Hogyan lehet létrehozni a tökéletes jelszót


A jelszó-szokások hibásak

Az emberek általában nem képesek jól megbirkózni a szokásokkal, amelyek nem az ősi környezetben alakultak ki. Az ókori szavannában nem kellett megjegyeznie több értelmetlen alfanumerikus mondat listáját olyan dolgok védelme céljából, mint otthoni cím, hitelkártya és társadalombiztosítási szám..


Valójában, amikor bemutatják a probléma bonyolultságát, a legtöbb ember - az Egyesült Királyságból származó tanulmány szerint 55% - hajlamos arra, hogy azt a lehető legegyszerűbben oldja meg, egy egyszerű jelszóval választva, és a legtöbb szolgáltatáshoz felhasználva. minden nap használja. Még 2015-től továbbra is a leggyakrabban használt jelszó “123456.”

Biztonságos jelszó kiválasztása, minden használt szolgáltatáshoz külön biztonságos jelszó kiválasztása, majd a teljes lista memorizálása időpocsékolásnak tűnhet. Valójában te’d legyen igaza. Rendkívül lehetséges, hogy csak egy vagy két biztonságos jelszót válasszon, ezeket használja minden saját szolgáltatásához, és kerülje adatainak lopás kockázatát. Ehhez azonban meg kell értenie néhány alapvető elgondolást a jelszavak felhasználásának, tárolásának és ellopásának módjáról.

Mi teszi a jó jelszót?

Láttál már egy kém filmet, ahol a megfelelő hős megpróbálja feltörni a rosszfiút’számítógépét? Még állítólag “valószerű” filmek, kiderül, hogy a jelszó valamilyen kifejezés’személyesen kötve a gazemberhez. Talán ez’az első szerelmük neve, gyermekkori kisállat, vagy baljóslású projekt kódneve. Bármi legyen is, a hősnek mindig sikerül kinyitania a számítógépet három vagy négy találgatáson belül, általában csak az idő múlásával..

Nagyon sok rossz jelszóval hibáztatom ezt a narratív lustaságot, amelyet az emberek végül használnak. Az emberek hajlamosak gondolkodni, “ó, a rossz fiúk soha nem fogják kitalálni aranyhalom nevét, amikor három éves voltam.”

Spoiler riasztás: ők nem’nem kell. Annak érdekében, hogy kitalálhassa a jelszavát, a hackerek általában a “nyers erő.” Ez egy olyan támadás, amely megpróbálja kitalálni a kombinált zár minden kombinációját annak megnyitása érdekében. A puszta emberi sebességgel akár egy rövid jelszó is örökkévaló lehet, hogy kitaláljuk ezt a módszert, de a számítógépek gyorsan meg tudják csinálni.

enged’azt mondják, hogy a jelszavad “ABCDEF.” Ez a jelszó sok ok miatt szörnyű’Eljutok, de az elsődleges ok az, hogy hiányzik a bonyolultsága. Csak hat karakter hosszú, és csak egy esetet használ. enged’Azt mondják, hogy megpróbálta kitalálni ezt a jelszót, kezdve egy olyan kombinációval, mint a “aaaaaa,” fog “aaaaab,” “aaaabb,” stb. Ezzel a módszerrel pontosan 321 272 406 lehetséges kitalálást lehet elvégezni - ezt’s a hat kisbetű minden lehetséges kombinációja. Most több mint háromszáz millió találgatás soknak tűnik. Itt’De a dolog: egy átlagos asztali számítógép, szabadon elérhető jelszó-feltörő szoftverrel, képes készíteni százmillió kitalálás másodpercenként (a futásteljesítmény változhat). A hatbetűs kisbetűs jelszó mindössze 3,2 másodpercig tart egy alig kompetens hackerek ellen.

Valójában nyertek’még ezt is sokáig kell vennie. A hackerekkel kapcsolatos további tévhit az, hogy ha meg akarja tönkretenni az Ön jelszavát, akkor az is’Bemegyek a szolgáltatás bejelentkezési képernyőjébe, amelyet meg akarnak támadni, és elkezdenek kitalálni. Ez egy másik ok, amiért az emberek egyszerű jelszavakat választanak - úgy gondolják, hogy még ha egy jelszó is könnyen kitalálható, az automata bejelentkezési rendszer kizárja a hackert’megpróbáltam néhány dolgot.

