Cara Membuat Kata Sandi Sempurna


Kebiasaan Kata Sandi Anda Salah

Manusia, sebagai aturan umum, tidak mengatasi dengan baik kebiasaan yang tidak muncul di lingkungan leluhur. Tidak ada di sabana kuno itu perlu untuk menghafal daftar beberapa frase alfanumerik omong kosong untuk tujuan melindungi hal-hal seperti alamat rumah mereka, kartu kredit, dan nomor jaminan sosial.


Bahkan, ketika dihadapkan dengan kompleksitas masalah, kebanyakan orang — 55% menurut sebuah studi dari Inggris — cenderung ingin menyelesaikannya sesederhana mungkin, memilih satu kata sandi sederhana dan menggunakannya untuk sebagian besar layanan yang mereka gunakan. gunakan setiap hari. Bahkan pada 2015, kata sandi yang paling umum digunakan masih “123456.”

Memilih kata sandi aman, memilih kata sandi aman berbeda untuk setiap layanan yang Anda gunakan, dan kemudian menghafal seluruh daftar mungkin tampak seperti buang-buang waktu. Sebenarnya kamu’d benar. Sangat mungkin untuk memilih hanya satu atau dua kata sandi yang aman, menggunakannya untuk setiap layanan yang Anda miliki, dan menghindari memaparkan data Anda pada risiko pencurian. Namun, untuk melakukan ini, Anda perlu memahami beberapa konsep dasar tentang bagaimana kata sandi digunakan, disimpan — dan dicuri.

Apa yang Membuat Kata Sandi Bagus?

Pernahkah Anda menonton film mata-mata di mana pahlawan yang cocok berusaha meretas orang jahat’komputer? Bahkan di konon “realistis” film, ternyata kata sandi adalah beberapa frase itu’S terikat pada penjahat secara pribadi. Mungkin itu’adalah nama cinta pertama mereka, hewan peliharaan masa kecil, atau nama sandi proyek jahat mereka. Apa pun itu, pahlawan selalu berhasil membuka kunci komputer dalam tiga atau empat tebakan, biasanya tepat pada waktunya.

Saya menyalahkan kemalasan naratif ini karena banyak kata sandi buruk yang akhirnya digunakan orang. Orang cenderung berpikir, “oh, orang jahat tidak akan pernah menebak nama ikan mas saya sejak saya berusia tiga tahun.”

Peringatan spoiler: mereka tidak’tidak perlu. Untuk menebak kata sandi Anda, peretas biasanya akan menggunakan variasi pada metode yang dikenal sebagai “paksaan.” Ini adalah serangan yang mirip dengan mencoba menebak setiap kombinasi kunci kombinasi untuk membukanya. Hanya pada kecepatan manusia, bahkan kata sandi singkat mungkin membutuhkan waktu selamanya untuk menebak menggunakan metode ini, tetapi komputer dapat melakukannya dengan cepat.

Membiarkan’Katakanlah kata sandi Anda “abcdef.” Kata sandi ini mengerikan karena banyak alasan, yang saya’Aku akan sampai, tetapi alasan utamanya adalah karena kurangnya kompleksitas. Panjangnya hanya enam karakter, dan hanya menggunakan satu case. Membiarkan’katakanlah Anda mulai mencoba menebak kata sandi ini, dimulai dengan kombinasi seperti “aaaaaa,” pergi ke “aaaaab,” “aaaabb,” dan seterusnya. Dengan menggunakan metode ini, ada 321.272.406 kemungkinan tebakan yang bisa Anda buat — itu’Setiap kombinasi yang mungkin dari enam huruf kecil. Sekarang, lebih dari tiga ratus juta tebakan terdengar seperti banyak hal. Sini’Namun masalahnya: komputer desktop biasa, bisa menggunakan perangkat lunak peretas kata sandi, bisa membuatnya seratus juta tebakan per detik (jarak tempuh Anda mungkin beragam). Kata sandi huruf kecil enam huruf akan bertahan selama 3,2 detik terhadap peretas yang nyaris tidak kompeten.

Sebenarnya, mereka menang’Bahkan tidak perlu selama itu. Kesalahpahaman lain tentang peretas adalah jika mereka ingin memecahkan kata sandi Anda, mereka’akan masuk ke layar masuk layanan yang ingin mereka langgar dan mulai membuat tebakan. Ini adalah alasan lain mengapa orang memilih kata sandi sederhana — mereka berpikir bahwa walaupun kata sandi itu mudah ditebak, bahwa sistem login otomatis akan mengunci seorang hacker setelah mereka’Saya sudah mencoba beberapa kali.

