Ako vytvoriť perfektné heslo


Vaše návyky na heslo sú chybné

Ľudia sa spravidla nezaoberajú zvykami, ktoré sa neobjavili v prostredí predkov. Nikde v starej savane nebolo potrebné zapamätať si zoznam nezmyselných alfanumerických fráz za účelom ochrany vecí, ako je ich adresa bydliska, kreditná karta a číslo sociálneho zabezpečenia..


V skutočnosti, keď je prezentovaná zložitosť problému, väčšina ľudí - 55% podľa štúdie zo Spojeného kráľovstva - má tendenciu to riešiť čo najjednoduchšie, vyberajú jedno jednoduché heslo a používajú ho pre väčšinu služieb, ktoré používajú. používať každý deň. Aj v roku 2015 sa stále používa najbežnejšie používané heslo “123456.”

Výber zabezpečeného hesla, výber iného zabezpečeného hesla pre každú službu, ktorú používate, a potom zapamätanie celého zoznamu sa môže javiť ako strata času. Vlastne, ty’d mať pravdu. Je nesmierne možné zvoliť iba jedno alebo dve bezpečné heslá, používať ich pre každú službu, ktorú vlastníte, a vyhýbať sa vystaveniu svojich údajov riziku krádeže. Ak to však chcete urobiť, musíte pochopiť niektoré základné pojmy týkajúce sa spôsobu používania, uchovávania a odcudzenia hesiel.

Čo robí heslo dobrým?

Už ste niekedy sledovali špionážny film, kde sa hrdina, ktorý sa chce hodiť, snaží preniknúť na zlého chlapa’s počítačom? Aj vraj “realistický” filmy, ukázalo sa, že heslo je nejaká fráza’je priviazaný k darebákovi osobne. Možno, že’je to meno ich prvej lásky, detského miláčika alebo kódové meno ich zlovestného projektu. Čokoľvek to je, hrdina vždy dokáže odomknúť počítač do troch alebo štyroch odhadov, zvyčajne iba v časovej tiesni.

Obviňujem túto naratívnu lenivosť za veľa zlých hesiel, ktoré ľudia nakoniec používajú. Ľudia majú tendenciu myslieť, “oh, zlí chlapci nikdy nebudú uhádnuť meno mojej zlatej rybky od mých troch rokov.”

Varovanie spojlera: nerobia to’nemusím. Aby sa uhádli vaše heslo, hackeri sa zvyčajne uchyľujú k variantom metódy známej ako “hrubou silou.” Je to útok podobný pokusu uhádnuť každú kombináciu kombinovaného zámku, aby sa otvoril. Pri iba ľudskej rýchlosti môže aj krátke heslo trvať večne, kým sa uhádne pomocou tejto metódy, ale počítače to dokážu rýchlo.

nechať’s povedať, že vaše heslo je “A b c d e f.” Toto heslo je hrozné z mnohých dôvodov’Dostanem sa k tomu, ale hlavným dôvodom je nedostatok komplexnosti. Je iba šesť znakov a používa iba jeden prípad. nechať’Povedzme, že ste sa začali pokúšať uhádnuť toto heslo, počnúc kombináciou ako “aaaaaa,” ísť do “aaaaab,” “aaaabb,” a tak ďalej. Pri použití tejto metódy môžete presne odhadnúť 321 272 406 odhadov’s každú možnú kombináciu šiestich malých písmen. Teraz znie viac ako tristo miliónov odhadov ako sakra veľa. Tu’Je to tak: priemerný stolový počítač, ktorý používa voľne dostupný softvér na praskanie hesla, to dokáže sto miliónov odhadov za sekundu (počet najazdených kilometrov sa môže líšiť). Šesť písmen malé heslo vydrží po dobu 3,2 sekundy proti ťažko kvalifikovanému hackerovi.

