Krivo su nas učili: Ne treba nam komplikovana lozinka

Bill Burr, bivši upravitelj američkog Nacionalnog instituta za standarde i tehnologiju (NIST), napisao je 2003. na osam stranica uputstvo o tome kako napraviti sigurne lozinke.

To je uskoro postala “biblija” on-line sigurnosti te je diktiralo zahtjeve za lozinku od e-maila do internetskog bankarstva, piše Mirror.

Burr je savjetovao korištenje velikih slova, brojeva i ne-alfanumeričkih simbola. Sugerirao je i da mijenjamo lozinke svaka tri mjeseca. Ali, 14 godina kasnije priznaje kako je bio potpuno u krivu.

“Žalim zbog mnogih stvari koje sam učinio”, rekao je Burr, dodajući kako se njegovo istraživanje o lozinkama većinom temeljilo na radu napisanom u 80-tima, prije nego što se internet kakvog mi poznajemo uopšte i pojavio. Ova pravila jednostavno izuđuju ljude.

Njegova izjava sliči savjetu britanske špijunske agencije GCHW, koja je nedavno objavila da bi ljudi trebali što rjeđe mijenjati svoje lozinke. Prema njihovom mišljenju, to je neučinkovito jer ljudi vjerojatno kao novu biraju lozinku koja je slična staroj.

Isto tako, veće su šanse da će novu lozinku negdje zapisati za slučaj da ju zaborave, a to povećava rizik da lozinka završi u krivim rukama.

Najnovija preporuka NIST-a je da ljudi smisle dugačke parafraze, umjesto da pišu izmišljene riječi sastavljene od nasumičnih slova i brojeva. Bitno je da se radi o pojmovima koje ćemo lako zapamtiti.

Kao što ovaj klasični XKCD strip pokazuje, za parafrazu napravljeu od četiri jednostavne, nepovezane riječi “tačnokonjbaterijaspajalica” računaru bi trebalo 550 godina da je pogodi, dok bi mu za lozinku kakvu je Burr svojevremeno predlagao trebalo oko tri dana.