Ако има нещо, което хората свързват със съвременните технологии, това са паролите. Те са навсякъде и повечето от нас ги използват за десетки неща всеки ден. И все пак повечето хора са шокиращо безразлични към сигурността на паролата си. Повечето от нас вероятно познават някой, който използва същата парола за всичко, от техния компютър и имейл до техните Facebook и банкови сметки – и тази парола може да е нещо толкова очевидно, колкото рождения им ден или името на улицата, на която са израснали. И вероятно познаваме някой, който има лепкава бележка отстрани на монитора си с надпис „Пароли“ (в червено, двойно подчертано) със списък на всичко от Twitter до Netflix, което просто стои на открито за всеки Прочети.
Тези практики може да звучат като нещо от поколението на нашите баби и дядовци, но това не е абсолютно вярно: Миналата седмица гледах пълноценен член на Generation D, който се опитва да премине от Samsung Galaxy S (ъъъ, Fascinate) към HTC Rezound чрез своя лаптоп компютър. Как успя да премести всичките си пароли? Той имаше лист хартия в портфейла си с „всичките му пароли“ - и до
всичко той имаше предвид три. Един за имейл и социални мрежи, един за имейла на пралеля му („Проверявам го вместо нея“) и още един за всичко останало. Поглеждайки през рамо, и трите бяха ежедневни думи: мофандъл,мънкач, и Лилиан. Познайте кое беше на леля му?Препоръчани видеоклипове
За щастие има прости начини да направите паролите както трудни за отгатване, така и лесни за запомняне. За жалост, технологичната индустрия понякога пречи на използването им. Ето кратко описание на често срещаните слабости на паролите и някои начини, по които можете да подобрите паролите си и безопасността си онлайн.
Неизвестност срещу сложност
Обща истина за паролите е, че трябва никога лесно да се отгатне. Повечето технически разбиращи хора са съгласни, че никой не трябва да използва подробности за себе си като парола: Това включва рождени дни, адреси и имена на приятели и семейство (включително родители, братя и сестри, съпрузи, деца и дори домашни любимци). По същия начин, парола създава изключително лоша парола - както правят всички останали често използвани еднократни пароли.
Този вечнозелен съвет често се тълкува в смисъл, че паролите трябва да бъдат неясен, или термин, който никой не би си помислил, че бихте избрали, ако имаха милион години. Да, неясното може да работи - и това е дяволски по-добре от избирането на очевидна парола. Неясната парола обаче ви предпазва само от хора, които знаят нещо за вас. Вероятно повечето хора се опитват да разбият паролите ви недей познавам те.
Повечето краквания на пароли не се случват по начина, по който се представя във филмите, където Нашият герой (или The злодей) сяда на клавиатурата, опитва фраза или две, потрива брадичката си, след което шпионира снимка от детството бюрото. Аха! Въведете вълшебната дума и предварително, сигурността е заобиколена. В реалния свят по-голямата част от кракването на пароли е автоматизирано, буквално с компютри хвърляйки всяка дума в речника (и след това някои) на система с надеждата да се натъкнете на нея правилен термин. Този подход може да работи, защото компютрите могат да изпробват пароли много по-бързо, отколкото хората могат да ги въвеждат, и могат да работят 24 часа в денонощието, седем дни в седмицата, без почивка в банята. Автоматизираните програми за кракване на пароли не знаят нищо за потребителите, които се опитват да компрометират: Това е подход с груба сила.
И така, оказва се, че ключът към силната парола не е той неизвестност но е сложност — неща, които правят по-малко вероятно да бъде отгатнат от автоматизирана програма за разбиване на пароли. Създаването на добра сложна парола обаче означава да знаете малко за това как се разбиват паролите.
Разбиване на пароли
Най-общо казано, програмите за кракване на пароли обикновено имат два подхода. Единият е буквално да опитате предварително съставен списък с възможни пароли. Те обикновено започват от много общи пароли (като парола или qwerty) и да си проправят път до по-рядко срещани термини и в крайна сметка да използват списък с думи, съставен от онлайн речник и други източници. Този подход е по-вероятно да намери пароли, които са валидни думи или варианти в тях, дори и да са неясни.
Друг подход за разбиване на пароли е да се изпробват валидни поредици от букви, цифри и символи, независимо от тяхното значение. Разбиване на пароли, използващо този подход, може да започне с аааааааа за парола от осем знака, след това опитайте аааааааб тогава ааааааак и така нататък по азбуката, чрез смесване на главни и малки букви и добавяне на числа и символи. Този подход е по-вероятно да намери пароли, които са „удобни за машината“ или генерирани на случаен принцип. Парола като 4De78Hf1 не е по-трудно да се намери този начин от тийнейджър би било.
