Hoe u het perfecte wachtwoord kunt maken


Uw wachtwoordgewoonten zijn defect

In de regel gaan mensen niet goed om met gewoonten die niet in de voorouderlijke omgeving zijn ontstaan. Nergens in de oude savanne was het nodig om een ​​lijst met verschillende onzin alfanumerieke zinnen te onthouden om dingen zoals hun huisadres, creditcard en sofinummer te beschermen.


In feite, wanneer de complexiteit van het probleem wordt gepresenteerd, willen de meeste mensen - 55% volgens een onderzoek uit het VK - de neiging hebben om het zo eenvoudig mogelijk op te lossen, één eenvoudig wachtwoord te kiezen en het te gebruiken voor de meeste diensten die ze gebruik elke dag. Zelfs vanaf 2015 is het meest gebruikte wachtwoord nog steeds in gebruik “123456.”

Het kiezen van een veilig wachtwoord, het kiezen van een ander veilig wachtwoord voor elke service die u gebruikt en vervolgens het onthouden van de hele lijst lijkt misschien tijdverspilling. Eigenlijk jij’heb gelijk. Het is uiterst mogelijk om slechts één of twee veilige wachtwoorden te kiezen, ze te gebruiken voor elke service die u bezit en om te voorkomen dat uw gegevens worden blootgesteld aan het risico van diefstal. Om dit te doen, moet u echter enkele fundamentele concepten begrijpen over hoe wachtwoorden worden gebruikt, opgeslagen en gestolen.

Wat maakt een wachtwoord goed?

Heb je ooit een spionage-film gezien waarin de passende held de slechterik probeert te hacken’s computer? Zelfs in zogenaamd “realistisch” films, blijkt dat het wachtwoord een zin is die dat is’s persoonlijk gebonden aan de schurk. Misschien wel’s de naam van hun eerste liefde, een huisdier uit de kindertijd of de codenaam van hun sinistere project. Wat het ook is, de held slaagt er altijd in om de computer binnen drie of vier gissingen te ontgrendelen, meestal net op het nippertje.

Ik geef deze verhalende luiheid de schuld van veel van de slechte wachtwoorden die mensen uiteindelijk gebruiken. Mensen hebben de neiging om na te denken, “oh, de slechteriken zullen nooit de naam van mijn goudvis raden, toen ik drie was.”

Spoiler alert: ze don’t moet. Om uw wachtwoord te raden, zullen hackers meestal hun toevlucht nemen tot variaties op een methode die bekend staat als “brute kracht.” Dit is een aanval die lijkt op het proberen elke combinatie van een combinatieslot te raden om het te openen. Met alleen menselijke snelheden, kan zelfs een kort wachtwoord een eeuwigheid duren om te raden met deze methode, maar computers kunnen het snel.

Laat’s zeggen dat je wachtwoord is “abcdef.” Dit wachtwoord is vreselijk om vele redenen, die ik’Ik kom wel, maar de belangrijkste reden is dat het complexiteit mist. Het is slechts zes tekens lang en gebruikt slechts één hoofdletter. Laat’s zeggen dat je dit wachtwoord begon te raden, beginnend met een combinatie zoals “aaaaaa,” gaan naar “aaaaab,” “aaaabb,” enzovoorts. Met deze methode zijn er precies 321.272.406 mogelijke gissingen die u zou kunnen maken - dat’s elke mogelijke combinatie van zes kleine letters. Nu klinkt meer dan driehonderd miljoen gissingen als heel veel. Hier’s het ding echter: een gemiddelde desktopcomputer, met behulp van gratis beschikbare software voor het kraken van wachtwoorden, kan maken honderd miljoen gissingen per seconde (uw kilometerstand kan variëren). Een wachtwoord van zes letters in kleine letters duurt 3,2 seconden tegen een nauwelijks competente hacker.

Eigenlijk hebben ze gewonnen’het moet zelfs zo lang duren. Een andere misvatting over hackers is dat als ze je wachtwoord willen kraken, zij’Ga naar het inlogscherm van de service die ze willen overtreden en begin met gissen. Dit is nog een reden waarom mensen eenvoudige wachtwoorden kiezen - ze denken dat zelfs als een wachtwoord gemakkelijk te raden is, het geautomatiseerde inlogsysteem een ​​hacker blokkeert nadat ze’heb een paar pogingen gedaan.