Vlastne oni zvíťazili’ani to nemusí trvať tak dlho. Ďalšou mylnou predstavou o hackeroch je to, že ak chcú prelomiť vaše heslo, tak’Prejdem na prihlasovaciu obrazovku služby, ktorú chcú porušiť, a začnem sa hádať. Toto je ďalší dôvod, prečo si ľudia vyberajú jednoduché heslá - myslia si, že aj keď je heslo ľahko uhádnuteľné, automatizovaný prihlasovací systém zamedzí hackerovi potom, čo’Urobil som niekoľko pokusov.

Bohužiaľ to tak nie je. Všetky webové stránky a ďalšie aplikácie ukladajú heslá do tabuľky vo svojej databáze. Ak oni’robia svoju prácu správne, stránka vyhrala’neuchovávajte tieto heslá v čistom texte, ale skôr v kryptografickej šifre nazývanej hash. Hacker pravdepodobne vyhral’t skúste ukradnúť heslo priamo z prihlasovacej obrazovky (pokiaľ nie sú’znovu používajú útok typu človek v strede, ale to’s iným článkom). Namiesto toho sú’ukradnem tento zoznam hashovaných hesiel.

Akonáhle je tento zoznam hash bol ukradnutý, každý, kto’Zvolené jednoduché heslo je v podstate odsúdené priamo z brány. Vidíte, každý hash je vytvorený špeciálnym algoritmom, ktorý krája a krája a krája a kockuje heslo, až kým nie je’nie je len nerozpoznateľný, ale nemožný spätný inžinier. Existujú iba dve veci, ktoré bránia tomu, aby bol hash dokonale bezpečný.

  1. Je možné určiť, ktorý algoritmus sa použil na vytvorenie hashu.
  2. Rovnaký vstup vždy vytvorí rovnaký hashovaný výstup, keď použijete rovnaký algoritmus.
  3. Pozrite sa, kam to ide?

Hackeri vedia, že veľa ľudí používa jednoduché heslá. Pretože oni’Keď už sú inteligentní, už vedia, ako vyzerajú výstupné hodnoty hash týchto jednoduchých hesiel vo všetkých používaných algoritmoch hashovania. V čom’je známy ako “vopred vypočítaný útok na slovník,” oni’Už som si uvaril hashe týchto jednoduchých hesiel, takže akonáhle ukradnú zoznam, tak’Dokážem odhaliť nielen vás, ale aj potenciálne tisíce ďalších ľudí, ktorí ešte neboli’t prečítať tento článok. Čo’Princípy tohto útoku navyše znamenajú, že…

i “komplexné” Heslá Aren’t Obzvlášť bezpečné

Takže veľa ľudí začína dostávať správu. Možno namiesto “baseball,” bežne používané nezabezpečené heslo’Rozhodli sme sa použiť heslo, ktoré obsahuje čísla, veľké aj malé písmená a niektoré špeciálne znaky na zavedenie: “1B4seba11!” napríklad. Môžete si myslieť, že druhé heslo je bezpečnejšie, ale na rozdiel od samotného baseballu je koncept bezpečnosti iba ilúziou.

Existuje niekoľko štrajkov proti “1B4seba11!” z hľadiska jeho bezpečnosti ako hesla. Zdá sa však, že je skvelý’to? Pri použití súboru kritérií, ktoré spĺňa - viac ako osem znakov, používa veľké aj malé písmená, používa čísla a aspoň jeden špeciálny znak - jeden štvorcový milión možné kombinácie.

Náš hypotetický cracker na heslá pre stolné počítače dokáže urobiť sto miliónov odhadov za sekundu, takže hádanie hesla by trvalo asi desať miliónov sekúnd alebo 116 dní. že’s dlho, ale nie príliš dlho. Ak niekto nechcel nechať všetko, čo vaše heslo chráni - napríklad bankový účet, ktorý obsahuje všetky vaše dôchodkové úspory - štyri mesiace v skutočnosti nie je’t dlho čakať.

tam’je však viac. Vidíte, my’za predpokladu, že každý, kto sa pokúša narušiť vaše heslo, používa bežný stolný počítač. Ak oni’to však vážne’nie je nezvyčajné nájsť hackerov, ktorí používajú hardvér vytvorený na mieru.

