Bagaimana untuk mencipta dan mengingati kata laluan yang kuat

2024 Pengarang: Malcolm Clapton | [email protected]. Diubah suai terakhir: 2023-12-17 04:06

Cara terbaik untuk mencipta kata laluan yang tidak boleh dipecahkan oleh sesiapa pun.

Kebanyakan penyerang tidak peduli dengan kaedah kecurian kata laluan yang canggih. Mereka mengambil kombinasi yang mudah diteka. Kira-kira 1% daripada semua kata laluan sedia ada pada masa ini boleh menjadi kekerasan dengan empat percubaan.

Bagaimana ini boleh berlaku? Sangat ringkas. Anda mencuba empat kombinasi paling biasa di dunia: kata laluan, 123456, 12345678, qwerty. Selepas laluan sedemikian, secara purata, 1% daripada semua "dada" dibuka.

Katakan anda adalah antara 99% pengguna yang kata laluannya tidak begitu mudah. Walaupun begitu, prestasi perisian penggodaman moden mesti diambil kira.

Program John the Ripper percuma yang tersedia secara percuma mengesahkan berjuta-juta kata laluan sesaat. Beberapa contoh perisian komersial khusus menuntut kapasiti 2.8 bilion kata laluan sesaat.

Pada mulanya, program pemecahan dijalankan melalui senarai gabungan yang paling biasa secara statistik, dan kemudian merujuk kepada kamus lengkap. Dari masa ke masa, aliran kata laluan pengguna mungkin berubah sedikit, dan perubahan ini diambil kira apabila senarai tersebut dikemas kini.

Dari masa ke masa, semua jenis perkhidmatan web dan aplikasi memutuskan untuk merumitkan kata laluan yang dibuat oleh pengguna secara paksa. Keperluan telah ditambah, mengikut mana kata laluan mesti mempunyai panjang minimum tertentu, mengandungi nombor, huruf besar dan aksara khas. Sesetengah perkhidmatan memandang serius perkara ini sehingga memerlukan tugas yang sangat panjang dan membosankan untuk menghasilkan kata laluan yang akan diterima oleh sistem.

Masalah utama ialah hampir mana-mana pengguna tidak menjana kata laluan yang benar-benar brute-force, tetapi hanya cuba memenuhi keperluan sistem untuk komposisi kata laluan secara minimum.

Hasilnya ialah kata laluan seperti kata laluan1, kata laluan123, Kata Laluan, Kata Laluan, kata laluan! dan p @ pedang yang sangat tidak dapat diramalkan.

Bayangkan anda perlu membuat semula kata laluan spiderman anda. Kemungkinan besar ia akan kelihatan seperti $ pider_Man1. Asli? Beribu-ribu orang akan mengubahnya menggunakan algoritma yang sama atau hampir sama.

Jika keropok tahu keperluan minimum ini, maka keadaan menjadi lebih teruk. Atas sebab inilah keperluan yang dikenakan untuk meningkatkan kerumitan kata laluan tidak selalu memberikan keselamatan yang terbaik, dan sering menimbulkan rasa palsu tentang peningkatan keselamatan.

Lebih mudah kata laluan untuk diingati, lebih besar kemungkinan ia akan berakhir di kamus cracker. Akibatnya, ternyata kata laluan yang sangat kuat adalah mustahil untuk diingati, yang bermaksud ia perlu diperbaiki di suatu tempat.

Menurut pakar, walaupun dalam era digital ini, orang ramai masih boleh bergantung pada sehelai kertas dengan kata laluan tertulis di atasnya. Adalah mudah untuk menyimpan helaian sedemikian di tempat yang tersembunyi dari mata yang mengintip, contohnya, dalam dompet atau dompet.

Walau bagaimanapun, helaian kata laluan tidak menyelesaikan masalah. Kata laluan yang panjang sukar bukan sahaja untuk diingat, tetapi juga untuk dimasukkan. Keadaan diburukkan oleh papan kekunci maya peranti mudah alih.

Berinteraksi dengan berpuluh-puluh perkhidmatan dan tapak, ramai pengguna meninggalkan rentetan kata laluan yang sama. Mereka cuba menggunakan kata laluan yang sama untuk setiap tapak, mengabaikan risiko sepenuhnya.