Sajnos nem ez a helyzet. Az összes webhely és egyéb alkalmazás a jelszavakat az adatbázisában egy táblázatban tárolja. Ha ők’ha jól végzik a munkájukat, akkor a webhely nyert’Ezeket a jelszavakat nem egyszerű szöveges formában tárolja, hanem egyfajta rejtjelező rejtjelben, amelyet hash-nak hívnak. Egy hacker valószínűleg nyert’nem próbálja meg ellopni a jelszavát közvetlenül a bejelentkezési képernyőn (hacsak nem’egy középpontbeli támadást használ, de ez az’egy másik cikk). Ehelyett ők’el fogja lopni a kivonatolt jelszavak listáját.

Miután ellopták a hash-listát, bárki, aki’Ha egy egyszerű jelszót választott, azt alapvetően a kapu elől ítéli meg. Lásd: minden kivonatot egy speciális algoritmus hoz létre, amely feldarabolja és kockázza, felvágja és felvágja egy jelszót, amíg’Nem csak felismerhetetlen, de lehetetlen ismét megtervezni. Csak két olyan dolog van, amelyek megakadályozzák a hash tökéletes biztonságát.

  1. Lehetséges meghatározni, hogy melyik algoritmust használták a hash létrehozásához.
  2. Ugyanaz a bemenet mindig ugyanazt a kivonatos kimenetet fogja eredményezni, amikor ugyanazt az algoritmust használja.
  3. Nézze meg, hová megy ez?

A hackerek tudják, hogy sok ember egyszerű jelszavakat használ. Amíg azok’Újra okosak, már tudják, hogy néz ki az egyszerű jelszavak kimeneti kivonata minden használt fő kivonási algoritmusnál. Miben’s néven ismert “előre kiszámított szótár támadás,” ők’Már elkészítettük az egyszerű jelszavak kivonatát, hogy egyszer ellopják a listát’Nemcsak te, hanem potenciálisan több ezer más személyt is kitárolhatunk, akik menedéket élveznek’t olvassa el ezt a cikket. Mit’Sőt, a támadás mögött meghúzódó alapelvek azt jelentik, hogy…

Még “Összetett” Jelszavak Aren’t Különösen biztonságos

Tehát nagyon sok ember kezd megkapni az üzenetet. Talán inkább “baseball,” egy általánosan használt nem biztonságos jelszó, te’úgy döntött, hogy olyan jelszót használ, amely tartalmazza a számokat, mind a kis-, mind a kisbetűket, valamint néhány speciális karaktert a rendszerindításhoz: “1B4seba11!” például. Gondolhatja, hogy az utóbbi jelszó biztonságosabb, de a baseballtól eltérően a biztonság fogalma csak illúzió.

Van néhány sztrájk az ellen “1B4seba11!” a jelszó biztonsága szempontjából. Nagyszerűnek tűnik, nem igaz’t? A kritériumkészlet felhasználásával, amely megfelel - több mint nyolc karakter hosszú, mind a kis-, mind a kisbetűket, számokat és legalább egy speciális karaktert használ - vannak egy kvadrillió lehetséges kombinációk.

A feltételezett asztali jelszó-krakkolónk százmillió kitalálást tesz lehetővé másodpercenként, tehát a jelszó kitalálása körülbelül tízmillió másodpercet vagy 116 napot igényel. Hogy’hosszú, de nem szuper hosszú. Ha valaki rosszul szeretett volna bármit, amit a jelszava védett - például a bankszámláját, amely tartalmazza az összes nyugdíj-megtakarítást -, akkor négy hónap’t hosszú várakozás.

Ott’mégis több. Lásd, mi’feltételezve, hogy bárki is megpróbálja megtörni a jelszavát, egy közönséges asztali számítógépet használ. Ha ők’komoly, mégis’Nem ritka olyan hackereket találni, amelyek egyedi gyártású hardvert használnak.

