Crack this: How to pick strong passwords and keep them so way

používateľské meno a heslo shutterstock

Ak existuje niečo, čo si ľudia spájajú s modernými technológiami, sú to heslá. Sú všade a väčšina z nás ich každý deň používa na desiatky vecí. Napriek tomu je väčšine ľudí šokujúco ľahostajné, čo sa týka zabezpečenia heslom. Väčšina z nás pravdepodobne pozná niekoho, kto používa rovnaké heslo všetko, z ich počítača a e-mailu na ich Facebook a bankové účty - a toto heslo môže byť také zrejmé ako ich dátum narodenia alebo názov ulice, kde vyrastali. A pravdepodobne tiež poznáme niekoho, kto má na boku monitora lepiacu poznámku označenú ako „Heslá“ (červená, dvakrát podčiarknutá) so zoznamom všetkého od Twitteru po Netflix, ktorý sedí na otvorenom priestranstve, aby si ho mohol niekto prečítať.

Tieto praktiky môžu znieť ako niečo z generácie našich starých rodičov, ale to nie je úplne pravda: Minulý týždeň som sledoval plnohodnotného člena generácie D, ktorý sa prostredníctvom svojho notebooku snažil prejsť zo Samsung Galaxy S (eh, Fascinate) na HTC Rezound počítač. Ako presúval všetky svoje heslá? V peňaženke mal kúsok papiera so „všetkými svojimi heslami“ - a okolo všetko myslel tri. Jeden pre e-mail a sociálne siete, jeden pre e-mail jeho pratety („Skontrolujem to pre ňu“) a ďalší pre všetko ostatné. Pri pohľade cez jeho plece boli všetky tri slová každodenného života: moophandle,tlmočník, a Lillian. Hádajte, ktorá bola jeho teta?

Našťastie existujú jednoduché spôsoby, ako urobiť heslá ťažko uhádnuteľnými a ľahko zapamätateľnými. Nanešťastie, technologický priemysel ich niekedy stojí v ceste. Tu uvádzame zoznam bežných slabých miest v heslách a niekoľko spôsobov, ako môžete vylepšiť svoje heslá a zvýšiť svoju online bezpečnosť.

Nejasnosť verzus zložitosť

Bežná pravdivosť hesiel je, že by mali nikdy je ľahké uhádnuť. Väčšina technicky zdatných ľudí súhlasí s tým, že nikto by nemal používať ako heslo podrobnosti o sebe, ktoré zahŕňajú narodeniny, adresy a mená priateľov a rodiny (vrátane rodičov, súrodencov, manželov, detí alebo dokonca domácich miláčikov). Podobne heslo vytvára mimoriadne zlé heslo - rovnako ako všetky ostatné bežne používané heslá na vyhodenie.

Táto vždyzelená rada sa často interpretuje tak, že heslá by mali byť nejasný, alebo výraz, o ktorom by si nikto nikdy nemyslel, že by si ho vybral, keby mal milión rokov. Áno, nejasnosti môžu fungovať - ​​a je to prekliaty pohľad lepší ako výber zrejmého hesla. Nejasné heslo vás však chráni iba pred ľuďmi, ktorí o vás niečo vedia. Kurz je, väčšina ľudí sa snaží prelomiť vaše heslá nie poznám ťa.

Väčšina prelomení hesla sa nestane tak, ako je to vykreslené vo filmoch, kde Náš hrdina (alebo Zloduch) sedí za klávesnicou, skúša frázy alebo dve, trie si bradu a potom špehuje fotografiu z detstva na stole. Aha! Napíšte čarovné slovo a presto, bezpečnosť obchádzaná. V skutočnom svete je drvivá väčšina prelomení hesiel automatizovaná, keď počítače doslova hádžu každé slovo zo slovníka (a potom aj niektoré) do systému v nádeji, že narazia na správny výraz. Tento prístup môže fungovať, pretože počítače si môžu vyskúšať heslá oveľa rýchlejšie, ako ich dokáže napísať človek, a môžu bežať 24 hodín denne, sedem dní v týždni, bez prestávok v kúpeľni. Automatizované crackery hesiel nevedia nič o používateľoch, ktorých sa snažia kompromitovať: je to prístup hrubou silou.

