Siła hasła to odporność na jego złamanie. Może być ona wyrażana w jednostkach czasu lub za pomocą miary entropii. Siła hasła wraz z postulatem regularnego, stosunkowo częstego i nieoczywistego zmieniania haseł, a więc wiekiem hasła stanowi dwa kluczowe parametry decydujące o bezpieczeństwie hasła. Siła hasła zależna jest od następujących czynników: długości hasła, to jest liczby użytych w nim znaków, złożoności hasła, czyli zakresu użytych w nim znaków oraz losowości rozkładu znaków w nim użytych. Hasło jest tym silniejsze im więcej znaków zawiera, im więcej wykorzystuje typów znaków dostępnych na klawiaturze (litery, cyfry, znaki interpunkcyjne, symbole matematyczne oraz walutowe) w nim wykorzystano oraz w im mniejszym stopniu składające się nań znaki przypominają wyrazy słownikowe lub możliwe do przewidzenia wzorce (na przykład w wielu hasłach użytkownicy stosują wielką pierwszą literę lub cyfry umieszczają na jego końcu, co stanowi wzorzec osłabiający hasło). Miarą złożoności hasła jest entropia. W teorii informacji jest to miara, ile informacji zostało zakodowanych w danym ciągu znaków. Dokładniej – jest to średnia ilość informacji, przypadająca na jeden znak z danego zbioru, z danym prawdopodobieństwem zdarzenia. Entropię obliczamy według następującego wzoru:
gdzie:
- H to entropia wyrażana w bitach;
- b to zbiór znaków, z którego można stworzyć hasło (klawiatura liczy 95 znaków, które można zastosować do budowania haseł: 26 dużych liter alfabetu łacińskiego (A-Z), 26 małych liter alfabetu łacińskiego (a-z), 10 cyfr (0-9) oraz 33 znaki niealfabetyczne/niepodstawowe (interpunkcyjne, walutowe, matematyczne i pozostałe). Znaków diakrytrycznych w językach narodowych w hasłach zazwyczaj nie stosuje się);
- L to liczba znaków w haśle.
Jest to wzór uproszczony, w którym przyjmujemy założenie, że prawdopodobieństwo znalezienia się dowolnego znaku jest równe (lub co najmniej znane). Należy przy tym pamiętać, że hasła generowane losowo przez maszynę mają każdorazowo wyższą entropię, niż te generowane przez użytkownika.
W arkuszu kalkulacyjnym Excel możesz zastosować następującą formułę: =(LOG2.LICZBY.ZESP(b))*L
Interpretacji wyniku powyższych obliczeń dokonujemy następująco:
- <28 bitów - bardzo słabe; odradza się stosowanie takich haseł gdziekolwiek;
- od 28 do 35 bitów – hasło słabe; do wykorzystania jako hasło lokalnego logowania do komputera;
- od 36 do 59 bitów – hasło rozsądne; do zastosowania w mediach społecznościowych, miejscu pracy;
- od 60 do 127 bitów – hasło mocne; może zostać przeznaczone do ochrony informacji finansowych;
- więcej niż 128 bitów – hasło bardzo silne; często przesada.
Automatycznego obliczenia wielkości parametru entropii hasła można dokonać na: http://rumkin.com/tools/password/passchk.php.
Aktualne podejście do bezpieczeństwa haseł poddano niezbędnym korektom, specjaliści wycofują się z mechanicznego i dosłownego przyjmowania powyższych reguł. Wymóg długości, zmienności i losowości został sformułowane jako zasada po raz pierwszy przez Williama Burra z NIST w 2003/2004 roku[1]. Autor opierał się na realiach ostatnich dwóch dekad XX wieku i sam przyznał, że aktualnie część jego wniosków okazała się nieadekwatna. Obecnie wskazuje się, że im wyższa częstotliwość zmian haseł, tym większe zagrożenie dla użytkownika, bowiem ułatwia to atakującemu odtworzenie wzorca. Ponadto w im większym stopniu hasło ma charakter losowy, tym mniej jest mnemoniczne, a więc tym trudniejsze do zapamiętania przez użytkownika. Kluczowym elementem staje się zatem długość hasła. Standardy kryptograficzne w sieciach otwartych, w tym tworzenia haseł są stale rozwijane, aktualne znajdują się na stronach Narodowego Instytutu Standardów i Technologii USA (NIST)[2].
[D. Mider]
[1] W. Burr, D. Dodson, W.T. Polk, Electronic Authentication Guideline, w: https://csrc.nist.gov/CSRC/media/Publications/sp/800-63/ver-10/archive/2004-06-30/documents/sp800-63-v1-0.pdf, [dostęp: 02.01.2022]