Dit is helaas niet het geval. Alle websites en andere applicaties slaan wachtwoorden op in een spreadsheet in hun database. Als zij’doen hun werk goed, de site won’om die wachtwoorden in platte tekst op te slaan, maar eerder in een soort cryptografisch cijfer dat een hash wordt genoemd. Waarschijnlijk heeft een hacker gewonnen’t probeer uw wachtwoord rechtstreeks van het inlogscherm te stelen (tenzij zij’gebruik een man-in-the-middle-aanval, maar dat’s een ander artikel). In plaats daarvan, zij’ga die lijst met gehashte wachtwoorden stelen.

Zodra die lijst met hashes is gestolen, iedereen die’s gekozen voor een eenvoudig wachtwoord is eigenlijk gedoemd recht uit de poort. Zie, elke hash wordt gemaakt door een speciaal algoritme dat een wachtwoord in plakjes en dobbelstenen snijdt en in blokjes snijdt tot het’s niet alleen onherkenbaar, maar onmogelijk om reverse-engineeren. Er zijn slechts twee dingen die ervoor zorgen dat een hash niet perfect veilig is.

  1. Het is mogelijk om te bepalen welk algoritme werd gebruikt om een ​​hash te maken.
  2. Dezelfde invoer zal altijd dezelfde gehashte uitvoer produceren wanneer u hetzelfde algoritme gebruikt.
  3. Kijk waar dit heen gaat?

Hackers weten dat veel mensen eenvoudige wachtwoorden gebruiken. Sinds dat ze’Als ze slim zijn, weten ze al hoe de uitvoerhashes van deze eenvoudige wachtwoorden eruit zien in elk groot hash-algoritme dat wordt gebruikt. In wat’s bekend als een “vooraf berekende woordenboekaanval,” ze’Ik heb de hashes van die eenvoudige wachtwoorden al klaargemaakt, zodat ze zodra ze een lijst stelen’Ik zal niet alleen jou kunnen ontmaskeren, maar mogelijk duizenden andere mensen die toevlucht hebben’t lees dit artikel. Wat’meer nog, de principes achter deze aanval betekenen dat ...

Zelfs “Complex” Wachtwoorden Aren’t Bijzonder veilig

Dus beginnen veel mensen de boodschap te krijgen. Misschien in plaats van “basketbal,” een veel gebruikt onveilig wachtwoord, jij’heb besloten een wachtwoord te gebruiken dat cijfers, zowel hoofdletters als kleine letters, en enkele speciale tekens bevat om op te starten: “1B4seba11!” bijvoorbeeld. Je denkt misschien dat het laatste wachtwoord veiliger is, maar, in tegenstelling tot honkbal zelf, is het concept van veiligheid slechts een illusie.

Er zijn een paar stakingen tegen “1B4seba11!” in termen van zijn veiligheid als wachtwoord. Het lijkt echter geweldig, nietwaar’toch? Gebruikmakend van de set criteria waaraan het voldoet - meer dan acht tekens lang, gebruikt zowel hoofdletters als kleine letters, gebruikt cijfers en minstens één speciaal teken - zijn er meer dan een biljoen mogelijke combinaties.

Onze hypothetische desktop-wachtwoordcracker kan honderd miljoen gissingen per seconde maken, dus het gokken van het wachtwoord zou ongeveer tien miljoen seconden of 116 dagen duren. Dat’is een lange tijd, maar niet super lang. Als iemand heel graag wilde wat uw wachtwoord ook beschermde, zoals de bankrekening met al uw pensioensparen, is dat vier maanden echt niet’t lang wachten.

Daar’s meer echter. Zie je wel’gaat ervan uit dat degene die uw wachtwoord probeert te breken, een gewone desktopcomputer gebruikt. Als zij’serieus, echter’is niet ongewoon om hackers te vinden die op maat gemaakte hardware gebruiken.