Dalam kes ini, sesetengah tapak bertindak sebagai pengasuh, memaksa gabungan menjadi rumit. Akibatnya, pengguna tidak dapat mengingati bagaimana dia perlu mengubah suai kata laluan tunggal standardnya untuk tapak ini.

Skala masalah telah direalisasikan sepenuhnya pada tahun 2009. Kemudian, disebabkan lubang keselamatan, penggodam berjaya mencuri pangkalan data log masuk dan kata laluan RockYou.com, syarikat yang menerbitkan permainan di Facebook. Penyerang membuat pangkalan data tersedia secara terbuka. Secara keseluruhan, ia mengandungi 32.5 juta entri dengan nama pengguna dan kata laluan ke akaun. Kebocoran telah berlaku sebelum ini, tetapi skala peristiwa tertentu ini menunjukkan gambaran keseluruhannya.

Kata laluan paling popular di RockYou.com ialah 123456, yang digunakan oleh hampir 291,000 orang. Lelaki di bawah 30 lebih kerap memilih tema seksual dan kelucahan. Orang tua kedua-dua jantina sering beralih ke kawasan budaya tertentu apabila memilih kata laluan. Sebagai contoh, Epsilon793 tidak kelihatan seperti pilihan yang buruk, hanya gabungan ini berada dalam Star Trek. Tujuh digit 8675309 muncul berkali-kali kerana nombor ini muncul dalam salah satu lagu Tommy Tutone.

Malah, mencipta kata laluan yang kuat adalah tugas yang mudah, sudah cukup untuk mengarang gabungan aksara rawak.

Anda tidak boleh mencipta gabungan rawak sempurna dalam istilah matematik dalam kepala anda, tetapi anda tidak perlu melakukannya. Terdapat perkhidmatan khas yang menjana kombinasi yang benar-benar rawak. Sebagai contoh, ia boleh membuat kata laluan seperti ini:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ini adalah penyelesaian yang mudah dan elegan, terutamanya bagi mereka yang menggunakan pengurus untuk menyimpan kata laluan.

Malangnya, kebanyakan pengguna terus menggunakan kata laluan yang mudah dan lemah, malah mengabaikan peraturan "kata laluan yang berbeza untuk setiap tapak". Bagi mereka, kemudahan lebih penting daripada keselamatan.

Situasi di mana keselamatan kata laluan boleh terjejas boleh dibahagikan kepada 3 kategori luas:

• rawak, di mana seseorang yang anda kenali cuba mencari kata laluan, bergantung pada maklumat yang dia tahu tentang anda. Selalunya, keropok seperti itu hanya mahu bermain helah, mengetahui sesuatu tentang anda, atau membuat kacau.
• Serangan besar-besaranapabila benar-benar mana-mana pengguna perkhidmatan tertentu boleh menjadi mangsa. Dalam kes ini, perisian khusus digunakan. Untuk serangan itu, tapak yang paling kurang selamat dipilih, yang membolehkan anda memasukkan pilihan kata laluan berulang kali dalam tempoh yang singkat.
• Bertujuanyang menggabungkan penerimaan pembayang (seperti dalam kes pertama) dan penggunaan perisian khusus (seperti dalam serangan besar-besaran). Ini adalah tentang cuba mendapatkan maklumat yang benar-benar berharga. Hanya kata laluan rawak yang cukup panjang akan membantu melindungi diri anda, pemilihan yang akan mengambil masa setanding dengan tempoh hidup anda.

Seperti yang anda lihat, sesiapa sahaja boleh menjadi mangsa. Pernyataan seperti "kata laluan saya tidak akan dicuri, kerana tiada siapa yang memerlukan saya" tidak relevan, kerana anda boleh mengalami situasi yang sama secara tidak sengaja, secara kebetulan, tanpa sebab yang jelas.

Adalah lebih serius untuk mengambil perlindungan kata laluan bagi mereka yang mempunyai maklumat berharga, dikaitkan dengan perniagaan atau berkonflik dengan seseorang atas alasan kewangan (contohnya, pembahagian harta dalam proses perceraian, persaingan dalam perniagaan).

