Kompiuterių slaptažodžiai turi būti lengvai įsimenami ir saugūs. Dažnas žmogus laikosi tik pirmosios taisyklės. Tyrėjai stengiasi, kad būtų paprasta sugalvoti saugius, lengvai įsimenamus slaptažodžius.
Kompiuterių saugume – slaptažodžių aibės. Bet per dažnai jie neveiksmingi. Slaptažodis geras, kai jį ne tik lengva įsidėmėti, bet ir sunku atspėti; deja, žmonės dėl pirmosios savybės dažnai aukoja antrąją. Populiaru naudoti žmonų, vyrų, vaikų vardus. Kartais paprastumas radikalus: vienas buvęs „The Economist“ redaktoriaus pavaduotojas daug metų naudojo „z“. O įsilaužėliams iš socialinių žaidimų svetainės „RockYou“ pavogus 32 mln. slaptažodžių paaiškėjo, kad 1,1 proc. svetainės klientų (365 tūkst. žmonių) pasirinko „123456“ arba „12345“.
Kai slaptažodžiai tokie nuspėjami, saugumo tyrėjai (ir įsilaužėliai) gali sudaryti paplitusių slaptažodžių žodynus, o tai tikra palaima norintiems kur nors įsibrauti. Bet nors tyrėjai žino, kad slaptažodžiai nesaugūs, nebuvo lengva išsiaiškinti, kokio lygio tas nesaugumas. Imtys tyrimuose dažnai nedidelės: daugiausia keli tūkstančiai slaptažodžių. Nuo įsilaužėlių nukentėjusios svetainės, kaip antai „RockYou“, pateikė ilgesnius sąrašus, bet naudojant įsilaužėlių pavogtą informaciją kyla etinių problemų ir sunku prognozuoti, kada jos gausi.
Padėtį šiek tiek nušviečia darbas, kuris gegužės mėnesį bus pristatytas saugumo konferencijoje, organizuojamoje remiant Niujorke įsikūrusiam Elektros ir elektronikos inžinerijos institutui. Bendraudamas su didele interneto bendrove „Yahoo!“ Josephas Bonneau iš Kembridžo universiteto gavo kol kas didžiausią imtį: 70 mln. slaptažodžių – anonimiškų, bet su naudingais demografiniais duomenimis apie jų savininkus.
J. Bonneau aptiko intriguojančių skirtumų. Vyresnių vartotojų slaptažodžiai buvo geresni nei jaunesnių (Tiek iš to jaunimo technologinio išprusimo). Saugiausius slaptažodžius naudojo žmonės, pasirinkę korėjiečių arba vokiečių kalbą, o nesaugiausius – kalbantys indonezietiškai. Svarbius duomenis (pavyzdžiui, kreditinių kortelių numerius) saugantys slaptažodžiai buvo tik vos saugesni už tuos, kuriais apsaugota ne tokia svarbi informacija (pavyzdžiui, žaidimų paskyros). Iš ekrane rodomų perspėjimų, kad vartotojai pasirinko silpną slaptažodį, nebuvo beveik jokios naudos. O slaptažodžiai, kuriuos rinkosi nuo įsilaužėlių kada nors nukentėję vartotojai, nebuvo ypač saugesni už pasirinktus tų, kurie tokios patirties neturi.
Bet tuos, kurie tyrinėja saugumo klausimus, labiausiai domina platesnė imties analizė. Nepaisant skirtumų, tie 70 mln. vartotojų vis tiek buvo gana nuspėjami, tad eilinis slaptažodžių žodynas buvo veiksmingas tiek visos imties, tiek bet kurios dalies, atrinktos pagal demografinius rodiklius, atžvilgiu. J. Bonneau sako tiesiai: „Įsibrovėlis, kuris vienos paskyros slaptažodį gali spėti dešimt kartų, <…> kelia pavojų apie 1 proc. paskyrų.“ O įsilaužėlio požiūriu tai vertas dėmesio rezultatas.
Vienas akivaizdžių sprendimų – svetainėse riboti spėjimų skaičių, o po to blokuoti prieigą, kaip bankomatuose. Tačiau nors didžiausios svetainės, kaip antai „Google“ ir „Microsoft“, tokių priemonių imasi (o ir daugiau), daugelis nesiima. 2010 m. išnagrinėję 150 populiarių svetainių imtį, J. Bonneau su kolega Sörenu Preibuschu nustatė, kad 126 net nebandė riboti spėjimų skaičių.
