Računalništvo

Razbijte to: Kako izbrati močna gesla in jih obdržati

uporabniško ime in geslo shutterstock

Če ljudje nekaj povezujejo s sodobno tehnologijo, so to gesla. So povsod in večina nas jih vsak dan uporablja za desetine stvari. Vendar je večina ljudi šokantno brezbrižna glede varnosti svojih gesel. Večina od nas verjetno pozna nekoga, ki uporablja isto geslo za vse, od računalnika in e-pošte do Facebooka in bančnih računov - in to geslo je lahko nekaj tako očitnega kot njihov rojstni dan ali ime ulice, v kateri so odraščali. Verjetno poznamo tudi nekoga, ki ima na strani monitorja lepljivo sporočilo z oznako »Gesla« (v rdeči barvi, dvojno podčrtano) s seznamom vsega od Twitterja do Netflixa, ki samo sedi na prostem, da ga lahko kdo prebere.

Te prakse se morda slišijo kot nekaj iz generacije naših starih staršev, vendar to ni povsem res: prejšnji teden sem gledal polnopravnega člana generacije D, ki se je s svojim prenosnikom poskušal iz Samsung Galaxy S (er, Fascinate) prestaviti na HTC Rezound. računalnik. Kako je premikal vsa svoja gesla? V denarnici je imel list papirja z »vsemi gesli« - in mimo vse je mislil tri. Enega za e-pošto in družabna omrežja, enega za e-pošto svoje velike tete (»Preverim jo zanjo«) in drugega za vse ostalo. Če pogledam čez njegovo ramo, so bile vse tri vsakodnevne besede: mophandle,mumljač, in lillian. Ugani, katera je bila njegova teta?

Na srečo obstajajo preprosti načini, kako gesla narediti tako težko uganljiva kot enostavna za zapomnitev. Na žalost jih tehnološka industrija ovira pri njihovi uporabi. Tukaj je seznam najpogostejših pomanjkljivosti gesel in nekaj načinov, kako lahko izboljšate svoja gesla in svojo spletno varnost.

Nejasnost v primerjavi s kompleksnostjo

Pogosta resnica glede gesel je, da bi morali nikoli lahko uganiti. Večina tehnično podkovanih ljudi se strinja, da nihče ne bi smel uporabljati podrobnosti o sebi kot geslo: to vključuje rojstne dneve, naslove in imena prijateljev in družine (vključno s starši, brati in sestrami, zakonci, otroki in celo hišnimi ljubljenčki). Podobno, geslo naredi posebno slabo geslo - tako kot vsa druga pogosto uporabljena metala gesla.

Ta zimzeleni nasvet se pogosto razlaga tako, da pomeni, da bi morala biti gesla nejasna, ali izraza, za katerega ne bi nihče nikoli pomislil, da bi ga izbral, če bi imel milijon let. Da, nejasno lahko deluje - in to je boljši pogled kot izbiranje očitnega gesla. Nejasno geslo pa vas ščiti le pred ljudmi, ki nekaj vedo o vas. Verjetno je, da večina ljudi poskuša razbiti vaša gesla ne poznam te.

Večina brskanja z gesli se ne zgodi tako, kot je to prikazano v filmih, kjer Naš junak (ali Zlodej) sedi za tipkovnico, preizkusi stavek ali dva, podrgne brado in nato na mizi vohuni fotografijo iz otroštva. Aha! Vnesite čarobno besedo in presto, izogibanje varnosti. V resničnem svetu je velika večina razbijanja gesel avtomatizirana, saj računalniki dobesedno vržejo vsako besedo v slovarju (in nato nekaj) na sistem v upanju, da se spotaknejo za pravi izraz. Ta pristop lahko deluje, ker lahko računalniki gesla preizkusijo veliko hitreje, kot jih lahko vnesejo ljudje, in lahko tečejo 24 ur na dan, sedem dni v tednu, brez odmorov v kopalnici. Avtomatizirani vdiralci gesel ne vedo ničesar o uporabnikih, ki jih skušajo kompromitirati: gre za pristop z grobo silo.