Ukázalo sa teda, že kľúč k silnému heslu nie je nejasnosť ale jeho zložitosťVeci, vďaka ktorým je menej pravdepodobné, že ich uhádne automatický cracker hesiel. Vytvorenie dobrého zložitého hesla však znamená vedieť niečo o tom, ako sa heslá porušujú.

kľúč hesla shutterstockLámanie hesiel

Všeobecne platí, že crackery hesiel majú zvyčajne dva prístupy. Jedným z nich je doslova vyskúšať vopred zostavený zoznam možných hesiel. Spravidla vychádzajú z veľmi bežných hesiel (ako heslo alebo qwerty) a prepracujte sa k menej častým výrazom a nakoniec použite zoznam slov zostavený z online slovníka a ďalších zdrojov. Pri tomto prístupe je pravdepodobnejšie nájsť heslá, ktoré sú platnými slovami alebo variantmi, aj keď sú nejasné.

Ďalším prístupom na prelomenie hesla je vyskúšať platné postupnosti písmen, číslic a symbolov bez ohľadu na ich význam. Cracker hesiel využívajúci tento prístup by mohol začať s aaaaaaaa pre osemmiestne heslo, potom skúste aaaaaaab potom aaaaaaac a tak ďalej po abecede kombináciou malých a veľkých písmen a hádzaním čísel a symbolov. Tento prístup pravdepodobnejšie nájde heslá, ktoré sú „strojovo priateľské“ alebo náhodne generované. Prístupový kód ako 4De78Hf1 nie je o nič ťažšie nájsť tento spôsob ako tínedžer bolo by.

Aká je teda pravdepodobnosť uhádnutia hesla? Väčšina systémov v dnešnej dobe umožňuje používateľom vytvárať heslá pomocou písmen (veľkých a malých písmen), čísel a výberu symbolov. Povolené symboly sa medzi systémami často líšia (niektoré umožňujú takmer všetko, iné iba hrsť), ale pre naše účely predpokladajme, že každý znak v hesle môže mať jednu z približne 80 hodnôt - dve abecedy po 26 písmenách, desať číslic, a 18 symbolov. (Teoreticky by malo byť pre každú postavu k dispozícii najmenej 127 hodnôt, ale v praxi je to menšie číslo.)

Pri použití prístupu čisto hrubej sily to znamená, že náhodnému zisteniu jednoznakového hesla by trvalo maximálne 80 odhadov. Štvormiestne heslo by mohlo mať viac ako 40 miliónov odhadov (80 × 80 × 80 × 80 = 40 960 000) a osemmiestne heslo by mohlo mať 1,6 kvadrilióna odhadov (1 677 721 600 000 000).

Ak by cracker hesiel dokázal urobiť 1 000 odhadov za sekundu, na spustenie všetkých kombinácií štvormiestneho hesla by bolo potrebných asi mesiac, a to viac ako 53 000 rokov spustiť všetky kombinácie 8-znakového hesla. To sa zdá byť celkom bezpečné, však?

No, ani nie. Z čisto štatistického hľadiska má cracker 50/50 šancu nájsť heslo v polovica vtedy. Viac znepokojujúce je, že ľudia, ktorí vyrábajú crackery na heslá, majú iné spôsoby, ako vylepšiť svoje šance. Pamätajte, ako heslo bolo jedno z najhorších hesiel, ktoré sa používalo? Hádajte, čo je tiež veľmi zlé heslo? Passw0rd, nahradením nuly číslom za písmeno O. Zatiaľ čo crackery hesiel používajú svoje bežné slová zo slovníka, skúšajú tiež bežné varianty týchto slov, pričom nuly nahrádzajú O, znaky @ a 4 za A, 3 za E, 1 a ! je pre I, 7 pre T 5 pre S atď. Podobne 0qww294e je hrozné heslo - to je spravodlivé heslo posunutý o jeden riadok vyššie na štandardnej anglickej klávesnici. Tieto techniky sa zameriavajú na preferencie ľahko zapamätateľných hesiel používateľmi. Nanešťastie nahradením (alebo veľkým písmenom) znaku alebo dvoch znakov, ktoré si ľahko zapamätáte, ľudia väčšinou robia svoje heslá temnejšími, ale nie oveľa bezpečnejšími. Typické používateľom vybrané osemmiestne heslá so zmiešanými veľkými a malými písmenami, číslami a symbolmi majú v skutočnosti zvyčajne iba asi 30 bitov entropie alebo niečo viac ako miliardu možných kombinácií. Prečo? Pretože zoznam výrazov, na ktorých si ľudia zakladajú svoje heslá, je oveľa menší ako celkový možný počet kombinácií písmen, čísel a symbolov.

