A Carnegie Mellon Egyetem és az MIT szakértői legújabb kutatásuk során a hosszú jelszavak feltörhetőségét vizsgálták, és eredményeik alapján úgy tűnik, hogy hiába ötlünk ki hosszabbnál hosszabb kifejezéseket, ezek sem nyújtanak nagy biztonságot, amennyiben nyelvtanilag helyesen írjuk őket. A tudósok angol nyelvű jelszavakra koncentráltak, így azt persze nem tudni, hogy a magyarhoz hasonló, agglutináló nyelvek esetében mi lenne az eredmény, de tény és való, hogy az általuk írt algoritmus meglehetősen könnyen boldogult a 16 karakternél hosszabb kifejezésekkel is, amennyiben ezekben a szavak névelő-melléknév-főnév sorrendben követték egymást (abiggerbetter password, thecommunistfairy). A megvizsgált 1434 jelszó 10 százaléka megfejthető volt kizárólag a kutatócsoport által írt, nyelvtani szerkezeteket ismerő program révén, és ez a szoftver sokkal jobban boldogult a hosszú kifejezésekkel, mint más, rövidebb jelszavaknál hatékonyan működő programok.

A kutatás azért jelent nagyon fontos lépést, mert jelenleg az a hozzáállás az uralkodó, hogy a jelszavak erejét hosszuk növelésével lehet fokozni. Mivel azonban ezeket a karaktersorokat a felhasználónak meg is kell jegyeznie, az emberek többsége szószerkezeteket vagy mondatokat használ. A grammatikai struktúrák helyes használata viszont nagyon megkönnyíti a jelszó feltörését. A kutatás másik meglepő eredménye az volt, hogy a szakértők algoritmusán az olyan kifejezések sem fogtak ki, ahol a felhasználó egyes betűkarakterek helyett számokat vagy más szimbólumokat használt, amennyiben egyébként nyelvtanilag helyes volt a szerkezet. A Th3r3 can only b3 #1! jelszó egy nagyságrenddel gyengébbnek bizonyult a Hammered asinine requirements kombinációnál. A legrosszabb eset persze az, ha valaki következetesen helyettesít be (minden e helyett 3-at használ), tehát a My passw0rd is $uper str0ng! már egy fokkal jobb megoldásnak számít.

A lényeg tehát, hogy a jelszó erősségét nemcsak a karakterek száma és a felhasznált különböző karaktertípusok adják, hanem annak nyelvi megformáltsága is. A kutatók szerint nagyon fontos lenne, hogy a megadott jelszavak erősségének elbírálásakor ez a szempont is bekerüljön a többi közé, különben a felhasználó abba a téves elképzelésbe ringatja magát, hogy kedvenc számának első sorával rendkívül erős jelszót alkotott.

A kutatók szoftvere a nagyjából ötszáz angol nyelvű szövegből, és összességében több mint egymillió szóból álló Brown Corpus-t használja alapként a jelszóként használt szószerkezetek kitalálására. Az eredmény tulajdonképpen nem meglepő, hiszen ha a felhasználó jó eséllyel egy mindenki által ismert szabályt követ jelszavának megalkotásakor, például jelző-jelzett szó összeállításban gondolkodik, a feltöréssel próbálkozó programnak máris sokkal kevesebb opciót kell végigzongoráznia.

És nem csak a szórend lehet árulkodó: az angolban például elmondható, hogy névmásokból kevés van, igéből ezeknél több, melléknévből még több, és a főnevek csoportja a legnépesebb. Tehát a Shehas3cats jellegű, névmás-ige-melléknév-főnév sorrendet követő kifejezések gyengébb jelszónak számítanak, mint az Andyhas3cats, amelyben a névmás helyett is főnév szerepel.

Jelen körülmények között tehát biztosan nem rossz stratégia olyan jelszavakat megadni, amelyek nem követik a nyelvtani szabályokat. Egy pár évig még talán kihúzhatjuk ezzel a módszerrel, azt követően pedig remélhetőleg már valami más mód terjed el ilyen-olyan fiókjaink biztonságban tartására. Mert egy dolog biztos: amíg a billentyűzeten található karakterekből állnak össze jelszavaink, azok az idő műlásával egyre inkább feltörhetővé válnak.