Izkazalo se je, da ključ do močnega gesla ni njegov nejasnost ampak svoje zapletenost- stvari, zaradi katerih je manj verjetno, da bi jih uganil avtomatiziran bralnik gesel. Vendar pa dobro zapleteno geslo pomeni, da veste nekaj o tem, kako se gesla lomijo.

ključ za geslo shutterstockRazbijanje gesel

Na splošno imajo kladarji navadno dva pristopa. Eno je dobesedno preizkusiti vnaprej sestavljen seznam možnih gesel. Običajno se začnejo z zelo pogostimi gesli (npr geslo ali qwerty) in se spustijo do manj pogostih izrazov in sčasoma uporabijo seznam besed, sestavljen iz spletnega slovarja in drugih virov. Ta pristop je bolj verjetno, da boste našli gesla z veljavnimi besedami ali različicami, tudi če so nejasna.

Drug pristop k iskanju gesel je preizkus veljavnih zaporedij črk, številk in simbolov, ne glede na njihov pomen. Razbijalec gesel, ki uporablja ta pristop, se lahko začne z aaaaaaaa za osemmestno geslo, nato poskusite aaaaaaab potem aaaaaaac in tako navzgor po abecedi, z mešanicami velikih in malih črk ter vštevanjem številk in simbolov. Ta pristop bolj verjetno najde gesla, ki so "stroju prijazna" ali naključno ustvarjena. Geslo kot 4De78Hf1 ni težje najti na ta način kot najstnik bi bilo.

Torej, kakšne so verjetnosti ugibanja gesla? Večina sistemov danes uporabnikom omogoča ustvarjanje gesel z uporabo črk (velike in male črke), številk in izbora simbolov. Dovoljeni simboli se med različnimi sistemi pogosto razlikujejo (nekateri omogočajo skoraj vse, drugi dovolijo le peščico), vendar za naše namene predpostavimo, da je lahko vsak znak v geslu ena od približno 80 vrednosti - dve abecedi s po 26 črkami, deset številk, in 18 simbolov. (V teoriji bi moralo biti na voljo vsaj 127 vrednosti za vsak znak, v praksi pa je to manjše število.)

Z uporabo povsem surovega pristopa pomeni, da bi bilo treba naključno ugotoviti enoznakovno geslo največ 80 ugibanj. Geslo s štirimi znaki bi lahko zajemalo več kot 40 milijonov ugibanj (80 × 80 × 80 × 80 = 40.960.000), geslo z osmimi znaki pa bi lahko zajemalo 1,6 kvadrilijona ugibanj (1.677.721.600.000.000).

Če bi lahko lovilec gesel naredil 1000 ugibanj na sekundo, bi potreboval približno mesec dni, da zažene vse kombinacije štirimestnega gesla, in več kot 53.000 letih za zagon vseh kombinacij 8-mestnega gesla. To se zdi precej varno, kajne?

No, pravzaprav ne. Čisto statistično gledano ima kreker 50/50 možnosti, da najde geslo v pol tisti čas. Bolj zaskrbljujoče je, da imajo ljudje, ki izdelujejo krekerje za gesla, druge načine za izboljšanje možnosti. Ne pozabite, kako geslo je bilo eno najslabših gesel za uporabo? Uganete, kaj je tudi zelo slabo geslo? Passw0rd, če črko O. nadomestimo s številko nič. Medtem ko vdiralci gesla izvajajo svoje pogoste besede iz slovarja, preizkušajo tudi običajne različice teh besed, pri čemer črke O nadomeščajo nič, znaki @ in 4, E pa E, 1 in ! je za I, 7 za T pet za S in tako naprej. Podobno, 0qww294e je grozno geslo - to je samo geslo premaknil za eno vrstico navzgor na standardni angleški tipkovnici. Te tehnike plenijo prednost uporabnikov do gesla, ki si jih je mogoče enostavno zapomniti. Na žalost ljudje z zamenjavo (ali uporabo velikih začetnic) znaka ali dveh v lahko zapomnljivem izrazu gesla večinoma naredijo bolj nejasna, a ne veliko bolj varna. Dejansko imajo običajna osemznakovna gesla, ki jih izberejo uporabniki z mešanimi črkami, številkami in simboli, ponavadi le približno 30 bitov entropije ali nekaj več kot milijardo možnih kombinacij. Zakaj? Ker je seznam izrazov, na katerih ljudje temeljijo na svojih geslih, veliko manjši od skupnih možnih kombinacij črk, številk in simbolov.