to’Nedávno sa ukázalo, že špičkové GPU (jednotky na spracovanie grafiky) sú pri vykonávaní operácie na prerušenie hesla lepšie ako bežné CPU. Špičková cena GPU stojí okolo 500 dolárov a zákazková súprava môže obsahovať až dvadsaťpäť GPU, pričom všetky pracujú paralelne. Výsledkom je však stroj, ktorý stojí menej ako slušné ojazdené vozidlo - a dokáže rozbiť neuveriteľné 350 miliárd hesiel za sekundu. že’je dosť na to, aby ste si vzali zložité osemmiestne heslo a roztrhali ho na kúsky za šesť minút.

tam’je to posledný dôvod, prečo krátke zložité heslá z hľadiska bezpečnosti do značnej miery prešli z cesty dodo. nechať’s vráťte sa k predchádzajúcim príkladom hardvéru na prelomenie hesla. Mimochodom, toto je časť, kde musím priznať, že som ti trochu klamal.

Vidíte, že odhad 100 miliónov odhadov za minútu pre pracovnú plochu a 350 miliárd pre vlastný hardvér platí, iba ak sa vaše heslo stane hashovaným starším algoritmom. Don’nechápem žiadne nápady’teraz v bezpečí - to’Je bežné, že spoločnosti používajú hashovacie algoritmy ako MD5 alebo SHA-1, ktoré sú už od začiatku roku 2000 zastarané.’s. Bežná moderná pracovná plocha bude jesť MD5 na raňajky. Ak sa hackeri pokúsia brutálne vynútiť moderný algoritmus, ako je SHA-512, aj najpokročilejší stroj sa spomalí na menej ako pol milióna odhadov za sekundu. že’Je to dosť na to, aby ste si teoreticky uchovávali svoje heslo roky.

V praxi sa však vaše heslo dosti zachytí oveľa skôr. Prečo? To všetko sa vracia k metóde slovníka.

Vidíte, ľudia sú bohužiaľ predvídateľní. nechať’s vráťte sa k príkladu 1B4seba11! Aj keď je zložitosť pridaná ďalšími prípadmi, číslami a špeciálnymi znakmi, bude to pre počítač ľahké uhádnuť heslo..

V prvom rade je heslo stanovené predvídateľným spôsobom, ak ste’znovu človek. Pre väčšinu ľudí má zmysel umiestniť špeciálne znaky na koniec slova, takže cracker na heslo uprednostní testovanie kombinácií, ktoré majú na danom mieste špeciálne znaky. Po druhé, nahradením písmena a číslom 4 a nahradením písmena I’s a L’s číslom jedna je celkom bežná prax, takže cracker program bude hľadať kombinácie s mnohými z nich a so štyrmi v nich. Faktom však je, že toto heslo sa úplne zatajuje vychádza zo skutočného slova zo slovníka. Nielen, že je to skutočné slovo zo slovníka, ale aj to’je založené na skutočnom slove, ktoré ľudia používajú často pre svoje heslá, používajúc extrémne bežné modulácie. Každý dobre navrhnutý cracker hesiel má pravdepodobne presnú frázu “1B4seba11!” ako jeden z prvých miliónov odhadov, ktoré to robí - a to isté platí pre každé slovo v slovníku.

Teraz “komplexné” Heslá Don’• Pracuj, čo iné je vľavo?

Použitie jednoduchého hesla môže byť tiež zbytočné a dokonca aj skutočne zložité heslá sú trochu neporiadkom. Vyplýva to zo skutočnosti, že ľudia sú celkom predvídateľní - používame heslá, ktoré zahŕňajú slová, ktoré sú v slovníku, dodržiavajú pravidlá gramatiky a pravopisu a obsahujú predvídateľné vzory písmen a číslic. Čo s tým urobíme? Vzdávame sa a necháme hackerov vyhrať?

Nie! Na začiatku tohto článku som sľúbil, že vy’d byť schopný zabezpečiť všetky vaše dáta zapamätaním si iba jedného alebo dvoch hesiel a slávnym ja’nie som klamár.

Tu’s trik: Vaše heslá musia obsahovať náhodnosť.

