutwór właśnie był Twoim hasłem? A system poznawał, że masz je opanowane właśnie popłynności, z jaką je wpisujesz? To właśnie rewolucyjny pomysł, który stoi za badaniami zespołu Bojinova. Zaprojektowali onigrę podobną do Guitar Hero, w której wielokrotnie musisz powtarzać 30-znakową sekwencję złożoną ze znaków S, D, F, J, K oraz L. Entropia takiego hasła (ilość kombinacji to sześć do potęgi trzydziestej) jest dużo większa, niż znakomita część stosowanych dziś zabezpieczeń. Innowacyjność tego rozwiązania polega na tym, że „Twoja” sekwencja w grze jest przeplatana innymi, losowymi sekwencjami. W konsekwencjinie wiesz, która sekwencja jest „Twoja”, a jednocześnie, kiedy musisz zagrać w grę, nieświadomie wykonujesz „swoją” sekwencję z większą wprawą – z płynnością, którą da się zmierzyć.

Zagraj mi hasło

Czy to działa? Działa już dziś. Znam osoby, które nie pamiętają haseł, ale potrafią je wpisać na klawiaturze. Taką wprawę nazywamypamięcią ruchową. Dołóżmy do tego elementy frajdy (grywalizacja w pełni, prawda?) i warunki, w których nawet pomimo szczerych chęcinie będziesz znać swojego hasłai… mamy dużo lepsze (i przyjemniejsze w obsłudze) zabezpieczenia.