วิธีการสร้างรหัสผ่านที่สมบูรณ์แบบ


นิสัยรหัสผ่านของคุณผิดพลาด

ตามกฎทั่วไปมนุษย์ไม่สามารถรับมือกับนิสัยที่ไม่ได้เกิดขึ้นในสภาพแวดล้อมของบรรพบุรุษ ไม่มีที่ไหนในสะวันนาโบราณที่จำเป็นต้องจดจำรายการวลีตัวอักษรและตัวเลขที่ไร้สาระหลายอย่างเพื่อวัตถุประสงค์ในการปกป้องสิ่งต่าง ๆ เช่นที่อยู่บ้านบัตรเครดิตและหมายเลขประกันสังคม.


ในความเป็นจริงเมื่อนำเสนอด้วยความซับซ้อนของปัญหาคนส่วนใหญ่ - 55% ตามการศึกษาจากสหราชอาณาจักร - มักจะต้องการที่จะแก้ปัญหาให้ได้ง่ายที่สุดโดยเลือกรหัสผ่านที่ง่ายเพียงหนึ่งเดียวและใช้มันสำหรับบริการส่วนใหญ่ ใช้ทุกวัน แม้ในปี 2015 รหัสผ่านที่ใช้บ่อยที่สุดยังคงเป็นเช่นเดิม “123456.”

การเลือกรหัสผ่านที่ปลอดภัยการเลือกรหัสผ่านที่ปลอดภัยที่แตกต่างกันสำหรับบริการทุกบริการที่คุณใช้จากนั้นการจดจำรายการทั้งหมดอาจดูเหมือนเสียเวลา จริงๆแล้วคุณ’ถูกต้อง เป็นไปได้อย่างยิ่งที่จะเลือกรหัสผ่านที่ปลอดภัยเพียงหนึ่งหรือสองรหัสใช้สำหรับทุกบริการที่คุณเป็นเจ้าของและหลีกเลี่ยงการเปิดเผยข้อมูลของคุณต่อความเสี่ยงที่จะถูกขโมย อย่างไรก็ตามในการทำเช่นนี้คุณต้องเข้าใจแนวคิดพื้นฐานบางประการเกี่ยวกับวิธีการใช้จัดเก็บและขโมยรหัสผ่าน.

อะไรคือรหัสผ่านที่ดี?

คุณเคยดูหนังสายลับซึ่งเป็นฮีโร่ที่เหมาะกับการพยายามแฮ็คคนเลวหรือไม่’คอมพิวเตอร์ แม้ในที่คาดคะเน “เหมือนจริง” ภาพยนตร์ปรากฎว่ารหัสผ่านเป็นวลีที่’ผูกติดอยู่กับจอมวายร้ายเป็นการส่วนตัว อาจจะเป็น’ชื่อของความรักครั้งแรกของพวกเขาสัตว์เลี้ยงในวัยเด็กหรือชื่อรหัสของโครงการที่น่ากลัวของพวกเขา ไม่ว่ามันจะเป็นอะไรฮีโร่จะสามารถปลดล็อกคอมพิวเตอร์ได้ภายในสามหรือสี่ครั้งโดยปกติจะใช้เวลาไม่นาน.

ฉันตำหนิความเกียจคร้านที่เล่าเรื่องนี้สำหรับรหัสผ่านที่ไม่ดีจำนวนมากที่ผู้คนใช้ คนมักจะคิด, “โอ้คนเลวจะไม่เดาชื่อปลาทองของฉันตั้งแต่ฉันอายุสามขวบ.”

ผู้แจ้งเตือนสปอยเลอร์: พวกเขาสวม’ไม่จำเป็นต้อง ในการเดารหัสผ่านของคุณโดยทั่วไปแฮ็คเกอร์จะใช้วิธีการที่หลากหลายในวิธีที่รู้จักกันในชื่อ “กำลังดุร้าย.” นี่คือการโจมตีที่คล้ายกับการพยายามเดาการรวมกันของการรวมกันล็อคเพื่อเปิดมันขึ้นมา ด้วยความเร็วของมนุษย์เพียงแค่รหัสผ่านสั้น ๆ อาจใช้เวลานานในการเดาโดยใช้วิธีนี้ แต่คอมพิวเตอร์สามารถทำได้อย่างรวดเร็ว.

