Как да създадете перфектната парола


Вашите навици за парола са дефектни

Хората по правило не се справят добре с навиците, които не са се появили в средата на предците. Никъде в древната савана не беше необходимо да се запаметява списък с няколко глупости буквено-цифрови фрази с цел защита на неща като домашния им адрес, кредитната карта и номера на социалното осигуряване.


В действителност, когато са представени със сложността на проблема, повечето хора - 55% според проучване от Обединеното кралство - са склонни да искат да го разрешат възможно най-просто, избирайки една проста парола и я използват за повечето услуги, които те използвайте всеки ден. Дори от 2015 г. все още се използва най-разпространената парола “123456.”

Изборът на защитена парола, избирането на различна защитена парола за всяка услуга, която използвате, и запаметяването на целия списък може да изглежда като загуба на време. Всъщност вие’ще бъда прав. Изключително е възможно да изберете само една или две сигурни пароли, да ги използвате за всяка услуга, която притежавате, и да избягвате излагането на вашите данни на риск от кражба. За да направите това обаче, трябва да разберете някои основни понятия относно начина, по който паролите се използват, съхраняват и открадват.

Какво прави добра парола?

Случвало ли ви се е да гледате шпионски филм, в който героят, който е подходящ, се опитва да хакне лошия човек’компютър? Дори в уж “реалистичен” филми, оказва се, че паролата е някаква фраза, която’е обвързан лично за злодея. Може би’е името на първата им любов, домашен любимец или кодовото име на техния зловещ проект. Каквото и да е, героят винаги успява да отключи компютъра в рамките на три или четири предположения, обикновено точно в нула време.

Обвинявам този мързел на разказа за много лоши пароли, които хората в крайна сметка използват. Хората са склонни да мислят, “о, лошите никога няма да познаят името на моята златна рибка от кога бях на три.”

Сигнал за спойлер: те не’не трябва. За да познаят паролата си, хакерите обикновено прибягват до вариации на метод, известен като “груба сила.” Това е атака, подобна на това да се опитате да отгатнете всяка комбинация от комбинация, за да я отворите. Само с човешка скорост, дори и кратка парола може да отнеме завинаги да се предполага, използвайки този метод, но компютрите могат да го направят бързо.

Позволявам’Кажете, че вашата парола е “а б В Г Д Е.” Тази парола е ужасна по много причини, което аз’Ще стигна, но основната причина е, че липсва сложност. Той е дълъг само шест знака и използва само един случай. Позволявам’Кажете, че сте започнали да се опитвате да отгатнете тази парола, като започнете от комбинация като “аааааа,” отивам до “aaaaab,” “aaaabb,” и така нататък. Използвайки този метод, има точно 321 272 406 възможни предположения, които бихте могли да направите - това’s всяка възможна комбинация от шест малки букви. Сега над триста милиона догадки звучат като дявол от много. Тук’s нещо обаче: среден настолен компютър, използващ свободно достъпен софтуер за пробиване на пароли, може да направи сто милиона догадки в секунда (пробегът ви може да варира). Паролата с малки букви с шест букви ще издържи цели 3,2 секунди срещу едва компетентен хакер.

Всъщност те спечелиха’дори не трябва да отнеме толкова дълго. Друго погрешно схващане за хакерите е, че ако искат да разбият паролата ви, те’Ще вляза в екрана за вход на услугата, която искат да нарушат, и да започнат да гадаят. Това е още една причина, поради която хората избират прости пароли - те смятат, че дори ако паролата е лесно да се отгатне, автоматизираната система за вход ще блокира хакер, след като’направих няколко опита.

Това за съжаление не е така. Всички уебсайтове и други приложения съхраняват пароли в електронна таблица в тяхната база данни. Ако те’вършат работата си както трябва, сайтът спечели’не съхранявайте тези пароли в открит текст, а по-скоро във вид криптографски шифър, наречен хеш. Вероятно е спечелил хакер’не се опитвайте да откраднете паролата си директно от екрана за вход (освен ако не’използваш атака на човек в средата, но това’s различна статия). Вместо това те’ще откраднат този списък на хеширани пароли.

След като този списък на хешовете бъде откраднат, всеки, който’Избраната проста парола по същество е обречена направо от портата. Вижте, всеки хеш е създаден от специален алгоритъм, който реже и нарязва и нарязва и нарязва кубчета парола до него’s е не само неузнаваем, но и невъзможен за реверсивен инженер. Има само две неща, които не позволяват на хеш да бъде напълно сигурен.

