( Raynes | 2020. 02. 23., v – 05:47 )

Abban igazad van, hogy az az XKCD-s horsestable baromság nem erős jelszó. Az alapelv viszont jó, csak a példa túl egyszerű! Nem ilyen alap, primitív szavakkal kell megvalósítani, hanem bonyolultabb, ritkább szavakkal, nevekkel, amik nincsenek benne nem hogy egy 5000 szavas, de 50000 szavas szótárban sem, meg mindenféle eltérő szeparátort, meg helyesírási hibát, és betűkarakterhelyettesítést be lehet vetni, nem kell csak a kis/nagybetűkombinálásnál meg 1337=leet klasszikus trükköknél maradni. Ékezetekkel és azok hiányával is lehet kombinálni. Meg nem kell 4 szónál megállni.

Én mondatokat, címeket, szólást, szófordulatokat, gyerekmondókát, egysoros viccet, csattanót szoktam jelszónak használni, a fent ismertetett módon, min. 20 karakteresek, néha 30 fölött. Kicsit hosszú beírni, de gépírással nem nagy fáradtság, és nagyon könnyű megjegyezni. Pl. adyb4párna'2k0Z0ttHALok+ Ez igaz, hogy „csak” 5 szó, meg „csak” 25 karakter, pár másodperces gondolkodásra most ezt ötlöttem ki, minden van benne, mint a búcsúban, betűhelyettesítés, betűkombó helyettesítése, nyelvi és helyesírási hiba, kis/nagybetű, ékezet, írásjel. Vagy: avi-dr0ts5kyhírösnyA'ly@. Az ilyeneknek egy 5000 szavas angol szótárral meg hagyományos bruteforce-os megoldásokkal nyugodtan nekimehet, aki akar. Legyen az akár FBI, akár CIA, akár NSA. Majd szólnak, ha végeztek. De az végképp zseniális, ami nemrég egy hírben volt, unixos forráskódban maradt hashelt jelszavaknál, valakinek ilyen sakkjátszma vagy megnyitás lépései voltak a jelszóban, azt is szótárazhatja meg bruteforce-olhatja, aki akarja, csak azért fejtették vissza, mert sokan keresték, és évek óta, meg rövid jelszó volt. Ha a koma megtoldja néhány lépéssel, még évtizedekig nem fejtik meg, ha meg security sznob lett volna, és bonyolít is rajta, akkor meg kb. soha.

Ezekre én már évekkel ezelőtt rájöttem, mindenféle XKCD-s horseshit meg FBI-os ajánlás nélkül. Bár ekézem ezt a correct horse battery staple megoldást, pedig ha kicsit finomítunk rajta, akkor CO&2rekth0$.batchriEST@ypal formában elég kellemesen véd a szótárazós nagyokosok meg a bruteforceking vagyok típusú, és hárombetűs szervezetek ellen, akár még variálni is lehet rajta, hogy ha valakinek nehezen megjegyezhető, vagy túl cifra.

Persze jó a klasszikus, random generált jelszó is, pl. csak ha épp nincs felírva valahol, vagy nem elérhető password manager, és az ember nem emlékszik rá, vagy elfelejtette, akkor elég kellemetlen.