Hvordan lage det perfekte passordet


Passordvanene dine er feil

Mennesker takler som hovedregel ikke godt med vaner som ikke dukket opp i forfedermiljøet. Ingensteds i den gamle savannen var det nødvendig å huske en liste over flere alfanumeriske tullfraser i den hensikt å beskytte ting som deres hjemmeadresse, kredittkort og personnummer..


Faktisk, når de blir presentert for kompleksiteten av problemet, pleier de fleste - 55% ifølge en studie fra Storbritannia - å løse det så enkelt som mulig, velge ett enkelt passord og bruke det for de fleste tjenester som de bruk hver dag. Selv fra 2015 er det vanligste passordet som er i bruk “123456.”

Å velge et sikkert passord, velge et annet sikkert passord for hver tjeneste du bruker, og deretter huske hele listen, kan virke som bortkastet tid. Egentlig deg’d ha rett. Det er ekstremt mulig å velge bare ett eller to sikre passord, bruke dem for hver tjeneste du eier, og unngå å utsette dataene dine for fare for tyveri. For å gjøre dette, må du imidlertid forstå noen grunnleggende konsepter angående hvordan passord brukes, lagres og stjålet.

Det som gjør passordet bra?

Har du noen gang sett en spionfilm der den egnede helten prøver å hacke den gale karen’datamaskin? Selv i visstnok “realistisk” filmer, viser det seg at passordet er en setning som’er knyttet til skurken personlig. Kanskje det’heter navnet på deres første kjærlighet, et barnekjær eller kodenavnet til det uhyggelige prosjektet deres. Uansett hva det er, klarer helten alltid å låse opp datamaskinen i løpet av tre eller fire gjetninger, vanligvis bare i tide.

Jeg klandrer denne fortellende latskapen for mange av de dårlige passordene som folk ender opp med å bruke. Folk har en tendens til å tenke, “åh, de gutta vil aldri gjette navnet på gullfisken min fra jeg var tre.”

Spoilervarsel: de don’t trenger å. For å gjette passordet ditt, vil hackere vanligvis ty til varianter av en metode kjent som “Ren styrke.” Dette er et angrep som ligner på å prøve å gjette enhver kombinasjon av en kombinasjonslås for å åpne den. Ved bare menneskelige hastigheter, kan til og med et kort passord ta evig tid til å gjette seg ved å bruke denne metoden, men datamaskiner kan gjøre det raskt.

La’sier at passordet ditt er “A B C D E F.” Dette passordet er forferdelig av mange grunner, som jeg’Jeg kommer til det, men den viktigste årsaken er at det mangler kompleksitet. Den er bare seks tegn lang, og bruker bare ett tilfelle. La’Si at du begynte å prøve å gjette dette passordet, og begynte med en kombinasjon som “aaaaaa,” skal “aaaaab,” “aaaabb,” og så videre. Ved hjelp av denne metoden er det nøyaktig 321 272 406 mulige gjetninger du kan gjøre - det’s alle mulige kombinasjoner av seks små bokstaver. Nå høres over tre hundre millioner gjetninger ut som et pokker for mye. Her’Men det er en ting: en gjennomsnittlig stasjonær datamaskin, som bruker fritt tilgjengelig passordsprekkerprogramvare, kan lage hundre millioner gjetninger i sekundet (kjørelengden din kan variere). Et passord med seks bokstaver med små bokstaver vil vare hele 3,2 sekunder mot en knapt kompetent hacker.

Egentlig vant de’Jeg trenger til og med å ta så lang tid. En annen misforståelse rundt hackere er at hvis de vil knekke passordet ditt, gjør de det’Jeg går inn på innloggingsskjermen til tjenesten de vil bryte med, og begynner å gjette seg. Dette er en annen grunn til at folk velger enkle passord - de tror at selv om et passord er lett å gjette, vil det automatiserte påloggingssystemet sperre en hacker etter at de’Vi har gjort noen få forsøk.

Dette er dessverre ikke tilfelle. Alle nettsteder og andre applikasjoner lagrer passord på et regneark i sin database. Hvis de’og gjorde jobben sin riktig, vant nettstedet’t lagre passordene i klartekst, men snarere i en slags kryptografisk kode som kalles en hash. En hacker vant sannsynligvis’t prøv å stjele passordet ditt direkte fra påloggingsskjermen (med mindre de gjør det’bruker en mann-i-midten angrep, men det’er en annen artikkel). I stedet de’kommer til å stjele listen over hashede passord.

Når listen over hasjer er blitt stjålet, er det hvem som helst’s valgt et enkelt passord er i utgangspunktet dømt rett ut av porten. Se, hver hasj er opprettet av en spesiell algoritme som skiver og terninger og kutter og terninger et passord til det’er ikke bare ugjenkjennelig, men umulig å reversere ingeniør. Det er bare to ting som forhindrer en hasj fra å være helt sikker.

