Jak stworzyć idealne hasło


Twoje nawyki dotyczące hasła są wadliwe

Ludzie z reguły nie radzą sobie dobrze z nawykami, które nie pojawiły się w środowisku przodków. Nigdzie w starożytnej sawannie nie trzeba było zapamiętywać kilku nonsensownych fraz alfanumerycznych w celu ochrony takich rzeczy, jak adres domowy, karta kredytowa i numer ubezpieczenia społecznego.


W rzeczywistości, gdy przedstawiono złożoność problemu, większość ludzi - według badania przeprowadzonego w Wielkiej Brytanii - 55% - zwykle chce go rozwiązać tak prosto, jak to możliwe, wybierając jedno proste hasło i używając go do większości usług, które używaj codziennie. Nawet od 2015 roku najczęściej używane hasło jest nadal używane “123456.”

Wybór bezpiecznego hasła, wybranie innego bezpiecznego hasła dla każdej usługi, z której korzystasz, a następnie zapamiętanie całej listy może wydawać się stratą czasu. Właściwie to ty’mieć rację. Bardzo możliwe jest wybranie tylko jednego lub dwóch bezpiecznych haseł, używanie ich do każdej posiadanej usługi i unikanie narażania danych na ryzyko kradzieży. Aby to zrobić, musisz jednak zrozumieć podstawowe pojęcia dotyczące używania, przechowywania i kradzieży haseł.

Co sprawia, że ​​hasło jest dobre?

Czy widziałeś kiedyś film szpiegowski, w którym bohater w garniturze próbuje zhakować złego faceta?’s komputer? Nawet w rzekomo “realistyczny” filmy, okazuje się, że hasło to jakaś fraza’związany osobiście ze złoczyńcą. Może to’to imię ich pierwszej miłości, zwierzęcia z dzieciństwa lub kryptonim ich złowrogiego projektu. Cokolwiek to jest, bohaterowi zawsze udaje się odblokować komputer w ciągu trzech lub czterech domysłów, zwykle w mgnieniu oka.

Obwiniam to lenistwo narracyjne za wiele złych haseł, których używają ludzie. Ludzie mają tendencję do myślenia, “och, źli ludzie nigdy nie odgadną nazwy mojej złotej rybki od kiedy miałem trzy lata.”

Ostrzeżenie spoilera: nie’muszę. Aby odgadnąć twoje hasło, hakerzy zazwyczaj uciekają się do odmian metody znanej jako “brutalna siła.” Jest to atak podobny do próby odgadnięcia każdej kombinacji zamka szyfrowego w celu jego otwarcia. Przy zaledwie ludzkich prędkościach nawet krótkie hasło może potrwać wiecznie, aby zgadnąć za pomocą tej metody, ale komputery mogą to zrobić szybko.

Pozwolić’Powiedzmy, że twoje hasło to “Alfabet.” To hasło jest okropne z wielu powodów, które ja’Dojdę do tego, ale głównym powodem jest brak złożoności. Ma tylko sześć znaków i używa tylko jednej litery. Pozwolić’powiedzmy, że próbowałeś odgadnąć to hasło, zaczynając od kombinacji podobnej do “aaaaaa,” zamierzam “aaaaab,” “aaaabb,” i tak dalej. Korzystając z tej metody, istnieje dokładnie 321 272 406 możliwych zgadnięć - to’s każdą możliwą kombinacją sześciu małych liter. Teraz ponad trzysta milionów domysłów brzmi jak cholera. Tutaj’Rzecz w tym, że przeciętny komputer stacjonarny może korzystać z bezpłatnego oprogramowania do łamania haseł sto milionów domysłów na sekundę (Twój przebieg może się różnić). Sześcioliterowe małe hasło będzie trwać przez 3,2 sekundy wobec ledwo kompetentnego hakera.

Właściwie to wygrali’Trzeba nawet tyle potrwać. Innym nieporozumieniem na temat hakerów jest to, że jeśli chcą złamać twoje hasło, robią to’Przejdę do ekranu logowania do usługi, którą chcą złamać, i zacznę zgadywać. To kolejny powód, dla którego ludzie wybierają proste hasła - uważają, że nawet jeśli hasło łatwo zgadnąć, automatyczny system logowania zablokuje hakera po tym, jak’podjąłem kilka prób.