Ak je vaše heslo dlhšie ako 20 znakov a neobsahuje žiadne predvídateľné alfanumerické sekvencie alebo frázy, bude mu uhádnuť, aj keď niečo ako superpočítač superpočítača bude stáročia uhádnuť..

Tu’je to príklad. Išiel som na webovú stránku GRC a vybral som 22-znakový výber (to’všetko, čo potrebujete) z náhodne vygenerovaného 256-bitového reťazca. Tento reťazec tu: Q7PkgND6amgQ2nrx2Ej8vV

Potom som šiel do svojho obľúbeného kontrolóra hesiel, zxcvbn, ktorý odhaduje, ako dlho bude trvať, kým si rôzne prerušovače hesiel zlomia vaše heslo..

hesláheslá

Ako vidíte, každý, kto sa snaží rozbiť toto heslo, aj keď používa veľmi rýchly počítač, by musel byť pripravený čakať veľmi, veľmi dlho.

Samozrejme, že’Je to veľký zrejmý problém s týmto heslom: akákoľvek prístupová fráza, ktorú počítač nedokáže rozbiť, si tiež človek nemôže zapamätať. Myslím tým, že ak si môžete zapamätať viac hesiel s vysokou entropiou, ako je Q7PkgND6amgQ2nrx2Ej8vV, pre každú službu, ktorú používate, prestaňte si prečítať tento článok. Vyhrávate v heslách av živote.

Pre nás ostatných je tu’je podvádzať. Vyhľadajte správcu hesiel, napríklad LastPass. LastPass si automaticky zapamätá a načíta dlhé, ťažko zapamätateľné heslá ako Q7PkgND6amgQ2nrx2Ej8vV a všetko, čo’Budem sa musieť obávať, že si pamätám jedno hlavné heslo a pravdepodobne podobné heslo pre svoj e-mail. Vždy, keď potrebujete zvoliť nové heslo, choďte na GRC, zvýraznite 22 znakov z 256-bitových reťazcov, ktoré generujú, a vložte ich do LastPass ako heslo, ktoré vy’znovu sa používa pre službu. Jednoduché, správne?

tam’je to posledná vec. LastPass stále vyžaduje hlavné heslo a chcete, aby to bolo niečo také’je to také zložité ako Q7PkgND6amgQ2nrx2Ej8vV, ale niečo, čo si človek môže skutočne zapamätať.

Riešením tohto problému je systém nazývaný DiceWare. Je to vlastne veľmi jednoduché a pracuje to na teórii, že na vygenerovanie hesla môžete použiť dlhý reťazec anglických slov, ktoré nie sú bláznovské, pokiaľ tieto slová nie sú’t v akomkoľvek rozumnom poradí. Napríklad, ak som vás požiadal, aby ste vybrali náhodnú frázu, mohli by ste myslieť, “TheQuickBrownFoxJumpsOverTheLazyDog.” Problém s tým je, že’je to dobre známa fráza v poradí, ktoré dáva zmysel, a počítač pravdepodobne nabije dosť rýchlo. DiceWare však vyžaduje, aby používatelia hádzali kockami (ako hovorí názov), aby vygenerovali päťciferné číslo, ktoré zodpovedá náhodnému slovu v anglickom slovníku. Urob to niekoľkokrát a vy’Budem mať zrozumiteľnú frázu’je stále neriešiteľná s veľkými počítačmi. Môžete to urobiť manuálne alebo online. Použitím online generátora DiceWare som vygeneroval prístupovú frázu “satyr wacke enrico iglo delia,” čo je pomerne ľahko zapamätateľné, ale aj napriek tomu bude stáť storočia, kým sa zlomí aj najrýchlejší počítač.

Takže tu to máte. Použite LastPass na zapamätanie si vašich hesiel, použite úryvky 256-bitových kľúčov pre vaše LastPass heslá a použite DiceWare heslo ako jediné bezpečné heslo, ktoré musíte skutočne mať v hlave. Ak použijete túto metódu, vaše heslo by malo byť zabezpečené proti väčšine moderných počítačov - nezabudnite však, že počítače sa zrýchlia.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me