Azt’Nemrégiben bebizonyosodott, hogy a csúcskategóriás GPU-k (grafikus feldolgozó egységek) jobban teljesítenek valamilyen típusú jelszó-megszakító műveletet, mint a szokásos CPU-k. A csúcskategóriás GPU körülbelül 500 dollárba kerül, és az egyéni berendezés huszonöt GPU-t tartalmazhat, amelyek mindegyike párhuzamosan működik. Ennek eredményeként egy olyan gép, amely kevesebbet fizet, mint egy tisztességes használt autó, és másodpercenként 350 milliárd milliárd jelszót képes megtörni. Hogy’elegendő ahhoz, hogy elkapja az összetett nyolc karakterből álló jelszavát, és azt hat perc alatt apróra vágja.

Ott’Az utolsó ok, hogy a rövid összetett jelszavak a biztonság szempontjából nagyjából elkerültek a dodo útjába. enged’s térjen vissza a jelszó-töréses hardver korábbi példáira. Mellesleg ez a rész, ahol be kell vallanom, hogy egy kicsit hazudtam neked.

Lásd: ez a becsült 100 millió percenkénti becslés egy asztali, és 350 milliárd becslés esetén az egyedi hardver esetében csak akkor érvényes, ha jelszavát régebbi algoritmussal hasítják össze. Don’nem kap semmilyen ötletet’most biztonságban vagyok’A vállalatoknál nagyon gyakori olyan hash algoritmusok használata, mint MD5 vagy SHA-1, amelyek mind 2000 eleje óta elavultak.’s. Egy közönséges, modern asztali asztal MD5-et fog enni reggelire. Ha a hackerek megkísérelnek egy olyan modern algoritmust, mint például az SHA-512, brutálisan erõszakolni, még a legfejlettebb gépet másodpercenként kevesebb mint félmillió értékre lelassítják. Hogy’elegendő ahhoz, hogy a jelszavát évekig biztonságban tartsa, elméletileg.

A gyakorlatban azonban a jelszava sokkal korábban fog becsukódni. Miért? Mindez visszatér a szótár módszeréhez.

Lásd, az emberek sajnos kiszámíthatóak. enged’s térjünk vissza az 1B4seba11 példájához! Még az extra esetek, számok és speciális karakterek összetettebb bonyolultsága mellett is, ez egy egyszerű jelszó a számítógép számára, hogy kitaláljon..

Először is, ha a jelszót kiszámítható módon állítják össze’újra ember vagy. A legtöbb ember számára értelmes speciális karaktereket helyezni egy szó végére, így a jelszó-krakkoló elsőbbséget élvez azoknak a tesztelési kombinációknak, amelyeknek a helyén speciális karakterek vannak. Másodszor: a négy betű helyettesítése az a betűvel és az I betű helyettesítése’s és L’Az első számú gyakorlat nagyon elterjedt gyakorlat, így a krakkoló program sok kombinációval és négyes kombinációval fog keresni. A tény, ami ezt a jelszót teljesen megrontja, az az a szótár valódi szóján alapul. Nem csak egy valós szó a szótárból, hanem’valós szó alapján, amelyet az emberek gyakran használnak jelszavaikhoz, rendkívül gyakori modulációkkal. Minden jól megtervezett jelszó-krakkolónak valószínűleg a pontos mondata van “1B4seba11!” mint az első néhány millió kitalálás, amit tesz - és ugyanez vonatkozik minden szótár szóra.

Most a “Összetett” Jelszavak Don’t Dolgozz, ami még hátra van?

Az egyszerű jelszó használata szintén értelmetlen lehet, és még az igazán bonyolult jelszavak is káosz. Ez abból a tényből fakad, hogy az emberek meglehetősen kiszámíthatóak - olyan jelszavakat használunk, amelyekbe beletartoznak a szótárban szereplő szavak, a nyelvtan és a helyesírás szabályait követjük, és kiszámítható betűk és számok mintáit tartalmazzuk. Mit tegyünk ezzel? Feladjuk és hagyjuk, hogy a hackerek nyerjenek??

Nem! A cikk elején megígértem, hogy te’d képes legyen az összes adatot egy vagy két jelszó megjegyezésével és a golly én-val megóvni’Nem vagyok hazug.

Itt’s trükk: A jelszavaknak tartalmazniuk kell véletlenszerűség.