Het’Onlangs is aangetoond dat high-end GPU's (grafische verwerkingseenheden) beter zijn in het uitvoeren van een soort wachtwoordbrekende bewerking dan gewone CPU's. Een high-end GPU kost ongeveer $ 500, en een aangepaste rig kan maar liefst vijfentwintig GPU's bevatten, die allemaal parallel werken. Het resultaat is echter een machine die minder kost dan een fatsoenlijke gebruikte auto - en een verbijsterende 350 miljard wachtwoorden per seconde kan kraken. Dat’genoeg om je complexe wachtwoord van acht tekens te nemen en het in zes minuten plat te scheuren.

Daar’is een laatste reden dat korte complexe wachtwoorden vrijwel de weg van de dodo zijn ingeslagen in termen van beveiliging. Laat’s gaan terug naar de vorige voorbeelden van hardware voor het kraken van wachtwoorden. Dit is trouwens het gedeelte waar ik moet toegeven dat ik een beetje tegen je heb gelogen.

Zie je, die schatting van 100 miljoen gissingen per minuut voor een desktop en 350 miljard voor aangepaste hardware, geldt alleen als je wachtwoord toevallig wordt gehasht met een ouder algoritme. Don’krijg geen ideeën die u’nu veilig - het’is vrij gebruikelijk voor bedrijven om hashing-algoritmen zoals MD5 of SHA-1 te gebruiken, die beide sinds het begin van 2000 verouderd zijn’s. Een gewone moderne desktop eet MD5 als ontbijt. Als hackers een modern algoritme zoals SHA-512 proberen te bruut forceren, wordt zelfs de meest geavanceerde machine echter vertraagd tot minder dan een half miljoen gissingen per seconde. Dat’voldoende om uw wachtwoord jarenlang veilig te houden, in theorie.

In de praktijk zal uw wachtwoord echter sneller worden gepakt dan dat. Waarom? Het komt allemaal terug op de woordenboekmethode.

Kijk, mensen zijn helaas voorspelbaar. Laat’s ga terug naar het voorbeeld van 1B4seba11! Zelfs met de complexiteit die wordt toegevoegd door de extra hoofdletters, cijfers en speciale tekens, wordt dit een gemakkelijk wachtwoord voor een computer om te raden.

Allereerst wordt het wachtwoord op een voorspelbare manier opgemaakt, als u dat wilt’ben een mens. Voor de meeste mensen is het logisch om speciale tekens aan het einde van een woord te plaatsen, dus een wachtwoordcracker geeft prioriteit aan het testen van combinaties met speciale tekens op die locatie. Ten tweede, het vervangen van het cijfer vier door de letter a en het vervangen van I’s en L’s met de nummer één is een vrij gebruikelijke praktijk, dus het kraakprogramma gaat op zoek naar combinaties met veel en vier erin. De factor die dit wachtwoord volledig vervloekt, is echter dat het is gebaseerd op een echt woord uit het woordenboek. Het is niet alleen een echt woord uit het woordenboek, het’s gebaseerd op een echt woord dat mensen vrij vaak gebruiken voor hun wachtwoorden, met behulp van uiterst gebruikelijke modulaties. Elke goed ontworpen wachtwoordcracker heeft waarschijnlijk de exacte zin “1B4seba11!” als een van de eerste paar miljoen gissingen die het maakt - en hetzelfde geldt voor elk woordenboekwoord.

Nu de “Complex” Wachtwoorden Don’t Werk, wat er nog over is?

Het gebruik van een eenvoudig wachtwoord kan net zo goed zinloos zijn, en zelfs echt gecompliceerde wachtwoorden zijn een beetje een puinhoop. Dit komt voort uit het feit dat mensen redelijk voorspelbaar zijn - we gebruiken wachtwoorden die woorden bevatten die in het woordenboek voorkomen, regels van grammatica en spelling volgen en voorspelbare patronen van letters en cijfers bevatten. Wat doen we hieraan? Geven we het op en laten we de hackers winnen?

Nee! Ik heb aan het begin van dit artikel beloofd dat je’d in staat zijn om al uw gegevens te beveiligen door slechts een of twee wachtwoorden te onthouden, en door golly I’ben geen leugenaar.

Hier’s de truc: uw wachtwoorden moeten bevatten willekeurigheid.