Niestety tak nie jest. Wszystkie witryny i inne aplikacje przechowują hasła w arkuszu kalkulacyjnym w swojej bazie danych. Jeśli oni’dobrze wykonują swoją pracę, strona wygrała’przechowuj te hasła w postaci zwykłego tekstu, ale raczej w rodzaju szyfru kryptograficznego zwanego hashem. Haker prawdopodobnie wygrał’t spróbuj ukraść hasło bezpośrednio z ekranu logowania (chyba że’używam ataku typu man-in-the-middle, ale to’inny artykuł). Zamiast tego oni’zamierzam ukraść tę listę zaszyfrowanych haseł.

Gdy ta lista skrótów zostanie skradziona, każdy, kto’Wybrane proste hasło jest po prostu skazane na atak. Zobacz, każdy hash jest tworzony przez specjalny algorytm, który kroi i kroi oraz tnie i kostkuje hasło aż do niego’jest nie tylko nierozpoznawalny, ale niemożliwy do odtworzenia. Są tylko dwie rzeczy, które sprawiają, że hash nie jest całkowicie bezpieczny.

  1. Możliwe jest określenie, który algorytm został użyty do utworzenia skrótu.
  2. Te same dane wejściowe zawsze będą generować takie same dane wyjściowe, gdy użyjesz tego samego algorytmu.
  3. Zobacz, dokąd to zmierza?

Hakerzy wiedzą, że wiele osób używa prostych haseł. Odkąd oni’są inteligentni, wiedzą już, jak wyglądają skróty wyjściowe tych prostych haseł w każdym używanym głównym algorytmie mieszającym. W czym’jest znany jako “wstępnie obliczony atak słownikowy,” one’Ugotowałem już skróty tych prostych haseł, aby po kradzieży listy, oni’Będę mógł ujawnić nie tylko ciebie, ale potencjalnie tysiące innych osób, które nie mają schronienia’t przeczytać ten artykuł. Co’Co więcej, zasady tego ataku oznaczają, że…

Parzysty “Złożony” Hasła Aren’t Szczególnie bezpieczny

Tak więc wiele osób zaczyna otrzymywać wiadomość. Może zamiast “baseball,” często używane niepewne hasło, ty’zdecydowaliśmy się użyć hasła, które zawiera cyfry, wielkie i małe litery oraz niektóre znaki specjalne do uruchomienia: “1B4seba11!” na przykład. Możesz pomyśleć, że to drugie hasło jest bezpieczniejsze, ale w odróżnieniu od samego baseballu pojęcie bezpieczeństwa jest tylko iluzją.

Istnieje kilka strajków przeciwko “1B4seba11!” pod względem bezpieczeństwa jako hasła. Wydaje się jednak świetne, prawda’to? Korzystając z zestawu kryteriów, które spełnia - o długości ponad ośmiu znaków, zarówno wielkich, jak i małych liter, cyfr i co najmniej jednego znaku specjalnego - istnieje ponad jeden biliard możliwe kombinacje.

Nasz hipotetyczny komputerowy program do łamania haseł może wykonać sto milionów zgadnięć na sekundę, więc odgadnięcie hasła zajmie około dziesięciu milionów sekund lub 116 dni. Że’to długi czas, ale nie bardzo długi. Jeśli ktoś tak bardzo chciał, by twoje hasło chroniło - na przykład konto bankowe zawierające wszystkie twoje oszczędności emerytalne - cztery miesiące naprawdę nie są’t długo czekać.

Tam’ale więcej. Widzisz, my’zakładam, że ktokolwiek próbuje złamać hasło, korzysta ze zwykłego komputera stacjonarnego. Jeśli oni’poważnie jednak to’często zdarza się, że hakerzy używają niestandardowego sprzętu.

