Kaip susikurti puikų slaptažodį


Jūsų slaptažodžio įpročiai yra klaidingi

Žmonės, kaip taisyklė, nelabai susidoroja su įpročiais, kurie neatsirado protėvių aplinkoje. Niekur senovės savanoje nebuvo būtina įsiminti kelių nesąmoningų raidinių ir skaitmeninių frazių, kad būtų apsaugoti tokie dalykai kaip namų adresas, kreditinė kortelė ir socialinio draudimo numeris..


Tiesą sakant, susidūrę su problemos sudėtingumu, dauguma žmonių - 55 proc. Pagal JK atliktą tyrimą - linkę ją išspręsti kuo paprasčiau, pasirinkdami vieną paprastą slaptažodį ir naudodamiesi juo daugeliui paslaugų, kurias jie naudoja naudoti kiekvieną dieną. Net nuo 2015 m. Vis dar naudojamas dažniausiai naudojamas slaptažodis “123456.”

Pasirinkę saugų slaptažodį, pasirinkdami skirtingą saugų slaptažodį kiekvienai jūsų naudojamai paslaugai ir įsimindami visą sąrašą, gali atrodyti, kad švaistote laiką. Tiesą sakant, tu’d būti teisus. Itin įmanoma pasirinkti tik vieną ar du saugius slaptažodžius, naudoti juos visoms jums priklausančioms paslaugoms ir vengti duomenų vagystės. Tačiau norint tai padaryti, turite suprasti kai kurias pagrindines sąvokas, susijusias su slaptažodžių naudojimu, saugojimu ir vogimu.

Kas daro slaptažodį slapta?

Ar kada žiūrėjote šnipų filmą, kuriame tinkamas herojus bando nulaužti blogą vyruką’s kompiuteris? Net tariamai “tikroviškas” filmai, paaiškėja, kad slaptažodis yra kažkokia frazė’s pririštas prie piktadario asmeniškai. Galbūt tai’tai jų pirmosios meilės vardas, vaikystės augintinis arba jų vargano projekto kodinis vardas. Kad ir kas būtų, herojui visada pavyksta atrakinti kompiuterį per tris ar keturis spėliones, paprastai tik per laiką.

Aš kaltinu šį pasakojimo tingumą dėl daugybės blogų slaptažodžių, kuriais žmonės naudojasi. Žmonės linkę galvoti, “oi, blogi vaikinai niekada neatspės mano auksinės žuvelės vardo nuo tada, kai buvau trejų.”

Įspėjimas apie spoilerį: jie neina’t reikia. Norėdami atspėti jūsų slaptažodį, įsilaužėliai paprastai imsis būdų, žinomų kaip “brutali jėga.” Tai yra išpuolis, panašus į bandymą atspėti kiekvieną kombinuoto užrakto kombinaciją, norint jį atidaryti. Žmogaus greičiu net trumpą slaptažodį gali amžinai atspėti naudojant šį metodą, tačiau kompiuteriai tai gali padaryti greitai.

Leisti’sakai, kad tavo slaptažodis yra “abcdef.” Šis slaptažodis yra baisus dėl daugelio priežasčių, kurias aš’Galėsiu patekti, bet pagrindinė priežastis ta, kad trūksta sudėtingumo. Tai yra tik šeši simboliai ir naudojamas tik vienas atvejis. Leisti’sakyk, tu pradėjai bandyti atspėti šį slaptažodį, pradedant nuo panašaus derinio “aaaaaa,” ketina “aaaaab,” “aaaabai,” ir taip toliau. Naudojant šį metodą, yra tiksliai 321 272 406 spėjimai, kuriuos galėtumėte padaryti - tai’s kiekvienas įmanomas šešių mažųjų raidžių derinys. Dabar daugiau nei trys šimtai milijonų spėlionių skamba kaip labai daug. Čia’Tačiau dalykas: paprastas stalinis kompiuteris, naudodamas laisvai prieinamą slaptažodžių krekingo programinę įrangą, gali tai padaryti šimtas milijonų spėjimų per sekundę (jūsų rida gali skirtis). Šešių raidžių mažosiomis raidėmis slaptažodis truks 3,2 sekundės prieš vos kompetentingą įsilaužėlį.

Tiesą sakant, jie laimėjo’t net nereikia ilgai užtrukti. Kitas klaidingas požiūris į įsilaužėlius yra tas, kad jei jie nori nulaužti jūsų slaptažodį, jie’Eisite į paslaugų, kurias jie nori pažeisti, prisijungimo ekraną ir pradėkite spėlioti. Tai dar viena priežastis, kodėl žmonės renkasi paprastus slaptažodžius - jie mano, kad net jei slaptažodį lengva atspėti, automatinė prisijungimo sistema užblokuos įsilaužėlį po to, kai jie’padarėte keletą bandymų.

