Kako ustvariti in si zapomniti močno geslo

2024 Avtor: Malcolm Clapton | [email protected]. Nazadnje spremenjeno: 2023-12-17 04:10

Najboljši načini za ustvarjanje gesla, ki ga nihče ne more razbiti.

Večina napadalcev se ne obremenjuje s sofisticiranimi metodami kraje gesel. Vzamejo kombinacije, ki jih je enostavno uganiti. Približno 1 % vseh trenutno obstoječih gesel je mogoče uporabiti s štirimi poskusi.

Kako je to mogoče? Zelo preprosto. Preizkusite štiri najpogostejše kombinacije na svetu: geslo, 123456, 12345678, qwerty. Po takem prehodu se v povprečju odpre 1% vseh "skrinj".

Recimo, da ste med tistimi 99 % uporabnikov, katerih geslo ni tako preprosto. Kljub temu je treba upoštevati zmogljivost sodobne programske opreme za hekerje.

Brezplačni, prosto dostopni program John the Ripper preveri milijone gesel na sekundo. Nekateri primeri specializirane komercialne programske opreme trdijo, da ima zmogljivost 2,8 milijarde gesel na sekundo.

Sprva se programi za razpokanje izvajajo po seznamu statistično najpogostejših kombinacij, nato pa se sklicujejo na celoten slovar. Sčasoma se lahko trendi uporabniških gesel nekoliko spremenijo in te spremembe se upoštevajo, ko se takšni seznami posodabljajo.

Sčasoma so se vse vrste spletnih storitev in aplikacij odločile, da bodo na silo zakomplicirale gesla, ki so jih ustvarili uporabniki. Dodane so zahteve, po katerih mora imeti geslo določeno minimalno dolžino, vsebovati številke, velike črke in posebne znake. Nekatere storitve so to vzele tako resno, da je potrebno zares dolgo in dolgočasno pripraviti geslo, ki bi ga sistem sprejel.

Ključna težava je v tem, da skoraj vsak uporabnik ne ustvari resničnega gesla za brutalno silo, ampak skuša le čim bolj izpolniti sistemske zahteve glede sestave gesla.

Rezultat so gesla, kot so geslo1, geslo123, Geslo, Geslo, geslo! in neverjetno nepredvidljivi p@sword.

Predstavljajte si, da morate spremeniti svoje geslo za spiderman. Najverjetneje bo videti kot $ pider_Man1. Original? Na tisoče ljudi ga bo spremenilo z enakim ali zelo podobnim algoritmom.

Če kreker pozna te minimalne zahteve, se stanje le še poslabša. Prav zaradi tega naložena zahteva po povečanju zapletenosti gesel ne zagotavlja vedno najboljše varnosti in pogosto ustvarja lažen občutek povečane varnosti.

Lažje ko si je geslo zapomniti, večja je verjetnost, da bo končalo v slovarjih za krekerje. Posledično se izkaže, da si je res močno geslo preprosto nemogoče zapomniti, kar pomeni, da ga je treba nekje popraviti.

Po mnenju strokovnjakov se lahko tudi v tej digitalni dobi ljudje še vedno zanesejo na kos papirja z napisanimi gesli. Tak list je priročno hraniti na mestu, skritem pred radovednimi očmi, na primer v denarnici ali denarnici.

Vendar pa list z geslom ne reši težave. Dolga gesla je težko ne le zapomniti, ampak tudi vnesti. Situacijo še poslabšajo virtualne tipkovnice mobilnih naprav.

Mnogi uporabniki ob interakciji z desetinami storitev in spletnih mest pustijo za seboj niz enakih gesel. Za vsako spletno mesto poskušajo uporabiti isto geslo, pri čemer popolnoma ignorirajo tveganja.

V tem primeru nekatera spletna mesta delujejo kot varuška, zaradi česar je kombinacija zapletena. Posledično se uporabnik preprosto ne spomni, kako je moral spremeniti svoje standardno enotno geslo za to spletno mesto.

Obseg problema je bil v celoti spoznan leta 2009. Nato je hekerju zaradi varnostne luknje uspelo ukrasti bazo prijav in gesel družbe RockYou.com, ki objavlja igre na Facebooku. Napadalec je dal bazo podatkov javno dostopno. Skupno je vseboval 32,5 milijona vnosov z uporabniškimi imeni in gesli za račune. Puščanja so se že dogajala, vendar je obseg tega posebnega dogodka pokazal celotno sliko.

