Kako ustvariti popolno geslo


Vaše navade gesla so napačne

Ljudje se praviloma ne spopadajo z navadami, ki se niso pojavile v predniškem okolju. Nikjer v starodavni savani ni bilo treba zapomniti seznama več nesmiselnih alfanumeričnih stavkov, da bi zaščitili stvari, kot so njihov domači naslov, kreditna kartica in številka socialnega zavarovanja.


V resnici je večina ljudi, 55% po raziskavi iz Združenega kraljestva, resnično želela rešiti to težavo, tako da izbere eno preprosto geslo in ga uporabi za večino storitev, ki jih imajo uporabljati vsak dan. Tudi od leta 2015 je še vedno najpogostejše geslo v uporabi “123456.”

Izbira varnega gesla, izbira drugega varnega gesla za vsako storitev, ki jo uporabljate, in zapomnitev celotnega seznama se morda zdi izguba časa. Pravzaprav ti’bom imel prav. Izjemno je mogoče izbrati samo eno ali dve varni gesli, ju uporabiti za vsako lastno storitev in se izogniti izpostavljanju svojih podatkov tveganju kraje. Če želite to narediti, pa morate razumeti nekaj temeljnih konceptov v zvezi s tem, kako se gesla uporabljajo, shranjujejo in kradejo.

Kaj je geslo dobro?

Ste že kdaj gledali vohunski film, v katerem se pravi junak poskuša loviti negativca’je računalnik? Tudi v domnevno “realističen” filmov, se izkaže, da je geslo neki stavek, ki’je osebno vezan na negativca. Mogoče’ime njihove prve ljubezni, otroškega ljubljenčka ali kodno ime njunega zlovešča projekta. Kakor koli že, junak vedno uspe odkleniti računalnik v treh ali štirih ugibanjih, ponavadi ravno ob pravem času.

To pripovedno lenobo krivim za veliko slabih gesel, ki jih ljudje na koncu uporabljajo. Ljudje ponavadi razmišljajo, “oh, slabi fantje ne bodo nikoli uganili imena moje zlate ribice, ko sem bil star tri leta.”

Opozorilo o spojlerju: ne’ni treba. Da bi ugibali geslo, se hekerji navadno zatekajo k različicam metode, znane kot “silovita sila.” To je napad, podoben poskusu ugibanja vsake kombinacije zaklepanja s kombinacijo, da se odpre. Tudi s človeško hitrostjo lahko s pomočjo te metode za vedno ugibamo celo kratko geslo, vendar računalniki to zmorejo hitro.

Pustiti’s pravijo, da je vaše geslo “abcdef.” To geslo je grozno iz več razlogov, kar sem tudi jaz’Dosegel bom, toda glavni razlog je, da je pomanjkanje zapletenosti. Dolga je le šest znakov in uporablja samo en primer. Pustiti’s recimo, da ste začeli ugibati to geslo, začenši s kombinacijo, kot je “aaaaaa,” gredo na “aaaaab,” “aaaabb,” in tako naprej. S to metodo je mogoče natančno ugotoviti 321.272.406 ugibanj’s vsaka možna kombinacija šestih malih črk. Zdaj več kot tristo milijonov ugibanj zveni kot prekleto veliko. Tukaj’S tem, čeprav je povprečen namizni računalnik, ki uporablja prosto dostopno programsko opremo za lomljenje gesla sto milijonov ugibanj na sekundo (vaša kilometraža se lahko razlikuje). Šestčrkovno geslo z malimi črkami bo trajalo vsega 3,2 sekunde proti komaj kompetentnemu hekerju.

Pravzaprav so zmagali’ne bi bilo treba trajati tako dolgo. Druga napačna predstava o hekerjih je, da če želijo polomiti vaše geslo, jih’Pojdite na prijavni zaslon storitve, ki jo želijo prekršiti, in začeli ugibati. To je še en razlog, zakaj si ljudje izberejo preprosta gesla - menijo, da tudi če je geslo enostavno uganiti, da bo samodejni sistem za prijavo preklical heker’sem nekaj poskusil.

To žal ni tako. Vsa spletna mesta in druge aplikacije shranijo gesla na preglednico v svoji bazi podatkov. Če oni’ko delajo svoje delo pravilno, je mesto zmagalo’t gesla shranite v preprost tekst, ampak v kriptografsko šifro, imenovano hash. Verjetno je zmagal heker’t poskusite ukrasti geslo neposredno z prijavnega zaslona (razen če ni’uporabljate napad človeka v sredini, vendar to’s drugačen članek). Namesto njih’ukradli boste seznam šifriranih gesel.

Ko je bil seznam ukradenih ukraden, kdorkoli’Izbrano preprosto geslo je v bistvu obsojeno prav pred vrati. Glej, vsak hash je ustvarjen s posebnim algoritmom, ki rezanje in narezane kocke ter reže in kocka geslo, dokler ga ne’je ne samo neprepoznaven, ampak ga je inženirju za vzvratno vožnjo nemogoče. Obstajata le dve stvari, ki preprečujeta, da bi bil heš popolnoma varen.

