Hvordan lage og huske et sterkt passord

2024 Forfatter: Malcolm Clapton | [email protected]. Sist endret: 2023-12-17 04:07

De beste måtene å lage et passord som ingen kan knekke.

De fleste angripere bryr seg ikke med sofistikerte metoder for passordtyveri. De tar enkle å gjette kombinasjoner. Omtrent 1 % av alle eksisterende passord kan være brute-force med fire forsøk.

Hvordan er dette mulig? Veldig enkelt. Du prøver de fire vanligste kombinasjonene i verden: passord, 123456, 12345678, qwerty. Etter en slik passasje åpnes i gjennomsnitt 1% av alle "kister".

La oss si at du er blant de 99 % av brukerne hvis passord ikke er så enkelt. Likevel må ytelsen til moderne hacking-programvare tas i betraktning.

Det gratis, fritt tilgjengelige John the Ripper-programmet verifiserer millioner av passord per sekund. Noen eksempler på spesialisert kommersiell programvare krever en kapasitet på 2,8 milliarder passord per sekund.

Til å begynne med kjører crackingsprogrammer gjennom en liste over de statistisk vanligste kombinasjonene, og refererer deretter til den komplette ordboken. Over tid kan brukernes passordtrender endre seg litt, og disse endringene tas med når slike lister oppdateres.

Over tid bestemte alle slags webtjenester og applikasjoner seg for å tvangskomplisere passord opprettet av brukere. Det er lagt inn krav om at passordet skal ha en viss minimumslengde, inneholde tall, store bokstaver og spesialtegn. Noen tjenester tok dette så alvorlig at det tar en veldig lang og kjedelig oppgave å komme opp med et passord som systemet godtar.

Hovedproblemet er at nesten enhver bruker ikke genererer et virkelig brute-force-passord, men prøver bare å oppfylle systemets krav til sammensetningen av passordet til et minimum.

Resultatet er passord som passord1, passord123, passord, passord, passord! og det utrolig uforutsigbare p @ ssverdet.

Tenk deg at du må lage spiderman-passordet ditt på nytt. Mest sannsynlig vil det se ut som $ pider_Man1. Opprinnelig? Tusenvis av mennesker vil endre det ved å bruke samme eller svært lik algoritme.

Hvis kjeksen kjenner til disse minimumskravene, blir situasjonen bare verre. Det er av denne grunn at det pålagte kravet om å øke kompleksiteten til passord ikke alltid gir den beste sikkerheten, og ofte skaper en falsk følelse av økt sikkerhet.

Jo lettere passordet er å huske, jo mer sannsynlig er det at det havner i cracker-ordbøker. Som et resultat viser det seg at et veldig sterkt passord rett og slett er umulig å huske, noe som betyr at det må fikses et sted.

Ifølge eksperter, selv i denne digitale tidsalderen, kan folk fortsatt stole på et stykke papir med passord skrevet på. Det er praktisk å oppbevare et slikt ark på et sted skjult for nysgjerrige øyne, for eksempel i en lommebok eller lommebok.

Passordarket løser imidlertid ikke problemet. Lange passord er vanskelige ikke bare å huske, men også å skrive inn. Situasjonen forverres av virtuelle tastaturer på mobile enheter.

Når de samhandler med dusinvis av tjenester og nettsteder, etterlater mange brukere en rekke identiske passord. De prøver å bruke det samme passordet for hvert nettsted, og ignorerer risikoen fullstendig.

I dette tilfellet fungerer noen nettsteder som en barnepike, noe som tvinger kombinasjonen til å være komplisert. Som et resultat kan brukeren rett og slett ikke huske hvordan han måtte endre standard passord for dette nettstedet.

Omfanget av problemet ble fullt ut realisert i 2009. Så, på grunn av et sikkerhetshull, klarte hackeren å stjele databasen med pålogginger og passord til RockYou.com, selskapet som publiserer spill på Facebook. Angriperen gjorde databasen offentlig tilgjengelig. Totalt inneholdt den 32,5 millioner oppføringer med brukernavn og passord til kontoer. Lekkasjer har skjedd før, men omfanget av denne spesielle hendelsen viste hele bildet.