To’Niedawno wykazano, że wysokiej klasy procesory graficzne (Graphics Processing Units) lepiej wykonują operacje polegające na łamaniu haseł niż zwykłe procesory. Wysokiej klasy układ GPU kosztuje około 500 USD, a niestandardowy zestaw może zawierać aż dwadzieścia pięć układów GPU, wszystkie działające równolegle. Rezultatem jest maszyna, która kosztuje mniej niż przyzwoity używany samochód - i potrafi złamać oszałamiające 350 miliardów haseł na sekundę. Że’wystarczy, aby zabrać złożone ośmioznakowe hasło i rozerwać je na strzępy w ciągu sześciu minut.

Tam’Jest to ostatni powód, dla którego krótkie złożone hasła prawie zniknęły z drogi dodo pod względem bezpieczeństwa. Pozwolić’Wróćmy do poprzednich przykładów sprzętu do łamania haseł. Tak przy okazji, muszę przyznać, że trochę cię okłamałem.

Zobacz, że szacunkowa wartość 100 milionów zgadnięć na minutę dla komputera stacjonarnego i 350 miliardów dla niestandardowego sprzętu jest prawdziwa tylko wtedy, gdy twoje hasło zostanie zaszyfrowane starszym algorytmem. Don’masz jakieś pomysły, które ty’jestem teraz bezpieczny - to’firmy często używają algorytmów mieszających, takich jak MD5 lub SHA-1, które były przestarzałe od początku 2000 r.’s. Zwykły nowoczesny pulpit zje MD5 na śniadanie. Jeśli jednak hakerzy spróbują użyć siły nowoczesnego algorytmu, takiego jak SHA-512, nawet najbardziej zaawansowana maszyna zostanie spowolniona do mniej niż pół miliona zgadnięć na sekundę. Że’wystarczy, aby Twoje hasło było bezpieczne przez lata, teoretycznie.

W praktyce jednak twoje hasło zostanie złapane znacznie wcześniej. Dlaczego? Wszystko wraca do metody słownikowej.

Widzicie, ludzie są niestety przewidywalni. Pozwolić’wróćmy do przykładu 1B4seba11! Nawet przy złożoności dodanej przez dodatkowe przypadki, liczby i znaki specjalne będzie to łatwe hasło do odgadnięcia przez komputer.

Po pierwsze, hasło jest ułożone w przewidywalny sposób, jeśli Ty’jesteś człowiekiem. W przypadku większości osób sensowne jest umieszczanie znaków specjalnych na końcu słowa, dlatego narzędzie do łamania haseł będzie priorytetem dla kombinacji testowych zawierających znaki specjalne w tym miejscu. Po drugie, zastępując literę a liczbą czwartą, i zastępując literę I.’si L.’s z numerem jeden jest dość powszechną praktyką, więc program crackujący będzie szukał kombinacji z wieloma z nich i czwórkami w nich. Jednak jest to czynnik, który całkowicie przeklina to hasło opiera się na prawdziwym słowie ze słownika. To nie tylko prawdziwe słowo ze słownika’oparte na prawdziwym słowie, które ludzie często używają dla swoich haseł, przy użyciu bardzo popularnych modulacji. Każdy dobrze zaprojektowany łamacz haseł prawdopodobnie ma dokładnie taką frazę “1B4seba11!” jako jeden z pierwszych kilku milionów zgadnięć - i to samo dotyczy każdego słowa w słowniku.

Teraz “Złożony” Hasła Don’t Praca, co jeszcze pozostało?

Używanie prostego hasła może być również bezcelowe, a nawet bardzo skomplikowane hasła są rodzajem bałaganu. Wynika to z faktu, że ludzie są dość przewidywalni - używamy haseł zawierających słowa ze słownika, przestrzegamy zasad gramatyki i ortografii oraz zawierają przewidywalne wzory liter i cyfr. Co z tym zrobimy? Poddajemy się i pozwalamy hakerom wygrać?

Nie! Na początku tego artykułu obiecałem, że ty’d być w stanie zabezpieczyć wszystkie twoje dane, pamiętając tylko jedno lub dwa hasła, i golly I.’nie jestem kłamcą.

Tutaj’trick: Twoje hasła muszą zawierać losowość.