Sayangnya ini tidak terjadi. Semua situs web dan aplikasi lain menyimpan kata sandi pada spreadsheet dalam database mereka. Jika mereka’sedang melakukan pekerjaan mereka dengan benar, situs itu menang’t menyimpan kata sandi tersebut dalam plaintext, tetapi lebih pada semacam sandi kriptografis yang disebut hash. Seorang hacker mungkin menang’t mencoba mencuri kata sandi Anda langsung dari layar masuk (kecuali jika mereka’kembali menggunakan serangan man-in-the-middle, tapi itu’Artikel yang berbeda). Sebaliknya, mereka’akan mencuri daftar kata sandi hash.

Setelah daftar hash dicuri, siapa pun yang’S kata sandi sederhana yang dipilih pada dasarnya ditakdirkan keluar dari gerbang. Lihat, setiap hash dibuat oleh algoritma khusus yang mengiris dan memotong dan memotong dan memotong kata sandi sampai itu’tidak hanya tidak dapat dikenali, tetapi juga tidak mungkin untuk direkayasa ulang. Hanya ada dua hal yang membuat hash tidak sepenuhnya aman.

  1. Dimungkinkan untuk menentukan algoritma mana yang digunakan untuk membuat hash.
  2. Input yang sama akan selalu menghasilkan output hash yang sama ketika Anda menggunakan algoritma yang sama.
  3. Lihat ke mana ini pergi?

Peretas tahu bahwa banyak orang menggunakan kata sandi sederhana. Sejak mereka’Karena cerdas, mereka sudah tahu seperti apa hash output dari kata sandi sederhana ini di setiap algoritma hashing utama yang digunakan. Dalam apa’dikenal sebagai a “serangan kamus pra-komputasi,” mereka’Saya sudah memasak hash dari kata sandi sederhana itu, sehingga begitu mereka mencuri daftar, mereka’akan dapat mengekspos tidak hanya Anda, tetapi berpotensi ribuan orang lain yang berlindung’t membaca artikel ini. Apa’Lebih dari itu, prinsip-prinsip di balik serangan ini berarti bahwa ...

Bahkan “Kompleks” Kata Sandi Aren’Khususnya Aman

Jadi, banyak orang mulai mendapatkan pesan. Mungkin bukannya “baseball,” kata sandi tidak aman yang umum digunakan, Anda’Saya telah memutuskan untuk menggunakan kata sandi yang memasukkan angka, huruf besar dan huruf kecil, dan beberapa karakter khusus untuk boot: “1B4seba11!” sebagai contoh. Anda mungkin berpikir bahwa kata sandi yang terakhir lebih aman, tetapi, berbeda dari kata bisbol itu sendiri, konsep keselamatan hanyalah ilusi.

Ada beberapa serangan melawan “1B4seba11!” dalam hal keamanannya sebagai kata sandi. Tampaknya hebat, tidak’bukan? Menggunakan seperangkat kriteria yang memuaskan — lebih dari delapan karakter, menggunakan huruf besar dan kecil, menggunakan angka, dan setidaknya satu karakter khusus — ada lebih dari satu kuadriliun kemungkinan kombinasi.

Pemecah kata sandi desktop hipotetis kami dapat menghasilkan seratus juta tebakan per detik, sehingga tebakan kata sandi membutuhkan waktu sekitar sepuluh juta detik, atau 116 hari. Bahwa’Ini waktu yang lama, tetapi tidak super panjang. Jika seseorang sangat menginginkan apa pun yang dilindungi kata sandi Anda - seperti rekening bank yang berisi semua tabungan pensiun Anda - empat bulan’t lama menunggu.

Sana’Namun, lebih dari itu. Lihat, kita’kembali dengan asumsi bahwa siapa pun yang mencoba memecahkan kata sandi Anda menggunakan komputer desktop biasa. Jika mereka’serius, bagaimanapun, itu’tidak jarang menemukan peretas yang menggunakan peranti keras khusus.