ปล่อย’บอกว่ารหัสผ่านของคุณคือ “abcdef.” รหัสผ่านนี้แย่มากด้วยเหตุผลหลายประการซึ่งฉัน’จะไปถึง แต่เหตุผลหลักคือมันไม่มีความซับซ้อน มันมีความยาวเพียงหกตัวอักษรและใช้เพียงหนึ่งกรณี ปล่อย’บอกว่าคุณเริ่มพยายามเดารหัสผ่านนี้เริ่มด้วยชุดค่าผสมเช่น “aaaaaa,” กำลังจะ “aaaaab,” “aaaabb,” และอื่น ๆ การใช้วิธีการนี้มีการคาดเดาที่เป็นไปได้ 321,272,406 รายการที่คุณสามารถทำได้’การรวมกันที่เป็นไปได้ของตัวอักษรตัวเล็กหกตัว ตอนนี้การคาดเดามากกว่าสามร้อยล้านครั้งดูเหมือนจะเป็นเรื่องใหญ่มาก ที่นี่’คอมพิวเตอร์เดสก์ท็อปทั่วไปโดยใช้ซอฟต์แวร์ถอดรหัสรหัสผ่านที่มีให้ฟรีสามารถทำได้ หนึ่งร้อยล้านครั้งต่อวินาที (ระยะทางของคุณอาจแตกต่างกัน) รหัสผ่านตัวพิมพ์เล็กหกตัวอักษรจะใช้เวลาทั้งหมด 3.2 วินาทีกับแฮ็กเกอร์ที่เชี่ยวชาญ.

ที่จริงแล้วพวกเขาชนะ’ไม่จำเป็นต้องใช้เวลานานขนาดนั้น ความเข้าใจผิดอื่นเกี่ยวกับแฮกเกอร์คือถ้าพวกเขาต้องการถอดรหัสรหัสผ่านของคุณพวกเขา’จะเข้าสู่หน้าจอเข้าสู่ระบบของบริการที่พวกเขาต้องการฝ่าฝืนและเริ่มทำการเดา นี่เป็นอีกเหตุผลว่าทำไมคนถึงเลือกรหัสผ่านง่าย ๆ - พวกเขาคิดว่าแม้ว่ารหัสผ่านจะเดาง่าย แต่ระบบล็อกอินอัตโนมัติจะล็อคแฮ็กเกอร์หลังจากพวกเขา’ฉันลองสองสามครั้งแล้ว.

นี่ไม่ใช่กรณีที่น่าเศร้า เว็บไซต์ทั้งหมดและแอปพลิเคชันอื่น ๆ เก็บรหัสผ่านไว้ในสเปรดชีตในฐานข้อมูล ถ้าพวกเขา’กำลังทำงานอย่างถูกต้องไซต์ชนะรางวัล’ไม่เก็บรหัสผ่านเหล่านั้นไว้ในรูปแบบธรรมดา แต่ใช้รหัสลับที่เรียกว่าแฮช แฮกเกอร์อาจชนะ’อย่าพยายามขโมยรหัสผ่านของคุณโดยตรงจากหน้าจอเข้าสู่ระบบ (เว้นแต่พวกเขาจะ’กำลังใช้การจู่โจมแบบคนกลาง แต่นั่น’บทความอื่น) แต่พวกเขา’กำลังจะขโมยรายการรหัสผ่านที่แฮช.

เมื่อรายการแฮชนั้นถูกขโมยทุกคนที่’เลือกใช้รหัสผ่านง่าย ๆ โดยทั่วไปถึงวาระแล้ว ดูแฮชแต่ละอันถูกสร้างขึ้นโดยอัลกอริทึมพิเศษที่แบ่งส่วนและหั่นสี่เหลี่ยมลูกเต๋าและตัดและลูกบาศก์รหัสผ่านจนกว่าจะถึง’ไม่เพียงจำไม่ได้ แต่เป็นไปไม่ได้ที่จะทำวิศวกรรมย้อนกลับ มีเพียงสองสิ่งที่ป้องกันไม่ให้แฮชปลอดภัยอย่างสมบูรณ์.