Deja, taip nėra. Visos svetainės ir kitos programos saugo slaptažodžius skaičiuoklėje savo duomenų bazėje. Jeigu jie’teisingai atlikdami savo darbą, svetainė laimėjo’nelaikykite tų slaptažodžių paprastame tekste, o tam tikrame kriptografiniame šifre, vadinamame maišos ženklu. Tikriausiai laimėjo hakeris’nebandykite pavogti savo slaptažodžio tiesiai iš prisijungimo ekrano (nebent jie’naudodamas vidurio puolėją, bet tai’s kitoks straipsnis). Vietoj to jie’vėl pavogsi tą maišytų slaptažodžių sąrašą.

Kai tik tas maišos sąrašas buvo pavogtas, bet kas’Pasirinktas paprastas slaptažodis iš esmės pasmerktas tiesiai iš vartų. Žr., Kiekviena maiša sukuriama pagal specialų algoritmą, kuris pjausto ir kauliukus pjaustė ir pjaustė slaptažodį, kol jis’Tai ne tik neatpažįstama, bet ir neįmanoma jo pakeisti. Yra tik du dalykai, dėl kurių maišos nėra visiškai saugios.

  1. Galima nustatyti, kuris algoritmas buvo naudojamas maišos sukūrimui.
  2. Ta pati įvestis visada duos tą patį maišos išėjimą, kai naudosite tą patį algoritmą.
  3. Pažiūrėkite, kur tai vyksta?

Piratai žino, kad daugybė žmonių naudoja paprastus slaptažodžius. Nuo tada, kai jie’Išmanūs, jie jau žino, kaip atrodo šių paprastų slaptažodžių išvesties maišos kiekviename pagrindiniame naudojamo maišos algoritme. Kokiame’žinomas kaip “iš anksto apskaičiuota žodyno ataka,” jie’Aš jau iškepsiu tų paprastų slaptažodžių maišus, kad pavogę sąrašą jie juos sunaikintų’Galėsite atskleisti ne tik jus, bet ir tūkstančius kitų prieglobstį turinčių žmonių’t skaityti šį straipsnį. Ką’Dar daugiau, šios atakos principai reiškia, kad ...

Netgi “Kompleksas” Slaptažodžiai Aren’t ypač saugus

Taigi, daug žmonių pradeda gauti žinią. Gal vietoj to “beisbolo,” dažniausiai naudojamas nesaugus slaptažodis, jūs’Ve nusprendėte paleisti slaptažodį, į kurį įeina skaičiai, tiek didžiosios, tiek mažosios raidės, ir kai kurie specialieji simboliai: “1B4seba11!” pavyzdžiui. Galite pamanyti, kad pastarasis slaptažodis yra saugesnis, tačiau, atsižvelgiant į patį beisbolo žaidimą, saugos sąvoka yra tik iliuzija.

Yra keletas streikų prieš “1B4seba11!” kalbant apie jo kaip slaptažodžio saugumą. Atrodo, puiku, tiesa’t tai? Naudojant kriterijų rinkinį, kurį jis tenkina - daugiau nei aštuonių simbolių, naudojasi ir didžiosiomis, ir mažosiomis raidėmis, naudoja skaičius ir bent vieną specialųjį ženklą, yra daugiau vienas kvadrilijonas galimos kombinacijos.

Mūsų hipotetinis kompiuterio slaptažodžio nulaužiklis gali padaryti šimtą milijonų spėjimų per sekundę, taigi slaptažodžio atspėjimas užtruktų apie dešimt milijonų sekundžių arba 116 dienų. Tai’ilgai, bet ne per ilgai. Jei kas nors labai norėjo, kad ir koks jūsų slaptažodis būtų apsaugotas, pavyzdžiui, banko sąskaita, kurioje yra visos jūsų pensijos santaupos, keturi mėnesiai tikrai nėra’t ilgai laukti.

Ten’vis dėlto daugiau. Žiūrėk, mes’darant prielaidą, kad kas bando sugadinti slaptažodį, naudoja paprastą stalinį kompiuterį. Jeigu jie’vis dėlto rimtai’Nedažnai rasi įsilaužėlių, kurie naudoja pasirinktinę įrangą.