  1. Det er mulig å bestemme hvilken algoritme som ble brukt til å lage en hasj.
  2. Den samme inngangen vil alltid produsere den samme hashutgangen når du bruker den samme algoritmen.
  3. Se hvor dette går?

Hackere vet at mange bruker enkle passord. Siden de’De er allerede smarte, de vet allerede hvordan output-hasjene til disse enkle passordene ser ut i alle viktige hashing-algoritmer som er i bruk. I hva’er kjent som en “forhåndsberegnet ordbokangrep,” de’Jeg har allerede kokt opp hasjene til de enkle passordene, slik at de når de stjeler en liste, de’Jeg kan eksponere ikke bare deg, men potensielt tusenvis av andre mennesker som har tilflukt’t les denne artikkelen. Hva’mer er prinsippene bak dette angrepet at ...

Til og med “Complex” Passord Aren’t Spesielt trygt

Så mange mennesker begynner å få beskjeden. Kanskje i stedet for “baseball,” et ofte brukt usikkert passord, deg’Vi har bestemt deg for å bruke et passord som inneholder tall, både store og små bokstaver og noen spesialtegn for å starte opp: “1B4seba11!” for eksempel. Du kan tro at det sistnevnte passordet er tryggere, men bortsett fra baseball selv, er sikkerhetsbegrepet bare en illusjon.

Det er noen streiker mot “1B4seba11!” når det gjelder sikkerhet som passord. Det virker imidlertid bra’t det? Ved å bruke kriteriene som det tilfredsstiller - over åtte tegn lange, bruker både store og små bokstaver, bruker tall og minst ett spesialtegn - det er over en firemillion mulige kombinasjoner.

Vår hypotetiske passord-cracker på skrivebordet kan lage hundre millioner gjetninger i sekundet, så det kan ta omtrent ti millioner sekunder, eller 116 dager, å gjette passordet. At’s lenge, men ikke super lang. Hvis noen dårlig ønsket det passordet ditt beskyttet - for eksempel bankkontoen som inneholder all pensjonssparing - er egentlig ikke fire måneder’t lenge å vente.

Der’mer, men. Vi, vi’antar at den som prøver å bryte passordet ditt bruker en vanlig stasjonær datamaskin. Hvis de’men det er alvorlig’Det er ikke uvanlig å finne hackere som bruker spesialbygget maskinvare.

Den’Det har nylig blitt vist at avanserte GPU-er (Graphics Processing Units) er bedre til å utføre ting som passordbryter enn vanlige CPU-er. En avansert GPU koster rundt $ 500, og en tilpasset rigg kan inneholde så mange som tjuefem GPUer, som alle fungerer parallelt. Resultatet er imidlertid en maskin som koster mindre enn en anstendig bruktbil - og som kan sprekke forvirrende 350 milliarder passord per sekund. At’er nok til å ta det komplekse passordet på åtte tegn og rippe det til strimler på seks minutter.

Der’Det er en siste grunn til at korte komplekse passord ganske mye er gått veien for dodoen når det gjelder sikkerhet. La’s gå tilbake til de forrige eksemplene på maskinvare som sprekker passord. Dette er forresten den delen der jeg må innrømme at jeg løy til deg litt.

Se, at anslaget på 100 millioner gjetninger per minutt for et stasjonært og 350 milliarder for tilpasset maskinvare stemmer bare hvis passordet ditt tilfeldigvis er hashet med en eldre algoritme. Don’t få ideer som du’være trygg nå - det’Det er ganske vanlig at selskaper bruker hashing-algoritmer som MD5 eller SHA-1, som begge har vært foreldet siden begynnelsen av 2000’s. Et vanlig moderne skrivebord vil spise MD5 til frokost. Hvis hackere prøver å brute-force en moderne algoritme som SHA-512, vil selv den mest avanserte maskinen bremses ned til under en halv million gjetninger i sekundet. At’er nok til å holde passordet ditt trygt i årevis.

I praksis vil passordet ditt imidlertid bli fanget opp mye før. Hvorfor? Det hele kommer tilbake til ordbokmetoden.

Mennesker er dessverre forutsigbare. La’s gå tilbake til eksemplet med 1B4seba11! Selv med kompleksiteten som er lagt til i ekstra tilfeller, tall og spesialtegn, vil dette være et enkelt passord for en datamaskin å gjette.

Først av alt, er passordet lagt ut på en forutsigbar måte, hvis du’er et menneske. For de fleste er det fornuftig å sette spesialtegn på slutten av et ord, så en passord-cracker vil prioritere testkombinasjoner som har spesialtegn på det stedet. For det andre å erstatte bokstaven a med nummer fire og erstatte jeg’s og L’s med nummer én er en ganske vanlig praksis, så cracking-programmet kommer til å se etter kombinasjoner med mange enere og firere i seg. Faktoren som fordømmer dette passordet er imidlertid det det er basert på et ekte ord fra ordboken. Ikke bare er det et ekte ord fra ordboken, det’er basert på et ekte ord som folk bruker til passordene sine ganske ofte ved å bruke ekstremt vanlige moduleringer. Enhver godt designet passordkrekker har sannsynligvis den eksakte setningen “1B4seba11!” som en av de første millionene gjetter at den gjør det - og det samme gjelder alle ordbøker.

