Sådan opretter du den perfekte adgangskode


Din adgangskodevaner er defekte

Mennesker takler som hovedregel ikke godt de vaner, der ikke opstod i forfædres miljø. Intet sted i den gamle savanne var det nødvendigt at huske en liste over flere alfanumeriske nonsense-sætninger med det formål at beskytte ting som deres hjemmeadresse, kreditkort og personnummer.


Faktisk, når de får vist kompleksiteten af ​​problemet, har de fleste - 55% ifølge en undersøgelse fra Det Forenede Kongerige - en tendens til at ønske at løse det så enkelt som muligt ved at vælge et enkelt kodeord og bruge det til de fleste af de tjenester, de brug hver dag. Selv fra 2015 er den mest almindelige adgangskode i brug stadig “123456.”

Valg af en sikker adgangskode, valg af en anden sikker adgangskode til alle tjenester, du bruger, og derefter huske hele listen kan virke som spild af tid. Faktisk dig’d have ret. Det er yderst muligt kun at vælge et eller to sikre adgangskoder, bruge dem til enhver service, du ejer, og undgå at udsætte dine data for risikoen for tyveri. For at gøre dette skal du dog forstå nogle grundlæggende begreber vedrørende, hvordan adgangskoder bruges, opbevares og stjæles.

Hvad der gør en adgangskode god?

Har du nogensinde set en spionfilm, hvor den velegnede helt prøver at hacke den onde fyr’s computer? Selv i angiveligt “realistisk” film, viser det sig, at adgangskoden er en eller anden sætning’er bundet til skurken personligt. Måske det’er navnet på deres første kærlighed, et børnekæledyr eller kodenavnet på deres uhyggelige projekt. Uanset hvad det er, lykkes helten altid at låse computeren op inden for tre eller fire gætte, som regel bare inden for tid.

Jeg beskylder denne fortællende dovenskab for mange af de dårlige adgangskoder, som folk ender med at bruge. Folk har en tendens til at tænke, “Åh, de slemme gutter vil aldrig gætte navnet på min guldfisk fra da jeg var tre.”

Spoiler alarm: de don’t har brug for. For at gætte din adgangskode vil hackere typisk ty til variationer på en metode, der er kendt som “råstyrke.” Dette er et angreb, der ligner forsøg på at gætte enhver kombination af en kombinationslås for at åbne den op. Ved blot menneskelige hastigheder tager det muligvis endda en kort adgangskode evigt at gætte ved hjælp af denne metode, men computere kan gøre det hurtigt.

Lade’s siger, at din adgangskode er “abcdef.” Denne adgangskode er frygtelig af mange grunde, som jeg’Jeg kommer til det, men den primære årsag er, at det mangler kompleksitet. Den er kun seks tegn lang og bruger kun én sag. Lade’siger, at du begyndte at forsøge at gætte denne adgangskode, startende med en kombination som “aaaaaa,” går til “aaaaab,” “aaaabb,” og så videre. Ved hjælp af denne metode er der nøjagtigt 321.272.406 mulige gæt, du kan gøre - det’s enhver mulig kombination af seks små bogstaver. Nu lyder over tre hundrede millioner gætte som et pokker for meget. Her’Men det er en ting: en gennemsnitlig desktopcomputer, der bruger frit tilgængeligt adgangskodekraftsoftware, kan lave hundrede millioner gætte pr. sekund (din kilometertal kan variere). En adgangskode med seks bogstaver vil vare hele 3,2 sekunder mod en knap kompetent hacker.

Faktisk vandt de’t har endda brug for at tage så lang tid. En anden misforståelse omkring hackere er, at hvis de vil knække din adgangskode, så gør de det’Jeg går ind på loginskærmen for den service, de vil bryde, og begynde at gætte. Dette er en anden grund til, at folk vælger enkle adgangskoder - de tror, ​​at selvom en adgangskode er let at gætte, at det automatiserede login-system låser en hacker ud, efter at de’Vi har lavet et par forsøg.

Dette er desværre ikke tilfældet. Alle websteder og andre applikationer gemmer adgangskoder på et regneark i deres database. Hvis de’igen gør deres job rigtigt, vandt webstedet’t gem disse adgangskoder i klartekst, men snarere i en slags kryptografisk kode, der kaldes en hash. En hacker vandt sandsynligvis’t prøv at stjæle din adgangskode direkte fra loginskærmen (medmindre de er’genbruger et mand-i-midten angreb, men det’er en anden artikel). I stedet for de’kommer til at stjæle listen over hashede adgangskoder.

Når listen over hasjer er blevet stjålet, hvem der helst’s valgt en simpel adgangskode er dybest set dømt lige ud af porten. Se, hver hash er oprettet af en speciel algoritme, der skiver og terninger og skærer og terninger et kodeord indtil det’er ikke kun genkendelig, men umulig at vende-ingeniør. Der er kun to ting, der forhindrer en hash i at være perfekt sikker.