Nėra aišku, kaip tai susiklostė. Kai kuriose svetainėse laisvumas gal ir pagrįstas, nes slaptažodžių saugoma informacija nėra tokia vertinga kaip, pavyzdžiui, kreditinių kortelių duomenys. Bet už laisvumą tenka mokėti net ir gerai apsaugotoms svetainėms, nes dažnas žmogus tą patį slaptažodį naudoja keliose vietose.
Viena prielaidų teigia, kad prastas slaptažodžių saugumas – kultūrinė liekana iš nekaltos interneto jaunystės: juk akademiniam tinklui beveik nėra priežasčių jaudintis dėl įsilaužėlių. Kitas variantas – dažna svetainė pradeda kaip pinigų stokojanti naujokė, kuri papildomai slaptažodžių apsaugai turėtų eikvoti vertingą programavimo laiką, tad iš pradžių saugumui pašykštima, o vėliau nesiteikiama ką nors keisti. Bet, kad ir kokios būtų priežastys, nenorintiems laukti, kol svetainės susitvarkys, derėtų pagalvoti apie alternatyvas tradiciniams slaptažodžiams.
Bramselis daktilis dzingaliukai golemas
Viena alternatyvų – daugiažodžiai slaptažodžiai, vadinami slaptafrazėmis. Kai žodžiai keli, o ne vienas, įsilaužėliui tenka spėti daugiau raidžių. Saugumą tai didina; nors tik tuomet, jei pasirinkta frazė nepasitaiko įprastų frazių žodyne. Žinoma, dažnai kaip tik ir pasitaiko.
J. Bonneau su kolege Ekaterina Šutova analizavo realią slaptafrazių sistemą, kurią internetinė parduotuvė „Amazon“ nuo 2009 m. spalio iki 2012 m. vasario leido naudoti vartotojams iš JAV. Jie nustatė, kad nors slaptafrazės už slaptažodžius saugesnės, jos ne tokios geros, kaip tikėtasi. Keturių ar penkių atsitiktinių žodžių frazė (tarkime, šio skyrelio antraštė) gana saugi. Bet kelias tokias frazes atsiminti ne ką lengviau nei kelis atsitiktine tvarka sugeneruotus slaptažodžius. Ir vėl poreikis lengvai įsiminti – tikra palaima įsilaužėliams. Internete rankiodami filmų pavadinimų, sporto posakių ir slengo sąrašus, J. Bonneau ir E. Šutova sudarė 20 656 žodžių žodyną, kuris atvėrė kelią į 1,13 proc. paskyrų „Amazon“ duomenų bazėje.
Be to, tyrėjai įtarė, kad net tie, kurie garsių frazių nenaudoja, vis tiek mieliau rinksis natūralioje kalboje randamus derinius, o ne visiškai atsitiktinius. Taigi surinktas slaptafrazes jie lygino su dviejų žodžių frazėmis, atsitiktinai atrinktomis iš Britų nacionalinio tekstyno (jame 100 mln. anglų kalbos žodžių; prižiūri „Oxford University Press“) ir iš „Google“ NGram tekstyno (kurį internete surinko šios bendrovės interneto robotai). Kaip ir reikėjo tikėtis, nustatyta, kad kasdienei anglų kalbai būdingos struktūros gerokai persidengia su „Amazon“ vartotojų pasirinktomis frazėmis. Iš mokslininkų išbandytų būdvardžio ir daiktavardžio junginių („beautiful woman“) tiko apie 13 proc., o iš prieveiksmio ir veiksmažodžio junginių („probably keep“) tiko 5 proc.
Vienas būdų tai apeiti – slaptažodį sujungti su slaptafrazės idėja ir sudaryti vadinamąjį mnemoninį slaptažodį. Seka atrodytų beprasmė, bet iš tiesų būtų gana lengvai įsimenama. Pavyzdžiui, iš frazės žodžių galima imti pirmąsias raides, pramaišiui rašant tai didžiąsias, tai mažąsias, o kai kuriuos simbolius keičiant kitais, tarkime, „8“ vietoj „B“. („tyŠ5p7Ms“ tuomet yra šiuose skliausteliuose pateikto teksto mnemoninė santrumpa.) Tačiau net ir mnemoniniai slaptažodžiai nėra nepažeidžiami. 2006 m. buvo paskelbtas tyrimas, kurio metu naudojant žodyną, sudarytą pagal dainų žodžius, filmų pavadinimus ir panašiai, iš imties pavyko įveikti 4 proc. mnemoninių sekų.
Vadinasi, teisingo atsakymo turbūt nėra. Bet kokios saugumo priemonės erzina (paklauskite reguliariai skraidančių), ir visą laiką sunku suderinti žmonių troškimą būti saugiems ir troškimą, kad viskas būtų paprasta. Kol nepavyks suderinti, įsilaužėlis visuomet ras, kaip įlįsti.
