Pasahitz bat oso galdera zaharra baten erantzuna da: gutarra al zara?
Ez zuen informatikak asmatu. Polibiok, K.a. II. mendean, kontatzen du erromatar armadak gauero zurezko taula batean idatzitako hitz bat —tessera— nola zabaltzen zuen unitatez unitate, agintaritzara itzuli arte. Zekienak haietakoa zen. Ez zekienak, ez.
Bi mila urte geroago gauza bera egiten jarraitzen dugu. Aldatu den bakarra nork galdetzen duen da, eta zein azkar saia daitekeen erantzuna asmatzen.
1961 pasahitza ordenagailura sartzen da
1961eko azaroan, MITek CTSS (Compatible Time-Sharing System) erakutsi zuen, Fernando Corbatóren zuzendaritzapean. Ideia berria zen: ordenagailu bakar bat, oso garestia, pertsona batzuen artean aldi berean partekatua.
Eta han agertu zen arazoa. Makina denona bada, bakoitzaren fitxategiak bakoitzarenak izan behar dute. Ordenagailuak nork idazten zuen jakiteko modu bat behar zuen. Konponbidea agerikoena eta erromatarrena izan zen: erabiltzaile bakoitzak bere hitz propioa izatea.
Zehatz esan behar da: Corbatók ez zuen pasahitza asmatu. Erabiltzaile bakoitzeko pasahitza erabiltzaile anitzeko ordenagailu batean asmatu zuen, eta hori beste gauza bat da. Berak, zaharturik, esan zuen hura “amesgaizto” bihurtu zela.
1962 lehen ihesa, eta makina-denboragatik izan zen
Urtebete geroago, Allan Scherr-ek, MIT horretako doktoregaiak, oso arazo lurtarra zuen: astean lau ordu bakarrik esleitzen zizkioten ordenagailuan, eta gehiago behar zituen tesirako.
Beraz, sistemari eskatu zion pasahitzen fitxategia inprimatzeko. Besterik ez. Han zegoen, testu soilean, eta inork ez zuen pentsatu norbaitek eskatuko zuenik. Zerrenda eskuan, besteen kontuak erabili zituen lanean jarraitzeko.
Interesgarria ez da trikimailua. Motiboa da: historiako lehen pasahitz-ihesa ez zuen gaizkile batek egin, lanean jarraitu nahi zuen norbaitek baizik. Hirurogei urte geroago, segurtasun-zulo gehienak oraindik ere bide laburra bilatzen duten pertsona zentzudunengandik sortzen dira.
1979 norbaitek konturatzen da ez direla gorde behar
Ia bi hamarkadaz, sistema askok pasahitzak zeuden bezala gorde zituzten. Norbaitek fitxategia irakurtzen bazuen, dena eramaten zuen.
1979an, Robert Morris eta Ken Thompson-ek Communications of the ACM-en artikulu bat argitaratu zuten, “Password Security: A Case History” izenekoa, Unixen egin zutenari buruz. Gaur egun dena oinarritzen duten bi ideia:
- Ez gorde pasahitza, gorde bere hash-a. Sistemak ez du jakin behar zein den zure pasahitza; idatzi berri duzunak emaitza bera ematen duen egiaztatzeko gai izan behar du besterik ez.
- Gatza: pasahitz bakoitzari ausazko balio bat gehitzea hash-a aplikatu aurretik, pasahitz bera duten bi pertsonak hash bera izan ez dezaten, eta inork taula bat aurrez kalkulatu eta denak batera hautsi ez ditzan.
Gaur “zerbitzu batek ez luke zure pasahitza jakin behar” esaten dugunean, 1979ko artikulu bat aipatzen ari gara.
2003 denok ikasi genituen arauak, eta nondik atera ziren
2003an, Bill Burr-ek, AEBetako NISTekoak, mundu erdiak pasahitzak nola eskatzen zituen arautuko zuen dokumentua idatzi zuen: SP 800-63. Handik atera zen berehala ezagutzen duzun guztia:
Gutxienez maiuskula bat, zenbaki bat eta ikur bat. Aldatu 90 egunero.