Najbolj priljubljeno geslo na RockYou.com je bilo 123456, ki ga je uporabilo skoraj 291.000 ljudi. Moški, mlajši od 30 let, so pogosteje izbrali spolne teme in vulgarnosti. Starejši obeh spolov so se pri izbiri gesla pogosto obračali na določeno področje kulture. Na primer, Epsilon793 se ne zdi tako slaba možnost, le ta kombinacija je bila v Star Trek. Sedemmestna številka 8675309 se je pojavila večkrat, ker se je ta številka pojavila v eni od pesmi Tommyja Tutonea.

Pravzaprav je ustvarjanje močnega gesla preprosta naloga, dovolj je, da sestavite kombinacijo naključnih znakov.

V svoji glavi ne morete ustvariti popolnoma naključne kombinacije v matematičnem smislu, vendar to od vas ni potrebno. Obstajajo posebne storitve, ki ustvarjajo resnično naključne kombinacije. Na primer, lahko ustvari gesla, kot je ta:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

To je preprosta in elegantna rešitev, še posebej za tiste, ki uporabljajo upravitelja za shranjevanje gesel.

Na žalost večina uporabnikov še naprej uporablja preprosta, šibka gesla in celo ignorira pravilo »različna gesla za vsako spletno mesto«. Zanje je udobje pomembnejše od varnosti.

Situacije, v katerih je lahko ogrožena varnost gesla, lahko razdelimo v 3 široke kategorije:

• Naključen, v katerem oseba, ki jo poznate, poskuša izvedeti geslo, pri čemer se zanaša na podatke, ki jih pozna o vas. Pogosto se tak kreker želi samo poigrati, izvedeti kaj o vas ali narediti nered.
• Množični napadiko lahko žrtev postane popolnoma vsak uporabnik določenih storitev. V tem primeru se uporablja specializirana programska oprema. Za napad so izbrana najmanj varna spletna mesta, ki vam omogočajo večkratni vnos možnosti gesla v kratkem času.
• Namenki združujejo prejemanje namigov (kot v prvem primeru) in uporabo specializirane programske opreme (kot pri množičnem napadu). Gre za poskus pridobivanja res dragocenih informacij. Za zaščito vas bo pomagalo le dovolj dolgo naključno geslo, katerega izbira bo trajala čas, primerljiv s trajanjem vašega življenja.

Kot lahko vidite, lahko postane žrtev popolnoma vsak. Izjave, kot je "moje geslo ne bo ukradeno, ker me nihče ne potrebuje" niso relevantne, saj lahko v podobno situacijo pridete povsem po naključju, po naključju, brez očitnega razloga.

Še bolj resno je zaščito z geslom vzeti za tiste, ki imajo dragocene informacije, so povezani s podjetjem ali so z nekom v sporu zaradi finančnih razlogov (na primer delitev premoženja v postopku ločitve, konkurenca v poslu).

Leta 2009 so v Twitter (v razumevanju celotne storitve) vdrli le zato, ker je skrbnik kot geslo uporabil besedo sreča. Heker ga je pobral in objavil na spletni strani Digital Gangster, kar je privedlo do ugrabitve računov Obame, Britney Spears, Facebooka in Fox Newsa.

Kratice

Kot v katerem koli drugem vidiku življenja moramo vedno najti kompromis med največjo varnostjo in največjim udobjem. Kako najti srednjo pot? Kakšna strategija za ustvarjanje gesel vam bo omogočila ustvarjanje močnih kombinacij, ki si jih je mogoče zlahka zapomniti?

Trenutno je najboljša kombinacija zanesljivosti in priročnosti pretvorba fraze ali fraze v geslo.

Izbran je nabor besed, ki se jih vedno spomnite, kot geslo pa se uporabi kombinacija prvih črk vsake besede. Na primer, Naj bo sila z vami, se spremeni v Mtfbwy.

Ker pa bodo najbolj znane uporabljene kot začetne fraze, bodo programi sčasoma prejeli te kratice na svoje sezname. Pravzaprav akronim vsebuje samo črke in je zato objektivno manj zanesljiv kot naključna kombinacija znakov.

Izbira pravega stavka vam bo pomagala znebiti prve težave. Zakaj bi svetovno znani izraz spremenili v akronim geslo? Verjetno se spomnite kakšnih šal in izrekov, ki so pomembni le v vašem ožjem krogu. Recimo, da ste slišali zelo privlačen stavek od natakarja v lokalnem lokalu. Uporabi.

Kljub temu geslo za akronim, ki ste ga ustvarili, verjetno ne bo edinstveno. Težava pri kraticah je, da so lahko različne besedne zveze sestavljene iz besed, ki se začnejo z istimi črkami in v istem zaporedju. Statistično se v različnih jezikih pogosteje pojavljajo določene črke kot začetek besede. Programi bodo te dejavnike upoštevali in učinkovitost akronimov v izvirni različici se bo zmanjšala.

