A jó jelszó kiválasztásához az általános ökölszabály 4 dolgot mond: Legyen benne szám, kisbetű, nagybetű és legyen legalább 8 karakter hosszú. Ezeknek a szabályoknak a betartásával, brute-force módszerekkel (elméletileg) nehezen megfejthető karaktersorozatot kell, hogy kapjunk. A gyakorlatban azonban hogyan is találjuk ki az új jelszavainkat, ha már eljutottunk odaáig, hogy nem a 10 leggyakrabban előforduló jelszó közül választunk magunknak? Legtöbbször fogunk egy hétköznapi szót, ami valószínűleg ugyanúgy megtalálható egy nagy szótárfájlban és kicserélgetünk benne néhány betűt. Például legyen a kiindulási szó az, hogy bicikli. A tapasztalt felhasználó ezt nem így használja, önmagában, hanem átalakítja úgy, hogy a biztonságos jelszóhasználatra figyelő szoftverek elfogadják azt és ne lehessen túl könnyen kitalálni se mások által. Mondjuk kicseréli az "i" betűket 1-esekre, naggyá alakítja a "k"-t és a végére beír egy 2-est. A nagyon edzettek még egy írásjelet is elrejtenek benne valahol. A helyettesítések végén létrejövő jelszó már nem igazán hasonlít az eredetire: b1c1+Kl12.

A fent leírt gondolatmenettel viszont 2 probléma adódik. Az egyik, hogy a végeredmény hús-vér emberek számára elég nehezen megjegyezhető, így a gyakorlatban viszonylag kevesen választanak ennyire bonyolult jelszavakat. A másik gond, hogy a kiindulási alap nagy valószínűséggel megtalálható egy szótárfájlban és az elvégzett helyettesítések is standard módszereknek számítanak. Így a különböző brute-force jelszó-törő programok könnyen kitalálhatják a végeredményt is, pedig az elején pont az volt a célunk, hogy elkerüljük az ilyet. Az fenti módszerrel történő jelszógenerálás hamis illúziókba ringathat a biztonságot illetően.

Az imént felmerült problémákra megoldásként a tapasztaltak manapság egyre inkább azt kezdik javasolni a felhasználóknak, hogy jelszóként használjanak több, egyszerű szóból álló összetételeket, akár komplett mondatokat és válasszák el ezeket egyszerűen szóközökkel. Mondjuk egy lehetséges jelszó lehet ez is: hoember gumikacsa toportyu. Nagy előnye, hogy megjegyzése borzasztó egyszerű. Képzeljük csak el, ahogy egy hóember, aki töpörtyűt eszik farkasszemet néz egy gumikacsával. Ugye, hogy képtelenség? Akkora, hogy már meg is maradt a fejünkben. :) Egyedül a szavak sorrendjén lehet elbukni, de ha egyszerűen méret szerint haladunk a nagytól a kicsi felé, máris nyert ügyünk van. Másik nagy előnye az ilyen jelszavaknak, hogy mivel rengeteg karakterből állnak, normál brute-force módszerrel lehetetlen megfejteni őket. Szótárfájlt használva pedig, mivel egy szó helyett három is áll egymás után, exponenciálisan nő a lehetőséges jelszavak száma.

Közel 20 éven keresztül próbáltunk meggyőzni mindenkit, hogy olyan jelszót használjon, amire az emberi aggyal nehéz visszaemlékezni, de egy erős számítógéppel, jó algoritmusokkal könnyen megfejthetőek. Egy valamiben viszont biztosak lehetünk: A legjobb jelszó az, amit nem mondasz el másoknak és nem figyel ott semmilyen öntapadós cetlin a monitor szélén. :)

A cikk az xkcd kapcsolódó képregénye nyomán íródott: xkcd.com/936/.