Als uw wachtwoord langer is dan 20 tekens en geen voorspelbare alfanumerieke reeksen of frasering bevat, duurt zelfs een supercomputersupercluster eeuwen om te raden.

Hier’is een voorbeeld. Ik ging naar de GRC-website en nam een ​​selectie van 22 tekens (dat’is alles wat je nodig hebt) van een willekeurig gegenereerde 256-bit string. Deze string hier: Q7PkgND6amgQ2nrx2Ej8vV

Daarna ging ik naar mijn favoriete wachtwoordcontrole, zxcvbn, die schat hoe lang het zou duren voordat verschillende wachtwoordonderbrekers je wachtwoord breken.

wachtwoordenwachtwoorden

Zoals u kunt zien, moet iedereen die dat wachtwoord probeert te breken, zelfs met een zeer snelle computer, heel, heel lang wachten.

Natuurlijk daar’is een groot voor de hand liggend probleem met dat wachtwoord: elke wachtwoordzin die een computer niet kan breken, is ook onmogelijk voor een mens om te onthouden. Ik bedoel, als het mogelijk is om meerdere high-entropie wachtwoorden zoals Q7PkgND6amgQ2nrx2Ej8vV te onthouden voor elke service die je gebruikt, stop dan met het lezen van dit artikel. Je wint met wachtwoorden en met het leven.

Voor de rest van ons daar’is een cheat. Zoek een wachtwoordbeheerder zoals LastPass. LastPass zal automatisch lange, moeilijk te onthouden wachtwoorden zoals Q7PkgND6amgQ2nrx2Ej8vV onthouden en ophalen’Ik moet me zorgen maken over het onthouden van een enkel hoofdwachtwoord, plus waarschijnlijk een soortgelijk wachtwoord voor uw e-mail. Telkens wanneer u een nieuw wachtwoord moet kiezen, gaat u naar GRC, markeert u 22 tekens uit de 256-bits tekenreeksen die ze genereren en plaatst u die in LastPass als het wachtwoord dat u’opnieuw gebruiken voor de service. Simpel, toch?

Daar’is een laatste ding. LastPass vereist nog steeds een hoofdwachtwoord, en u wilt dat dat iets is dat’s zo ingewikkeld als Q7PkgND6amgQ2nrx2Ej8vV, maar iets dat een mens eigenlijk kan onthouden.

De oplossing voor dit probleem is een systeem genaamd DiceWare. Dit is eigenlijk heel eenvoudig, en het werkt volgens de theorie dat je een lange reeks niet-brabbelige Engelse woorden kunt gebruiken om een ​​wachtwoord te genereren - zolang die woorden maar niet’t in een zinvolle volgorde. Als ik je bijvoorbeeld zou vragen een willekeurige zin te kiezen, denk je misschien aan, “TheQuickBrownFoxJumpsOverTheLazyDog.” Het probleem hiermee is dat het’is een bekende zin in een volgorde die logisch is, en een computer zal dat waarschijnlijk behoorlijk snel vangen. DiceWare vereist echter dat gebruikers dobbelstenen gooien (zoals de naam al zegt) om een ​​getal van vijf cijfers te genereren dat overeenkomt met een willekeurig woord in het Engelse woordenboek. Doe dit een paar keer, en jij’Ik heb een begrijpelijke zin die’is nog steeds niet oplosbaar met grote computers. U kunt dit handmatig of online doen. Met behulp van de online DiceWare-generator hier, heb ik de wachtwoordzin gegenereerd “satyr wacke enrico igloo delia,” dat is relatief gemakkelijk te onthouden, maar het duurt nog eeuwen voordat zelfs de snelste computer kapot gaat.

Dus daar heb je het. Gebruik LastPass om uw wachtwoorden te onthouden, gebruik fragmenten van 256-bits sleutels voor uw LastPass-wachtwoorden en gebruik een DiceWare-wachtwoord als het enige veilige wachtwoord dat u daadwerkelijk in uw hoofd moet houden. Met deze methode moet uw wachtwoord beveiligd zijn tegen de meeste moderne computers, maar onthoud dat computers alleen maar sneller worden.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

− 3 = 3

map