Mítosz vagy fontos? Valóban annál jobb egy jelszó, minél hosszabb?
Sokan úgy gondolják, leginkább a kis- és nagybetűk variálása, egy-egy szám vagy különleges karakter elhelyezése erősít a jelszavakon. Pedig az ilyesmi variálás inkább tekinthető alapvetésnek, mintsem extra elővigyázatosságnak. Fontosabb, hogy minél hosszabb legyen az a bizonyos jelszó – figyelmeztetett már 2020-ban az FBI.
Egy 8 karakteres, mindenféle karakterekkel tűzdelt jelszó már nem rövid, ha meg kell jegyezni, de kifejezetten egyszerűnek számít egy nagyobb teljesítményű számítógép számára, ha ki kell találni. Ha emberként akarnánk minden lehetséges kombinációt kipróbálni, hosszú évek alatt sem végeznénk, de egy gép belátható időn belül megtalálja a helyes megfejtést.
Ezért aztán az FBI legalább 15 karakteres jelszavak használatát javasolja.
Hogy mit jelent néhány karakternyi többlet, azt jól mutatja a Statista tavaly őszi gyűjtése. Az alábbi táblázat két szempont alapján mutatja meg, melyik jelszót mennyire könnyű feltörni: hogy hány karakterből áll és hogy milyen karaktersorozatról van szó.
Ezek alapján például egy csupa kisbetűkből (első oszlop) álló jelszó akkor is azonnal feltörhető, ha az 8 karakterből áll, de egy 12 karakteres ugyanilyen kódhoz is csupán 3 hétre van szükség. Ha van benne legalább egy nagybetű (második oszlop), akkor 8 karakternél semmiképp se adjunk meg rövidebbet, 12 karakter esetén viszont már 300 évbe telne a hackereknek megfejteni azt.
Ha legalább egy nagybetűt és egy számot (harmadik oszlop) tartalmaz, akkor egy 12 karakteres jelszó feltörése 2000 évbe telne, míg ha ezek mellett legalább egy szimbólum is van benne (negyedik oszlop), akkor 12 karakter esetében 34 ezer évre nő a megfejtés ideje.
Az tehát jó, ha minél hosszabb a jelszó, de a kód nyújtása főleg akkor ér valamit, ha variálunk is benne.
Érdekesség, hogy amikor a pittsburghi Carnegie Mellon Egyetem kiberbiztonsági laboratóriumának kutatói alanyaiktól azt kérték, hogy jelszavukban legyen nagybetű, szám vagy speciális szimbólum, az emberek többsége az első betűt változtatja meg, a végére pedig szinte bizonyosan egy 1-est meg egy felkiáltójelet biggyeszt. Kísérleteik összegzése után tanácsokat is megfogalmaztak:
legalább tíz karaktert gépeljünk be jelszóként, lehetőleg ne nevet, a betűsort pedig mindenképpen törjük meg számokkal vagy speciális szimbólumokkal – mint például &, @, # –, ne pedig a végére írjuk őket.
A gond az, hogy nem egyszerű 10–15 karakteres, kisbetűt, nagybetűt, számot és különleges szimbólumot is tartalmazó jelszót már kitalálni sem, nemhogy aztán meg is jegyezni. Ráadásul, ahogy a szakértők tanácsolják, minden szolgáltatáshoz másikat.
Egy dublini kiberbiztonsági konferencián hallottunk erre egy jól használható módszert. David Jacoby, a Kaspersky vezető biztonsági kutatója megosztotta velünk saját, valóban elég biztosnak és könnyen megjegyezhetőnek tűnő jelszóalkotási rendszerét. Ha erős jelszót szeretne, nincs más dolga most, mint felidézni kedvenc filmjét vagy regényét. Ha ez megvan, gondoljon belőle arra az idézetre, amit bármikor fel tud idézni. De nem, nem az lesz a jelszava, hiszen az egy értelmes mondat. Az Obi-Wan Jacoby–módszer utolsó lépését megtalálja, ha ide kattintva megnyitja vonatkozó cikkünket.
