Informatycy z Georgia Tech Research Institute stwierdzili, że hasła o długości krótszej niż siedem znaków będą wkrótce "tragicznie niewystarczające", nawet jeżeli zawierają symbole i znaki alfanumeryczne. Niedawno narzędzia do odzyskiwania i audytu haseł z rosyjskiej firmy ElcomSoft zostały wykorzystane do łamania haseł na procesorach kart graficznych. Według Richarda Boyda z Georgia Tech Research Institute współczesne karty graficzne zapewniają ich użytkownikom dostęp do mocy obliczeniowej porównywalnej z mocą superkomputerów sprzed 10 lat. Zalecana długość hasła to teraz już 12 znaków. A pamiętam jeszcze czasy, kiedy system operacyjny nie obsługiwał haseł mających więcej niż 8 znaków...
Należy pamiętać, że dłuższe hasła są odporniejsze na zwykłe ataki "brute force" wymagające testowania każdej możliwej kombinacji znaków, ale źle dobrane, łatwe do zgadnięcia hasła są podatne na atak słownikowy, nawet jeżeli mają 20 czy 30 znaków, nie mówiąc o tym, że każde hasło wprowadzane przy pomocy klawiatury jest podatne na przechwycenie przez keylogger. Oczywiście, i na to istnieje rada, ale maskowane hasła i wprowadzanie haseł przez klikanie na wyświetlanej na ekranie klawiaturze jest mocno niewygodne, ujmując to dyplomatycznie.
Hasła jako metoda zabezpieczenia dostępu do zdalnych zasobów raczej nie odejdą od nas nigdy, gdyż pozostałe dwie metody uwierzytelniania ("co masz" czyli klucz, token itd. oraz "kim jesteś" czyli biometryka) mają dość istotne wady. Jednak biorąc pod uwagę rosnącą dostępność mocy obliczeniowej już wkrótce może okazać się, że jedyną praktyczną metodą zabezpieczania dostępu do rozmaitych stron i urządzeń, do których będziemy chcieli się logować będzie przechowywanie wszystkich haseł w jakimś programie lub urządzeniu, zabezpieczonym tylko jednym mocnym hasłem.
Lub zabezpieczanie się słabymi i łatwymi do złamania hasłami, w przypadku większości użytkowników. W końcu wygoda prawie zawsze wygrywa z bezpieczeństwem.
[via The Register ]
Leszek Karlik