Det mest populære passordet på RockYou.com var 123456, som ble brukt av nesten 291 000 mennesker. Menn under 30 foretrakk oftere seksuelle temaer og vulgariteter. Eldre mennesker av begge kjønn henvendte seg ofte til et bestemt kulturområde når de velger passord. For eksempel virker ikke Epsilon793 som et så dårlig alternativ, bare denne kombinasjonen var i Star Trek. Det syvsifrede 8675309 dukket opp mange ganger fordi dette nummeret dukket opp i en av Tommy Tutone-sangene.

Faktisk er det en enkel oppgave å lage et sterkt passord, det er nok å komponere en kombinasjon av tilfeldige tegn.

Du kan ikke lage en helt tilfeldig kombinasjon i matematiske termer i hodet ditt, men du er ikke pålagt det. Det er spesielle tjenester som genererer virkelig tilfeldige kombinasjoner. For eksempel kan den lage passord som dette:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Dette er en enkel og elegant løsning, spesielt for de som bruker en manager til å lagre passord.

Dessverre fortsetter de fleste brukere å bruke enkle, svake passord, til og med ignorerer regelen "forskjellige passord for hvert nettsted". For dem er bekvemmelighet viktigere enn sikkerhet.

Situasjoner der passordsikkerheten kan bli kompromittert kan deles inn i 3 brede kategorier:

• Tilfeldig, der en person du kjenner prøver å finne ut passordet, basert på informasjon han vet om deg. Ofte vil en slik cracker bare spille et puss, finne ut noe om deg eller lage et rot.
• Masseangrepnår absolutt enhver bruker av visse tjenester kan bli et offer. I dette tilfellet brukes spesialisert programvare. For angrepet velges de minst sikre nettstedene, som lar deg angi passordalternativer gjentatte ganger i løpet av kort tid.
• Målbevisstsom kombinerer mottak av hint (som i det første tilfellet) og bruk av spesialisert programvare (som i et masseangrep). Dette handler om å prøve å få tak i virkelig verdifull informasjon. Bare et tilstrekkelig langt tilfeldig passord vil bidra til å beskytte deg selv, hvis valg vil ta tid som kan sammenlignes med varigheten av livet ditt.

Som du kan se, kan absolutt alle bli et offer. Utsagn som "passordet mitt vil ikke bli stjålet, fordi ingen trenger meg" er ikke relevante, fordi du kan komme i en lignende situasjon helt tilfeldig, ved en tilfeldighet, uten noen åpenbar grunn.

Det er enda mer alvorlig å ta passordbeskyttelse for de som har verdifull informasjon, er knyttet til en virksomhet eller er i konflikt med noen på økonomiske grunner (for eksempel deling av eiendom i ferd med skilsmisse, konkurranse i næringslivet).

I 2009 ble Twitter (i forståelsen av hele tjenesten) bare hacket fordi administratoren brukte ordet lykke som passord. Hackeren plukket den opp og la den ut på nettstedet Digital Gangster, noe som førte til kapringen av kontoene til Obama, Britney Spears, Facebook og Fox News.

Akronymer

Som i alle andre aspekter av livet, må vi alltid finne et kompromiss mellom maksimal sikkerhet og maksimal bekvemmelighet. Hvordan finne en mellomting? Hvilken strategi for å generere passord vil tillate deg å lage sterke kombinasjoner som lett kan huskes?

For øyeblikket er den beste kombinasjonen av pålitelighet og bekvemmelighet å konvertere en setning eller setning til et passord.

Et sett med ord som du alltid husker velges, og en kombinasjon av de første bokstavene fra hvert ord brukes som passord. For eksempel, May the force be with you blir til Mtfbwy.

Men siden de mest kjente vil bli brukt som de første setningene, vil programmer etter hvert motta disse akronymene i listene sine. Faktisk inneholder akronymet bare bokstaver, og er derfor objektivt sett mindre pålitelig enn en tilfeldig kombinasjon av tegn.

Å velge riktig setning vil hjelpe deg med å bli kvitt det første problemet. Hvorfor gjøre et verdenskjent uttrykk til et akronympassord? Du husker sikkert noen vitser og ordtak som bare er relevante i din nære krets. La oss si at du hørte en veldig fengende setning fra en bartender på et lokalt etablissement. Bruk det.

Likevel er det usannsynlig at akronympassordet du genererte, er unikt. Problemet med akronymer er at forskjellige fraser kan være sammensatt av ord som begynner med de samme bokstavene og i samme rekkefølge. Statistisk sett, på forskjellige språk, er det en økt frekvens av utseendet til visse bokstaver som begynnelsen av et ord. Programmene vil ta hensyn til disse faktorene, og effektiviteten til akronymene i originalversjonen vil reduseres.

