Preverite svoje geslo med 320 milijoni pobeglih

Matej Huš

4. avg 2017 ob 22:10:09

Strokovnjak za računalniško varnost Troy Hunt je postavil spletno stran za preverjanje izgorelih gesel, k čemur so ga napeljala nova varnostna priporočila NIST-a. Ta namreč priporočajo, da se pri registraciji in menjavi gesla to preveri in uporabniku ne dovoli izbrati gesla, ki ni varno. To so gesla, ki enostavno uganljiva, in gesla, ki so priplavala na splet v vdorih na kakšne spletne strani (izgorela gesla).

Kot pojasnjuje Hunt, je zbral 320 milijonov gesel, ki veljajo za neprimerna in katerih uporaba se odsvetuje. Uporabniki lahko varnost svojega gesla preverijo tako, da ga vpišejo na njegovo spletno stran, ki vrne podatek o tem, ali je geslo na seznamu. Vpisovanje aktualnih gesel na spletne strani je seveda zelo slaba ideja, četudi gre za Troya Hunta, ki mu zaupamo, zato je pripravil tudi drugo možnost. Kdor zna, lahko svoje geslo pretvori v zgoščeno vrednost SHA1, in vpiše slednje. Stran bo sama prepoznala, da gre za SHA1. Kdor je še bolj paranoičen, lahko s spleta prenese skoraj šest gigabajtov težko datoteko, v kateri so zgoščene vrednosti SHA1 vseh 320 milijonov gesel. V tekstovnih obliki teh gesel ne moremo dobiti, ker nekatera vsebujejo osebne podatke in ker bi bilo z njimi še laže kam vdreti.

Hunt poudarja, da je še vedno proti razširjanju gesel, pridobljenih v vdorih, zato je trenutna lista zgolj v obliki SHA1. To je sicer neprimeren format za hranjenje gesel, če načrtujemo svoj sistem, a v tem primeru gre zgolj za seznam že izgorelih gesel, kjer namen ni varovati, temveč jih shraniti v obliki, ki je ni mogoče identificirati.

Hunt predlaga, da spletne storitve prenesejo ta seznam in ga uporabijo, kot to priporoča NIST. To pomeni, da uporabniku preprosto ne dovolijo izbrati gesla na seznamu. S tem bi preprečili uporabo ranljivih gesel, vprašanje pa je, koliko bi takšna prisila povečala recikliranje gesel in njihovo zapisovanje, ker je ponovno zelo slaba ideja. A z gesli je vedno križ.