И така, какви са шансовете паролата да бъде позната? Повечето системи в наши дни позволяват на потребителите да създават пароли, използвайки букви (главни и малки), цифри и избор от символи. Допустимите символи често варират между системите (някои позволяват почти всичко, други позволяват само шепа), но за нашите цели нека приемем, че това означава, че всеки знак в парола може да бъде една от около 80 стойности - две азбуки по 26 букви всяка, десет цифри и 18 символи. (На теория трябва да има най-малко 127 стойности за всеки символ, но на практика това е по-малък брой.)
Използвайки подход с чиста груба сила, това означава, че ще са необходими максимум 80 предположения, за да се разбере на случаен принцип парола от един знак. Една парола от четири знака може да приеме над 40 милиона предположения (80 × 80 × 80 × 80 = 40 960 000), а парола от осем знака може да приеме над 1,6 квадрилиона предположения (1 677 721 600 000 000).
Ако програма за разбиване на пароли можеше да направи 1000 предположения в секунда, щеше да му трябва около месец, за да изпълни всички комбинации от парола от четири знака и над 53 000 години за стартиране на всички комбинации от парола от 8 знака. Това изглежда доста сигурно, нали?
Е, всъщност не. В чисто статистически план, кракерът има 50/50 шанс да намери паролата в половината това време. Още по-тревожно е, че хората, които правят кракери за пароли, имат други начини да подобрят шансовете си. Спомнете си как парола беше една от най-лошите пароли за използване? Познайте коя също е много лоша парола? парола0rd, замяна на цифра нула с буква О. Докато програмите за кракване на пароли изпълняват обичайните си думи от речник, те също опитват често срещани варианти на тези думи, замествайки нули за O, знаци @ и 4 за A, 3 за E, 1 и! за I, 7 за T, 5 за S и скоро. По същия начин, 0qww294e е ужасна парола - това е просто парола преместени един ред нагоре на стандартна английска клавиатура. Тези техники се основават на предпочитанията на потребителите за лесни за запомняне пароли. За съжаление, като заменят (или изписват с главни букви) знак или два в лесен за запомняне термин, хората най-вече правят своите пароли по-неясни, но не много по-сигурни. Всъщност типичните избрани от потребителя пароли от осем знака със смесен регистър, цифри и символи обикновено имат само около 30 бита ентропия или малко над един милиард възможни комбинации. Защо? Тъй като списъкът с термини, на които хората основават своите пароли, е много по-малък от общия брой възможни комбинации от букви, цифри и символи.
Колко бързо могат да бъдат разбити паролите? Изпробването на 1000 пароли в секунда може да изглежда невъзможно - в крайна сметка повечето услуги са склонни да ни блокират от собствените ни акаунти, ако грешно въвеждане на парола три или четири пъти, често нулиране на паролата и изискване от нас да отговорим на въпроси за сигурност, за да направим нова един. Тези техники за „шлюз“. направи подобряват сигурността на акаунта и между другото също са страхотен ослепително лесен начин да дразните хората. (Не мога да ви кажа колко пъти съм бил блокиран от акаунта си в iTunes поради атаки с парола, но вероятно са над сто.)
Нападателите обаче, които имат намерение да разбият пароли, не чукат на входната врата на услугата и не се опитват (буквално) милиони пъти да влязат в същия акаунт. Те или използват по-малко публични методи за удостоверяване, които не подлежат на блокиране (като частен API за партньори или приложения), разпространявайки своите атаки в широк набор от акаунти, за да се избегнат периоди на блокиране, или (в най-добрия случай) прилагане на техники за кракване на парола към открадната парола данни. Повечето системи криптират данните за паролите, които съхраняват, но тези криптирани файлове са толкова сигурни, колкото и самата система. Ако нападателите успеят да се доберат до шифрования файл с парола (чрез дупка в сигурността, компрометиран машина или социално инженерство, за начало) те могат да го атакуват много бързо, след като стане сам системи. Ето защо историите за нападатели, които получават информация за акаунта (като Stratfor, Епсилон, Sony, и Zappos) са обезпокоителни. След като шифрованите данни бъдат освободени, нападателите могат да приложат много по-мощни инструменти, за да ги разбият.