  1. Възможно е да се определи кой алгоритъм е използван за създаване на хеш.
  2. Един и същ вход винаги ще произвежда един и същ хеширан изход, когато използвате същия алгоритъм.
  3. Вижте къде отива това?

Хакерите знаят, че много хора използват прости пароли. Тъй като те’Re smart, те вече знаят как изглежда изходните хеши на тези прости пароли във всеки основен алгоритъм на хеширане, който се използва. В какво’е известен като “предварително изчислена атака на речник,” те’Вече сме подготвили хешовете на онези прости пароли, така че след като откраднат списък, те’Ще мога да изложа не само теб, но и потенциално хиляди други хора, които са имали убежище’не чета тази статия. Какво’още повече, принципите зад тази атака означават, че ...

Дори “Комплекс” Пароли Арен’t Особено безопасен

Така че много хора започват да получават съобщението. Може би вместо “бейзбол,” често използвана несигурна парола’Решихме да използваме парола, която включва числа, както главни, така и малки и малки букви, както и някои специални символи за зареждане: “1B4seba11!” например. Може да мислите, че последната парола е по-безопасна, но за разлика от самия бейзбол, концепцията за безопасност е само илюзия.

Има няколко удара срещу “1B4seba11!” по отношение на сигурността му като парола. Изглежда страхотно, нали’Т? Използвайки набора от критерии, които удовлетворява - над осем знака, използва както главни, така и малки букви, използва цифри и поне един специален знак - има над един квадрилион възможни комбинации.

Нашият хипотетичен дескриптор на пароли за настолни компютри може да прави сто милиона догадки в секунда, така че познаването на паролата би отнело около десет милиона секунди или 116 дни. Че’s дълго време, но не супер дълго. Ако някой зле искаше каквато и паролата ви да защитава - например банковата сметка, съдържаща всичките ви пенсионни спестявания - четири месеца наистина не е така’t дълго време да чакам.

Там’s повече, обаче. Вижте, ние’отново ако приемем, че който се опитва да ви разбие паролата, използва обикновен настолен компютър. Ако те’сериозно, обаче, това’не е рядкост да намерите хакери, които използват хардуер, създаден по поръчка.

То’Наскоро беше показано, че висококачествените графични процесори (графични процесорни единици) са по-добри в извършването на вид операция за разбиване на паролата от обикновените процесори. Висококачественият графичен процесор струва около 500 долара, а персонализиран платформа може да включва до двадесет и пет графични процесора, всички работят паралелно. Резултатът обаче е машина, която струва по-малко от прилично използваната кола - и може да пробие умопомрачителните 350 милиарда пароли в секунда. Че’е достатъчно, за да вземете сложната си осем символна парола и да я разкъсате на парчета след шест минути.

Там’s Последна причина, че кратките сложни пароли са доста по пътя на Додото по отношение на сигурността. Позволявам’s се върнем към предишните примери за хардуер за пробиване на парола. Между другото, това е частта, в която трябва да призная, че ви излъгах малко.

Вижте, тази оценка на 100 милиона догадки в минута за десктоп и 350 милиарда за персонализиран хардуер, важи само ако вашата парола се смеси с по-стар алгоритъм. дон’нямате идеи, които вие’в безопасност сега - това’s е доста често срещано за компаниите да използват хеширащи алгоритми като MD5 или SHA-1, които и двете са остарели от началото на 2000 г.’с. Един обикновен модерен десктоп ще яде MD5 за закуска. Ако хакерите се опитат да насилват с модерен алгоритъм като SHA-512, обаче дори и най-модерната машина ще бъде забавена до по-малко от половин милион предположения в секунда. Че’е достатъчно, за да запази паролата си в продължение на години, на теория.

На практика обаче вашата парола ще ви излезе много по-рано от това. Защо? Всичко се връща към метода на речника.

Вижте, хората са тъжно предвидими. Позволявам’s се върнете към примера на 1B4seba11! Дори и сложността, добавена от допълнителните случаи, цифри и специални знаци, това ще бъде лесна парола за компютър, който да познае.

На първо място, ако искате, паролата е представена по предсказуем начин’отново си човек. За повечето хора има смисъл да се поставят специални знаци в края на думата, така че пробивачът на парола ще даде приоритет на тестовите комбинации, които имат специални символи на това място. Второ, заместване на числото четири на буквата a и замяна на I’s и L’s с номер едно е доста често срещана практика, така че крекинг програмата ще търси комбинации с много единици и четворки в тях. Факторът, който прокълва тази парола напълно, е това тя се основава на реална дума от речника. Не само, че е истинска дума от речника, тя’се основава на истинска дума, която хората използват за паролите си доста често, като използват изключително често срещани модулации. Всеки добре проектиран кракер за парола вероятно има точната фраза “1B4seba11!” като едно от първите няколко милиона предположения, които прави - и същото важи за всяка дума от речника.

