Как создать идеальный пароль


Ваш пароль неверный

Люди, как правило, плохо справляются с привычками, которые не возникли в исконной среде. Нигде в древней саванне не было необходимости запоминать список нескольких бессмысленных буквенно-цифровых фраз с целью защиты таких вещей, как их домашний адрес, кредитная карта и номер социального страхования..


Фактически, когда возникает сложность проблемы, большинство людей - 55%, согласно исследованию из Великобритании - стремятся решить ее как можно проще, выбрав один простой пароль и используя его для большинства услуг, которые они использовать каждый день. Даже по состоянию на 2015 год самый распространенный используемый пароль до сих пор “123456.”

Выбор безопасного пароля, выбор другого безопасного пароля для каждой службы, которую вы используете, а затем запоминание всего списка может показаться пустой тратой времени. На самом деле, вы’буду прав. Крайне возможно выбрать только один или два безопасных пароля, использовать их для каждой вашей службы и избежать риска кражи ваших данных. Чтобы сделать это, однако, вам необходимо понять некоторые фундаментальные понятия, касающиеся того, как пароли используются, хранятся и крадутся.

Что делает пароль хорошим?

Вы когда-нибудь смотрели шпионский фильм, в котором герой в подходящем костюме пытается взломать плохого парня?’компьютер? Даже в якобы “реалистический” фильмы, получается, что пароль это какая-то фраза, которая’привязан к злодею лично. Возможно это’s имя их первой любви, питомца детства или кодовое имя их зловещего проекта. Как бы то ни было, герою всегда удается разблокировать компьютер в течение трех или четырех догадок, обычно в самый последний момент..

Я обвиняю эту лень повествования во многих плохих паролях, которые люди в конечном итоге используют. Люди склонны думать, “о, плохие парни никогда не будут угадывать имя моей золотой рыбки, когда мне было три года.”

Спойлер оповещения: они надевают’Т надо. Чтобы угадать ваш пароль, хакеры обычно прибегают к вариациям метода, известного как “грубая сила.” Это атака, похожая на попытку угадать каждую комбинацию кодового замка, чтобы открыть его. На человеческих скоростях даже короткий пароль может угадать, используя этот метод, но компьютеры могут сделать это быстро.

Позволять’говорят, что ваш пароль “ABCDEF.” Этот пароль ужасен по многим причинам, которые я’Я доберусь до, но основная причина в том, что не хватает сложности. Длина всего шесть символов и используется только один регистр. Позволять’скажем, вы начали пытаться угадать этот пароль, начиная с такой комбинации, как “аааааа,” собирается “aaaaab,” “aaaabb,” и так далее. Используя этот метод, вы можете сделать ровно 321 272 406 предположений, которые’s каждая возможная комбинация из шести строчных букв. Теперь более трехсот миллионов догадок звучит как чертовски много. Вот’Дело в том, что обычный настольный компьютер, использующий свободно доступное программное обеспечение для взлома паролей, может сто миллионов догадок в секунду (ваш пробег может отличаться). Строчный пароль из шести букв будет длиться все 3,2 секунды против едва компетентного хакера.

На самом деле они выиграли’даже не нужно так долго Другое неправильное представление о хакерах заключается в том, что если они хотят взломать ваш пароль, они’Я зайду в экран входа службы, которую они хотят взломать, и начну строить догадки. Это еще одна причина, по которой люди выбирают простые пароли - они думают, что даже если пароль легко угадать, система автоматического входа заблокирует хакера после того, как’мы сделали несколько попыток.

К сожалению, это не так. Все веб-сайты и другие приложения хранят пароли в электронной таблице в своей базе данных. Если они’делаю свою работу правильно, сайт выиграл’хранить эти пароли в незашифрованном виде, а не в криптографическом шифре, называемом хешем. Хакер наверное победил’не пытайтесь украсть ваш пароль прямо с экрана входа в систему (если они’использовать атаку "человек посередине", но это’Это другая статья). Вместо этого они’собираемся украсть этот список хешированных паролей.

Как только этот список хэшей был украден, любой, кто’Выбранный простой пароль в основном обречен прямо из ворот. Видите, каждый хеш создается с помощью специального алгоритма, который нарезает кубиками, разрезает и кубирует пароль до тех пор, пока’не только неузнаваемо, но и невозможно перепроектировать. Есть только две вещи, которые мешают хешу быть абсолютно безопасным.

  1. Можно определить, какой алгоритм использовался для создания хэша.
  2. Один и тот же вход всегда будет давать один и тот же хешированный вывод, если вы используете один и тот же алгоритм.
  3. Посмотрите, куда это идет?