Pada tahun 2009, Twitter (dalam pemahaman keseluruhan perkhidmatan) telah digodam hanya kerana pentadbir menggunakan perkataan kebahagiaan sebagai kata laluan. Penggodam itu mengambilnya dan menyiarkannya di laman web Digital Gangster, yang membawa kepada rampasan akaun Obama, Britney Spears, Facebook dan Fox News.

Akronim

Seperti dalam mana-mana aspek kehidupan yang lain, kita sentiasa perlu mencari kompromi antara keselamatan maksimum dan kemudahan maksimum. Bagaimana untuk mencari jalan tengah? Apakah strategi untuk menjana kata laluan yang akan membolehkan anda mencipta kombinasi kukuh yang boleh diingati dengan mudah?

Pada masa ini, gabungan kebolehpercayaan dan kemudahan terbaik ialah menukar frasa atau frasa kepada kata laluan.

Satu set perkataan yang anda sentiasa ingat dipilih, dan gabungan huruf pertama daripada setiap perkataan digunakan sebagai kata laluan. Sebagai contoh, Semoga kekuatan bersama anda bertukar menjadi Mtfbwy.

Walau bagaimanapun, kerana yang paling terkenal akan digunakan sebagai frasa awal, program akhirnya akan menerima akronim ini dalam senarai mereka. Malah, akronim hanya mengandungi huruf, dan oleh itu secara objektif kurang boleh dipercayai daripada gabungan rawak aksara.

Memilih frasa yang betul akan membantu anda menyingkirkan masalah pertama. Mengapa menukar ungkapan terkenal dunia menjadi kata laluan akronim? Anda mungkin masih ingat beberapa jenaka dan kata-kata yang hanya relevan dalam kalangan rapat anda. Katakan anda mendengar frasa yang sangat menarik daripada pelayan bar di pertubuhan tempatan. gunakannya.

Namun, kata laluan akronim yang anda hasilkan tidak mungkin unik. Masalah dengan akronim ialah frasa yang berbeza boleh terdiri daripada perkataan yang bermula dengan huruf yang sama dan dalam urutan yang sama. Secara statistik, dalam pelbagai bahasa, terdapat peningkatan kekerapan penampilan huruf tertentu sebagai permulaan perkataan. Program akan mengambil kira faktor ini, dan keberkesanan akronim dalam versi asal akan dikurangkan.

Cara terbalik

Jalan keluar boleh menjadi cara yang bertentangan dengan generasi. Anda mencipta kata laluan rawak sepenuhnya di random.org, dan kemudian menukar aksaranya menjadi frasa yang tidak dapat dilupakan yang bermakna.

Selalunya, perkhidmatan dan tapak menyediakan pengguna dengan kata laluan sementara, yang merupakan gabungan rawak sempurna yang sama. Anda akan mahu menukarnya, kerana anda tidak akan dapat mengingati, tetapi hanya melihat dengan lebih dekat, dan ia menjadi jelas: anda tidak perlu mengingati kata laluan. Sebagai contoh, mari ambil pilihan lain daripada random.org - RPM8t4ka.

Walaupun ia kelihatan tidak bermakna, otak kita dapat mencari corak dan surat-menyurat tertentu walaupun dalam keadaan huru-hara. Sebagai permulaan, anda dapat melihat bahawa tiga huruf pertama di dalamnya adalah huruf besar, dan tiga huruf seterusnya adalah huruf kecil. 8 ialah dua kali (dalam bahasa Inggeris dua kali - t) 4. Lihat sedikit kata laluan ini, dan anda pasti akan menemui persatuan anda sendiri dengan set huruf dan nombor yang dicadangkan.

Jika anda boleh menghafal set perkataan karut, maka gunakan itu. Biarkan kata laluan bertukar menjadi pusingan seminit 8 trek 4 katty. Mana-mana penukaran yang otak anda lebih baik akan lakukan.

Kata laluan rawak ialah standard emas dalam keselamatan maklumat. Ia, mengikut definisi, lebih baik daripada mana-mana kata laluan buatan manusia.