Itu’Baru-baru ini ditunjukkan bahwa GPU kelas atas (Unit Pemrosesan Grafik) lebih baik dalam melakukan operasi pemecahan kata-kata dibandingkan CPU biasa. GPU kelas atas berharga sekitar $ 500, dan sebuah rig khusus mungkin memasukkan sebanyak dua puluh lima GPU, semuanya bekerja secara paralel. Namun, hasilnya adalah mesin yang harganya lebih murah daripada mobil bekas yang layak — dan dapat memecahkan 350 miliar kata sandi yang mengejutkan setiap detik. Bahwa’cukup untuk mengambil kata sandi delapan karakter Anda yang kompleks dan mencabik-cabiknya menjadi rata dalam waktu enam menit.

Sana’Ada satu alasan terakhir bahwa kata sandi kompleks yang singkat sudah tidak berlaku lagi dalam hal keamanan. Membiarkan’s kembali ke contoh perangkat keras peretas kata sandi sebelumnya. Ngomong-ngomong, ini adalah bagian, di mana aku harus mengakui aku sedikit berbohong padamu.

Lihat, perkiraan 100 juta tebakan per menit untuk desktop, dan 350 miliar untuk perangkat keras khusus, hanya berlaku jika kata sandi Anda di-hash dengan algoritma yang lebih lama. Mengenakan’t mendapatkan ide yang Anda’sekarang aman — itu’Sangat umum bagi perusahaan untuk menggunakan algoritma hashing seperti MD5 atau SHA-1, yang keduanya sudah usang sejak awal 2000’s. Desktop modern biasa akan memakan MD5 untuk sarapan. Namun, jika peretas mencoba memaksa algoritma modern seperti SHA-512, bahkan mesin yang paling canggih pun akan diperlambat menjadi kurang dari setengah juta tebakan per detik. Bahwa’Cukup untuk menjaga kata sandi Anda aman selama bertahun-tahun, secara teori.

Namun dalam praktiknya, kata sandi Anda akan ketahuan lebih cepat dari itu. Mengapa? Semuanya kembali ke metode kamus.

Lihat, manusia sayangnya dapat diprediksi. Membiarkan’s kembali ke contoh 1B4seba11! Bahkan dengan kerumitan yang ditambahkan oleh case ekstra, angka, dan karakter khusus, ini akan menjadi kata sandi yang mudah bagi komputer untuk menebak.

Pertama-tama, kata sandi diletakkan dengan cara yang dapat diprediksi, jika Anda’kembali manusia. Bagi kebanyakan orang, masuk akal untuk menempatkan karakter khusus di akhir kata, sehingga cracker kata sandi akan memprioritaskan kombinasi pengujian yang memiliki karakter khusus di lokasi itu. Kedua, mengganti angka empat untuk huruf a, dan mengganti I’s dan L’s dengan nomor satu adalah praktik yang cukup umum, sehingga program cracking akan mencari kombinasi dengan banyak yang dan merangkak di dalamnya. Faktor yang benar-benar merusak kata sandi ini adalah itu ini didasarkan pada kata nyata dari kamus. Bukan hanya itu kata nyata dari kamus, itu’didasarkan pada kata nyata yang sering digunakan orang untuk kata sandi, menggunakan modulasi yang sangat umum. Pemecah kata sandi yang dirancang dengan baik mungkin memiliki frasa yang tepat “1B4seba11!” sebagai salah satu dari beberapa juta tebakan pertama yang dibuatnya — dan hal yang sama berlaku untuk kata kamus apa pun.

Sekarang “Kompleks” Kata sandi don’t Bekerja, Apa Lagi yang Tersisa?

Menggunakan kata sandi yang sederhana mungkin juga tidak ada gunanya, dan bahkan kata sandi yang benar-benar rumit pun agak berantakan. Ini berasal dari fakta bahwa manusia cukup dapat diprediksi - kami menggunakan kata sandi yang melibatkan kata-kata yang ada di kamus, mengikuti aturan tata bahasa dan ejaan, dan berisi pola huruf dan angka yang dapat diprediksi. Apa yang kita lakukan tentang ini? Apakah kita menyerah dan membiarkan para peretas menang?

Tidak! Saya berjanji di awal artikel ini bahwa Anda’Anda dapat mengamankan semua data Anda dengan mengingat hanya satu atau dua kata sandi, dan dengan sungguh-sungguh saya’saya bukan pembohong.

Sini’Triknya: Kata sandi Anda harus disertakan keserampangan.

