Proč jsou passphrase bezpečnější než hesla
Tento příspěvek se snaží přinést odpověď na otázku, proč jsou passphrase bezpečnější než hesla.
Tentokrát vás nebudu obtěžovat žádnou matematikou. Vyjdeme čistě z toho, jaká hesla většina uživatelů volí. Rozhodně to nejsou komplexní hesla, která by bylo obtížné prolomit a nejinak tomu je i u passphrase. Uživatelé mají v okamžiku, kdy jsou vyzvání k zadání passphrase tendenci přistupovat k volbě passphrase stejně nezodpovědně jako k volbě hesla. Uživatelé volí ustálená slovní spojení, která je útočník schopen prolomit obdobným způsobem jako hesla, ale přesto jsou tyto passphrase bezpečnější než heslo. Proč?
Jednoduše proto, že passphrase místo jednoho slova obsahují slova minimálně dvě a také proto, že není k dispozici žádný použitelný slovník, který by nejčastěji používané passphrase obsahoval a tak útočníkovi umožňoval vést na passphrase klasický slovníkový útok. Situace by se samozřejmě změnila v okamžiku, kdy by velké množství uživatelů začalo používat passphrase a následně by se útočníkovi podařilo získat nějakou databázi obsahující tyto passphrase. To by útočníkovi výrazně zjednodušilo útok, neboť by tímto způsobem získal seznam passphrase, který by mohl s úspěchem použít k hádání passphrase do dalších systémů.
Vzhledem k tomu, že v ČR se používání passphrase nijak výrazně neprosadilo, není zřejmé, jaké passphrase by uživatelé skutečně používali, kdyby k tomu byli nuceni a byli poučeni o tom, jak má taková passphrase vypadat. Je otázka, zda na této skutečnosti něco změní stále rostoucí počet uživatelů smartphonů. Domníváme se, že byť se na jejich miniaturní virtuální klávesnici komplexní hesla tvořená pseudonáhodnými znaky zadávají špatně, zatímco passphrase obsahující slova z běžného jazyka celkem pohodlně, tak se kvůli tomu passphrase nijak masivně používat nebudou.
Připusťme však, že je nějaký hodně používaný systém, který po uživatelích požaduje zadání passphrase. Útočník by pravděpodobně v takovém případě začal tím, že si vytvoří slovník, který bude obsahovat dvou a víceslovná spojení jakou jsou názvy filmů, písniček, knih, her, osobností, skupin, klubů, míst a dále pak i běžně používané fráze. Je zřejmé, že pokud nebudou uživatelé nijak poučeni o tom, jak vytvořit bezpečnou passphrase, tak bude útočník nejspíš stejně úspěšný jako v případě klasického slovníkového útoku na heslo.
Závěr: Pokud by většina uživatelů, která dosud používala slabá hesla, začala používat passphrase, mohl by být klid do doby, než bude zase hacknut nějaký server, který passphrase ve své databázi nehashuje.
Štítky: autentizace
K článku “Proč jsou passphrase bezpečnější než hesla” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.