Kelemahan akronim adalah bahawa dari masa ke masa, penyebaran teknik sedemikian akan mengurangkan keberkesanannya, dan kaedah sebaliknya akan tetap sama dipercayai, walaupun semua orang di bumi akan menggunakannya selama seribu tahun.

Kata laluan rawak tidak akan dimasukkan dalam senarai kombinasi popular, dan penyerang yang menggunakan kaedah serangan besar-besaran hanya akan memaksa kata laluan sedemikian.

Mari kita ambil kata laluan rawak mudah yang mengambil kira huruf besar dan nombor - iaitu 62 aksara yang mungkin untuk setiap kedudukan. Jika kita membuat kata laluan hanya 8 digit, maka kita mendapat 62 ^ 8 = 218 trilion pilihan.

Walaupun bilangan percubaan dalam selang masa tertentu tidak terhad, perisian khusus yang paling komersial dengan kapasiti 2.8 bilion kata laluan sesaat akan menghabiskan purata 22 jam untuk mencari kombinasi yang betul. Yang pasti, kami menambah hanya 1 aksara tambahan pada kata laluan sedemikian - dan ia akan mengambil masa bertahun-tahun untuk memecahkannya.

Kata laluan rawak tidak kebal, kerana ia boleh dicuri. Pilihannya banyak, daripada membaca input papan kekunci kepada meletakkan kamera di atas bahu anda.

Seorang penggodam boleh memukul perkhidmatan itu sendiri dan mendapatkan data terus daripada pelayannya. Dalam keadaan ini, tiada apa yang bergantung kepada pengguna.

Satu asas yang boleh dipercayai

Jadi, kita sampai ke perkara utama. Apakah taktik kata laluan rawak untuk digunakan dalam kehidupan sebenar? Dari sudut pandangan keseimbangan kebolehpercayaan dan kemudahan, "falsafah satu kata laluan yang kukuh" akan menunjukkan dirinya dengan baik.

Prinsipnya ialah anda menggunakan asas yang sama - kata laluan yang sangat kuat (variasinya) pada perkhidmatan dan tapak yang paling penting kepada anda.

Ingat satu kombinasi yang panjang dan sukar untuk semua orang.

Nick Berry, perunding keselamatan maklumat, membenarkan prinsip ini digunakan, dengan syarat kata laluan dilindungi dengan sangat baik.

Kehadiran perisian hasad pada komputer yang anda masukkan kata laluan adalah tidak dibenarkan. Tidak dibenarkan menggunakan kata laluan yang sama untuk tapak yang kurang penting dan menghiburkan - kata laluan yang lebih mudah sudah cukup untuk mereka, kerana menggodam akaun di sini tidak akan membawa sebarang akibat yang membawa maut.

Adalah jelas bahawa pangkalan yang boleh dipercayai perlu diubah entah bagaimana untuk setiap tapak. Sebagai pilihan mudah, anda boleh menambah satu huruf pada permulaan, yang menamatkan nama tapak atau perkhidmatan. Jika kita kembali kepada kata laluan RPM8t4ka rawak itu, ia akan bertukar menjadi kRPM8t4ka untuk kebenaran Facebook.

Penyerang, melihat kata laluan sedemikian, tidak akan dapat memahami cara kata laluan untuk akaun bank anda dijana. Masalah akan bermula jika seseorang mendapat akses kepada dua atau lebih kata laluan anda yang dijana dengan cara ini.

Soalan rahsia

Sesetengah perampas mengabaikan kata laluan sama sekali. Mereka bertindak bagi pihak pemilik akaun dan mensimulasikan situasi apabila anda terlupa kata laluan anda dan ingin memulihkannya dengan soalan rahsia. Dalam senario ini, dia boleh menukar kata laluan sesuka hati, dan pemilik sebenar akan kehilangan akses kepada akaunnya.

Pada tahun 2008, seseorang mendapat akses kepada e-mel Sarah Palin, gabenor Alaska, dan pada masa itu juga calon presiden. Pencuri menjawab soalan rahsia, yang berbunyi seperti ini: "Di mana anda bertemu suami anda?"

Selepas 4 tahun, Mitt Romney, yang juga calon presiden AS pada masa itu, kehilangan beberapa akaunnya dalam pelbagai perkhidmatan. Seseorang menjawab soalan rahsia tentang nama haiwan peliharaan Mitt Romney.