  1. Ugotoviti je mogoče, kateri algoritem je bil uporabljen za ustvarjanje hash-a.
  2. Pri istem algoritmu bo isti vhod vedno ustvaril enak izhodni rezultat.
  3. Poglejte, kam to gre?

Hekerji vedo, da veliko ljudi uporablja preprosta gesla. Ker oni’Če ste pametni, že vedo, kako izgledajo izhodne mešanice teh preprostih gesel v vsakem večjem uporabljenem algoritmu mešanja. V kakšnem’s znan kot “vnaprej izračunani slovarski napad,” oni’Sestavili bomo preprosta gesla, tako da jih enkrat ukradejo’Izpostavil bom lahko ne le vas, ampak tudi na tisoče drugih ljudi, ki jih niste imeli’ne berem tega članka. Kaj’Še več, načela tega napada pomenijo, da ...

Tudi “Kompleksno” Gesla Aren’t Še posebej varno

Veliko ljudi začenja sporočilo. Mogoče namesto “baseball,” pogosto uporabljeno negotovo geslo’Odločili smo se, da bomo uporabili geslo, ki vsebuje številke, velike in male črke ter nekaj posebnih znakov za zagon: “1B4seba11!” na primer Morda mislite, da je slednje geslo varnejše, toda koncept varnosti je za razliko od samega baseballa samo iluzija.

Nekaj ​​stavk proti “1B4seba11!” v smislu varnosti kot gesla. Zdi se mi super, ne’ne? Z naborom kriterijev, ki jih izpolnjuje - dolga več kot osem znakov, uporablja velike in male črke, uporablja številke in vsaj en poseben znak - obstaja več en kvadratni bilion možne kombinacije.

Naš hipotetični namizni prebijalec gesla lahko naredi sto milijonov ugibanj na sekundo, tako da bi ugibanje gesla trajalo približno deset milijonov sekund ali 116 dni. To’s dolgo časa, vendar ne zelo dolgo. Če je nekdo slabo hotel, karkoli je ščitilo vaše geslo - na primer na bančnem računu, ki vsebuje vse vaše pokojninske prihranke - štiri mesece res ni’t dolgo čakati.

Tam’s več, pa vseeno. Glej, mi’Če predpostavimo, da kdor poskuša zlomiti geslo, uporablja navadni namizni računalnik. Če oni’resno, pa vendar’ni redko najti hekerje, ki uporabljajo vgrajeno strojno opremo.

To je’Pred kratkim je bilo razvidno, da so vrhunski GPU-ji (grafične procesne enote) boljši pri delu z ločitvijo gesla kot običajni procesorji. Visokokakovostni GPU stane približno 500 dolarjev, po meri pa lahko vgradi kar petindvajset GPU-jev, ki vsi delujejo vzporedno. Rezultat je stroj, ki stane manj kot spodobno rabljen avtomobil - in lahko zruši domiselnih 350 milijard gesel na sekundo. To’s, da vzamete svoje zapleteno osem-znakovno geslo in ga v šestih minutah raztrgate na drobce.

Tam’Še zadnji razlog, da so kratka zapletena gesla z vidika varnosti precej pot dodo. Pustiti’s vrnimo se na prejšnje primere strojne opreme za razbijanje gesla. Mimogrede, to je del, kjer moram priznati, da sem vam malo lagal.

Glej, ta ocena 100 milijonov ugibanj na namizje in 350 milijard za strojno opremo po meri velja le, če se vaše geslo meša s starejšim algoritmom. Don’ne dobiš nobenih idej, ki jih ti’zdaj ste varni - to’s, da podjetja pogosto uporabljajo algoritme hashinga, kot sta MD5 ali SHA-1, ki sta zastarela od začetka leta 2000’s. Navadna moderna namiznica bo za zajtrk pojedla MD5. Če bodo hekerji poskušali izsiljevati sodobni algoritem, kot je SHA-512, pa bo tudi najbolj napreden stroj upočasnjen na manj kot pol milijona ugibanj na sekundo. To’s dovolj, da geslo teoretično držimo dolga leta.

V praksi pa se vaše geslo ujame veliko prej. Zakaj? Vse se vrne na način slovarja.

Glej, ljudi je na žalost predvidljivo. Pustiti’s vrnimo se na primer 1B4seba11! Tudi zaradi zapletenosti, ki so ga dodali dodatni primeri, številke in posebni znaki, bo to enostavno geslo, da računalnik ugiba..

Najprej je geslo postavljeno na predvidljiv način’si človek. Za večino ljudi je smiselno, da se na koncu besede postavijo posebni znaki, zato bo orodje za odpravljanje gesla dalo prednost preizkušanju kombinacij, ki imajo na tej lokaciji posebne znake. Drugič, zamenjati črko a s črko a in nadomestiti I’s in L’s številka ena je precej pogosta praksa, zato bo program krekiranja iskal kombinacije z veliko enotami in štirimi v njih. Vendar je dejavnik, ki to geslo v celoti prekleto, to temelji na resnični besedi iz slovarja. Ne le, da je prava beseda iz slovarja, mar ne’temelji na resnični besedi, ki jo ljudje pogosto uporabljajo za gesla, pri čemer uporabljajo zelo pogoste modulacije. Vsak dobro zasnovan razbijalec gesla ima verjetno točen stavek “1B4seba11!” kot eno prvih nekaj milijonov ugibanj - in enako velja za besedo v slovarju.