Хакеры знают, что многие люди используют простые пароли. С тех пор они’Они умны, они уже знают, как выглядят выходные хэши этих простых паролей в каждом используемом алгоритме хеширования. В чем’известный как “предварительно вычисленная атака по словарю,” Oни’Я уже собрал хеш-коды этих простых паролей, так что, как только они украдут список, они’сможет разоблачить не только вас, но и потенциально тысячи других людей, которые’читать эту статью какая’Более того, принципы этой атаки означают, что ...

Четный “Сложный” Пароли Арен’t особенно безопасно

Итак, многие люди начинают получать сообщение. Возможно вместо “бейсбол,” часто используемый небезопасный пароль, вы’Мы решили использовать пароль, который включает в себя цифры, прописные и строчные буквы, а также некоторые специальные символы для загрузки: “1B4seba11!” например. Вы можете подумать, что последний пароль безопаснее, но, в отличие от самого бейсбола, концепция безопасности - всего лишь иллюзия.

Есть несколько ударов по “1B4seba11!” с точки зрения его безопасности в качестве пароля. Кажется, это здорово, не правда ли?’не так ли? Используя набор критериев, которым он удовлетворяет - более восьми символов в длину, используются как заглавные, так и строчные буквы, используются цифры и хотя бы один специальный символ - один квадриллион возможные комбинации.

Наш гипотетический взломщик паролей на настольном компьютере может делать сто миллионов предположений в секунду, поэтому угадывание пароля займет около десяти миллионов секунд или 116 дней. Тот’долго, но не супер долго. Если кто-то очень хотел получить то, что защищал ваш пароль - например, банковский счет, содержащий все ваши пенсионные сбережения - четыре месяца действительно не годятся’долго ждать.

Там’Более того, однако. Видим, мы’Предполагается, что тот, кто пытается взломать ваш пароль, использует обычный настольный компьютер. Если они’серьезно, однако, это’Нередко можно найти хакеров, использующих специализированное оборудование.

Это’Недавно было показано, что высокопроизводительные графические процессоры (графические процессоры) лучше выполняют такие операции по взлому паролей, чем обычные процессоры. Высокопроизводительный GPU стоит около 500 долларов, а в специализированную установку может быть включено до 25 графических процессоров, все они работают параллельно. В результате получается машина, которая стоит меньше, чем приличный подержанный автомобиль, и может взломать до 350 миллиардов паролей в секунду. Тот’достаточно взять ваш сложный восьмисимвольный пароль и разорвать его на куски за шесть минут.

Там’Одна из последних причин того, что короткие сложные пароли в значительной степени прошли путь безопасности в плане безопасности. Позволять’Вернемся к предыдущим примерам оборудования для взлома паролей. Это та часть, кстати, где я должен признать, что я немного соврал вам.

Видите, эта оценка в 100 миллионов предположений в минуту для настольного компьютера и 350 миллиардов для нестандартного оборудования сохраняется только в том случае, если ваш пароль был хеширован старым алгоритмом. дон’не понимаю, что вы’теперь в безопасности’Для компаний довольно распространено использование алгоритмов хеширования, таких как MD5 или SHA-1, которые устарели с начала 2000 года.’s. Обычный современный рабочий стол съест MD5 на завтрак. Если хакеры попытаются перебором современного алгоритма, такого как SHA-512, то даже самая продвинутая машина будет замедлена до менее чем полумиллиона догадок в секунду. Тот’достаточно, чтобы хранить ваш пароль в безопасности в течение многих лет, теоретически.

На практике, однако, ваш пароль будет обнаружен гораздо раньше. Почему? Все возвращается к методу словаря.

Видите, люди печально предсказуемы. Позволять’Вернемся к примеру 1B4seba11! Даже с учетом сложности, добавляемой дополнительными падежами, числами и специальными символами, этот компьютер станет простым паролем для догадки..

Прежде всего, пароль выложен в предсказуемой форме, если вы’человек. Для большинства людей имеет смысл ставить специальные символы в конце слова, поэтому взломщик паролей будет определять приоритеты при тестировании комбинаций, в которых есть специальные символы в этом месте. Во-вторых, заменив число четыре на букву а и заменив’с и л’с номером один - довольно распространенная практика, поэтому программа взлома будет искать комбинации с большим количеством единиц и четверок в них. Однако фактор, который полностью проклинает этот пароль, заключается в том, что это основано на реальном словарном словаре. Это не только настоящее слово из словаря, это’основаны на реальном слове, которое люди часто используют для своих паролей, используя чрезвычайно распространенные модуляции. Любой хорошо разработанный взломщик паролей, вероятно, имеет точную фразу “1B4seba11!” как один из первых миллионов предположений, которые он делает - и то же самое относится к любому словарному слову.