Tai’Neseniai buvo parodyta, kad aukščiausios klasės GPU (grafikos procesorių vienetai) geriau nei įprastiniai procesoriai atlieka slaptažodžių sulaužymo operacijas. Aukščiausios klasės GPU kainuoja apie 500 USD, o pasirinktiniame įrenginyje gali būti net dvidešimt penki GPU, visi dirbantys lygiagrečiai. Vis dėlto rezultatas yra mašina, kainuojanti mažiau nei tinkamas naudotas automobilis ir galinti nulaužti galvojančią apie 350 milijardų slaptažodžių per sekundę. Tai’Pakanka paimti sudėtingą aštuonių simbolių slaptažodį ir per šešias minutes susmulkinti jį į gabalus.

Ten’Paskutinė priežastis, dėl kurios trumpi sudėtingi slaptažodžiai saugumo atžvilgiu yra beveik tokie patys kaip dodo. Leisti’Grįžkime prie ankstesnių slaptažodžių laužymo aparatūros pavyzdžių. Beje, tai yra ta dalis, kur turiu prisipažinti, kad tau truputį melavau.

Žiūrėkite, kad 100 milijonų spėjimų per minutę darbastaliui ir 350 milijardų pritaikytos aparatinės įrangos apskaičiavimas galioja tik tuo atveju, jei jūsų slaptažodis bus pakeistas naudojant senesnį algoritmą. Donas’t semti idėjų, kad jūs’dabar saugu’gana įprasta, kad įmonės naudoja maišos algoritmus, tokius kaip MD5 ar SHA-1, kurie abu yra pasenę nuo 2000 m. pradžios.’s. Įprastas modernus darbalaukis valgys MD5 pusryčiams. Jei įsilaužėliai bandys apgauti šiuolaikinį algoritmą, pavyzdžiui, SHA-512, vis dėlto net ir pats pažangiausias aparatas bus sulėtintas iki mažiau nei pusės milijono spėjimų per sekundę. Tai’Tai pakankamai, kad jūsų slaptažodis būtų saugus metų metus, teoriškai.

Tačiau praktiškai jūsų slaptažodis bus sugautas daug anksčiau. Kodėl? Viskas grįžta prie žodyno metodo.

Žinok, žmonės liūdnai nuspėjami. Leisti’Grįžkime prie 1B4seba11 pavyzdžio! Net jei tai sudėtinga, nes pridedami papildomi atvejai, skaičiai ir specialieji simboliai, tai bus lengvas slaptažodis kompiuteriui atspėti.

Visų pirma, slaptažodis išdėstomas nuspėjamai, jei jūs’vėl žmogus. Daugeliui žmonių prasminga įterpti specialius simbolius į žodžio pabaigą, todėl slaptažodžio nulaužiklis pirmenybę teiks kombinacijų, turinčių specialius ženklus toje vietoje, testavimui. Antra, a raidę pakeisiu skaičiumi keturi ir pakeisiu I’s ir L’Skaičiai numeris vienas yra gana įprasta praktika, todėl krekingo programa ketina ieškoti derinių su daugybe jų ir keturių. Tačiau veiksnys, kuris visiškai sugadina šį slaptažodį, yra tas jis pagrįstas tikru žodžiu iš žodyno. Tai ne tik tikras žodis iš žodyno, bet ir tai’remiantis tikru žodžiu, kurį žmonės dažnai naudoja savo slaptažodžiams, naudodamiesi ypač įprastomis moduliacijomis. Bet kuris gerai suplanuotas slaptažodžių krekeris tikriausiai turi tikslią frazę “1B4seba11!” kaip vienas iš pirmųjų kelių milijonų spėlionių, ir tas pats pasakytina apie bet kurį žodyno žodį.

Dabar “Kompleksas” Slaptažodžiai Don’t Darbas, kas dar liko?

Naudoti paprastą slaptažodį taip pat gali būti beprasmiška, ir net tikrai sudėtingi slaptažodžiai yra tam tikra netvarka. Tai kyla iš to, kad žmonės yra gana nuspėjami - mes naudojame slaptažodžius, susijusius su žodžiais, esančiais žodyne, laikomės gramatikos ir rašybos taisyklių, juose yra numatomi raidžių ir skaičių modeliai. Ką mes su tuo darome? Ar mes pasiduosime ir leisime įsilaužėliams laimėti??

Ne! Šio straipsnio pradžioje pažadėjau, kad tu’d sugebėti apsaugoti visus savo duomenis atsimindamas tik vieną ar du slaptažodžius ir „Golly I“’Aš ne melagis.

Čia’Tai triukas: jūsų slaptažodžiai turi būti įtraukti atsitiktinumas.