Ako rýchlo sa dajú heslá prelomiť? Vyskúšať 1 000 hesiel za sekundu sa môže javiť ako nemožné - koniec koncov, väčšina služieb má tendenciu uzamknúť nás mimo naše vlastné účty, ak napíšeme heslo trikrát alebo štyrikrát, často heslo resetujeme a vyžaduje si, aby sme odpovedali na bezpečnostné otázky a vytvorili nové. Tieto techniky „brány“ robiť vylepšiť zabezpečenie účtu a mimochodom sú tiež veľmi oslepujúco ľahkým spôsobom, ako otravovať ľudí. (Nemôžem vám povedať, koľkokrát som bol uzamknutý z môjho účtu iTunes útokmi pomocou hesla, ale je to pravdepodobne viac ako sto.)

Útočníci zameraní na prelomenie hesiel však neklepú na vchodové dvere služby a neskúšajú (doslova) miliónkrát sa prihlásiť do rovnakého účtu. Buď používajú menej verejné metódy overovania, ktoré nepodliehajú výlukám (napríklad súkromné ​​API pre partnerov alebo aplikácie), rozširujú svoje útoky na širokú škálu účtov, aby sa vyhli obdobiam blokovania, alebo (v najlepšom prípade) používajú heslo techniky krakovania na odcudzenie údajov o heslách. Väčšina systémov šifruje údaje o heslách, ktoré ukladajú, ale tieto šifrované súbory sú iba také bezpečné ako samotný systém. Ak sa útočníkom podarí dostať sa k zašifrovanému súboru s heslom (pre začiatočníkov cez bezpečnostnú dieru, kompromitovaný stroj alebo sociálne inžinierstvo), môžu ho napadnúť veľmi rýchlo, akonáhle sa dostanú na svoje vlastné systémy. Preto sú príbehy o útočníkoch získavajúcich informácie o účte (ako Stratfor, Epsilon, Sony a Zappos) znepokojujúce. Po uvoľnení šifrovaných údajov môžu útočníci použiť oveľa výkonnejšie nástroje na ich otvorenie.

heslo cracking

V skutočnom svete to znamená, že hodnota 1 000 hesiel za sekundu je mimoriadne konzervatívna. Dnes je možné otestovať typický hardvér pre stolné počítače milióny hesiel za sekundu oproti bežným šifrovacím technológiám. Podobne teraz existujú aj nástroje na prelomenie hesla, ktoré využívajú grafické procesory, a operátori zločineckých botnetov sa taktiež zaoberajú prelomením hesla. Môžu rozložiť pracovné zaťaženie na tisíce počítačov. Spojte túto surovú silu so sofistikovanou heuristikou (ako je vyskúšanie variantov číslic a písmen na bežných slovách) a nie je nič neobvyklé prelomiť typické osemmiestne heslo používateľa za menej ako pol hodinu.

Streľba do nohy

Vyššie sme si všimli, ako môže osemmiestne heslo s veľkými, malými písmenami, číslami a symbolmi obsahovať viac ako kvadrilión možných kombinácií, ale väčšina dnes používaných osemmiestnych hesiel spadá do skupiny iba asi miliardy kombinácií. Je to preto, že ľudia nie sú stroje. Kde je počítač spokojný s použitím korytnačka alebo Y & 4nS0 \ 2 ako heslo, hádajte, ktoré z nich si človek ľahšie zapamätá? Teraz hádajte, ktorá z nich je bezpečnejšia.

Niektoré systémy implementujú požiadavky na heslo, ktorých cieľom je zabezpečiť, aby používatelia nepoužívali ľahko prelomiteľné heslá. Bežným prístupom je vyžadovať, aby používateľské heslá mali minimálne jedno veľké písmeno, jedno číslo, jeden symbol a minimálne osem znakov. (Niektoré systémy nevynucujú požiadavky, ale ponúkajú mieru „sily hesla“ ako mieru efektívnosti, ktorú si myslí, že by heslo mohlo byť.) Niektoré systémy tiež vyžadujú, aby používatelia svoje heslá menili tak často (povedzme každých 30 alebo viac). 45 dní) a zabrániť im v opakovanom použití hesiel.