Zientzia zirudien. Ez zen. Burrek ez zuen datu onik benetako pasahitzei buruz —ia ez zeuden— beraz zegoenean oinarritu zen eta zentzuzkoa zirudienera arrazoitu zuen: karaktere-aniztasun handiagoa, konbinazio gehiago, segurtasun gehiago.
Arazoa da pertsonak ez garela ausazko sorgailuak. Eskatu maiuskula bat eta
lehenengo jarriko du. Eskatu zenbaki bat eta azkenean jarriko du. Eskatu ikur bat
eta ! bat izango da. Eta hiru hilabetero aldatzera behartzen baduzu,
Uda2024! Udazkena2024! bihurtuko da.
Emaitza: pasahitz-belaunaldi oso bat konplexuak diruditenak eta hutsalak direnak, eta erabiltzaile nekatuak, jada gehiago ezin dutelako, nonahi berrerabiltzen dituztenak.
2017 NISTek atzera egiten du, eta Burrek ere bai
2017an NISTek SP 800-63B argitaratu zuen eta ia guztian atzera egin zuen:
- Luzerak konplexutasunak baino gehiago balio du.
- Behartutako txandakatzerik ez, arriskuaren zantzurik ez badago.
- Pasahitza ihes-zerrenden aurka egiaztatu, ikurrak eskatu beharrean.
Urte berean, Burrek Wall Street Journal-i esan zion idatzitakoaren zati handi bat damutzen zuela. Informatika-segurtasunak eman duen zuzenketa zintzoenetako bat da — eta gaur ere milaka inprimakik ikur bat eskatzen dizute egileak berak gaitzetsitako dokumentu bategatik.
Zergatik ez den hau historia zaharra
Honek guztiak ondorio oso zehatza du, eta hementxe ikus dezakezu.
Gure egiaztatzailea duela gutxi arte 2003ko logikarekin
zebilen: maiuskulak, zenbakiak eta ikurrak zenbatzen zituen. Contraseña1!-i —
literalki “pasahitza” hitza gaztelaniaz — % 92 “Oso sendoa” ematen zion, eta
ausazko bost hitzeko esaldi bati, askoz hobea denari, % 0 “Oso ahula”.
Egin behar ez dena saritzen ari zen. Aldatu dugu: orain zure pasahitza hitzen, izenen, hirien eta teklatu-ereduen hiztegietan bilatzen du, eta benetan zenbat iraungo lukeen esaten dizu.
Eta horregatik erakusten dizkizu sorgailuak entropia-bitak, ehunekorik ez. Ehuneko batek ez du ezer esan nahi. Bitek bai: zutaz ezer ez dakien norbaitek zenbat aldiz saiatu beharko lukeen dira.
Zer egin, bi lerrotan
- Luzea, bihurria baino hobea. Lau edo bost ausazko hitzek
P@ssw0rdirabazten diote magnitude-orden askotan. - Desberdina leku bakoitzean, eta kudeatzaile batean. 2003ko arau bakarra da oraindik zutik dagoena — eta gutxien kasu egin geniona.
Galdera K.o. II. mendeko Erroman bezalakoa da oraindik: gutarra al zara? Aldatu dena da galdetzen duenak orain segundoko mila milioi erantzun proba ditzakeela. Hobe zurea hiztegian ez egotea.
Iturriak: F. J. Corbató eta CTSS (MIT, 1961) · Allan Scherren beraren kontakizuna 1962ri buruz · R. Morris eta K. Thompson, “Password Security: A Case History”, Communications of the ACM, 1979 · NIST SP 800-63 (2003) eta SP 800-63B (2017) · Bill Burren adierazpenak Wall Street Journal-i, 2017ko abuztua.