  1. เป็นไปได้ที่จะกำหนดอัลกอริทึมที่ใช้ในการสร้างแฮช.
  2. อินพุตเดียวกันจะสร้างเอาต์พุตแฮชเดียวกันเสมอเมื่อคุณใช้อัลกอริทึมเดียวกัน.
  3. ดูว่าสิ่งนี้กำลังจะเกิดขึ้น?

แฮกเกอร์รู้ว่าผู้คนจำนวนมากใช้รหัสผ่านง่าย ๆ ตั้งแต่พวกเขา’สมาร์ทพวกเขารู้อยู่แล้วว่าสิ่งที่แฮชเอาท์พุทของรหัสผ่านแบบง่าย ๆ เหล่านี้มีลักษณะอย่างไรในอัลกอริทึมการแฮชหลัก ๆ ในสิ่งที่’ที่รู้จักกันในชื่อ “การโจมตีพจนานุกรมที่คำนวณล่วงหน้า,” พวกเขา’จะปรุงแฮชของรหัสผ่านง่าย ๆ เหล่านั้นแล้วดังนั้นเมื่อพวกเขาขโมยรายการพวกเขา’จะสามารถเปิดเผยไม่เพียง แต่คุณเท่านั้น แต่ยังมีคนอีกหลายพันคนที่อาจไม่ได้’อ่านบทความนี้ อะไร’ยิ่งกว่านั้นหลักการที่อยู่เบื้องหลังการโจมตีครั้งนี้หมายความว่า ...

แม้ “ซับซ้อน” รหัสผ่าน Aren’ปลอดภัยเป็นพิเศษ

ผู้คนมากมายเริ่มได้รับข้อความ อาจจะแทน “กีฬาเบสบอล,” คุณใช้รหัสผ่านที่ไม่ปลอดภัยที่ใช้กันโดยทั่วไป’ได้ตัดสินใจใช้รหัสผ่านที่รวมตัวเลขทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็กและอักขระพิเศษบางตัวในการบูต: “1B4seba11!” ตัวอย่างเช่น. คุณอาจคิดว่ารหัสผ่านหลังปลอดภัยกว่า แต่แตกต่างจากเบสบอลตัวเองแนวคิดเรื่องความปลอดภัยเป็นเพียงภาพลวงตา.

มีการโจมตีสองสามครั้ง “1B4seba11!” ในแง่ของความปลอดภัยเป็นรหัสผ่าน มันดูดีมากเลย’ใช่มั้ย การใช้ชุดเกณฑ์ที่เป็นไปตามเกณฑ์ - มีความยาวเกินแปดอักขระใช้ทั้งตัวพิมพ์ใหญ่และตัวพิมพ์เล็กใช้ตัวเลขและอักขระพิเศษอย่างน้อยหนึ่งตัว - มีมากกว่า หนึ่งพันล้าน ชุดค่าผสมที่เป็นไปได้.

ตัวถอดรหัสรหัสผ่านเดสก์ท็อปสมมุติของเราสามารถทำการเดาได้หนึ่งร้อยล้านครั้งต่อวินาทีดังนั้นการเดารหัสผ่านอาจใช้เวลาประมาณสิบล้านวินาทีหรือ 116 วัน ที่’เป็นเวลานาน แต่ไม่นาน หากมีคนต้องการสิ่งที่ไม่ดีที่รหัสผ่านของคุณปกป้อง - เช่นบัญชีธนาคารที่มีเงินออมเพื่อการเกษียณทั้งหมดของคุณ - สี่เดือนนั้นไม่ได้จริงๆ’ไม่รอนาน.

ที่นั่น’มากขึ้นอย่างไรก็ตาม ดูสิเรา’กำลังสมมติว่าใครก็ตามที่พยายามทำลายรหัสผ่านของคุณกำลังใช้คอมพิวเตอร์เดสก์ท็อปธรรมดา ถ้าพวกเขา’ร้ายแรง แต่มัน’ไม่ใช่เรื่องแปลกที่จะค้นหาแฮ็กเกอร์ที่ใช้ฮาร์ดแวร์ที่สร้างขึ้นเอง.