Anda telah meneka maksudnya.

Anda tidak boleh menggunakan data awam dan mudah diteka sebagai soalan dan jawapan rahsia.

Persoalannya bukanlah bahawa maklumat ini boleh dicari dengan teliti di Internet atau daripada rakan rapat orang itu. Jawapan kepada soalan dalam gaya "nama haiwan", "pasukan hoki kegemaran" dan sebagainya dipilih dengan sempurna daripada kamus pilihan popular yang sepadan.

Sebagai pilihan sementara, anda boleh menggunakan taktik jawapan yang tidak masuk akal. Secara ringkasnya, jawapan itu sepatutnya tiada kaitan dengan soalan rahsia. nama perempuan ibu? Diphenhydramine. Nama haiwan peliharaan? 1991.

Walau bagaimanapun, teknik sedemikian, jika didapati meluas, akan diambil kira dalam program yang sepadan. Jawapan yang tidak masuk akal selalunya stereotaip, iaitu, beberapa frasa akan ditemui lebih kerap daripada yang lain.

Sebenarnya, tidak salah menggunakan jawapan sebenar, anda hanya perlu bijak memilih soalan. Sekiranya soalan itu tidak standard, dan jawapannya hanya diketahui oleh anda dan tidak dapat ditebak selepas tiga percubaan, maka semuanya teratur. Kelebihan menjadi jujur ialah anda tidak akan melupakannya dari semasa ke semasa.

PIN

Nombor Pengenalan Peribadi (PIN) ialah kunci murah yang diamanahkan wang kita. Tiada siapa yang mengganggu untuk mencipta gabungan yang lebih dipercayai sekurang-kurangnya empat nombor ini.

Sekarang berhenti. Sekarang. Sekarang, tanpa membaca perenggan seterusnya, cuba teka PIN yang paling popular. sedia?

Nick Berry menganggarkan bahawa 11% daripada penduduk AS menggunakan 1234 sebagai PIN mereka (di mana mereka boleh menukarnya sendiri).

Penggodam tidak memberi perhatian kepada kod PIN kerana kod itu tidak berguna tanpa kehadiran fizikal kad (ini sebahagiannya boleh mewajarkan panjang kecil kod).

Berry mengambil senarai kata laluan empat digit yang muncul selepas kebocoran pada rangkaian. Orang yang menggunakan kata laluan 1967 berkemungkinan telah memilihnya atas sebab tertentu. PIN kedua paling popular ialah 1111, dan 6% orang lebih suka kod ini. Di tempat ketiga ialah 0000 (2%).

Katakan bahawa seseorang yang mengetahui maklumat ini mempunyai kad bank di tangannya. Tiga percubaan untuk menyekat kad. Matematik mudah menunjukkan bahawa orang ini mempunyai 19% peluang untuk meneka PIN mereka jika mereka memasukkan 1234, 1111 dan 0000 dalam urutan.

Mungkin atas sebab ini, sebahagian besar bank memberikan kod PIN kepada kad plastik yang dikeluarkan sendiri.

Walau bagaimanapun, ramai orang melindungi telefon pintar dengan kod PIN, dan di sini penarafan populariti berikut digunakan: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33533, 33533, 685,, 4321, 2001, 1010.

Selalunya, PIN mewakili satu tahun (tahun lahir atau tarikh sejarah).

Ramai orang suka membuat PIN dalam bentuk pasangan nombor berulang (lebih-lebih lagi, pasangan di mana nombor pertama dan kedua berbeza dengan satu adalah sangat popular).

Papan kekunci berangka peranti mudah alih memaparkan kombinasi seperti 2580 di bahagian atas - untuk menaipnya, cukup untuk membuat laluan terus dari atas ke bawah di tengah.

Di Korea, nombor 1004 adalah konsonan dengan perkataan "malaikat", yang menjadikan gabungan ini agak popular di sana.

Hasil

1. Pergi ke random.org dan buat 5-10 kata laluan calon di sana.
2. Pilih kata laluan yang boleh anda ubah menjadi frasa yang tidak dapat dilupakan.
3. Gunakan frasa ini untuk mengingati kata laluan anda.