Ha a jelszava meghaladja a 20 karaktert, és nem tartalmaz kiszámítható alfanumerikus sorozatokat vagy megfogalmazásokat, akkor is, ha szuperszámítógépes szuperklaszterre emlékeztet, évszázadokig tart a kitalálás.

Itt’ez egy példa. Bementem a GRC webhelyére, és 22 karakterből álló választást választottam (az’minden, amire szüksége van) egy véletlenszerűen létrehozott 256 bites karakterláncból. Ez a karakterlánc itt: Q7PkgND6amgQ2nrx2Ej8vV

Aztán elmentem a kedvenc jelszó-ellenőrzőmhez, a zxcvbn-hez, amely becslése szerint mennyi időbe telik a különböző jelszó-megszakítók, hogy megtörjék az Ön jelszavát..

jelszavakjelszavak

Mint láthatja, bárki, aki megpróbálja megtörni ezt a jelszót, még egy nagyon gyors számítógép használata esetén is készen kell állnia arra, hogy nagyon-nagyon hosszú időre várjon..

Természetesen ott’Ez egy nagy nyilvánvaló probléma ezzel a jelszóval: minden olyan jelmondat, amelyet a számítógép nem képes megtörni, az ember számára sem lehetséges. Úgy értem, ha lehetséges, hogy minden olyan szolgáltatáshoz emlékszik több magas entrópiájú jelszóra, mint például a Q7PkgND6amgQ2nrx2Ej8vV, akkor hagyja abba a cikk olvasását. A jelszavakkal és az élettel nyersz.

A többiek számára ott’ez egy csaló. Keressen egy olyan jelszókezelőt, mint a LastPass. A LastPass automatikusan megjegyzi és lekérdezi a hosszú, nehezen megjegyezhető jelszavakat, például a Q7PkgND6amgQ2nrx2Ej8vV, és mindet’Aggódnia kell az egyetlen fő jelszó emlékezésekor, és valószínűleg egy hasonló jelszó megadása az e-mailhez. Minden alkalommal, amikor új jelszót kell választania, lépjen a GRC-be, emelje ki a 22 karaktert az általuk generált 256 bites karakterláncokból, és tegye a LastPass-be ezeket a jelszavakat’újra használja a szolgáltatást. Egyszerű, igaz?

Ott’Az utolsó dolog. A LastPass továbbra is megköveteli a fő jelszót, és azt akarja, hogy ez valami olyasmi legyen’ugyanolyan bonyolult, mint a Q7PkgND6amgQ2nrx2Ej8vV, de valami, amit az ember valóban megjegyezhet.

A probléma megoldása a DiceWare nevû rendszer. Ez valójában nagyon egyszerű, és azon az elmélen működik, hogy egy hosszú, nem szokásos angol szavakkal készíthet jelszót - mindaddig, amíg ezek a szavak nem’t bármilyen ésszerű sorrendben. Például, ha arra kértem, hogy válasszon ki egy véletlenszerű kifejezést, akkor gondolhat, “TheQuickBrownFoxJumpsOverTheLazyDog.” A probléma az, hogy ez’Ez egy közismert kifejezés értelmező sorrendben, és egy számítógép valószínűleg gyorsan elbűvöl. A DiceWare azonban megköveteli a felhasználóktól, hogy dobja a kockákat (mint ahogy a neve is mondja) annak érdekében, hogy egy ötjegyű számot generáljon, amely megfelel egy véletlenszerű szónak az angol szótárban. Csináld ezt néhányszor, és te is’Van egy érthető kifejezésem’A nagy számítógépekkel továbbra sem oldható meg. Ezt manuálisan vagy online is megteheti. Az online DiceWare generátor használatával előállítottam a jelmondatot “satyr wacke enrico igloo delia,” amelyet viszonylag könnyű megjegyezni, de még a leggyorsabb számítógép meghibásodása is évszázadokig tart.

Szóval, megvan. A LastPass használatával emlékezzen a jelszavaira, használjon 256 bites kulcsrészleteket a LastPass jelszavaihoz, és használja a DiceWare jelszót az egyetlen biztonságos jelszóként, amelyet valójában a fejében kell tartania. Ennek a módszernek a használatával a jelszavának biztonságosnak kell lennie a legtöbb modern számítógép ellen - de ne feledje, hogy a számítógépek csak gyorsabban fognak működni.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me