Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino

Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa ena ugotovitev, ki jo karikira tudi spodnja slika - ljudje načeloma izbira obupno slaba gesla. Vse prevečkrat namreč uporabljamo podatke, ki jih je lahko povezati z nami - razne rojstne datume, imena, naslove, hišne številke ipd. Varno geslo mora biti tako, da ga ni mogoče povezati z njegovim uporabnikom.

To pomembno vpliva tudi na lomljenje gesel. Surova sila (brute force) že dolgo ni več najučinkovitejša metoda, ampak pride na spored čisto na koncu. Bistveno enostavneje je uporabiti bolj ciljane napade, za katere pa moramo poznati nekaj osebnih podatkov imetnika. Facebook nam tu priskoči na pomoč, mnogokrat pa tudi sami uporabniki, ki gesla reciklirajo. Kar 70 odstotkov ljudi uporablja geslo za e-pošto še kod drugod.

Še dosti slabša je zgodba, ko govorimo o geslih, kjer sta dolžina in raznolikost urejena. Za štirimestni PIN imamo na voljo 10.000 kombinacij, a kar 80 odstotkov vseh gesel pripada 100 najpogostejšim kombinacijam - še huje, kot napoveduje Pareto. Lomljene gesel tako ni več matematični problem (skoraj), ampak sociološki. Yiannis Chrysanthou, ki se z varnostjo ukvarja v KPMG-ju, pojasnjuje, kako so zlomili geslo "Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn". Če namreč poznamo literaturo, je entropija takega gesla 1.