Ο άνθρωπος που έθεσε τους πρώτους κανόνες για τα passwords, παραδέχεται ότι ήταν λάθος

Το θέμα δημιουργίας ενός ισχυρού συνθηματικού, ενός password, προκειμένου να προστατέψουμε τους online λογαριασμούς μας, τα προσωπικά μας δεδομένα ή και τα ίδια τα χρήματά μας, είναι πιο επίκαιρο από ποτέ, καθώς συνεχώς διαβάζουμε για περιπτώσεις παραβιάσεων συστημάτων ασφαλείας και κλοπής δεδομένων. Έχουμε λοιπόν ακούσει και πολλοί από εμάς υιοθετήσει τον κανόνα που λέει ότι το password θα πρέπει να είναι τουλάχιστον οκτώ χαρακτήρες, να έχει και χαρακτήρες και σύμβολα και αριθμούς. Φαίνεται όμως ότι ο κανόνας αυτός είναι λάθος, όπως παραδέχεται και αυτός που πρωτοδημοσίευσε τον κανόνα αυτό.

Οι παραπάνω κανόνες είχαν δημοσιευτεί το 2003 από το National Institute of Standards and Technology (NIST) με την μορφή εγγράφου το οποίο έφερε τον τίτλο “Special Publication 800-63. Appendix A.”. Αν και κάποιος θα περίμενε ένας τέτοιος οργανισμός να έχει πλήρη γνώση του θέματος, από ότι αποκαλύπτεται, οι κανόνες αυτοί βασίστηκαν σε ένα white paper από την δεκαετία του 1980, μια εποχή που το κυβερνοέγκλημα ήταν πρακτικά ανύπαρκτο και εντελώς διαφορετικό σε σχέση με σήμερα.

Τις αποκαλύψεις αυτές έκανε ο ίδιος ο Bill Burr που έγραψε τους κανόνες αυτούς. Όπως αναφέρει ο ίδιος, την εποχή που έγραφε τους κανόνες, δεν υπήρχαν πολλά δεδομένα πάνω στα οποία να βασιστεί, ενώ δεν έτυχε και της απαιτούμενης βοήθειας, ούτε καν από τους ITs του NIST, οι οποίοι αρνήθηκαν να του αποκαλύψουν τα passwords που χρησιμοποιούσαν, επικαλούμενοι λόγους ασφαλείας. Έτσι ο Burr βασίστηκε κυρίως στο white paper της δεκαετίας του 80, παραδεχόμενος πρόσφατα στην Wall Street Journal, ότι μετανιώνει για τους κανόνες που δημοσίευσε.

Οι κανόνες αυτοί έχουν υιοθετηθεί για τα τελευταία 15 χρόνια, παρόλο που πλέον είναι γνωστό ότι πολλοί από αυτούς δεν είναι σωστοί. Το πλέον χαρακτηριστικό παράδειγμα που δείχνει το πρόβλημα με τους παραπάνω κανόνες, είναι το παρακάτω σκίτσο του Randall Munroe.

Από το παράδειγμα φαίνεται ότι ένα σχετικά μεγάλο σε μήκος password με τέσσερις λέξεις, χωρίς αριθμούς ή σύμβολα, είναι πολύ πιο δύσκολο να βρεθεί χρησιμοποιώντας κάποιον ισχυρό ηλεκτρονικό υπολογιστή, από ότι ένα συντομότερο password που θα ακολουθάει τον κανόνα του Burr. Επιπλέον ένα password με τέσσερις λέξεις, είναι πολύ πιο εύκολο να το θυμάται ένας άνθρωπος, σε σχέση με ένα password που θα ενσωματώνει αριθμούς και σύμβολα.

Το NIST προχώρησε στο να ξανά γράψει νέους κανόνες, έχοντας πλέον μεγάλο πλήθος δεδομένων στην διάθεσή του. Την επανεγγραφή των κανόνων ανέλαβε ο Paul Grassi, με τους νέους κανόνες να δημοσιοποιούνται πέρσι τον Ιούνιο. Πλέον δεν προτείνεται η αλλαγή του password σε τακτά χρονικά διαστήματα, ούτε και η χρήση συμβόλων. Οι κανόνες αυτοί προσθέτουν ελάχιστα στην ασφάλεια, έχοντας όμως αρνητική επίπτωση στον τομέα της ευχρηστίας. Ο Grassi θεωρεί ότι οι χρήστες θα πρέπει να αλλάζουν passwords μόνον όταν είναι αναγκαίο, ενώ η επιλογή μιας μικρής φράσης, χωρίς κενά ανάμεσα στις λέξεις, που θα μπορεί να θυμάται κάποιος εύκολα, είναι προτιμότερη έναντι κάποιου μπερδεμένου password με γράμματα, αριθμούς και σύμβολα.