Pora poważnie porozmawiać o naszych hasłach

Leif Nelson, profesor na kalifornijskim uniwersytecie, postanowił zrobić proste badanie. Połowę swoich studentów poprosił o podanie swojej ulubionej liczby od 1 do 100, natomiast druga połowa miała wytypować losowy numer pomiędzy 1 a 100.

Podanie ulubionego numeru może się wiązać np. z ważną datą, naszą wagą czy po prostu możemy się kierować zaokrągleniem. Oczywiście ma to też związek kulturowy – w niektórych krajach 13 jest bardziej niepopularne, w innych za cyfrę 8 ludzie są gotowi płacić dodatkowe pieniądze. Szczególne cyfry preferują osoby o umysłach ścisłych, przykładowo 42 ma swoją oddzielną i rozbudowaną stronę w Wikipedii.

Mało natomiast wiemy o tym jak człowiek generuje losowe numery i jaki one mają związek z tymi przez nas ulubionymi. Jak pokazały badania amerykańskiego profesora, zależność istnieje:

Po lewej mamy numery losowe, po prawej ulubione. Zaobserwować można kilka zależności, a po kilku prostych kalkulacjach widać, że numery losowe są większe niż ulubione. Ponadto, rzadko są podzielne przez 5, podczas gdy w przypadku ulubionych szansa wynosi już około 20%. W obu przypadkach częściej pojawiają się numery nieparzyste. Zastanawiająca jest również powtarzalność cyfry 69 w obu obserwacjach, a popularność 13, 7 i 42 w kategorii ulubionych można by z powodzeniem uzasadnić. Jaki to ma jednak związek z pinami?

Autor bloga datagenetics.com  w głośnym swojego czasu wpisie zebrał bazę 3,4 miliona czterocyfrowych haseł, które wyciekły przy różnych okazjach. W przypadku zakresu od 0000 do 9999 mamy oczywiście 10,000 kombinacji, ale które powtarzają się najczęściej?

Aż 11% używa „1234”, w drugiej kolejności jest 1111 (6%), a na trzecim miejscu pozostaje „0000” (2%). Co ciekawe, wiele z liczb w bazie danych może być zinterpretowane jako daty urodzenia (konkretnie rok). Poniżej wykres prezentujący na żółto częstotliwość występowania kombinacji zaczynających się od „19”

Równie ciekawa obserwacja dowodzi, że często używamy w naszych czterocyfrowych hasłach dwie powtarzające się cyfry, np. 1010, 2020:

Powyższa grafika obrazuje częstość występowania pierwszej pary cyfr (oś OX) i drugiej pary cyfr (oś OY). Im jaśniejszy kolor tym część występują dane kombinacje. Preferencję na rzecz powtarzających się dwóch cyfr wskazuje wyraźna jasna ukośna linia.

Wyniki wspomnianych przeze mnie badań dowodzą tezie, że losowe numery nie do końca takimi są, a stworzenie trudnego do odgadnięcia PINu staje się coraz bardziej problemowe. Stąd też wniosek że:

Hasła jakich używamy dziś  są reliktem czasów, w który jedyne co musieliśmy pamiętać to cztery cyfry PINu do karty SIM w telefonie lub karty bankomatowej.

Dziś niemal każdy ma kilka kont bankowych, mailowych oraz na wielu portalach i sklepach internetowych. Nie sposób zapamiętać wszystkich loginów i haseł. Nadmiar ich występowania zmusza ostatecznie do stosowania tych samych haseł do różnych kont, a wymuszane przez oprogramowanie zmiany danych, co np. miesiąc, często prowadzą tylko do dodawania przez nas kolejnych cyfr na końcu hasła (brzmi znajomo?).

Pomocne są wszelkiego rodzaju programy  typu „pęk kluczy”, w których przechowujemy nasze dane do logowania, do których mamy dostęp za pośrednictwem tylko jednego. Mowa tutaj np. o LastPass, KeePass czy też 1Password. Dodatkowym atutem takiego oprogramowania jest możliwość generowania losowych haseł, więc nie musimy sami próbować tego robić.

Problem jednak w tym, że choć jest to bardzo wygodne i dobrze się sprawdza (o ile nasz master password jest naprawdę silny) to jednak nadal filozofia się nie zmienia. Konieczne jest przynajmniej upowszechnienie reguły „coś co znasz, coś co masz”, czyli hasło plus zmieniający się z czasem numer, do którego mamy dostęp. Obecnie metodę tę wykorzystują np. banki, poprzez aplikacje z tokenami bądź smsy na zweryfikowany numer telefonu („coś co masz”). W ten sposób nawet jeśli ktoś pozna nasze hasło, to nie będzie miał dostępu do konta. Podwójną weryfikację umożliwia też Google, czym przyczyniło się do popularyzacji również tej metody w innych serwisach. Co więcej, Google umożliwia również wydrukowanie kopii tokenów, na wypadek gdybyśmy nie mieli dostępu do naszego telefonu  aplikacją Google Authenticator.

Absolutnym nieporozumieniem są wszystkie hasła w stylu wizerunku naszej twarzy bądź czytnika linii papilarnych, obecnego choćby w nowym iPhonie i niektórych laptopach. Dzięki nim możemy w nieświadomy sposób udostępnić je osobom niepowołanym. Gdyby hasłem Jamesa Bonda był jego odcisk palca to Le Chifrre zamiast znęcać się nad pewną inną częścią ciała agenta 007 po prostu przyłożyłby go do czytnika.

Aby znaleźć się w sytuacji w której ktoś – nawet z władz – próbuje wymusić na nas ujawnienie hasła nie trzeba być Agentem Jej Królewskiej Mości. Dlatego owszem, stosujmy rozpoznawanie twarzy czy odciski palców, ale jako loginy – nie hasła. Wtedy będzie nawet lepiej, bo o ochronie loginów też powinno się pamiętać.

Przemysław Gerschmann - Założyciel Equity Magazine, analityk inwestycyjny w globalnym banku. Pasjonat rynków finansowych, biegacz długodystansowy, wielbiciel południowych Włoch i fan książek Murakamiego.

Zdjęcie Computer screen shot with binary code and password text pochodzi z Shutterstock