Kako izbrati dobro geslo
(in si ga zapomniti)
"21% gesel smo uganili v prvem tednu,
2.7% pa ze v prvih 15 minutah preverjanja." [1]
Slaba gesla
Da spoznamo dobro geslo, moramo najprej poznati slaba.
Slaba so tista gesla, ki jih je mogoce uganiti z avtomatiziranim
poskusanjem. Programi za ugibanje gesel zmorejo pregledati vse
kombinacije znakov le za krajsa gesla (do npr. 6 znakov v spremljivem casu),
pri ugibanju daljsih gesel pa se zatecejo k poskusanju s podmnozico gesel,
ki sloni na poznavanju osebnih podatkov o uporabniku in na splosno znanih
besedah iz slovarjev, knjig in podobnih zbirk besed ali krajsih fraz,
ter na preprostejsih izpeljankah in variacijah teh besed.
Javno in preprosto je dostopna ogromna kolicina besed v raznih jezikih,
zato nismo varni niti z geslom v eksoticnem jeziku niti z malo znanim
mitoloskim bitjem.
Slabo geslo je:
- geslo, sestavljeno ali izpeljano iz vasega uporabniskega imena
(sifre na racunalniku), imena in priimka ali iz drugih osebnih podatkov,
kot so npr.: ime soproga/soproge, otrok, starsev, psa,
ime sodelavca/sodelavke ali prijatelja/prijateljice;
vasa telefonska stevilka, registrska tablica avtomobila,
ime firme, katerikoli del vase maticne stevilke - vkljucno s preprostimi
permutacijami teh delov
(npr.: Jereb, pjereb, peterj, PETER,
Dr.Jereb, retepJ, jerebjereb...);
- geslo, izpeljano iz imena vasega racunalnika ali operacijskega sistema
ali izpeljano iz kateregakoli uporabniskega imena na tem racunalniku,
vkljucno v variantami: z veliko zacetnico, podvojeno, napisano nazaj,
napisano naprej in nazaj ipd;
- geslo, ki je beseda, ki jo lahko najdemo v slovarjih (v domacem
ali tujem jeziku), leksikonih in drugih spiskih besed in verjetnih gesel,
med drugim:
- imena slavnih ljudi ali izmisljenih junakov,
imena mitoloskih bitij, sportnih ekip, ...;
- lastna imena, priimki, krajevna imena;
- naslovi filmov in knjig ter krajev in oseb iz njih;
- strokovni ali zargonski izrazi;
- pogoste ali vulgarne fraze in njihove okrajsave;
- imena firm in njihovih proizvodov (avtomobili, letala, racunalniki,
HiFi in foto tehnika, ...);
- kratice;
- iz gornjih imen tvorjeni: mnozina, pridevnik, trpnik,
v anglescini dodani "ing" ali "ed" in podobne izpeljanke;
- zamenjave crk v gornjih besedah, med drugim zamenjava prve (ali poljubne)
crke v besedi z veliko crko ali s krmilnim znakom, pretvorba cele besede
v velike crke, beseda zapisana nazaj ali podvojena, zamenjava
- crke 'o' v cifro '0',
- crke 'l' v cifro '1',
- crke 'z' v cifro '2',
- crke 'h' v cifro '4',
- crke 's' v cifro '5' ali znak '$',
- crke 'a' ali 'o' v znak '@', in podobno;
- preprost vzorec (bbbbbb, 12345678),
vzorec s tipkovnice (qwerty, asdfghjkl);
- geslo iz stevilk, se posebno iz takih, ki izvirajo iz osebnih podatkov,
npr. telefonske stevilke, maticne stevilke, naslovi, registrske tablice, datumi;
pa tudi druge stevilke zapisane s ciframi, npr. 2001,
ali zapisane z besedo (dvanajst, twelve);
- karkoli od doslej nastetega, cemur sledi (ali pred katerim stoji)
ena cifra, dvomestna letnica ali locilo;
- karkoli od doslej nastetega, zapisano nazaj
(ali podvojeno za kratke besede);
- geslo, krajse od sest znakov;
- za Unix sisteme: geslo, ki je sestavljeno iz samih velikih
ali samih malih crk (glej spodaj).
Dobra gesla
Dobro geslo je tako, ki si ga z lahkoto zapomnimo,
a ga je tezko uganiti.