  1. Det er muligt at bestemme, hvilken algoritme der blev brugt til at oprette en hash.
  2. Den samme input vil altid producere den samme hashede output, når du bruger den samme algoritme.
  3. Se, hvor dette går hen?

Hackere ved, at mange mennesker bruger enkle adgangskoder. Siden de’Når du er smart, ved de allerede, hvordan output-hasherne fra disse enkle adgangskoder ser ud i enhver større hash-algoritme, der er i brug. I hvad’er kendt som en “forud beregnet ordbogangreb,” de’Jeg har allerede kogt op hasherne fra disse enkle adgangskoder, så de når de stjæler en liste, de’Jeg vil være i stand til at udsætte ikke kun dig, men potentielt tusinder af andre mennesker, der har fristed’t læse denne artikel. Hvad’s mere, principperne bag dette angreb betyder, at ...

Også selvom “Kompleks” Adgangskoder Aren’t Særligt sikker

Så mange mennesker begynder at få beskeden. Måske i stedet for “baseball,” en almindeligt anvendt usikker adgangskode, dig’Vi har besluttet at bruge et kodeord, der indeholder tal, både store og små bogstaver og nogle specialtegn til at starte: “1B4seba11!” for eksempel. Du kan måske tro, at sidstnævnte adgangskode er sikrere, men bortset fra baseball selv er begrebet sikkerhed kun en illusion.

Der er et par strejker imod “1B4seba11!” med hensyn til dets sikkerhed som en adgangskode. Det ser dog godt ud’t det? Brug af det sæt kriterier, det opfylder - over otte tegn lange, bruger både store og små bogstaver, bruger tal og mindst et specialtegn - der er over en kvadrillion mulige kombinationer.

Vores hypotetiske desktop-password-cracker kan lave hundrede millioner gætte i sekundet, så det kan tage omkring ti millioner sekunder eller 116 dage at gætte på adgangskoden. At’s lang tid, men ikke super lang. Hvis nogen dårligt ville have, hvad din adgangskode beskyttede - f.eks. Bankkontoen, der indeholder al din pensionsopsparing - er fire måneder virkelig ikke’t lang tid at vente.

der’s mere, dog. Se, vi’igen antager, at den, der forsøger at ødelægge din adgangskode, bruger en almindelig stationær computer. Hvis de’Men det er alvorligt’det er ikke ualmindeligt at finde hackere, der bruger specialbygget hardware.

Det’er for nylig blevet vist, at avancerede GPU'er (Grafikbehandlingsenheder) er bedre til at udføre ting af en slags adgangskodebrydende operation end almindelige CPU'er. En avanceret GPU koster omkring $ 500, og en brugerdefineret rig kan muligvis indeholde så mange som 25 GPU'er, der alle fungerer parallelt. Resultatet er imidlertid en maskine, der koster mindre end en anstændig brugt bil - og kan sprænge en forvirrende 350 milliarder adgangskoder i sekundet. At’er nok til at tage din komplekse adgangskode med otte tegn og rippe den til strimler på seks minutter fladt.

der’er en sidste årsag til, at korte komplekse adgangskoder stort set er gået for dodoen i form af sikkerhed. Lade’s gå tilbage til de foregående eksempler på hardware-cracking-hardware. Dette er forresten den del, hvor jeg må indrømme, at jeg løj for dig lidt.

Se, at estimatet på 100 millioner gætte pr. Minut for et skrivebord og 350 milliarder til brugerdefineret hardware gælder kun, hvis din adgangskode tilfældigvis er hashet med en ældre algoritme. Don’t få ideer, som du’være sikker nu - det’er ret almindeligt for virksomheder at bruge hash-algoritmer som MD5 eller SHA-1, som begge har været forældede siden begyndelsen af ​​2000’s. Et almindeligt moderne skrivebord spiser MD5 til morgenmad. Hvis hackere forsøger at brute-force en moderne algoritme som SHA-512, vil selv den mest avancerede maskine imidlertid blive bremset ned til under en halv million gæt pr. Sekund. At’s nok til at holde dit kodeord sikkert i årevis, i teorien.

I praksis vil din adgangskode imidlertid blive fanget meget hurtigere end det. Hvorfor? Det hele kommer tilbage til ordbogsmetoden.

Se, mennesker er desværre forudsigelige. Lade’s gå tilbage til eksemplet med 1B4seba11! Selv med den kompleksitet, der tilføjes af de ekstra sager, tal og specialtegn, vil dette være en nem adgangskode for en computer at gætte.

Først og fremmest er adgangskoden lagt ud på en forudsigelig måde, hvis du’re et menneske. For de fleste er det fornuftigt at placere specialtegn i slutningen af ​​et ord, så en adgangskodecracker prioriterer testkombinationer, der har specialtegn på det sted. For det andet ved at erstatte tallet a med bogstavet a og erstatte I’s og L’s med nummer et er en temmelig almindelig praksis, så cracking-programmet vil se efter kombinationer med mange af dem og firerne i dem. Den faktor, der fortolker denne adgangskode fuldstændigt, er den det er baseret på et rigtigt ord fra ordbogen. Det er ikke kun et rigtigt ord fra ordbogen, det’er baseret på et rigtigt ord, som folk bruger til deres adgangskoder ganske ofte ved hjælp af ekstremt almindelige modulationer. Enhver veludformet adgangskodecracker har sandsynligvis den nøjagtige sætning “1B4seba11!” som en af ​​de første par millioner gætter på, at det gør - og det samme gælder ethvert ordbog.