Tieto druhy požiadaviek robiť zvyšujú bezpečnosť hesiel, ale tiež výrazne sťažujú zapamätanie hesiel. To znamená, že významná časť používateľov okamžite príde na spôsoby, ako narušiť bezpečnosť systému pre svoje vlastné pohodlie. Iste, niektorí ľudia si poradia s heslami ako 9,3 nDs (# ale veľa ďalších ľudí bude odpovedať lepkavými poznámkami nabitými heslom po stranách monitorov, poznámkami v peňaženkách alebo dokumentom programu Microsoft Word na pracovnej ploche s užitočným označením „Heslá“, aby mohli v prípade potreby kopírovať a vkladať . Požiadavky na vytváranie hesiel tiež majú tendenciu poškodzovať produktivitu a zvyšovať náklady na podporu (pre zamestnancov aj zákazníkov), pretože viac ľudí zabudne svoje heslá alebo bude zablokované v účtoch, čo si vyžaduje manuálny zásah.

Tvorba zložitých hesiel

Svätý grál hesiel by sa potom javil ako heslo, ktoré je zložité natoľko, že je nepraktické ho prelomiť pomocou automatizovaných techník, a zároveň dostatočne ľahko zapamätať, že používatelia neohrozujú bezpečnosť ich bezpečným ukladaním alebo správou.

Tu je niekoľko tipov na vytváranie zložitých a ľahko zapamätateľných hesiel:

  • Používajte dlhé heslá. Ak osemmiestne heslo môže obsahovať 1,6 kvadriliónu možných kombinácií, predstavte si, koľko môže mať 16-znakové heslo? (Asi 2,8 miliárd, alebo 2,830.) Možno je však dôležitejšie, že množina hodnôt pre 16-znakové heslo, ktoré používajú bežné výrazy a variácie, je necelých 1,2 kvintilióna, kde to bolo s osemmiestnym heslom niečo cez miliardu. Používanie dlhších hesiel je najjednoduchší spôsob, ako urobiť heslá zložitejšími a bezpečnejšími.
  • Používajte kombinované slová. Ako vyrobiť ľahko zapamätateľné dlhé heslá? Jednou z bežných metód je použitie série troch až piatich jednoduchých, nesúvisiaci podmienky. Spravidla sú ľahko zapamätateľné ako čísla PIN; kognitívne si ľudia zvyknú pamätať celé slová ako jednotlivé jednotky. Tieto heslá však môžu byť minimálne z hľadiska prelomenia hesla veľmi zložité. A tieto heslá sa dajú ľahko vytvoriť len tak, že sa rozhliadnete alebo listujete knihou na náhodnú stránku. Pozerajúc sa von z môjho okna vidím hračkársku žabu, auto a okno niekoho kuchynského kúta. Nové heslo: FrogHubcapCupboard- to je 18 znakov, ale iba tri slová na zapamätanie. Pri pohľade správne: RunnerCameraGlueString- štyri krátke slová, 22 znakov. Veľké písmená som použil iba na to, aby som pomohol prelomiť slová. Pridanie ďalších znakov alebo zámeny môže zvýšiť zložitosť - jednoducho sa nestaňte tak zložitými, aby ste prepadli slabostiam náročných hesiel.
  • Používajte frázy alebo texty piesní. Ďalším spôsobom, ako si vytvoriť dlhé heslá, je použiť časti fráz alebo textov piesní. Pokiaľ ide o texty, relatívne bežné piesne sú možno lepšie ako tie, ktoré sú pre vás obzvlášť dôležité: opäť nechcete, aby ľudia, ktorí vás dobre poznajú, dokázali uhádnuť vaše heslá len preto, že ste (alebo nie ste) veľkým fanúšikom Michaela Boltona. . Môže ísť napríklad o heslá vytvorené z fáz alebo textov piesní You’reNoJackKennedy (19 znakov), iShotaManinReno (15 znakov), impeepin aimcreepin (20 znakov).
  • Používajte mnemotechnické pomôcky. Nevýhodou dlhých hesiel je, že ich písanie môže byť ťažké, najmä v mobilných zariadeniach. Ďalším trikom, ktorý niektorí ľudia považujú za užitočný na generovanie zložitejších kratších hesiel, je použitie prvého znaku každého slova vo fráze alebo texte. „Koľko ciest musí človek prejsť“ by sa mohlo stať HmrmamwD—Len osem znakov, ale z hľadiska programu na prelomenie hesla pomerne zložitý. Podobne by sa mohlo stať: „Pretrepte, pretrepte ako polaroidný obrázok“ SiSiLapp- možno nie skvelý, ale lepší ako korytnačka. Tento trik môže tiež pomôcť pri vytváraní dobrých hesiel pre systémy, ktoré majú stále obmedzený čas.