Obratna pot

Izhod je lahko nasproten način generacije. Na random.org ustvarite povsem naključno geslo, nato pa njegove znake spremenite v smiselno nepozabno frazo.

Pogosto storitve in spletna mesta uporabnikom nudijo začasna gesla, ki so popolnoma enake popolnoma naključne kombinacije. Želeli jih boste spremeniti, ker si ne boste mogli zapomniti, ampak samo poglejte natančneje in postane očitno: gesla vam ni treba zapomniti. Na primer, vzemimo drugo možnost iz random.org - RPM8t4ka.

Čeprav se zdi nesmiselno, so naši možgani tudi v takšnem kaosu sposobni najti določene vzorce in ujemanja. Za začetek lahko opazite, da so prve tri črke v njem velike, naslednje tri pa male. 8 je dvakrat (v angleščini dvakrat - t) 4. Malo poglejte to geslo in zagotovo boste našli svoje asociacije s predlaganim nizom črk in številk.

Če si lahko zapomniš nesmiselne nabore besed, potem jih uporabi. Naj se geslo spremeni v vrtljajev na minuto 8 skladba 4 katty. Vsaka pretvorba, v kateri so vaši možgani boljši, bo uspela.

Naključno geslo je zlati standard pri informacijski varnosti. Po definiciji je boljše od katerega koli gesla, ki ga je ustvaril človek.

Pomanjkljivost akronimov je, da bo sčasoma širjenje takšne tehnike zmanjšalo njeno učinkovitost, obratna metoda pa bo ostala enako zanesljiva, tudi če jo bodo vsi ljudje na zemlji uporabljali tisoč let.

Naključno geslo ne bo vključeno na seznam priljubljenih kombinacij, napadalec, ki uporablja metodo množičnega napada, pa bo takšno geslo samo nasilno izsilil.

Vzemimo preprosto naključno geslo, ki upošteva velike črke in številke – to je 62 možnih znakov za vsak položaj. Če naredimo geslo samo 8-mestno, dobimo 62 ^ 8 = 218 bilijonov možnosti.

Tudi če število poskusov v določenem časovnem intervalu ni omejeno, bo najbolj komercialna specializirana programska oprema z zmogljivostjo 2,8 milijarde gesel na sekundo porabila povprečno 22 ur za iskanje prave kombinacije. Zagotovo dodamo le 1 dodaten znak takemu geslu - in bo trajalo več let, da ga razbijemo.

Naključno geslo ni neranljivo, saj ga je mogoče ukrasti. Možnosti je veliko, od branja vnosa s tipkovnice do kamere čez ramo.

Heker lahko zadene samo storitev in pridobi podatke neposredno iz svojih strežnikov. V tej situaciji ni nič odvisno od uporabnika.

Ena zanesljiva podlaga

Torej smo prišli do glavne stvari. Kakšne so taktike naključnega gesla, ki jih je treba uporabiti v resničnem življenju? Z vidika ravnotežja med zanesljivostjo in udobjem se bo dobro izkazala "filozofija enega močnega gesla".

Načelo je, da uporabljate isto osnovo – super močno geslo (njegove različice) na storitvah in spletnih mestih, ki so za vas najpomembnejša.

Zapomnite si eno dolgo in težko kombinacijo za vsakogar.

Nick Berry, svetovalec za informacijsko varnost, dovoljuje uporabo tega načela, če je geslo zelo dobro zaščiteno.

Prisotnost zlonamerne programske opreme na računalniku, iz katerega vnesete geslo, ni dovoljena. Za manj pomembna in zabavna spletna mesta ni dovoljena uporaba istega gesla - preprostejša gesla so zanje povsem dovolj, saj vdiranje računa tukaj ne bo povzročilo usodnih posledic.

Jasno je, da je treba zanesljivo bazo za vsako mesto nekako spremeniti. Kot preprosto možnost lahko na začetek dodate eno črko, ki konča ime spletnega mesta ali storitve. Če se vrnemo na to naključno geslo RPM8t4ka, se bo spremenilo v kRPM8t4ka za avtorizacijo Facebooka.

Napadalec, ki vidi takšno geslo, ne bo mogel razumeti, kako se ustvari geslo za vaš bančni račun. Težave se bodo začele, če nekdo pridobi dostop do dveh ali več vaših gesel, ustvarjenih na ta način.

skrivno vprašanje

Nekateri ugrabitelji gesla v celoti ignorirajo. Delujejo v imenu lastnika računa in s skrivnim vprašanjem simulirajo situacijo, ko ste pozabili geslo in ga želite obnoviti. V tem scenariju lahko po želji spremeni geslo in pravi lastnik bo izgubil dostop do svojega računa.