มัน’เมื่อไม่นานมานี้แสดงให้เห็นว่า GPU ระดับสูง (หน่วยประมวลผลกราฟิก) ทำงานได้ดีกว่าในการแบ่งรหัสผ่านแบบที่ดีกว่าซีพียูทั่วไป GPU ระดับสูงมีราคาประมาณ $ 500 และอุปกรณ์ที่กำหนดเองอาจรวม GPU มากถึงยี่สิบห้าทั้งหมดทำงานพร้อมกัน อย่างไรก็ตามผลลัพธ์คือเครื่องจักรที่มีราคาถูกกว่ารถยนต์มือสองที่มีคุณภาพและสามารถถอดรหัสรหัสผ่านได้ 350,000 ล้านรหัสต่อวินาที ที่’พอที่จะใช้รหัสผ่านแปดตัวอักษรที่ซับซ้อนของคุณและฉีกเป็นชิ้นเล็กชิ้นน้อยในหกนาทีแบน.

ที่นั่น’หนึ่งในเหตุผลสุดท้ายที่รหัสผ่านที่ซับซ้อนสั้น ๆ ก็หายไปหมดแล้วในแง่ของความปลอดภัย ปล่อย’ย้อนกลับไปที่ตัวอย่างก่อนหน้าของฮาร์ดแวร์การถอดรหัสผ่าน นี่คือส่วนที่ฉันต้องยอมรับว่าฉันโกหกคุณเล็กน้อย.

ดูว่าประมาณ 100 ล้านครั้งต่อนาทีสำหรับเดสก์ท็อปและ 350 พันล้านสำหรับฮาร์ดแวร์ที่กำหนดเองถือเป็นจริงถ้ารหัสผ่านของคุณถูกแฮชด้วยอัลกอริทึมที่เก่ากว่า สวม’ไม่ได้รับความคิดใด ๆ ที่คุณ’ตอนนี้ปลอดภัยแล้ว’ค่อนข้างบ่อยสำหรับ บริษัท ที่จะใช้อัลกอริทึมการแปลงแป้นพิมพ์เช่น MD5 หรือ SHA-1 ซึ่งทั้งคู่ล้าสมัยมาตั้งแต่ต้นปี 2000’s เดสก์ท็อปสมัยใหม่ธรรมดาจะกิน MD5 เป็นอาหารเช้า หากแฮกเกอร์พยายามบังคับใช้อัลกอริทึมที่ทันสมัยเช่น SHA-512 แม้ว่าเครื่องที่ทันสมัยที่สุดจะชะลอตัวลงเหลือน้อยกว่าครึ่งล้านครั้งต่อวินาที ที่’เพียงพอที่จะรักษารหัสผ่านของคุณให้ปลอดภัยในทางทฤษฎีมานานหลายปี.

อย่างไรก็ตามในทางปฏิบัติรหัสผ่านของคุณจะถูกตรวจจับได้เร็วกว่านั้นมาก ทำไม? ทุกอย่างกลับมาสู่วิธีการพจนานุกรม.

ดูสิมนุษย์คาดเดาได้อย่างน่าเศร้า ปล่อย’กลับไปเป็นตัวอย่างของ 1B4seba11! แม้จะมีความซับซ้อนที่เพิ่มขึ้นในกรณีพิเศษตัวเลขและอักขระพิเศษนี่เป็นรหัสผ่านที่ง่ายสำหรับคอมพิวเตอร์ในการเดา.