В реалния свят това означава, че цифрата от 1000 пароли в секунда е изключително консервативна. Типичният хардуер за настолни компютри в наши дни може да тества милиони на пароли за секунда срещу обичайните технологии за криптиране. По същия начин вече има инструменти за кракване на пароли, които използват графични процесори, а криминалните оператори на ботнет също участват в бизнеса с кракване на пароли. Те могат да разпределят натоварването между хиляди компютри. Комбинирайте тази сурова сила със сложни евристики (като изпробване на варианти с цифри и букви на общи думи) и не е необичайно да разбиете типична потребителска парола от осем знака за по-малко от половин час час.
Прострелваме се в крака
По-горе отбелязахме как една парола от осем знака, с главни, малки букви, цифри и символи, може да има доста над квадрилион възможни комбинации, но повечето пароли от осем знака, които се използват днес, попадат в група от само около милиард комбинации. Това е така, защото хората не са машини. Когато компютърът е доволен да се използва костенурка или Y&4nS0\2 като парола, познайте коя е по-лесна за запомняне от човека? Сега познайте кой е по-сигурен.
Някои системи прилагат изисквания за парола, предназначени да гарантират, че потребителите няма да използват лесно разбиваеми пароли. Често срещан подход е да се изисква потребителските пароли да имат поне една главна буква, едно число, един символ и да са дълги поне осем знака. (Някои системи не налагат изисквания, но предлагат измерване на „силата на паролата“ като мярка за това колко ефективна според тях паролата може be.) Някои системи също така изискват от потребителите да променят паролите си от време на време (да речем на всеки 30 или 45 дни) и предотвратяват повторното им използване пароли.
Тези видове изисквания направи повишават сигурността на паролите, но също така правят паролите много по-трудни за запомняне от хората. Това означава, че значителна част от потребителите веднага ще измислят начини да подкопаят сигурността на системата за свое собствено удобство. Разбира се, някои хора могат да се справят с пароли като 9.3nDs(# но много други хора ще отговорят с лепкави бележки с парола отстрани на мониторите, бележки в техните портфейли или документ на Microsoft Word на работния им плот, услужливо обозначен като „Пароли“, така че да могат да копират и поставят, когато необходимо. Изискванията за изграждане на парола също са склонни да навредят на производителността и да увеличат разходите за поддръжка (както за служителите, така и за клиенти), тъй като повече хора ще забравят паролите си или ще бъдат блокирани от своите акаунти, изисквайки ръчно интервенция.
Създаване на сложни пароли
Тогава Светият Граал на паролите би изглеждал парола, която е комплекс достатъчно, че е непрактично да се кракне с помощта на автоматизирани техники, но достатъчно лесно да се запомни, че потребителите не компрометират сигурността, като ги съхраняват или управляват опасно.
Ето няколко съвета за създаване на сложни, лесни за запомняне пароли:
- Използвайте дълги пароли. Ако една парола от осем знака може да има 1,6 квадрилиона възможни комбинации, представете си колко парола от 16 знака може да има? (Около 2,8 нонилиона, или 2,830.) Но може би по-важното е, че наборът от стойности за 16-символна парола използва общи термини и вариации е малко под 1,2 квинтилиона, където е малко над един милиард с осем знака парола. Използването на по-дълги пароли е най-лесният начин да направите паролите по-сложни и по-сигурни.
- Използвайте комбинирани думи. Как да направите лесни за запомняне дълги пароли? Една обща техника е да се използва серия от три до пет прости, несвързани условия. Те обикновено са толкова лесни за запомняне, колкото ПИН номерата; когнитивно хората са склонни да запомнят цели думи като отделни единици. Тези пароли обаче могат да бъдат много сложни, поне от гледна точка на разбиването на пароли. И тези пароли се правят лесно, просто като се огледате или прелистите книга на произволна страница. Поглеждайки наляво през прозореца си, виждам играчка жаба, кола и прозореца на нечий кухненски бокс. Нова парола: FrogHubcapШкаф — това са 18 знака, но само три думи за запомняне. Гледайки надясно: RunnerCameraGlueString — четири кратки думи, 22 знака. Използвах само главни букви, за да разбия думите. Добавянето на повече знаци или замествания може да увеличи сложността – просто не ставайте толкова сложни, че да станете жертва на слабостите на трудните пароли.