Leta 2008 je nekdo dobil dostop do elektronske pošte Sarah Palin, guvernerke Aljaske in takrat tudi predsedniške kandidatke. Vlomilec je odgovoril na skrivno vprašanje, ki je zvenelo takole: "Kje ste spoznali svojega moža?"

Po 4 letih je Mitt Romney, ki je bil takrat tudi predsedniški kandidat ZDA, izgubil več svojih računov na različnih storitvah. Nekdo je odgovoril na skrivno vprašanje o imenu hišnega ljubljenčka Mitta Romneyja.

Bistvo ste že uganili.

Javnih in zlahka uganljivih podatkov ne morete uporabiti kot tajno vprašanje in odgovor.

Vprašanje ni niti v tem, da je te podatke mogoče skrbno izslediti na internetu ali od osebnih bližnjih sodelavcev. Odgovori na vprašanja v slogu "ime živali", "najljubša hokejska ekipa" in tako naprej so popolnoma izbrani iz ustreznih slovarjev priljubljenih možnosti.

Kot začasno možnost lahko uporabite taktiko absurdnosti odgovora. Preprosto povedano, odgovor ne bi smel imeti nobene zveze s skrivnim vprašanjem. Materin dekliški priimek? Difenhidramin. Ime ljubljenčka? 1991.

Vendar pa bo takšna tehnika, če se bo izkazala za razširjeno, upoštevana v ustreznih programih. Absurdni odgovori so pogosto stereotipni, to pomeni, da se bodo nekatere fraze srečale veliko pogosteje kot druge.

Pravzaprav ni nič narobe z uporabo resničnih odgovorov, le pametno morate izbrati vprašanje. Če je vprašanje nestandardno in je odgovor nanj znan samo vam in ga po treh poskusih ni mogoče uganiti, potem je vse v redu. Prednost resnice je, da je sčasoma ne boste pozabili.

PIN

Osebna identifikacijska številka (PIN) je poceni ključavnica, ki ji je zaupan naš denar. Nihče se ne trudi ustvariti bolj zanesljive kombinacije vsaj teh štirih številk.

Zdaj pa nehaj. Takoj zdaj. Zdaj, ne da bi prebrali naslednji odstavek, poskusite uganiti najbolj priljubljeno kodo PIN. pripravljeni?

Nick Berry ocenjuje, da 11 % prebivalstva ZDA uporablja 1234 kot PIN (kjer ga lahko sami spremenijo).

Hekerji niso pozorni na PIN kode, ker je brez fizične prisotnosti kartice neuporabna (to lahko delno upraviči majhnost kode).

Berry je vzel sezname štirimestnih gesel, ki so se pojavila po uhajanju v omrežje. Oseba, ki uporablja geslo iz leta 1967, ga je verjetno izbrala z razlogom. Druga najbolj priljubljena koda PIN je 1111 in 6 % ljudi raje to kodo. Na tretjem mestu je 0000 (2%).

Recimo, da ima oseba, ki pozna te podatke, v rokah bančno kartico. Trije poskusi blokiranja kartice. Preprosta matematika kaže, da ima ta oseba 19-odstotno možnost, da ugane svojo kodo PIN, če zaporedoma vnese 1234, 1111 in 0000.

Verjetno iz tega razloga velika večina bank izdanim plastičnim karticam sama dodeli PIN-kode.

Vendar pa marsikdo pametne telefone zaščiti s kodo PIN in tukaj velja naslednja ocena priljubljenosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3353, 638, 68., 4321, 2001, 1010.

Pogosto PIN predstavlja leto (leto rojstva ali zgodovinski datum).

Mnogi ljudje radi izdelajo PIN-e v obliki ponavljajočih se parov številk (še posebej priljubljeni so pari, kjer se prva in druga številka razlikujeta za eno).

Številčne tipkovnice mobilnih naprav prikazujejo kombinacije, kot je 2580, na vrhu - za vnos je dovolj, da naredite neposreden prehod od zgoraj navzdol v sredini.

V Koreji je številka 1004 skladna z besedo "angel", zaradi česar je ta kombinacija tam zelo priljubljena.

Izid

1. Pojdite na random.org in tam ustvarite 5-10 kandidatnih gesel.
2. Izberite geslo, ki ga lahko spremenite v nepozabno frazo.
3. Uporabite to frazo, da si zapomnite svoje geslo.