Pli kaj pli oftas kazoj de ŝtelitaj pasvortoj.
Estas kelkaj malsamaj manieroj, laŭ kiuj pasvortoj estas ŝtelitaj:
Amasa ŝtelo de tuta pasvorta datumbazo de retejo. Ĉiujn kelkajn semajnojn aperas nova artikolo pri ŝtelo de datumbazo kun milionoj da pasvortoj de iu fama servo, ekzemple LinkedIn. En tiaj situacioj, iu akiris aliron al la servilo mem kaj ŝtelis datumojn. Se la retejo stulte konservas pasvortojn en klara teksto, tiam la ŝtelinto jam havas ĉies pasvortojn, kune kun nomoj, retpoŝtadresoj, ktp. Sufiĉe multaj retejoj ankoraŭ tute malsekure konservas pasvortojn tiel. Aliaj konservas ilin ĉifritaj, tiel ke eblas malĉifri ilin per ŝlosilo, kiu ankaŭ ekzistas en la sistemo kaj do probable ankaŭ estis ŝtelita - do ne pli bona situacio ol datumbazo kun klartekstaj pasvortoj. Pli bonas estas konservi nur la hakaĵon (angle "hash") de ĉiu pasvorto. Hakfunkcio estas unudirekta, do per la hakaĵo, ne praktike eblas komputi la originalan pasvorton. Plej bonas uzi salon (angle "salt") unikan por ĉiu uzanto kun ties pasvorto, por ke ŝtelinto devas kalkule serĉi ĉiun pasvorton individue. Sen salo, du uzantoj kun la sama pasvorto (sufiĉe ofta koincido!) havas la saman hakaĵon, sed kun salo, du uzantoj kun la sama pasvorto tamen havas tute malsamajn hakaĵojn. Do post la ŝtelo, la pasvortoj estas dumtempaj sekuraj, sed la ŝtelinto uzos programojn, kiuj rapide kalkulas hakaĵojn de kandidataj pasvortoj kaj komparas kun la ŝtelitaj hakaĵoj, tiel malkovrante la pli malfortajn pasvortojn pli rapide. La pli fortaj pasvortoj ne estos malkovritaj - la serĉado daŭrus miljarojn por forta pasvorto. Sed la ŝtelinto estas kontenta kun malkovro de multaj malfortaj pasvortoj, kaj ne gravas, ĉu multaj aliaj fortaj restas misteraj. La malkovritaj pasvortoj poste estos uzataj por aliro al aliaj gravaj utilaj kontoj de ties posedantoj, ekzemple retpoŝtaj kaj financaj kontoj.
Kiel uzanto vi ne povas regi la metodon, per kiu retejoj konservas vian pasvorton, kaj kutime vi eĉ ne povas scii. Tial vi prefere supozu, ke la pasvortoj estas tute nesekure konservitaj... do se tiu retejo estos priŝtelita, la ŝtelinto posedos vian pasvorton. Do se vi uzas tiun saman pasvorton ĉe aliaj kontoj, kiuj gravas al vi, la ŝtelinto havos aliron al tiuj aliaj gravaj kontoj viaj...
Individuaj provoj ensaluti al via konto. Ĉi-kaze temas pri atako kontraŭ vi specife, pro ia ajn motivo. La atakanto supozeble scias ion pri vi, do se via pasvorto estas (ekzemple) via naskiĝdato, la atakanto kredeble eltrovos tion. Kaj se via pasvorto estas tro mallonga, la atakanto povus simple per bonŝanco trovi ĝin per aŭtomataj konstantaj provoj ensaluti per diversaj pasvortoj. Multaj retejoj ne defendas kontraŭ tiaj rapidaj sinsekvaj provoj ensaluti.
Estas saĝe uzi pasvortojn, kiuj estas fortaj kaj unikaj.
"Forta" pasvorto estas:
Longa: Nuntempaj komputiloj povas rapide provi ĉiujn eblajn mallongajn kombinaĵojn. Ekzemple eblas fari kalkulojn pri ĉiuj 8-literaj sekvencoj ene de nur malmultaj minutoj per multaj nuntempaj komputiloj. Oni nuntempe rekomendas minimume 12 simbolojn en pasvortoj.
Diversalfabeta: Ĝi ne konsistu el nur minusklaj literoj, sed havu almenaŭ 1 minusklan, 1 majusklan, kaj 1 ciferon. Prefere ĝi ankaŭ enhavu almenaŭ interpunkciajn/specialan simbolon (!@#$%^&*_-+=;:,.? ktp).
Ne konsistante el vortaraj vortoj: Multaj programoj havas vortarojn de oftaj vortoj kaj provas diversajn oftajn variantojn. Ekzemple "pasvorto" estas malforta pasvorto, kaj ankaŭ "pasvorto1", "p@v0rt0", "otrovsap", ktp. Ne simple manipuli vorton por krei pasvorton.
Bedaŭrinde multaj retejoj stulte malhelpas fortecon de pasvortoj:
Pri longeco: Multaj retejoj starigas ian maksimuman longecon (ofte tre mallonge, ekzemple 12 aŭ 10 aŭ 8) anstataŭ permesi uzantojn uzi longajn pli fortajn simbolo-sekvencojn. Iuj silente senaverte uzas nur mallongan prefikson de la tajpita pasvorto. Ekzemple uzanto kreas konton kun bona sekura pasvorto kun 20 simboloj, kaj poste ne povas ensaluti, ĉar la sistemo silente uzis nur la unuajn 12 simbolojn, do la elektita pasvorto estas malĝusta.
Pri alfabeto: Multaj retejoj malpermesas simbolojn krom literoj kaj ciferoj. Aŭ ili ne distingas inter minusklaj kaj majusklaj literoj, do pasvorto "A8UjuRecB*yY" identas kun "A8UJURECB*YY" kaj "a8ujurecb*yy". Aŭ ili permesas iajn "specialajn simbolojn" sed ne informas pri kiuj, do oni devas testi por eltrovi, kiuj simboloj estas akceptataj.