Pokud si lidé něco spojují s moderní technologií, jsou to hesla. Jsou všude a většina z nás je denně používá na desítky věcí. Přesto je většina lidí k zabezpečení svých hesel šokujícím způsobem lhostejná. Většina z nás pravděpodobně zná někoho, kdo používá stejné heslo všechno, z jejich počítače a e-mailu na jejich Facebook a bankovní účty – a toto heslo může být něco tak zřejmého, jako jsou jejich narozeniny nebo název ulice, kde vyrostli. A také pravděpodobně známe někoho, kdo má na boku monitoru nalepenou poznámku s nápisem „Hesla“ (v červená, dvakrát podtržená) se seznamem všeho od Twitteru po Netflix, který je volně přístupný všem číst.
Tyto praktiky mohou znít jako něco z generace našich prarodičů, ale není to tak úplně pravda: Minulý týden jsem sledoval a plnohodnotný člen generace D, který se snaží přejít ze Samsungu Galaxy S (ehm, Fascinate) na HTC Rezound prostřednictvím svého notebooku počítač. Jak přesunul všechna svá hesla? V peněžence měl kus papíru se „všemi svými hesly“ – a kolem
Všechno měl na mysli tři. Jeden pro e-mail a sociální sítě, jeden pro e-mail jeho pratety („Zkontroluji to pro ni“) a další pro všechno ostatní. Ohlédl se přes rameno a všechna tři byla každodenní slova: mophandle,mumla, a lillian. Hádejte, která byla jeho tety?Doporučená videa
Naštěstí existují jednoduché způsoby, jak udělat hesla těžko uhodnutelná a snadno zapamatovatelná. Bohužel, technologický průmysl někdy stojí v cestě jejich použití. Zde je přehled běžných slabých stránek hesel a několik způsobů, jak můžete zlepšit svá hesla a bezpečnost online.
Nejasnost versus složitost
Běžná pravda o heslech je, že by měla nikdy snadno uhodnout. Většina technicky zdatných lidí souhlasí s tím, že by nikdo neměl používat podrobnosti o sobě jako heslo: To zahrnuje narozeniny, adresy a jména přátel a rodiny (včetně rodičů, sourozenců, manželů, dětí a dokonce i domácí mazlíčci). Podobně, Heslo vytváří mimořádně špatné heslo – stejně jako všechna ostatní běžně používaná hesla.
Tato evergreenová rada je často interpretována tak, že hesla by měla být obskurní, nebo termín, o kterém by si nikdo nikdy nemyslel, že byste si vybrali, kdyby měli milion let. Ano, nejasné může fungovat – a je to zatraceně lepší pohled, než vybírat jasné heslo. Nejasné heslo vás však chrání pouze před lidmi, kteří o vás něco vědí. Je pravděpodobné, že většina lidí se snaží prolomit vaše hesla ne znám tě.
Většina prolamování hesel se neděje tak, jak je zobrazováno ve filmech, kde je Náš hrdina (nebo The Padouch) sedí u klávesnice, zkouší jednu nebo dvě fráze, tře si bradu a pak na ní zahlédne fotku z dětství stůl. Aha! Zadejte kouzelné slovo a rychle, bezpečnost obcházena. V reálném světě je drtivá většina prolamování hesel automatizovaná, u počítačů doslova házet každé slovo ve slovníku (a pak některá) na systém v naději, že narazí na správný termín. Tento přístup může fungovat, protože počítače mohou zkoušet hesla mnohem rychleji, než je mohou lidé psát, a mohou běžet 24 hodin denně, sedm dní v týdnu, bez přestávek v koupelně. Automatizované prolomení hesel nevědí nic o uživatelích, které se snaží kompromitovat: Je to přístup hrubou silou.
Ukázalo se tedy, že klíč k silnému heslu není jeho nejasnost ale jeho složitost — věci, které snižují pravděpodobnost, že je uhodne automatizovaný prolamovač hesel. Vytvoření dobrého komplexního hesla však znamená vědět trochu o tom, jak se hesla prolomí.
Prolamování hesel
Velmi obecně řečeno, prolomení hesel má obvykle dva přístupy. Jedním z nich je doslova vyzkoušet předem sestavený seznam možných hesel. Ty obvykle začínají od velmi běžných hesel (např Heslo nebo qwerty) a propracují se k méně obvyklým termínům a případně použijí seznam slov sestavený z online slovníku a dalších zdrojů. Tento přístup s větší pravděpodobností najde hesla, která jsou platná slova nebo jejich varianty, i když jsou nejasná.
Dalším způsobem prolomení hesel je vyzkoušet platné sekvence písmen, čísel a symbolů bez ohledu na jejich význam. Prolomení hesel používající tento přístup může začít s aaaaaaaa pro osmimístné heslo, pak zkuste aaaaaaab pak aaaaaaac a tak dále v abecedě, přes kombinace velkých a malých písmen a vhazování čísel a symbolů. Tento přístup s větší pravděpodobností najde hesla, která jsou „strojově přátelská“ nebo náhodně generovaná. Jako přístupový kód 4De78Hf1 není o nic těžší najít tento způsob než teenager bylo by.
