123456

Sploh nismo opazili, kako se je nenadoma končal srednji vek in naše dragocenosti odtlej niso bile več zaklenjene samo z ključavnicami, temveč vedno pogosteje z gesli, PIN kodami in podobno šaro. Ja, že moja prva kolesarska ključavnica je terjala pomnjenje treh številk - oziroma 20 sekund spretnih prstov, če si jih slučajno pozabil.

Če vprašate mene, so gesla že davno izpodrinila nogomet na prvem mestu postranskih stvari. Brez njih smo pravzaprav mrzli; ne moremo do denarja, ne moremo prižgati mobilnika, vstopiti v hišo, in še pozitivna posledica: ne moremo začeti delati v službi. In kar je najhuje - gesla se z leti množijo kot leta 1978 hipiji na plažah Goe.

Prejšnji mesec so na domačem blogu Infosec objavili analizo slovenskih gesel in rezultati so nekoliko porazni. Povprečni Janez očitno verjame, da so ljudje okoli njega v svojem bistvu dobri. In tako, ko gre od doma, ključ od stanovanja "skrije" za cvetlični lonček/pod predpražnik, in preden zapusti parkirano vozilo, prenosnik potisne pod sovoznikov sedež. Ah, da; prometno dovoljenje hrani za senčnikom nad glavo sovoznika, ker vlomilci tja menda ne gledajo. In tako kot Janez ravna z realnimi zapahi, seveda ravna tudi z digitalnimi. Raziskava je zajela približno 55.000 gesel, ki so bila med letoma 2001 in 2006 pridobljena ob pomoči različnih virov. Torej vzorec ni ravno reprezentativen, saj je opismenjevanje glede varnostnega obnašanja doseglo vrhunec šele po tem času. A kdorkoli je kdaj prisiljen uporabiti kako tuje geslo, se še vedno začudi, kolikokrat so naši brezžični usmerjevalniki, ki na stežaj odpirajo vrata v našo zasebnost, še vedno zaščiteni s kombinacijo user/user ali admin/admin. In koliko uporabnikov ima enako geslo za vstop v svoj priljubljeni forum in v službeno omrežje? Če ga seveda nima kar z rumenim samolepilnim listkom nalepljenega na monitorju, da se slučajno ne pozabi.

Če si ogledamo lestvico najbolj priljubljenih gesel, ugotovimo, da je v Sloveniji najpogosteje uporabljano zaporedje 123456. V vzorcu ga je uporabljalo 0,45 % uporabnikov. Koliko vas je, medtem ko tole berete, zdajle pogledalo v tla? Uporabniki smo namreč glede varnosti na svojem računalniku precej brezbrižni. Večina nas pač ni zaposlena v vojski ali na Sovi, niti na svojih diskih nimamo načrtov za novo jedrsko elektrarno. Še največ, kar bi morebitni heker pridobil, je profil naših seksualnih preferenc, izdelan po zgodovini obiskovanja strani s packarijami.

Da pa malo omilimo slovensko brezbrižnost, zaporedje 123456 je med gesli krepko vodilno tudi drugod po svetu. Kako varno je tako geslo, je jasno vsakomur, ki je kdaj po sili razmer moral "bruteforcati" kak zaklenjen dokument PDF. Pravzaprav je, ker ni med najbolj priljubljenimi, varnejše celo geslo, sestavljeno iz šestih presledkov, pa še laže ga je odtipkati. Druga na lestvici je "izvirna" kombinacija 12345678, šele na petem mestu se znajde prvo ime. Če vam je ime Mateja ali Mojca, ste lahko ponosni nase. Poleg imen med prvimi dvajsetimi najdemo še besede sonce, sonček in ljubezen. Eh, kako lepo! Manj lepo je, da je gesla iz lastnih imen in besed, ki jih najdemo v SSKJ, precej lahko uganiti. Kljub temu smo Slovenci, kot ugotavlja raziskava, za odtenek varnejši kot, denimo, tisti, ki uporabljajo katerega od svetovnih jezikov, saj naš slovar še ni pogost del geselnih knjižnic. Si pa lahko na spletni strani http://awlg.org/index.gen izdelate knjižnico gesel, vezanih na določen pojem, saj si številni uporabniki geslo zamislijo v povezavi s tematiko, v katero se prijavljajo. Napadalci, ki so lani vdrli na stran phpBB.com, so o podvigu napisali temeljito poročilo in ugotovili, da je tretje najpogostejše geslo prav phpBB. Takoj za 123456 in besedo password.

In če z gesli na računalniku še nekako vozimo, saj si jih zna, denimo, v 99 % zapomniti spletni brskalnik ali kak password manager, je večja zadrega z bančnimi karticami. Sem jih imam pet in trenutki pred bankomati so včasih mučni. Podobno je z mobilniki in SIM karticami, če jih imamo več. Da, seveda lahko vse PIN številke spremenimo in poenotimo ali pa jih zapišemo med stike v telefonu. A slednje je že skoraj tako razpaseno kot cvetlični lončki in predpražniki pri ključih. Če boste imeli smolo in vas bodo oropali na ulici, bosta z nepridipravi zelo verjetno odšla tako listnica s karticami kot tudi vaš mobilnik.

Sam sem imel nekaj časa kode za bančne kartice napisane s flomastrom kar na karticah. Odnehal sem, ko je nekaj bančnih uslužbenk padlo skupaj od groze, preden mi jim je uspelo pojasniti, da je zadaj vendarle še preprost algoritem, ki navrže pravo številko. Stvar se mi je zdela posrečena, ker sem upal, da bo morebitni Cefizelj poskušal na bankomatu prav s kodo, napisano na kartici. Mogoče celo trikrat zapored?

Kaj torej storiti, da se ozavestimo in malce nadgradimo varnostno kulturo naroda, medtem ko čakamo, da gesla zamenjajo biometrični pripomočki? Če boste kot sistemski upravitelj v podjetju sklenili vzpostaviti politiko močnih gesel, ki jih je povrh treba menjati v določenem intervalu, na varnosti ne boste veliko pridobili. Ljudje bodo obračali tri najljubša gesla in nakopali si boste številne sovražnike. Prvi, ki bo najbolj negodoval, bo skoraj gotovo direktor. Po izkušnjah imajo direktorji glavo polno pomembnejših zadev, kot je redno menjavanje gesel, ki varujejo poslovne skrivnosti njihove družbe.

Zato je za streznitev najboljši učitelj trda praksa. Vsakdo, ki so mu kdaj izpraznili bančni račun, PIN kode ne bo več nosil na listku v denarnici. Direktor bo izšolan, ko bo lepega dne nekdo z njegovega računalnika poslal v svet žgečkljive fotografije vikenda v Parizu, ki ga je preživel s tajnico ali, če hočete, bulmastifom.

Zdaj, ko smo vas skoraj že prepričali, da si boste zvečer vzeli čas in malce prenovili svoja gesla, sledi še mrzli tuš: takole na oko je največ gesel ukradenih skupaj z nehaširanimi spletnimi bazami ali pa posnetih s kako operacijo phishinga, nameščenimi keyloggerji in podobno. V tem primeru vam ne pomaga niti geslo, kot je bW>&#k$^%)59, temveč tako kot vedno v življenju: kanček previdnosti in zdrave pameti.

Če seveda niste pozabili gesla za zagon.