Pomysłodawca reguł tworzenia bezpiecznych haseł bije się w pierś

Możemy czuć się przeproszeni. Przynajmniej ci z nas, którzy tworząc hasła dostępu np. do firmowej sieci, zostali zmuszeni przez administratorów do przestrzegania takich zasad jak konieczność stosowania małych i wielkich liter, znaków specjalnych oraz cyfr. Tworzyliśmy w ten sposób nonsensowne ciągi znaków, które w jakiś sposób trzeba było zapamiętać. Teraz zostaliśmy przeproszeni. Nie przez adminów, którzy wymuszali takie postępowanie – ci nigdy nie przepraszają – ale przez autora całego zamieszania.

Bill Burr to były menedżer w amerykańskim Narodowym Instytucie Standardów i Technologii (NIST). To szacowna instytucja badawcza ustalająca wiele zasad i reguł, które z czasem stają się de facto światowymi standardami. W 2003 roku pan Burr stworzył 8-stronicowy dokument pod tytułem NIST Special Publication 800-63. Appendix A, który opisywał reguły tworzenia bezpiecznych haseł. No i się zaczęło. Bardzo szybko to, co opisał Burr stało się standardem w świecie IT i tam, gdzie użytkownik nie mógł samodzielnie ustalać dowolnego hasła, administratorzy systemów wymuszali stosowanie się do zasad opisanych przez pracownika NIST.

Problem w tym, że Bill Burr, gdy tworzył powyższy dokument, sam niewiele wiedział o hasłach. A z pewnością nie był ekspertem ds. bezpieczeństwa IT. Żałuję większości tego, co zrobiłem, przyznaje Burr. Jego wiedza o hasłach komputerowych pochodziła z publikacji napisanej w latach 80., jeszcze sprzed czasów upowszechnienia się internetu. Burr uważa obecnie, że jego zalecenia były zbyt skomplikowane dla większości ludzi, ponadto szły w złym kierunku. Oczywiście nie we wszystkim się mylił. Miał rację w kwestii długości hasła. Im dłuższe, tym trudniejsze do złamania. Jednak jego zalecenia mogłyby być znacznie prostsze i nie powinny iść w kierunku tworzenia bezsensownie wyglądających zbitek znaków.

Teraz o hasłach wiemy znacznie więcej, a NIST zaleca obecnie, by hasło było po prostu długie. Może składać się z istniejących wyrazów, ale całość nie powinna tworzyć sensownego zdania. Nie powinny być to też cytaty z literatury. To właśnie takich haseł, łatwych do zapamiętania przez człowieka, a trudnych do złamania przez komputer, powinniśmy używać. Postępując zgodnie z zaleceniami Burra tworzymy zaś dość krótkie hasła, które przez swój kompletny brak sensu są trudne do zapamiętania, ale komputery łamią je dość szybko.

Nie powinniśmy jednak za całe zło winić Billa Burra. Przed 15 laty prowadzono niewiele badań nad hasłami i bezpieczeństwem informacji. Teraz wiemy o tym znacznie więcej, możemy więc tworzyć skuteczniejsze zalecenia. Niech zresztą pierwszy rzuci kamieniem ten, kto nigdy nie popełnił błędu. Sam Tim Berners-Lee do dzisiaj żałuje, że wymyślił podwójny ukośnik w adresach internetowych.