Omvendt vei

Veien ut kan være den motsatte generasjonsveien. Du oppretter et helt tilfeldig passord på random.org, og gjør deretter tegnene om til en meningsfull og minneverdig setning.

Ofte gir tjenester og nettsteder brukere midlertidige passord, som er de samme perfekt tilfeldige kombinasjonene. Du vil ønske å endre dem, fordi du ikke vil være i stand til å huske, men bare ta en nærmere titt, og det blir åpenbart: du trenger ikke å huske passordet. La oss for eksempel ta et annet alternativ fra random.org - RPM8t4ka.

Selv om det virker meningsløst, er hjernen vår i stand til å finne visse mønstre og samsvar selv i et slikt kaos. Til å begynne med kan du legge merke til at de tre første bokstavene i den er store, og de neste tre er små. 8 er to ganger (på engelsk to ganger - t) 4. Se litt på dette passordet, og du vil garantert finne dine egne assosiasjoner til det foreslåtte settet med bokstaver og tall.

Hvis du kan huske tullsett med ord, så bruk det. La passordet bli til omdreininger per minutt 8 spor 4 katty. Enhver konvertering som hjernen din er bedre på vil gjøre.

Et tilfeldig passord er gullstandarden innen informasjonssikkerhet. Det er per definisjon bedre enn noe menneskeskapt passord.

Ulempen med akronymer er at over tid vil spredningen av en slik teknikk redusere effektiviteten, og den omvendte metoden vil forbli like pålitelig, selv om alle mennesker på jorden vil bruke den i tusen år.

Et tilfeldig passord vil ikke bli inkludert i listen over populære kombinasjoner, og en angriper som bruker en masseangrepsmetode vil bare brute force et slikt passord.

La oss ta et enkelt tilfeldig passord som tar hensyn til store bokstaver og tall – det er 62 mulige tegn for hver posisjon. Hvis vi gjør passordet til bare 8 sifre, får vi 62 ^ 8 = 218 billioner alternativer.

Selv om antall forsøk innenfor et visst tidsintervall ikke er begrenset, vil den mest kommersielle spesialiserte programvaren med en kapasitet på 2,8 milliarder passord per sekund bruke i gjennomsnitt 22 timer på å finne den rette kombinasjonen. For å være sikker, legger vi bare 1 ekstra tegn til et slikt passord - og det vil ta mange år å knekke det.

Et tilfeldig passord er ikke usårbart, da det kan bli stjålet. Alternativene er mange, fra å lese tastaturinndata til å ha et kamera over skulderen.

En hacker kan treffe selve tjenesten og få data direkte fra sine servere. I denne situasjonen avhenger ingenting av brukeren.

Ett pålitelig fundament

Så vi kom til det viktigste. Hva er taktikken for tilfeldig passord å bruke i det virkelige liv? Fra synspunktet om balansen mellom pålitelighet og bekvemmelighet, vil "filosofien om ett sterkt passord" vise seg godt.

Prinsippet er at du bruker det samme grunnlaget - et supersterkt passord (dets varianter) på tjenestene og nettstedene som er viktigst for deg.

Husk en lang og vanskelig kombinasjon for alle.

Nick Berry, en informasjonssikkerhetskonsulent, lar dette prinsippet brukes, forutsatt at passordet er svært godt beskyttet.

Tilstedeværelsen av skadelig programvare på datamaskinen du skriver inn passordet fra, er ikke tillatt. Det er ikke tillatt å bruke samme passord for mindre viktige og underholdende nettsteder – enklere passord er nok for dem, siden hacking av en konto her ikke vil ha noen fatale konsekvenser.

Det er klart at den pålitelige basen må endres på en eller annen måte for hvert nettsted. Som et enkelt alternativ kan du legge til en enkelt bokstav i begynnelsen, som avslutter navnet på nettstedet eller tjenesten. Hvis vi går tilbake til det tilfeldige RPM8t4ka-passordet, vil det bli til kRPM8t4ka for Facebook-autorisasjon.

En angriper som ser et slikt passord, vil ikke kunne forstå hvordan passordet for bankkontoen din genereres. Problemer vil begynne hvis noen får tilgang til to eller flere av passordene dine generert på denne måten.