ก่อนอื่นรหัสผ่านจะถูกวางในลักษณะที่คาดเดาได้ถ้าคุณ’เป็นมนุษย์ สำหรับคนส่วนใหญ่การใส่อักขระพิเศษไว้ที่ส่วนท้ายของคำดังนั้นตัวถอดรหัสผ่านรหัสผ่านจะจัดลำดับความสำคัญในการทดสอบชุดค่าผสมที่มีอักขระพิเศษในตำแหน่งนั้น ที่สองจากทั้งหมดแทนที่หมายเลขสี่สำหรับตัวอักษร a และแทนที่ I’s และ L’s กับหมายเลขหนึ่งเป็นเรื่องธรรมดาทั่วไปดังนั้นโปรแกรมแคร็กจะมองหาชุดค่าผสมที่มีจำนวนมากและสี่ในพวกเขา อย่างไรก็ตามปัจจัยที่ทำให้รหัสผ่านนี้เสียหายอย่างสมบูรณ์ก็คือ มันขึ้นอยู่กับคำที่แท้จริงจากพจนานุกรม. ไม่เพียง แต่เป็นคำที่แท้จริงจากพจนานุกรมเท่านั้น’ขึ้นอยู่กับคำจริงที่ผู้คนใช้สำหรับรหัสผ่านของพวกเขาค่อนข้างบ่อยโดยใช้การปรับทั่วไป แคร็กเกอร์รหัสผ่านที่ออกแบบมาอย่างดีอาจมีวลีที่แน่นอน “1B4seba11!” เป็นหนึ่งในไม่กี่ล้านคนแรกที่คาดเดาว่ามันจะทำ - และเช่นเดียวกันสำหรับคำในพจนานุกรมใด ๆ.

ตอนนี้ “ซับซ้อน” รหัสผ่านดอน’ไม่ทำงานมีอะไรเหลือ?

การใช้รหัสผ่านง่าย ๆ อาจไร้ประโยชน์และแม้แต่รหัสผ่านที่ซับซ้อนก็เป็นสิ่งที่ไม่เป็นระเบียบ สิ่งนี้เกิดขึ้นจากความจริงที่ว่ามนุษย์สามารถคาดเดาได้อย่างเป็นธรรม - เราใช้รหัสผ่านที่เกี่ยวข้องกับคำที่อยู่ในพจนานุกรมทำตามกฎของไวยากรณ์และการสะกดคำและมีรูปแบบตัวอักษรและตัวเลขที่สามารถคาดเดาได้ เราจะทำอย่างไรกับสิ่งนี้ พวกเรายอมแพ้หรือไม่และปล่อยให้แฮกเกอร์ชนะ?

No! ฉันสัญญาที่จุดเริ่มต้นของบทความนี้ว่าคุณ’สามารถรักษาความปลอดภัยให้กับข้อมูลทั้งหมดของคุณได้โดยการจำรหัสผ่านเพียงหนึ่งหรือสองรหัส’ไม่ใช่คนมุสา.

ที่นี่’เคล็ดลับ: รหัสผ่านของคุณจะต้องมี สุ่ม.

หากรหัสผ่านของคุณมีความยาวเกิน 20 ตัวอักษรและไม่มีการเรียงลำดับตัวอักษรและตัวเลขที่คาดเดาได้หรือแม้กระทั่งบางอย่างเช่นซูเปอร์คอมพิวเตอร์ขนาดใหญ่จะใช้เวลาหลายศตวรรษในการเดา.

ที่นี่’ตัวอย่าง ฉันไปที่เว็บไซต์ GRC และเลือกตัวละคร 22 ตัว (นั่น’ทุกอย่างที่คุณต้องการ) จากสตริง 256 บิตที่สร้างขึ้นแบบสุ่ม สตริงนี้ที่นี่: Q7PkgND6amgQ2nrx2Ej8vV

จากนั้นฉันไปที่ตัวตรวจสอบรหัสผ่านที่ชื่นชอบ zxcvbn ซึ่งประเมินว่าจะใช้เวลานานเท่าใดสำหรับตัวแบ่งรหัสผ่านต่างๆเพื่อทำลายรหัสผ่านของคุณ.

รหัสผ่านรหัสผ่าน

อย่างที่คุณเห็นใครก็ตามที่พยายามทำลายรหัสผ่านนั้นแม้จะใช้คอมพิวเตอร์ที่เร็วมาก ๆ ก็ต้องเตรียมพร้อมที่จะรอเป็นเวลานานมาก.

แน่นอนมี’เป็นปัญหาใหญ่อย่างชัดเจนกับรหัสผ่านนั้น: วลีรหัสผ่านใด ๆ ที่เป็นไปไม่ได้สำหรับคอมพิวเตอร์ที่จะแตกเป็นไปไม่ได้ที่มนุษย์จะจดจำได้ ฉันหมายความว่าถ้าเป็นไปได้ที่คุณจะจำรหัสผ่านเอนโทรปีสูง ๆ เช่น Q7PkgND6amgQ2nrx2Ej8vV สำหรับบริการทุกบริการที่คุณใช้หยุดอ่านบทความนี้ทันที คุณชนะที่รหัสผ่านและที่ชีวิต.