Jeśli twoje hasło ma ponad 20 znaków i nie zawiera przewidywalnych sekwencji alfanumerycznych ani frazowania, nawet coś takiego jak superkomputer supergromada zgadnie całe wieki.

Tutaj’jest przykładem. Poszedłem na stronę GRC i wybrałem 22 znaki (to’wszystko, czego potrzebujesz) z losowo generowanego ciągu 256-bitowego. Ten ciąg tutaj: Q7PkgND6amgQ2nrx2Ej8vV

Następnie poszedłem do mojego ulubionego narzędzia do sprawdzania haseł, zxcvbn, które ocenia, ile czasu zajęłoby złamanie hasła przez różne programy do łamania haseł.

HasłaHasła

Jak widać, każdy, kto próbuje złamać to hasło, nawet używając bardzo szybkiego komputera, musiałby być przygotowany na bardzo, bardzo długi czas.

Oczywiście, że tam’to duży oczywisty problem z tym hasłem: każde hasło, które nie jest możliwe do złamania przez komputer, jest również niemożliwe do zapamiętania przez człowieka. To znaczy, jeśli możesz zapamiętać wiele haseł o wysokiej entropii, takich jak Q7PkgND6amgQ2nrx2Ej8vV dla każdej usługi, z której korzystasz, przestań czytać ten artykuł już teraz. Wygrywasz hasłami i życiem.

Dla reszty z nas’oszustwo. Znajdź menedżera haseł, takiego jak LastPass. LastPass automatycznie zapamięta i pobierze długie, trudne do zapamiętania hasła, takie jak Q7PkgND6amgQ2nrx2Ej8vV i wszystko inne’Będę musiał się martwić zapamiętaniem jednego hasła głównego oraz prawdopodobnie podobnego hasła do wiadomości e-mail. Za każdym razem, gdy musisz wybrać nowe hasło, przejdź do GRC, zaznacz 22 znaki z generowanych przez nich 256-bitowych ciągów i umieść je w LastPass jako hasło, które ty’ponownie korzystam z usługi. Proste, prawda?

Tam’to ostatnia rzecz. LastPass nadal wymaga hasła głównego i chcesz, żeby to było coś takiego’jest tak skomplikowane jak Q7PkgND6amgQ2nrx2Ej8vV, ale coś, co człowiek może zapamiętać.

Rozwiązaniem tego problemu jest system o nazwie DiceWare. Jest to w rzeczywistości bardzo proste i działa w oparciu o teorię, że do wygenerowania hasła można użyć długiego łańcucha niemówiących angielskich słów - o ile te słowa nie są’t w dowolnej rozsądnej kolejności. Na przykład, jeśli poprosiłbym cię o wybranie losowej frazy, możesz pomyśleć, “TheQuickBrownFoxJumpsOverTheLazyDog.” Problem polega na tym, że to’to dobrze znana fraza w sensownej kolejności, a komputer prawdopodobnie szybko ją zdobędzie. DiceWare wymaga jednak od użytkowników rzucania kostkami (jak sama nazwa mówi) w celu wygenerowania pięciocyfrowej liczby odpowiadającej losowemu słowu w słowniku angielskim. Zrób to kilka razy, a ty’Będę miał zrozumiałe zdanie, że’nadal jest nierozwiązywalny w przypadku dużych komputerów. Możesz to zrobić ręcznie lub online. Korzystając z internetowego generatora DiceWare, wygenerowałem hasło “satyr wacke enrico igloo delia,” który jest względnie łatwy do zapamiętania, ale może potrwać wieki, zanim nawet najszybszy komputer się zepsuje.

Więc masz to. Użyj LastPass, aby zapamiętać swoje hasła, użyj fragmentów 256-bitowych kluczy dla swoich haseł LastPass i użyj hasła DiceWare jako jedynego bezpiecznego hasła, które musisz właściwie zachować w swojej głowie. Korzystając z tej metody, twoje hasło powinno być zabezpieczone przed większością współczesnych komputerów - pamiętaj tylko, że komputery będą coraz szybsze.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me