Varna gesla, ki to niso: ji32k7au4a83

Matej Huš

6. mar 2019 ob 22:07:59

Ko nam kakšno geslo uide v internet, bodisi po lastni neumnosti bodisi zaradi vdora v ponudnika kakšne storitve, se običajno hitro znajde na seznamu znanih gesel, ki jih hekerji uporabljajo za slovarske napade v prihodnosti. Na teh seznamih so pogosta in predvidljiva gesla, denimo 123456 ali password, pa tudi precej manj logični vnosi, kamor sodi ji32k7au4a83.

Have I Been Pwned je spletna stran, ki jo je že pred leti postavil varnostni strokovnjak Troy Hunt, in omogoča preveriti, ali je naše geslo varno. Hunt je sicer priznani varnostni strokovnjak, a kdor se počuti nelagodno ob vpisovanju svojega gesla na kakšno tretjo stran (in ima ob tem prav), lahko svoje geslo sam pretvori v SHA-1 in vnese to vrednosti ali pa si na disk prenese datotek s SHA-1 vseh znanih gesel in podobnost preveri tem. Preveri lahko tudi, ali je elektronski naslov morda bil kdaj odtujen v kakšnem vdoru.

Kakorkoli, med zelo popularnimi gesli je tudi omenjeno geslo ji32k7au4a83, ki se je našlo v 141 primerov, piše na strani Have I Been Pwned. Kako je to mogoče, če pa na prvi pogled deluje zelo varno? Robert Ou, ki je to odkril, je to pokazal tudi na Twitterju, kjer so mu seveda kmalu znali povedati razlog. V resnici gre za zapis my password v kitajščini, če za vnos uporabljamo tipkovnico s standardom bopomofo in izključimo pretvarjanje v pismenke. Gre za razpored znakov, ki je v uporabi na Tajvanu, medtem ko Kitajska uporablja pinyin.

Ključni nauk te zgodbe je, da varnosti gesla ne moremo presoditi samo s statistično analizo in izračunavanjem entropije znakov, kot jih vidi angleški (ali slovenski) govorec. Da bi ocenili, kako dobro je neko geslo, moramo imeti enako znanje kot uporabnik in napadalec. Maksimalno stisnjen niz podatkov je za človeka, ki ne pozna algoritma, nerazločljiv od naključnega (random). V resnici pa obstaja veliko prikritega reda. Enako je z geslom - tudi qwertzasdfgh je videti varno geslo za človeka, ki ni nikoli pogledal na tipkovnico.