Kako hitro je mogoče lomiti gesla? Preizkus 1.000 gesel na sekundo se morda zdi nemogoče - navsezadnje nas večina storitev zaklene pred lastnimi računi, če trikrat ali štirikrat napačno vtipkamo geslo, pogosto ponastavimo geslo in zahtevamo, da odgovorimo na varnostna vprašanja za novo. Te tehnike "prehoda" naredi izboljšati varnost računa in so mimogrede tudi odličen osupljivo preprost način, da nagajate ljudem. (Ne morem vam povedati, kolikokrat sem bil zaradi napadov z geslom zaklenjen iz svojega računa iTunes, vendar je verjetno več kot sto.)

Vendar napadalci, ki želijo zlomiti gesla, ne trkajo na vhodna vrata storitve in se (dobesedno) milijonekrat poskušajo prijaviti v isti račun. Uporabljajo bodisi manj javne metode preverjanja pristnosti, ki niso predmet blokad (na primer zasebni API za partnerje ali aplikacije), svoje napade širijo po številnih računih, da se izognejo obdobjem blokade, ali (v najboljšem primeru) uporabljajo geslo tehnike razbijanja ukradenih podatkov o geslih. Večina sistemov šifrira podatke o geslih, ki jih shranijo, vendar so te šifrirane datoteke tako varne kot sistem sam. Če lahko napadalci dobijo šifrirano datoteko z geslom (prek varnostne luknje, ogroženega računalnika ali socialnega inženiringa, jo lahko začnejo zelo hitro, ko je v svojih sistemih. Zato so zgodbe o napadalcih, ki pridobivajo podatke o računu (kot so Stratfor, Epsilon, Sony in Zappos), zaskrbljujoče. Ko so šifrirani podatki sproščeni, lahko napadalci uporabijo veliko močnejša orodja, da jih odprejo.

lomljenje gesla

V resničnem svetu to pomeni, da je številka 1.000 gesel na sekundo izjemno konzervativna. Tipična namizna računalniška strojna oprema te dni lahko preizkusi milijone gesel sekundo proti običajnim tehnologijam šifriranja. Podobno zdaj obstajajo orodja za razbijanje gesel, ki izkoriščajo grafične procesorje, kriminalni operaterji botnetov pa se ukvarjajo tudi z razbijanjem gesel. Delovno obremenitev lahko razširijo na tisoče računalnikov. Združite to surovo moč s prefinjeno hevristiko (kot je preizkušanje različic števil in črk pri običajnih besedah) in ni nič nenavadnega, če v manj kot pol ure razbijete tipično osemmestno uporabniško geslo.

Streljanje v nogo

Zgoraj smo ugotovili, kako ima lahko geslo z osmimi znaki z velikimi, malimi črkami, številkami in simboli več kot kvadrilion možnih kombinacij, vendar večina osem-mestnih gesel, ki se danes uporabljajo, spada v skupino le približno milijarde kombinacij. To je zato, ker ljudje nismo stroji. Kjer je računalnik vsebina za uporabo želva ali Y & 4nS0 \ 2 kot geslo uganite, katerega si je človek lažje zapomniti? Zdaj pa uganite, katera je varnejša.

Nekateri sistemi izvajajo zahteve za gesla, ki uporabnikom zagotavljajo, da ne uporabljajo zlahka razpokanih gesel. Pogost pristop je, da se od uporabniških gesel zahteva vsaj ena velika črka, ena številka, en simbol in dolga najmanj osem znakov. (Nekateri sistemi ne izvajajo zahtev, ponujajo pa merilo "moči gesla" kot merilo, kako učinkovito se mu zdi geslo.) Nekateri sistemi od uporabnikov zahtevajo tudi, da gesla spreminjajo vsake toliko (recimo vsakih 30 ali 45 dni) in jim preprečite ponovno uporabo gesel.