Jika kata sandi Anda lebih dari 20 karakter, dan tidak mengandung urutan atau frasa alfanumerik yang dapat diprediksi, bahkan sesuatu seperti supercluster superkomputer akan membutuhkan waktu berabad-abad untuk menebaknya.

Sini’Ini sebuah contoh. Saya pergi ke situs web GRC, dan memilih 22 karakter (itu’s semua yang Anda butuhkan) dari string 256-bit yang dihasilkan secara acak. String ini di sini: Q7PkgND6amgQ2nrx2Ej8vV

Kemudian, saya pergi ke pemeriksa kata sandi favorit saya, zxcvbn, yang memperkirakan berapa lama waktu yang diperlukan untuk berbagai pemecah kata sandi untuk memecahkan kata sandi Anda.

kata sandikata sandi

Seperti yang Anda lihat, siapa pun yang mencoba memecahkan kata sandi itu, bahkan menggunakan komputer yang sangat cepat, harus siap menunggu waktu yang sangat, sangat lama.

Tentu saja ada’Ada masalah besar yang jelas dengan kata sandi itu: frasa sandi apa pun yang tidak mungkin dirusak komputer juga tidak mungkin diingat manusia. Maksud saya, jika mungkin bagi Anda untuk mengingat beberapa kata sandi dengan entropi tinggi seperti Q7PkgND6amgQ2nrx2Ej8vV untuk setiap layanan yang Anda gunakan, berhenti membaca artikel ini sekarang juga. Anda menang dengan kata sandi, dan seumur hidup.

Bagi kita semua, di sana’Itu curang. Temukan pengelola kata sandi seperti LastPass. LastPass akan secara otomatis mengingat dan mengambil kata sandi yang panjang dan sulit diingat seperti Q7PkgND6amgQ2nrx2Ej8vV, dan semua yang Anda’Yang harus saya khawatirkan adalah mengingat satu kata sandi utama, ditambah mungkin kata sandi yang sama untuk email Anda. Setiap kali Anda perlu memilih kata sandi baru, buka GRC, sorot 22 karakter dari string 256-bit yang mereka hasilkan, dan letakkan mereka di LastPass sebagai kata sandi yang Anda gunakan.’sedang menggunakan untuk layanan. Sederhana, benar?

Sana’Satu hal terakhir. LastPass masih memerlukan kata sandi utama, dan Anda ingin itu menjadi sesuatu yang penting’S serumit Q7PkgND6amgQ2nrx2Ej8vV, tapi sesuatu yang bisa dihafal oleh manusia.

Solusi untuk masalah ini adalah sistem yang disebut DiceWare. Ini sebenarnya sangat sederhana, dan ini bekerja berdasarkan teori bahwa Anda dapat menggunakan untaian panjang kata-kata bahasa Inggris non-omong kosong untuk menghasilkan kata sandi — selama kata-kata itu tidak’t dalam urutan yang masuk akal. Misalnya, jika saya meminta Anda memilih frasa acak, Anda mungkin berpikir, “TheQuickBrownFoxJumpsOverTheLazyDog.” Masalah dengan ini adalah itu’Ini adalah frasa terkenal dalam urutan yang masuk akal, dan komputer mungkin akan menangkapnya dengan cukup cepat. DiceWare, bagaimanapun, mengharuskan pengguna untuk melempar dadu (seperti namanya) untuk menghasilkan angka lima digit yang sesuai dengan kata acak di kamus bahasa Inggris. Lakukan ini beberapa kali, dan Anda’Saya akan memiliki ungkapan yang dapat dipahami itu’Masih belum terpecahkan dengan komputer besar. Anda dapat melakukan ini secara manual, atau online. Menggunakan generator DiceWare online di sini, saya membuat kata sandi “satyr wacke enrico igloo delia,” yang relatif mudah diingat tetapi masih akan memakan waktu berabad-abad bahkan untuk memecahkan komputer tercepat.

Jadi, begitulah. Gunakan LastPass untuk mengingat kata sandi Anda, gunakan potongan-potongan kunci 256-bit untuk kata sandi LastPass Anda, dan gunakan kata sandi DiceWare sebagai satu-satunya kata sandi aman yang harus Anda simpan di kepala. Dengan menggunakan metode ini, kata sandi Anda harus aman terhadap kebanyakan komputer modern — tetapi ingatlah bahwa komputer hanya akan menjadi lebih cepat.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me