Hemmelig spørsmål

Noen kaprere ignorerer passord fullstendig. De handler på vegne av kontoeieren og simulerer en situasjon når du har glemt passordet ditt og ønsker å gjenopprette det med et hemmelig spørsmål. I dette scenariet kan han endre passordet etter eget ønske, og den sanne eieren vil miste tilgangen til kontoen sin.

I 2008 fikk noen tilgang til e-posten til Sarah Palin, guvernøren i Alaska, og på den tiden også en presidentkandidat. Innbruddstyven svarte på det hemmelige spørsmålet, som lød slik: "Hvor møtte du mannen din?"

Etter 4 år mistet Mitt Romney, som også var amerikansk presidentkandidat på den tiden, flere av sine kontoer på ulike tjenester. Noen svarte på et hemmelig spørsmål om navnet til Mitt Romneys kjæledyr.

Du har allerede gjettet poenget.

Du kan ikke bruke offentlige og lett gjettede data som et hemmelig spørsmål og svar.

Spørsmålet er ikke engang at denne informasjonen kan fiskes nøye ut på Internett eller fra personens nære medarbeidere. Svar på spørsmål i stil med "dyrenavn", "favoritt hockeylag" og så videre er perfekt valgt fra de tilsvarende ordbøkene over populære alternativer.

Som et midlertidig alternativ kan du bruke taktikken med det absurde i svaret. For å si det enkelt, bør svaret ikke ha noe med det hemmelige spørsmålet å gjøre. Mors pikenavn? Difenhydramin. Kjæledyrnavn? 1991.

Imidlertid vil en slik teknikk, hvis den finnes utbredt, bli tatt i betraktning i de tilsvarende programmene. Absurde svar er ofte stereotype, det vil si at noen fraser vil bli møtt mye oftere enn andre.

Faktisk er det ingenting galt med å bruke ekte svar, du trenger bare å velge spørsmålet med omhu. Hvis spørsmålet ikke er standard, og svaret på det bare er kjent for deg og ikke kan gjettes etter tre forsøk, er alt i orden. Fordelen med å være sannferdig er at du ikke glemmer det over tid.

PIN-kode

Personal Identification Number (PIN) er en billig lås som pengene våre er betrodd. Ingen gidder å lage en mer pålitelig kombinasjon av minst disse fire tallene.

Stopp nå. Akkurat nå. Akkurat nå, uten å lese neste avsnitt, prøv å gjette den mest populære PIN-koden. Klar?

Nick Berry anslår at 11 % av den amerikanske befolkningen bruker 1234 som PIN-kode (hvor de kan endre den selv).

Hackere tar ikke hensyn til PIN-koder fordi koden er ubrukelig uten fysisk tilstedeværelse av kortet (dette kan delvis rettferdiggjøre den lille lengden på koden).

Berry tok listene over firesifrede passord som dukket opp etter lekkasjene på nettverket. Personen som bruker 1967-passordet har sannsynligvis valgt det av en grunn. Den nest mest populære PIN-koden er 1111, og 6 % av folk foretrekker denne koden. På tredjeplass er 0000 (2%).

Anta at en person som kjenner denne informasjonen har et bankkort i hendene. Tre forsøk på å blokkere kortet. Enkel matematikk viser at denne personen har 19 % sjanse til å gjette PIN-koden sin hvis de skriver inn 1234, 1111 og 0000 i rekkefølge.

Sannsynligvis av denne grunn tildeler de aller fleste banker PIN-koder til utstedte plastkort selv.

Mange beskytter imidlertid smarttelefoner med en PIN-kode, og her gjelder følgende popularitetsvurdering: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 8,6565, 8, 6565, 8, 655, 4321, 2001, 1010.

Ofte representerer PIN-koden et år (fødselsår eller historisk dato).

Mange liker å lage PIN-koder i form av repeterende tallpar (i tillegg er par hvor det første og andre tallet skiller seg med ett, spesielt populære).

Numeriske tastaturer på mobile enheter viser kombinasjoner som 2580 øverst - for å skrive det er det nok å gjøre en direkte passasje fra topp til bunn i midten.

I Korea er tallet 1004 konsonant med ordet "engel", noe som gjør denne kombinasjonen ganske populær der.

Utfall

1. Gå til random.org og lag 5-10 kandidatpassord der.
2. Velg et passord som du kan gjøre om til en minneverdig setning.
3. Bruk denne setningen for å huske passordet ditt.