Tovrstne zahteve naredi povečajo varnost gesel, vendar pa si gesla tudi veliko težje zapomnijo. To pomeni, da bo znaten del uporabnikov takoj našel načine, kako spodrezati varnost sistema zaradi lastnega udobja. Seveda se nekateri lahko spoprimejo z gesli, kot je 9,3 nDs (# a veliko drugih se bo odzvalo z geslom obremenjenimi lepilnimi lističi na straneh monitorjev, zapiski v denarnici ali dokumentom Microsoft Word na namizju s koristno oznako »Gesla«, da bodo lahko kopirali in prilepili, kadar bo to potrebno . Zahteve za izdelavo gesla prav tako škodujejo produktivnosti in povečujejo stroške podpore (tako za zaposlene kot za stranke), saj bo več ljudi pozabilo svoja gesla ali bo zaklenjeno iz svojih računov, kar bo zahtevalo ročno posredovanje.

Izdelava zapletenih gesel

Zdi se, da je Sveti gral gesel geslo, ki je zapleteno dovolj, da je nepraktično razbijanje z uporabo avtomatiziranih tehnik, vendar dovolj enostavno, da si zapomnimo, da uporabniki ne ogrožajo varnosti tako, da jih varno shranjujejo ali upravljajo.

Tu je nekaj nasvetov za izdelavo zapletenih, enostavnih gesel:

  • Uporabite dolga gesla. Če ima lahko geslo z osmimi znaki 1,6 kvadrilijona možnih kombinacij, si predstavljajte, koliko lahko ima geslo s 16 znaki? (Približno 2,8 noniljona ali 2,830.) Vendar je morda še pomembneje, da je nabor vrednosti za 16-mestno geslo z običajnimi izrazi in različicami slabih 1,2 kvintiljona, kjer je bilo z osem-mestnim geslom nekaj več kot milijarda. Uporaba daljših gesel je najlažji način, da gesla naredite bolj zapletena in varnejša.
  • Uporabite kombinirane besede. Kako si lahko enostavno zapomnite dolga gesla? Ena pogostih tehnik je uporaba serije od treh do petih preprostih, nepovezane pogoji. Na splošno jih je tako enostavno zapomniti kot številke PIN; kognitivno si ljudje zapomnijo celotne besede kot posamezne enote. Vendar so ta gesla lahko zelo zapletena, vsaj z vidika razbijanja gesel. In ta gesla je enostavno narediti tako, da se ozrete naokoli ali obrnete knjigo na naključno stran. Ko pogledam izpuščeno okno, zagledam igračo žabo, avto in okno kuhinjske kuhinje nekoga. Novo geslo: FrogHubcapCupboard- to je 18 znakov, vendar le tri besede, ki si jih je treba zapomniti. Če pogledamo desno: RunnerCameraGlueString- štiri kratke besede, 22 znakov. Velike črke sem uporabil samo za razbijanje besed. Če dodate več znakov ali zamenjav, lahko povečate zapletenost - samo ne postanite tako zapleteni, da postanete žrtev slabosti trdih gesel.
  • Uporabite besedne zveze ali besedila. Drug način izdelave dolgih gesel je uporaba delov fraz ali besedil. Za besedila so sorazmerno pogoste pesmi morda boljše od tistih, ki so za vas še posebej pomembne: spet ne želite, da bi ljudje, ki vas dobro poznajo, znali ugibati vaša gesla samo zato, ker ste velik oboževalec Michaela Boltona (ali ne) . Primeri gesel iz faz ali besedil so lahko NisteJackKennedy (19 znakov), iShotaManinReno (15 znakov), impeepinandimcreepin (20 znakov).
  • Uporabite mnemotehniko. Slaba stran dolgih gesel je, da jih je težko vtipkati, zlasti v mobilni napravi. Drug trik, ki se nekaterim zdi koristen za ustvarjanje zapletenih krajših gesel, je uporaba prvega znaka vsake besede v frazi ali besedilu. "Koliko cest mora hoditi človek", bi lahko postalo HmrmamwD—Samo osem znakov, a z vidika programa za razbijanje gesel razmeroma zapleteno. Podobno bi lahko postalo »Stresi, stresaj kot polaroidna slika« SiSiLapp- mogoče ne super, ampak bolje kot želva. Ta trik lahko pomaga tudi pri ustvarjanju dobrih gesel za sisteme, ki imajo še vedno omejitev glede dolžine gesel.