Jei slaptažodis yra ilgesnis nei 20 simbolių ir jame nėra nuspėjamų raidinių ir skaitinių sekų ar frazių, net kažkas panašaus į superkompiuterio superklasterį turės atspėti.

Čia’pavyzdys. Aš apsilankiau GRC svetainėje ir pasirinkau 22 ženklų pasirinkimą (tai’viskas, ko jums reikia) iš atsitiktinai sugeneruotos 256 bitų eilutės. Ši eilutė čia: Q7PkgND6amgQ2nrx2Ej8vV

Tada nuėjau pas savo mėgstamiausią slaptažodžių tikrintuvą „zxcvbn“, kuris apskaičiavo, kiek laiko prireiks įvairiems slaptažodžio laužikliams, kad sugadintų jūsų slaptažodį.

slaptažodžiaislaptažodžiai

Kaip matote, visi, bandantys sugadinti slaptažodį, net naudodamiesi labai greitu kompiuteriu, turėtų būti pasirengę laukti labai, labai ilgai.

Žinoma, ten’Tai yra akivaizdi to slaptažodžio problema: bet kurios slaptažodžio, kurio neįmanoma sugadinti kompiuteriui, neįmanoma įsiminti. Aš turiu omenyje, kad jei jums įmanoma prisiminti kelis aukštos entropijos slaptažodžius, tokius kaip Q7PkgND6amgQ2nrx2Ej8vV kiekvienai jūsų naudojamai paslaugai, nustokite skaityti šį straipsnį dabar. Laimi slaptažodžiai ir gyvenimas.

Likusiems mums, ten’s apgauti. Raskite slaptažodžių tvarkyklę, tokią kaip „LastPass“. „LastPass“ automatiškai atsimins ir atgaus ilgus, sunkiai įsimenamus slaptažodžius, tokius kaip Q7PkgND6amgQ2nrx2Ej8vV, ir visus jus’Turėsi nerimauti, kad atsimins vieną pagrindinį slaptažodį ir tikriausiai panašų el. pašto slaptažodį. Kiekvieną kartą, kai jums reikia pasirinkti naują slaptažodį, eikite į GRC, pažymėkite 22 simbolius iš jų sugeneruotų 256 bitų eilučių ir įdėkite juos į „LastPass“ kaip slaptažodį, kurį’naudojuosi šia paslauga. Paprasta, teisinga?

Ten’s paskutinis dalykas. „LastPass“ vis dar reikalingas pagrindinis slaptažodis, ir jūs norite, kad tai būtų kažkas’Tai taip pat sudėtinga kaip Q7PkgND6amgQ2nrx2Ej8vV, tačiau tai, ką žmogus iš tikrųjų gali įsiminti.

Šios problemos sprendimas yra sistema, vadinama „DiceWare“. Tai iš tikrųjų labai paprasta ir veikia remiantis teorija, kad slaptažodžio generavimui galite naudoti ilgą angliškų žodžių, kurie nėra įžūlūs, eilutę, jei tik šie žodžiai nebus sukurti’t bet kokia protinga tvarka. Pavyzdžiui, jei paprašyčiau išsirinkti atsitiktinę frazę, galite pagalvoti, “„TheQuickBrownFoxJumpsOverTheLazyDog“.” Problema yra ta, kad ji’Tai gerai žinoma frazė, kad būtų prasminga, ir kompiuteris greičiausiai nuskambės gana greitai. Tačiau „DiceWare“ reikalauja, kad vartotojai susuktų kauliukus (kaip sako vardas), kad būtų sugeneruotas penkių skaitmenų skaičius, atitinkantis atsitiktinį žodį anglų žodyne. Kelis kartus tai padaryk ir tu’turėsi tą suprantamą frazę’vis dar neišsprendžiamas naudojant didelius kompiuterius. Tai galite padaryti rankiniu būdu arba prisijungę. Naudodamas internetinį „DiceWare“ generatorių, sugeneravau slaptafrazę “satyr wacke enrico igloo delia,” kurį gana lengva atsiminti, bet vis tiek prireiks šimtmečių, kad sugestų net greičiausias kompiuteris.

Taigi, jūs jį turite. Naudokite „LastPass“, kad atsimintumėte savo slaptažodžius, „LastPass“ slaptažodžiams naudokite 256 bitų raktų fragmentus ir naudokite „DiceWare“ slaptažodį kaip vienintelį saugų slaptažodį, kurį iš tikrųjų turite laikyti savo galvoje. Naudojant šį metodą, jūsų slaptažodis turėtų būti apsaugotas nuo daugelio šiuolaikinių kompiuterių, tačiau atminkite, kad kompiuteriai tik spartės.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me