Tieto pokyny vám vo všeobecnosti pomôžu prísť s ľahko zapamätateľnými a zložitými heslami. Samozrejme, pri práci so systémami hesiel s požiadavkami na zloženie (to znamená, že očakávajú zmiešané veľké a malé písmená, číslice alebo symboly) budete musieť na splnenie týchto požiadaviek ešte vymyslieť funky úpravy hesiel. Pamätajte, že s dlhšími heslami môžete svoje zámeny a zmeny vykonávať na zrejmých miestach - tieto dlhé heslá si zvyčajne ľahšie zapamätáte aj pri požiadavkách ako krátke nezmysly.

Niekoľko ďalších rád

Pri výbere hesiel treba myslieť na ďalšie veci:

  • Pre samostatné služby používajte samostatné heslá. Nepoužívajte svoje heslo k sociálnej sieti pre online bankovníctvo. Ak je pri jednej službe napadnuté heslo, ostatné by mali byť v bezpečí.
  • Starostlivo vyberajte dôležité heslá. Systémy jednotného prihlasovania môžu byť mimoriadne pohodlné, ale zároveň môžu vytvoriť jediný bod zlyhania viacerých služieb. Príkladom môžu byť heslá k účtom v službách Google, Yahoo a Microsoft, kde jediné prelomené heslo môže niekomu poskytnúť prístup k e-mailom, dokumentom, obrázkom, sociálnym sieťam, blogom, knižniciam fotografií, zoznamom kontaktov, adresárom a ďalším. Podobne, toľko webov (dokonca aj Digital Trends), ktoré prijímajú prihlásenia na Facebooku a Twitteri, môže mať ohrozené heslo pre sociálne siete ďalekosiahle následky.
  • Zmeňte svoje heslá. Je lákavé myslieť si, že ak sa jedno z vašich hesiel pokazí, okamžite to budete vedieť: váš e-mail zmizne, váš blog sa stane súborom lulzovej grafiky, váš darčekový zoznam Amazon môže byť plný trápnych možností, váš účet PayPal byť vyčistený. Nie vždy to však platí: Ak niekto prelomí vaše heslo, nemusí to mať zjavný znak, aspoň nie hneď. Pravidelnou zmenou hesla zaistíte, že aj keď niekto vnikne, jeho príležitosť zneužiť vás je obmedzená. Frekvencia, s ktorou by ste mali meniť heslá, sa líši podľa toho, ako využívate služby online. V prípade všetkého, čo sa týka skutočných peňazí, používateľom všeobecne odporúčam meniť si heslá každých 30 až 90 dní - čím viac peňazí, tým častejšie.

Žiadne heslo nie je bezpečné

Asi najdôležitejšie je pamätať si na heslá, to je akýkoľvek heslo môže byť prelomené: je len otázka, koľko času a úsilia je niekto ochotný do toho vložiť. Tipy tu pomôžu znížiť pravdepodobnosť, že vaše heslá budú vykorenené náhodnými útočníkmi alebo dokonca priateľmi a rodinou, ale žiadne heslo nie je úplne bezpečné. Ak je pre vás bezpečný prístup k službe veľmi dôležitý, zvážte preskúmanie rôznych foriem viacfaktorovej autentifikácie, aby ste ďalej znížili pravdepodobnosť neoprávneného prístupu.

Obrazový kredit: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa

Posledné príspevky

$config[zx-auto] not found$config[zx-overlay] not found