Теперь “Сложный” Пароли дон’Работа, что еще осталось?

Использование простого пароля также может быть бессмысленным, и даже действительно сложные пароли являются беспорядком. Это связано с тем, что люди достаточно предсказуемы - мы используем пароли, которые включают слова, которые есть в словаре, следуют правилам грамматики и правописания и содержат предсказуемые шаблоны букв и цифр. Что мы делаем с этим? Мы сдаемся и позволим хакерам победить?

Нет! Я обещал в начале этой статьи, что вы’Я смог бы защитить все ваши данные, запомнив один или два пароля, и, черт возьми, я’я не лжец.

Вот’Трюк: ваши пароли должны включать беспорядочность.

Если ваш пароль длиной более 20 символов и не содержит никаких предсказуемых буквенно-цифровых последовательностей или фраз, даже что-то вроде суперкомпьютерного суперскопления может занять века, чтобы его угадать.

Вот’Это пример. Я пошел на веб-сайт GRC и сделал выбор из 22 символов (что’все, что вам нужно) из случайно сгенерированной 256-битной строки. Эта строка прямо здесь: Q7PkgND6amgQ2nrx2Ej8vV

Затем я отправился в свою любимую программу проверки паролей, zxcvbn, которая оценивает, сколько времени потребуется различным взломщикам для взлома вашего пароля..

паролипароли

Как вы видите, любой, кто пытается взломать этот пароль, даже используя очень быстрый компьютер, должен быть готов ждать очень и очень долго.

Конечно, там’Существует большая очевидная проблема с этим паролем: любой пароль, который невозможно взломать, также невозможно запомнить человеку. Я имею в виду, что если вы можете запомнить несколько паролей с высокой энтропией, таких как Q7PkgND6amgQ2nrx2Ej8vV, для каждого используемого вами сервиса, прекратите читать эту статью прямо сейчас. Вы выигрываете как по паролям, так и по жизни.

Для остальных из нас’Это обман. Найдите менеджер паролей, такой как LastPass. LastPass автоматически запоминает и извлекает длинные, трудно запоминающиеся пароли, такие как Q7PkgND6amgQ2nrx2Ej8vV, и все, что вам нужно’Вам придется беспокоиться о запоминании одного мастер-пароля и, возможно, аналогичного пароля для вашей электронной почты. Каждый раз, когда вам нужно выбрать новый пароль, перейдите в GRC, выделите 22 символа из генерируемых ими 256-битных строк и поместите их в LastPass в качестве пароля, который вы’использовать для сервиса. Просто, верно?

Там’И последнее. LastPass по-прежнему требует мастер-пароль, и вы хотите, чтобы это было то, что’такой сложный, как Q7PkgND6amgQ2nrx2Ej8vV, но что-то, что человек действительно может запомнить.

Решением этой проблемы является система под названием DiceWare. Это на самом деле очень просто, и работает на теории, что вы можете использовать длинную строку неабиберийских английских слов для генерации пароля - до тех пор, пока эти слова не’т в любом разумном порядке. Например, если бы я попросил вас выбрать случайную фразу, вы могли бы подумать о, “Быстрая коричневая лиса прыгает через ленивую собаку.” Проблема в том, что это’Это известная фраза в порядке, который имеет смысл, и компьютер, вероятно, поймет это довольно быстро. DiceWare, однако, требует от пользователей бросать кости (как следует из названия), чтобы сгенерировать пятизначное число, соответствующее случайному слову в словаре английского языка. Сделайте это несколько раз, и вы’будет иметь понятную фразу, которая’все еще неразрешимо с большими компьютерами. Вы можете сделать это вручную или онлайн. Используя онлайн генератор DiceWare, я сгенерировал фразу-пароль “Сатир Ваке Энрико Иглу Делия,” что относительно легко запомнить, но все равно понадобится столетия, чтобы сломать даже самый быстрый компьютер.

Итак, вот оно. Используйте LastPass для запоминания ваших паролей, используйте фрагменты 256-битных ключей для ваших паролей LastPass и используйте пароль DiceWare в качестве единственного безопасного пароля, который вы фактически должны хранить в своей голове. Используя этот метод, ваш пароль должен быть защищен от большинства современных компьютеров, но просто помните, что компьютеры будут только быстрее.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me