Nu “Kompleks” Adgangskoder Don’t Arbejd, hvad der er tilbage?

Brug af en simpel adgangskode kan lige så godt være meningsløs, og endda rigtig komplicerede adgangskoder er slags rod. Dette stammer fra det faktum, at mennesker er ret forudsigelige - vi bruger adgangskoder, der involverer ord, der er i ordbogen, følger regler for grammatik og stavemåde og indeholder forudsigelige mønstre af bogstaver og tal. Hvad gør vi ved dette? Giv vi op og lader hackerne vinde?

Ingen! Jeg lovede i begyndelsen af ​​denne artikel, at du’d være i stand til at sikre alle dine data ved kun at huske et eller to adgangskoder og ved golly I’m ikke en løgner.

Her’er tricket: Dine adgangskoder skal indeholde tilfældighed.

Hvis din adgangskode er over 20 tegn lang og ikke indeholder nogen forudsigelige alfanumeriske sekvenser eller frasering, vil selv noget som en supercomputing supercluster tage århundreder at gætte det.

Her’er et eksempel. Jeg gik til GRC-webstedet og tog et valg af 22 tegn (det’s alt hvad du har brug for) fra en tilfældigt genereret 256-bit streng. Denne streng lige her: Q7PkgND6amgQ2nrx2Ej8vV

Derefter gik jeg til min foretrukne adgangskodechecker, zxcvbn, som estimerer, hvor lang tid det vil tage, før forskellige adgangskodebrydere har brudt din adgangskode.

adgangskoderadgangskoder

Som du kan se, ville enhver, der prøver at bryde denne adgangskode, selv ved hjælp af en meget hurtig computer, være parat til at vente meget, meget lang tid.

Selvfølgelig der’et stort indlysende problem med denne adgangskode: enhver adgangssætning, der er umulig for en computer at bryde, er også umulig for et menneske at huske. Jeg mener, hvis det er muligt for dig at huske flere adgangskoder med høj entropi som Q7PkgND6amgQ2nrx2Ej8vV for hver tjeneste, du bruger, skal du stoppe med at læse denne artikel lige nu. Du vinder ved adgangskoder og ved livet.

For resten af ​​os der’er en snyder. Find en passwordadministrator som LastPass. LastPass vil automatisk huske og hente lange, vanskeligt at huske adgangskoder som Q7PkgND6amgQ2nrx2Ej8vV, og alt hvad du’Jeg skal bekymre dig om at huske et enkelt hovedadgangskode plus sandsynligvis en lignende adgangskode til din e-mail. Hver gang du har brug for at vælge en ny adgangskode, skal du gå til GRC, fremhæve 22 tegn fra de 256-bit strenge, de genererer, og sætte dem i LastPass som det adgangskode, du’bruger igen til tjenesten. Enkelt, ret?

der’er en sidste ting. LastPass kræver stadig en hovedadgangskode, og du vil have, at det skal være noget der’er så kompliceret som Q7PkgND6amgQ2nrx2Ej8vV, men noget som et menneske faktisk kan huske.

Løsningen på dette problem er et system kaldet DiceWare. Dette er faktisk meget simpelt, og det fungerer på teorien om, at du kan bruge en lang række engelske ikke-gibberiske ord til at generere en adgangskode - så længe disse ord er’t i enhver fornuftig rækkefølge. For eksempel, hvis jeg bad dig om at vælge en tilfældig sætning, kan du tænke på, “TheQuickBrownFoxJumpsOverTheLazyDog.” Problemet med dette er, at det’er en velkendt sætning i en rækkefølge, der giver mening, og en computer vil sandsynligvis nab det ret hurtigt. DiceWare kræver dog, at brugere ruller terninger (som navnet siger) for at generere et femcifret tal, der svarer til et tilfældigt ord i den engelske ordbog. Gør dette et par gange, og du’Det har jeg en forståelig sætning’er stadig uløselig med store computere. Du kan gøre dette manuelt eller online. Ved hjælp af online DiceWare-generatoren her genererede jeg adgangskoden “satyr wacke enrico iglo delia,” hvilket er relativt let at huske, men det vil stadig tage århundreder, selv den hurtigste computer går i stykker.

Så der har du det. Brug LastPass til at huske dine adgangskoder, brug uddrag af 256-bit nøgler til dine LastPass-adgangskoder, og brug en DiceWare-adgangskode som den eneste sikre adgangskode, du faktisk har til at holde i dit hoved. Ved hjælp af denne metode skal din adgangskode være sikker mod de fleste moderne computere - men husk bare, at computere kun kommer hurtigere.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me