Nå “Complex” Passord Don’t Arbeid, hva annet er igjen?

Å bruke et enkelt passord kan like godt være meningsløst, og til og med skikkelig kompliserte passord er litt rot. Dette stammer fra det faktum at mennesker er ganske forutsigbare - vi bruker passord som inneholder ord som er i ordboken, følger regler for grammatikk og stavemåte, og inneholder forutsigbare mønstre med bokstaver og tall. Hva gjør vi med dette? Gi vi opp og la hackerne vinne?

Nei! Jeg lovet i begynnelsen av denne artikkelen at du’d kunne sikre alle dataene dine ved å huske bare ett eller to passord, og ved golly jeg’m ikke en løgner.

Her’er trikset: Passordene dine må inkludere tilfeldig.

Hvis passordet ditt er over 20 tegn langt, og ikke inneholder noen forutsigbare alfanumeriske sekvenser eller frasering, vil til og med noe som en superdatamessig superkluster ta århundrer å gjette det.

Her’er et eksempel. Jeg gikk til GRC-nettstedet, og tok et utvalg av 22 tegn (det’er alt du trenger) fra en tilfeldig generert 256-bit streng. Denne strengen her: Q7PkgND6amgQ2nrx2Ej8vV

Deretter gikk jeg til favoritt passordkontrollen min, zxcvbn, som estimerer hvor lang tid det vil ta før forskjellige passordbrytere å ødelegge passordet ditt.

passordpassord

Som du kan se, vil alle som prøver å bryte passordet, selv ved å bruke en veldig rask datamaskin, være forberedt på å vente veldig, veldig lenge.

Selvfølgelig der’er et stort åpenbart problem med passordet: enhver passordfrase som er umulig for en datamaskin å bryte, er også umulig for et menneske å huske. Jeg mener, hvis det er mulig for deg å huske flere passord med høy entropi som Q7PkgND6amgQ2nrx2Ej8vV for hver tjeneste du bruker, slutter du å lese denne artikkelen akkurat nå. Du vinner på passord og på livet.

For resten av oss der’er en juks. Finn en passordbehandling som LastPass. LastPass vil automatisk huske og hente lange, vanskelig å huske passord som Q7PkgND6amgQ2nrx2Ej8vV, og alt du trenger’Jeg må bekymre deg for å huske et enkelt hovedpassord, pluss sannsynligvis et lignende passord for e-posten din. Hver gang du trenger å velge et nytt passord, gå til GRC, uthev 22 tegn fra 256-bits strengene de genererer, og legg dem i LastPass som passordet du’bruker igjen for tjenesten. Enkelt, ikke sant?

Der’er en siste ting. LastPass krever fortsatt et hovedpassord, og du vil at det skal være noe som’er så komplisert som Q7PkgND6amgQ2nrx2Ej8vV, men noe som et menneske faktisk kan huske.

Løsningen på dette problemet er et system som heter DiceWare. Dette er faktisk veldig enkelt, og det fungerer på teorien om at du kan bruke en lang streng med engelske ikke-gibberiske ord for å generere et passord - så lenge disse ordene er’t i en hvilken som helst fornuftig rekkefølge. Hvis jeg for eksempel ba deg om å plukke ut en tilfeldig frase, kan du tenke på, “TheQuickBrownFoxJumpsOverTheLazyDog.” Problemet med dette er at det’er en kjent setning i en rekkefølge som er fornuftig, og en datamaskin vil sannsynligvis nab det ganske raskt. DiceWare krever imidlertid at brukerne ruller terninger (som navnet sier) for å generere et femsifret tall som tilsvarer et tilfeldig ord i den engelske ordboken. Gjør dette noen ganger, og du’Det har jeg en forståelig setning’er fremdeles uløselig med store datamaskiner. Du kan gjøre dette manuelt, eller online. Ved hjelp av online DiceWare-generator her genererte jeg passordfrasen “satyr wacke enrico igloo delia,” noe som er relativt enkelt å huske, men som fremdeles vil ta århundrer før selv den raskeste datamaskinen går i stykker.

Så, der har du det. Bruk LastPass for å huske passordene dine, bruk utdrag av 256-bits nøkler til LastPass-passordene dine, og bruk et DiceWare-passord som det eneste sikre passordet du faktisk må ha i hodet. Ved hjelp av denne metoden skal passordet ditt være sikkert mot de fleste moderne datamaskiner - men husk bare at datamaskiner bare kommer til å bli raskere.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me