Zdaj pa “Kompleksno” Gesla Don’t Delaj, kaj drugega je levo?

Uporaba preprostega gesla je lahko nesmiselna, celo resnično zapletena gesla so nekakšna zmešnjava. To izhaja iz dejstva, da so ljudje dokaj predvidljivi - uporabljamo gesla, ki vključujejo besede v slovarju, upoštevamo slovnična pravila in črkovanje ter vsebujejo predvidljive vzorce črk in številk. Kaj storimo glede tega? Ali odnehamo in pustimo hekerjem, da zmagajo?

Ne! Na začetku tega članka sem obljubil, da vi’d lahko zavarujem vse svoje podatke tako, da si zapomni samo eno ali dve gesli in Golly I’nisem lažnivec.

Tukaj’s trik: Vaša gesla morajo vsebovati naključnost.

Če je vaše geslo dolgo več kot 20 znakov in ne vsebuje predvidljivih alfanumeričnih zaporedij ali fraziranja, bo celo nekaj podobnega superračunalniškemu presežku trajalo stoletja, da ugibamo.

Tukaj’je primer. Odšel sem na spletno stran GRC in opravil izbor z 22 znaki (to’s vse, kar potrebujete) iz naključno ustvarjenega 256-bitnega niza. Ta niz tukaj: Q7PkgND6amgQ2nrx2Ej8vV

Nato sem se odpravil k svojemu najljubšemu preveritelju gesla, zxcvbn, ki oceni, koliko časa bi trajalo, da razbiralci gesla razbijejo vaše geslo.

geslagesla

Kot lahko vidite, bi moral vsak, ki poskuša zlomiti to geslo, tudi z zelo hitrim računalnikom, čakati zelo, zelo dolgo.

Seveda, tam’je velik očiten problem s tem geslom: vsaka gesla, ki jih računalnik ne more zlomiti, se tudi človek ne more spomniti. Mislim, če si lahko za vsako storitev, ki jo uporabljate, zapomnite več gesel z visoko entropijo, kot je Q7PkgND6amgQ2nrx2Ej8vV, takoj prekinite ta članek. Zmagaš pri geslih in pri življenju.

Za ostale pa tam’je goljuf. Poiščite upravitelja gesel, kot je LastPass. LastPass si bo samodejno zapomnil in prejel dolga, težko zapomljiva gesla, kot so Q7PkgND6amgQ2nrx2Ej8vV, in vsi vi’Moral vas bo skrbeti, če si zapomnite eno samo geslo in verjetno podobno geslo za svojo e-pošto. Vsakič, ko morate izbrati novo geslo, pojdite na GRC, označite 22 znakov iz 256-bitnih nizov, ki jih ustvarijo, in jih vnesite v LastPass kot geslo, ki ga’ponovno uporabljate za storitev. Enostavno, kajne?

Tam’še zadnja stvar. LastPass še vedno zahteva glavno geslo in želite, da je to nekaj takega’s tako zapleten kot Q7PkgND6amgQ2nrx2Ej8vV, vendar nekaj, kar človek dejansko lahko zapomni.

Rešitev tega problema je sistem, imenovan DiceWare. To je pravzaprav zelo preprosto, in deluje na teoriji, da lahko za ustvarjanje gesla uporabite dolg niz negibskih angleških besed, dokler te besede niso’t v katerem koli razumnem vrstnem redu. Na primer, če bi vas prosil, da izberete naključno besedno zvezo, se boste morda domislili, “TheQuickBrownFoxJumpsOverTheLazyDog.” Problem pri tem je, da je’je dobro znana fraza v vrstnem redu, ki je smiseln, in računalnik bo najbrž tako hitro zagnal. DiceWare pa od uporabnikov zahteva, da kockajo kocke (tako kot pove ime), da ustvarijo petmestno številko, ki ustreza naključni besedi v angleškem slovarju. Naredite to nekajkrat in vi’Imela bom razumljivo besedno zvezo, ki’je še vedno nerešljivo z velikimi računalniki. To lahko storite ročno ali prek spleta. S pomočjo spletnega generatorja DiceWare sem ustvaril geslo “satyr wacke enrico igloo delia,” kar je relativno enostavno zapomniti, vendar bo še vedno trajalo stoletja, da se bo zlomil tudi najhitrejši računalnik.

Torej, tam ga imate. LastPass uporabite za spomin na gesla, uporabite odlomke 256-bitnih tipk za gesla LastPass in uporabite geslo DiceWare kot edino varno geslo, ki ga morate dejansko imeti v glavi. S to metodo morate geslo zaščititi pred večino sodobnih računalnikov, vendar ne pozabite, da bodo računalniki le hitreje postali.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me