Сега на “Комплекс” Пароли Дон’t Работете, какво е останало?

Използването на обикновена парола може също да е безсмислено, а дори и наистина сложни пароли са нещо като бъркотия. Това произтича от факта, че хората са доста предсказуеми - използваме пароли, които включват думи, които са в речника, следваме правилата на граматиката и правописа и съдържат предвидими модели на букви и цифри. Какво правим по този въпрос? Да се ​​откажем ли и нека хакерите да спечелят?

Не! Обещах в началото на тази статия, че вие’ще бъде в състояние да защити всичките си данни, като си спомня само една или две пароли и от golly I’не съм лъжец.

Тук’s трик: Вашите пароли трябва да включват случайност.

Ако вашата парола е дълга над 20 знака и не съдържа предвидими буквено-цифрови последователности или фрази, дори нещо като суперкомпютърен суперкластър ще отнеме векове, за да го познаете.

Тук’е пример. Отидох на уебсайта на GRC и взех избор от 22 знака (това’е всичко, от което се нуждаете) от произволно генериран 256-битов низ. Този низ тук: Q7PkgND6amgQ2nrx2Ej8vV

След това отидох до любимата си проверка на пароли, zxcvbn, която преценява колко време ще отнеме разрушителите на пароли, за да разбият паролата ви.

паролипароли

Както можете да видите, всеки, който се опита да наруши тази парола, дори да използва много бърз компютър, ще трябва да е готов да изчака много, много дълго време.

Разбира се, там’е голям очевиден проблем с тази парола: всяка парола, която е невъзможна за счупване на компютър, също е невъзможно човек да си спомни. Искам да кажа, ако е възможно да запомните множество пароли с висока ентропия като Q7PkgND6amgQ2nrx2Ej8vV за всяка услуга, която използвате, спрете да четете тази статия веднага. Вие печелите в паролите и в живота.

За останалите, там’е измама. Намерете мениджър на пароли, като LastPass. LastPass автоматично ще запомни и извлече дълги, трудно запомнящи се пароли като Q7PkgND6amgQ2nrx2Ej8vV и всички вие’Ще трябва да се притеснявам за това да запомните една главна парола плюс вероятно подобна парола за вашия имейл. Всеки път, когато трябва да изберете нова парола, отидете на GRC, маркирайте 22 знака от 256-битовите низове, които генерират, и ги поставете в LastPass като паролата, която’използвате отново за услугата. Просто, нали?

Там’е едно последно нещо. LastPass все още изисква главна парола и искате това да е нещо такова’е толкова сложно, колкото Q7PkgND6amgQ2nrx2Ej8vV, но нещо, което човек всъщност може да запомни.

Решението на този проблем е система, наречена DiceWare. Това всъщност е много просто и работи на теорията, че можете да използвате дълъг низ от нехитрични английски думи, за да генерирате парола - стига тези думи да не са’t във всеки разумен ред. Например, ако ви помолих да изберете произволна фраза, може да се сетите, “TheQuickBrownFoxJumpsOverTheLazyDog.” Проблемът с това е, че тя’s добре известна фраза в ред, който има смисъл, и компютърът вероятно ще се захване толкова бързо. DiceWare обаче изисква от потребителите да хвърлят зарове (както казва името), за да генерират петцифрено число, което съответства на произволна дума в английския речник. Направете това няколко пъти и вие’Ще имам разбираема фраза, която’е все още неразрешим с големи компютри. Можете да направите това ръчно или онлайн. Използвайки онлайн генератора DiceWare тук, генерирах паролата “satyr wacke enrico igloo delia,” което е сравнително лесно да се запомни, но все пак ще отнеме векове, за да се счупи дори и най-бързият компютър.

И така, там го имате. Използвайте LastPass, за да запомните паролите си, използвайте фрагменти от 256-битови ключове за паролите си LastPass и използвайте парола DiceWare като единствена сигурна парола, която всъщност трябва да държите в главата си. Използвайки този метод, вашата парола трябва да бъде защитена срещу повечето съвременни компютри, но само не забравяйте, че компютрите ще стават само по-бързи.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me