สำหรับพวกเราที่เหลือ’โกง ค้นหาเครื่องมือจัดการรหัสผ่านเช่น LastPass LastPass จะจดจำและเรียกคืนรหัสผ่านที่ยาวและจดจำได้ยากโดยอัตโนมัติเช่น Q7PkgND6amgQ2nrx2Ej8vV และทุกท่าน’จะต้องกังวลเกี่ยวกับการจำรหัสผ่านหลักเดียวรวมทั้งอาจเป็นรหัสผ่านที่คล้ายกันสำหรับอีเมลของคุณ ทุกครั้งที่คุณต้องเลือกรหัสผ่านใหม่ให้ไปที่ GRC เน้นตัวอักษร 22 ตัวจากสตริง 256 บิตที่พวกเขาสร้างขึ้นและใส่ไว้ใน LastPass เป็นรหัสผ่านของคุณ’กำลังใช้งานบริการอยู่ ง่ายถูกต้อง?

ที่นั่น’เป็นสิ่งสุดท้าย LastPass ยังคงต้องการรหัสผ่านหลักและคุณต้องการให้มันเป็นสิ่งที่’ซับซ้อนเท่า Q7PkgND6amgQ2nrx2Ej8vV แต่สิ่งที่มนุษย์สามารถจดจำได้จริง.

การแก้ปัญหานี้คือระบบที่เรียกว่า DiceWare นี่เป็นเรื่องง่ายมากและทำงานบนทฤษฎีที่คุณสามารถใช้คำศัพท์ภาษาอังกฤษที่ไม่ใช้คำพูดยาว ๆ เพื่อสร้างรหัสผ่านได้ - ตราบใดที่คำเหล่านั้นไม่ได้เกิดขึ้น’ตามลำดับที่เหมาะสม ตัวอย่างเช่นถ้าฉันขอให้คุณเลือกวลีสุ่มคุณอาจคิดถึง, “TheQuickBrownFoxJumpsOverTheLazyDog.” ปัญหาเกี่ยวกับสิ่งนี้คือมัน’เป็นวลีที่รู้จักกันดีในคำสั่งที่สมเหตุสมผลและคอมพิวเตอร์อาจจับตัวได้เร็ว อย่างไรก็ตาม DiceWare ต้องการให้ผู้ใช้หมุนลูกเต๋า (เช่นชื่อพูด) เพื่อสร้างหมายเลขห้าหลักที่สอดคล้องกับคำที่สุ่มในพจนานุกรมภาษาอังกฤษ ทำเช่นนี้ไม่กี่ครั้งและคุณ’จะมีวลีที่เข้าใจได้ว่า’ยังไม่สามารถแก้ไขได้ด้วยคอมพิวเตอร์ขนาดใหญ่ คุณสามารถทำได้ด้วยตนเองหรือออนไลน์ เมื่อใช้ตัวสร้าง DiceWare ออนไลน์ที่นี่ฉันสร้างข้อความรหัสผ่าน “satyr wacke enrico igloo delia,” ซึ่งค่อนข้างง่ายต่อการจดจำ แต่จะยังคงใช้เวลาหลายศตวรรษกว่าแม้คอมพิวเตอร์ที่เร็วที่สุดจะพัง.

ดังนั้นคุณมีมัน ใช้ LastPass เพื่อจดจำรหัสผ่านของคุณใช้ตัวอย่างรหัส 256 บิตสำหรับรหัสผ่าน LastPass ของคุณและใช้รหัสผ่าน DiceWare เป็นรหัสผ่านเดียวที่ปลอดภัยที่คุณต้องเก็บไว้ในหัวของคุณ เมื่อใช้วิธีนี้รหัสผ่านของคุณควรจะปลอดภัยกับคอมพิวเตอร์ที่ทันสมัยที่สุด แต่อย่าลืมว่าคอมพิวเตอร์จะเร็วขึ้นเท่านั้น.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me