- Използвайте фрази или текстове. Друг начин за създаване на дълги пароли е използването на части от фрази или текстове. Що се отнася до текстовете, сравнително често срещаните песни са може би по-добри от тези, които са особено важни за вас: отново не искате хора, които ви познават добре, за да могат да познаят паролите ви само защото сте голям фен на Майкъл Болтън (или не). Могат да бъдат примери за пароли, направени от фази или текстове Ти не си Джак Кенеди (19 знака), iShotaManinReno (15 знака), импеепинандим пълзящ (20 знака).
- Използвайте мнемоника. Недостатъкът на дългите пароли е, че могат да бъдат трудни за въвеждане, особено на мобилно устройство. Друг трик, който някои хора намират за полезен за генериране на сложни по-кратки пароли, е използването на първия знак от всяка дума във фраза или текст. „Колко пътища трябва да извърви човек“ може да стане HmrmamwD— само осем знака, но относително сложен от гледна точка на програма за кракване на пароли. По подобен начин може да стане „Разклатете го, разклатете го като полароидна снимка“. SiSiLapp — може би не страхотно, но по-добре от костенурка. Този трик може също да помогне за генерирането на добри пароли за системи, които все още имат ограничение за това колко дълги могат да бъдат паролите.
Тези указания обикновено ще ви помогнат да измислите лесни за запомняне, сложни пароли. Разбира се, когато се работи със системи за пароли с изисквания за състав (което означава, че те очакват смесен регистър, числа или символи), все пак ще трябва да измислите странни обрати на паролите, за да ги изпълните изисквания. Само не забравяйте, че с по-дълги пароли можете да правите своите замествания и промени на очевидни места - обикновено тези дълги пароли са по-лесни за запомняне дори с изисквания, отколкото кратки, безсмислени пароли.
Няколко други съвета
Други неща, за които да помислите, когато избирате вашите пароли:
- Използвайте отделни пароли за отделни услуги. Не използвайте паролата си за социални мрежи за онлайн банкиране. Ако паролата е компрометирана за една услуга, останалите трябва да са в безопасност.
- Изберете внимателно важните пароли. Системите за единично влизане може да са изключително удобни, но също така създават единична точка на отказ за множество услуги. Примери биха били паролите за акаунти в услугите на Google, Yahoo и Microsoft, където една кракната парола може да даде достъп на някой до имейл, документи, снимки, социални мрежи, блогове, библиотеки със снимки, списъци с контакти, адресни книги и Повече ▼. По същия начин, с толкова много сайтове (дори Дигитални тенденции) приемане на вход във Facebook и Twitter, компрометирана парола за социални мрежи може да има далечни последствия.
- Променете паролите си. Изкушаващо е да си помислите, че ако някоя от паролите ви бъде разбита, ще разберете веднага: имейлът ви ще изчезне, блогът ви ще се превърне в набор от lulz графики, вашият списък с подаръци в Amazon може да бъде пълен с неудобни опции, вашият акаунт в PayPal може да бъде изчистен навън. Това обаче не винаги е така: ако някой разбие паролата ви, може да няма явен знак, поне не веднага. Сменяйки редовно паролата си, вие гарантирате, че дори ако някой проникне, неговият прозорец на възможност да ви използва е ограничен. Честотата, с която трябва да променяте паролите, варира в зависимост от това как използвате онлайн услугите. За всичко, което включва истински пари, обикновено препоръчвам на потребителите да сменят паролите си на всеки 30 до 90 дни - колкото повече пари, толкова по-често.
Никоя парола не е безопасна
Може би най-важното нещо, което трябва да запомните за паролите, е това всякакви паролата може да бъде разбита: Въпрос е само колко време и усилия някой е готов да вложи в това. Съветите тук ще помогнат за намаляване на вероятността вашите пароли да бъдат изкоренени от случайни нападатели и дори приятели и семейство, но нито една парола не е напълно защитена. Ако сигурният достъп до дадена услуга е много важен за вас, помислете за различни форми на многофакторно удостоверяване, за да намалите допълнително шансовете за неоторизиран достъп.
Кредит на изображението: Shutterstock / jamdesign / Татяна Попова / Педро Мигел Соуса
Препоръки на редакторите
- Тези неудобни пароли накараха знаменитости да бъдат хакнати
- Не, 1Password не е хакнат – ето какво наистина се случи
- Как да защитите с парола папка в Windows и macOS
- LastPass разкрива как е бил хакнат - и това не е добра новина
- Reddit беше хакнат — ето как да настроите 2FA, за да защитите акаунта си