Ne dá se povedati pravila, kako sestaviti dobro
geslo - takoj ko bi ga povedali, tako narejena gesla ne bi bila
vec dobra. Ce pa se izogibamo zgoraj nastetim slabim geslom
in prepustimo svoji domisljiji prosto pot, bomo ob spodnjih idejah
lahko brez tezave izbrali odlicno geslo:
- uporabimo dvoje ali vec pomensko nepovezanih besed,
vmes pa namecemo se kaksno cifro ali locilo:
RIBA04grd, muc_St0l
- uporabimo zacetne crke stavka, ki si ga je lahko zapomniti,
a ga je tezko uganiti, npr.:
Hladno pivo! Kar dva prinesite prosim. ->
Hp!K2pp. (Unix), hpivo_k2pp (VMS)
- ce uporabimo nesmiselni stavek [2,
3, 4],
bo geslo se tezje uganiti, zaradi kaksne sokantne ali vulgarne beseda
v njem pa si ga lazje zapomnimo:
Zakokodakal si je: "fikslavdon, strela nebeska!" ->
Zsj:f,Sn! (Unix), zkksjfl$n (VMS)
Ne pozabite, da mora biti izbrano geslo dovolj dolgo,
da ga ni mogoce uganiti s poskusanjem vseh kombinacij znakov.
Ne uporabite gornjih primerov za svoja gesla!
S tem, da smo jih zapisali, so postala slaba.
Omejitve operacijskega sistema
V idealnem primeru lahko v geslu uporabljamo vse 8-bitne znake,
vkljucno z locili, posebnimi znaki, krmilnimi znaki, ter velikimi
in malimi crkami, ki se locijo med seboj. Tudi dolzina gesla naj
ne bi bila omejena, tako da bi lahko izbirali tudi daljse stavke
(te v anglescini imenujejo pass phrase namesto password).
Nekateri sistemi in programi se temu idealu precej priblizajo
(npr. PGP,
S/Key [5, 6, 7]),
zal pa postavljata operacijska sistema Unix in OpenVMS precejsnje
omejitve za gesla, ki scitijo vklop na uporabniske sifre.
Dolzina gesla je omejena na 8 znakov. Ce vtipkamo vec kot osem znakov,
se preostanek ignorira brez opozorila. Velike in male crke se locijo med seboj,
v geslu lahko uporabimo tudi vecino posebnih in krmilnih znakov.
Z znakoma '@' in '#' utegnemo imeti tezave na nekaterih racunalnikih,
zato se jima raje izognemo.
Dolzina gesla 8 malih crk se ze priblizuje moznostim napada
z grobo silo (preizkusanje vseh moznosti), zato je priporocljivo,
da v svojem geslu uporabimo tako male kot tudi velike crke in vmes
dodamo tudi kaksno stevilko ali locilo - tako se stevilo moznosti,
ki bi jih bilo treba pregledati za napad z grobo silo, drasticno poveca.
Dolzina gesla je omejena na 32 znakov. Velike in male crke se
ne locijo med seboj. Poleg crk in stevilk lahko uporabimo
le se znaka '$' in '_', drugi posebni znaki niso dovoljeni.
Manjsi nabor moznih znakov kompenziramo z nekoliko daljsim geslom.
Dolzina gesla je omejena na 14 znakov.
Pri neposrednem vklopu na sistem ali pri vklopu prek omrezja
z drugega Windows NT sistema se velike in male crke
locijo med seboj, pri vklopu prek omrezja iz sistema,
na katerem ne tece Windows NT, pa se ne locijo.
Dovoljeni so tudi posebni znaki in znaki s kodami nad 128,
le da je nekatere znake s posebnim pomenom v nekaterih kontekstih
potrebno zascititi (npr. z narekovaji ali '\').
Literatura:
- "Foiling the Cracker",
A Survey of, and Improvements to, Password Security
ftp://ftp.arnes.si/security/cert/papers/Dan_Klein_password.ps
- How to Choose a Passphrase FAQ
http://world.std.com/~franl/pgp/pgp-passphrase-faq.html
- PassPhrase FAQ
ftp://ftp.crpht.lu/pub/Security/Faqs/Passphrase_FAQ
- Privacy Begins With Your Passphrase
ftp://ftp.crl.com/users/ro/smart/TFP/passphrase.html
- RFC1938 - A One-Time Password System
ftp://ftp.arnes.si/standards/rfc/rfc1938.txt
- OPIE - One-Time Passwords In Everything --
a software implementation of RFC1938
ftp://ftp.nrl.navy.mil/pub/security/opie
- The S/KEYtm One-Time Password System
ftp://thumper.bellcore.com/pub/nmh/docs/ISOC.symp.ps
- Unix Password Security
ftp://nic.switch.ch/mirror/security/UNIX-password-security.ps.Z
Mark Martinec,
september 1995, zadnji popravki: oktober 1997