Te smernice vam bodo na splošno pomagale najti zapomnjena, zapletena gesla. Seveda boste morali pri obravnavanju sistemov gesel z zahtevami glede sestave (kar pomeni, da pričakujejo mešane črke, številke ali simbole) vseeno pripraviti zabavne zasuke na geslih, da izpolnite te zahteve. Ne pozabite, da lahko z daljšimi gesli nadomeščate in spreminjate na očitnih mestih - običajno si je ta dolga gesla lažje zapomniti tudi z zahtevami kot kratka, neumna gesla.

Nekaj ​​drugih namigov

Pri izbiri gesel morate pomisliti še na druge stvari:

  • Za ločene storitve uporabite ločena gesla. Za spletno bančništvo ne uporabljajte svojega gesla za družabno omrežje. Če je pri eni storitvi ogroženo geslo, morajo biti druge na varnem.
  • Previdno izberite pomembna gesla. Sistemi za enotno prijavo so lahko izjemno priročni, vendar lahko ustvarijo tudi eno samo točko okvare za več storitev. Primeri bi lahko bila gesla za račune v Googlovih, Yahoovih in Microsoftovih storitvah, kjer bi eno samo razpokano geslo omogočilo nekomu dostop do e-pošte, dokumentov, slik, družabnih omrežij, blogov, knjižnic fotografij, seznamov stikov, adresarjev in še več. Podobno ima lahko tako veliko spletnih mest (tudi Digital Trends), ki sprejemajo prijave za Facebook in Twitter, ogroženo geslo za družabno omrežje daljnosežne posledice.
  • Spremenite gesla. Vabljivo je pomisliti, da če se vam eno od gesel zlomi, boste takoj vedeli: vaš e-poštni naslov bo izginil, vaš spletni dnevnik bo postal nabor lulz grafik, vaš seznam daril na Amazonu bo morda napolnjen z neprijetnimi možnostmi, vaš račun PayPal bo morda biti odstranjen. Vendar ni vedno tako: če nekdo zlomi vaše geslo, morda ne bo nobenega očitnega znaka, vsaj ne takoj. Z redno spreminjanjem gesla zagotavljate, da je tudi, če nekdo vdre, njegovo okno možnosti za izkoriščanje omejeno. Pogostost spreminjanja gesel je odvisna od uporabe spletnih storitev. Za vse, kar vključuje pravi denar, uporabnikom na splošno priporočam, da spremenijo geslo vsakih 30 do 90 dni - več denarja, pogosteje.

Nobeno geslo ni varno

Morda je pri geslih najpomembnejše, kar si morate zapomniti kaj geslo je mogoče zlomiti: samo vprašanje je, koliko časa in truda je nekdo pripravljen vložiti vanj. Nasveti tukaj vam bodo pomagali zmanjšati verjetnost, da bodo gesla izkoreninili naključni napadalci in celo prijatelji in družina, vendar nobeno geslo ni popolnoma varno. Če je varen dostop do storitve za vas zelo pomemben, razmislite o proučevanju različnih oblik večfaktorske overitve, da še dodatno zmanjšate možnosti nepooblaščenega dostopa.

Zasluga za sliko: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa

Zadnje objave

Kako skriti zarezo na OnePlus 6
Socialni mediji

Kako skriti zarezo na OnePlus 6

Odhod na CES 2020? Najprej si oglejte te nasvete in trike
Kako

Odhod na CES 2020? Najprej si oglejte te nasvete in trike

$config[zx-auto] not found$config[zx-overlay] not found