Parole vs “fraze parolă”

Câţiva ani în urmă Randall Munroe a postat un comics în care compară parolele clasice şi cele compuse din fraze sau îmbinări de cuvinte. Ilustraţia încearcă să demonstreze matematic, cu ajutorul teoriei informaţiei, că parolele complexe, compuse dintr-un şir de caractere diferite, tind să fie mai puţin sigure şi mai greu de memorat pe deasupra. Din această cauză utilizatorii tind să folosească cuvinte simple pe post de parole, pe care şi le notează undeva, le folosesc pe mai multe site-uri/servicii astfel diminuînd şi mai mult nivelul de securitate al acestor parole.


Munroe a ajuns la concluzia că “timp de 20 de ani am învăţat utilizatorii să folosească parole greu de memorat pentru oameni şi uşor de ghicit de către compiutere.”

Mulţi utilizatori cred că parolele îi apără de cineva care încearcă să le spargă contul avându-i drept ţintă anume pe ei, dar rar aşa sunt compromise conturile lor.

Atunci cînd ne înregistrăm un cont online, serviciul va stoca parola noastră într-o bază de date pe serverele lor. Dacă hacker-ii reuşesc să facă rost de această bază de date, ei pur şi simplu vor rula programe de “ghicire” a parolelor după dicţionare să vadă dacă coincid, şi e vorba doar de o perioadă de timp până vor reuşi. Există compiutere capabile să spargă sute de miliarde de parole pe secundă, cu toate că de obicei, companiile criptează aceste baze de date, ceea ce face ca acest proces să ia mai mult timp.

Ce reprezintă parolele compuse din fraze sau îmbinări de cuvinte?

În timp ce cu toţii ştim ce reprezintă parolele “clasice” sau – passwords în engleză, mai puţin cunosc despre “passphrases”. Aceste parole sunt compuse din câteva cuvinte, o îmbinare de cuvinte sau o frază, ce conţine spaţii între cuvinte sau nu, de fapt nu prea contează. În comics-ul de mai sus
“correcthorsebatterystaple” reprezintă anume un passphrase.

Chiar dacă passphrases conţin un număr mai mare de caractere, acestea conţin mai puţine “componente”, cum ar fi simboluri/cifre, de exemplu 4 cuvinte în loc de 12 caractere diferite. Aceasta face parolele compuse din câteva cuvinte mai uşor de memorat.

Un passphrase e mai sigur uneori decât un password

După postarea lui Munroe au urmat multiple discuţii, comparând nivelul de securitate – passwords vs passphrases şi care sfat ar fi corect. O mare parte a discuţiilor a fost despre nivelul de entropie al diverselor exemple expuse. Entropia este un concept în teoria informaţiei care practic ne spune despre nivelul de “aleatoriu” ce se conţine în parole. În linii generale, cu cât mai mare este entropia unei parole, cu atât mai greu de spars este aceasta. Din acest motiv sunt recomandate parole ce conţin mai multe caractere (sunt mai lungi).

Dacă să luăm un passphrase compus din 4 cuvinte obişnuite şi pentru fiecare caracter sunt 94 de variante posibile, deci destul chiar de sigur faţă de atacurile de tip brutforce. Dar nu întotdeauna. Dacă copunem un password de 20 de caractere ce include litere mari, litere mici, simboluri şi cifre, atunci nivelul de entropie creşte considerabil şi nivelul de securitate este cu mult mai mare decât a unui passphrase de 4 cuvinte. Astfel de parolă nu va fi posibil de “ghicit” cu ajutorul dicţionarelor şi va fi nevoie de brutforce, ceea ce va lua milioane de ani de executat.

Să nu uităm că utilizatorii sunt oameni

Argumentele şi informaţiile de mai sus nu sunt despre matematică. Sunt despre cum să creăm parole sigure luând în consideraţie factorul uman.

Timp de zeci de ani, echipele de securitate IT au recomandat setarea parolelor complexe, care să fie schimbate la intervale de câteva luni. Cu toate acestea, utilizatorii sunt oameni, iar oamenii nu stau bine la capitolul memoriei sau a creării parolelor complexe şi aleatorii. Inevitabil utilizatorii au folosit cuvinte simple, familiare care deseori reprezentau nume dea rudelor, zile de naştere şi uneori mici “coduri” schimbând unele caractere pe altele care arată la fel sau schimbând unele litere cu locul, dar atacatorii pot sparge astfel de parole în timp de câteva secunde. Cu toate eforturile de a face sisteme securizate, toate aceste sfaturi au dus la sisteme slab securizate, ori, cum a afirmat un utilizator: “securitatea în detrimentul uşurinţei în utilizare duce la breşe de securitate”. Cu alte cuvinte, dacă un sistem este foarte sigur dar complicat de utilizat, nimeni nu-l va utiliza, ignorând beneficiile siguranţei acestuia.

Recomandări

Parolele, fie aceste compuse din 15 caractere aleatorii sau din 4-5 cuvinte (de dorit mai rare sau “diferite”) pot fi la fel de sigure, iar dacă foloseşti un password manager, practic nu va exista nicio diferenţă în acestea. Cu toate acestea, dacă vrei să setezi o parolă pe care o ţii minte pentru că are o oarecare semnificaţie pentru tine, îţi recomand să foloseşte o frază sau o îmbinare de cuvinte, luând în consideraţie următoarele:

  • 4 cuvinte ar trebuie să fie suficiente, dar 5 e mai bine.
  • Nu alege dintre cuvintele des utilizate şi nu alege proverbe sau zicale. Cuvintele trebuie să fie cât mai aleatorii posibil.
  • Foloseşte parole unice pentru fiecare serviciu în parte, astfel în cazul în care una din acestea va fi compromisă, nu rişti să fie sparse şi alte conturi la care ai setat aceeaşi parolă şi acestea vor rămâne securizate.

One Reply to “Parole vs “fraze parolă””

Leave a Reply

Your email address will not be published. Required fields are marked *