Jaká je tedy pravděpodobnost uhodnutí hesla? Většina systémů v dnešní době umožňuje uživatelům vytvářet hesla pomocí písmen (velkých a malých písmen), čísel a výběru symbolů. Povolené symboly se mezi systémy často liší (některé povolují téměř cokoli, jiné jen hrstku), ale pro naše účely předpokládejme, že to znamená, že každý znak v hesle může být jednou z přibližně 80 hodnot – dvě abecedy po 26 písmenech, deset číslic a 18 symboly. (Teoreticky by mělo být pro každou postavu k dispozici alespoň 127 hodnot, ale v praxi je to menší počet.)
Při použití přístupu čistě hrubou silou to znamená, že k náhodnému zjištění jednoznakového hesla by bylo potřeba maximálně 80 tipů. Čtyřmístné heslo mohlo převzít více než 40 milionů odhadů (80 × 80 × 80 × 80 = 40 960 000) a heslo o osmi znacích mohlo převzít 1,6 kvadrilionu odhadů (1 677 721 600 000 000).
Pokud by prolamovač hesel dokázal provést 1 000 uhodnutí za sekundu, potřeboval by asi měsíc na spuštění všech kombinací čtyřznakového hesla a více než 53 000 let pro spuštění všech kombinací 8znakového hesla. To vypadá docela bezpečně, že?
No ne tak úplně. Čistě statisticky, cracker má šanci 50/50 najít heslo polovina ten čas. Ještě znepokojivější je, že lidé, kteří vyrábějí prolomení hesel, mají jiné způsoby, jak zlepšit své šance. Pamatujte si, jak Heslo bylo jedno z nejhorších hesel k použití? Hádejte, co je také velmi špatné heslo? heslo, nahrazením písmene O číslicí nula. Zatímco hackeři hesel používají svá běžná slova ze slovníku, zkoušejí na nich také běžné varianty slova nahrazující nuly za O, znaménka @ a 4 za A, 3 za E, 1 a! za I, 7 za T, 5 za S a již brzy. Podobně, 0qww294e je hrozné heslo – to je prostě Heslo posunuto o jeden řádek nahoru na standardní anglické klávesnici. Tyto techniky využívají preference uživatelů pro snadno zapamatovatelná hesla. Bohužel, nahrazením (nebo velkým) znakem nebo dvěma ve snadno zapamatovatelném termínu lidé většinou činí svá hesla nejasnějšími, ale ne o moc bezpečnějšími. Ve skutečnosti mají typická osmiznaková hesla vybraná uživatelem se smíšenou velikostí písmen, čísly a symboly obvykle jen asi 30 bitů entropie nebo něco málo přes miliardu možných kombinací. Proč? Protože seznam výrazů, na kterých lidé zakládají svá hesla, je mnohem menší než celkové možné kombinace písmen, číslic a symbolů.
Jak rychle lze hesla prolomit? Vyzkoušet 1 000 hesel za sekundu se může zdát nemožné – koneckonců většina služeb má tendenci nám zablokovat přístup k vlastním účtům, pokud třikrát nebo čtyřikrát zadali chybně heslo, často heslo resetovali a vyžadovali, abychom odpověděli na bezpečnostní otázky, abychom mohli vytvořit nové jeden. Tyto techniky „brány“. dělat zlepšit zabezpečení účtu a mimochodem jsou také skvělým, oslepujícím způsobem snadným způsobem, jak obtěžovat lidi. (Nemohu vám říci, kolikrát jsem byl zablokován z mého účtu iTunes útoky heslem, ale pravděpodobně je to více než sto.)
Útočníci, kteří chtějí prolomit hesla, však neklepou na přední dveře služby a nepokoušejí se (doslova) milionkrát přihlásit ke stejnému účtu. Buď používají méně veřejné metody ověřování, které nepodléhají uzamčení (jako soukromé API pro partnery nebo aplikace), a šíří své útoky napříč širokou škálou účtů, aby se předešlo obdobím blokování, nebo (nejlepší případ) použití technik prolomení hesla na ukradená hesla data. Většina systémů šifruje data hesel, která ukládají, ale tyto šifrované soubory jsou pouze tak bezpečné jako samotný systém. Pokud se útočníci dostanou k zašifrovanému souboru s hesly (prostřednictvím bezpečnostní díry, kompromitace stroj nebo sociální inženýrství, pro začátek), mohou na něj zaútočit velmi rychle, jakmile je sám o sobě systémy. To je důvod, proč příběhy o útočnících získávajících informace o účtu (např Stratfor, Epsilon, Sony, a Zappos) znepokojují. Jakmile jsou šifrovaná data vypáčena, útočníci mohou použít mnohem výkonnější nástroje k jejich otevření.
V reálném světě to znamená, že číslo 1 000 hesel za sekundu je extrémně konzervativní. Běžný počítačový hardware v dnešní době může testovat miliony hesel sekundu proti běžným šifrovacím technologiím. Podobně nyní existují nástroje na prolamování hesel, které využívají grafické procesory, a do byznysu s prolamováním hesel se zabývají i kriminální provozovatelé botnetů. Mohou rozložit pracovní zátěž mezi tisíce počítačů. Zkombinujte tuto hrubou sílu se sofistikovanou heuristikou (jako je zkoušení variant čísel a písmen běžná slova) a není neobvyklé prolomit typické osmimístné uživatelské heslo za méně než polovinu hodina.
Střelba se do nohy
Výše jsme si poznamenali, jak může osmimístné heslo s velkými, malými písmeny, čísly a symboly mít více než kvadrilion možných kombinací, ale většina dnes používaných osmiznakových hesel spadá do fondu pouze asi miliardy kombinace. To proto, že lidé nejsou stroje. Kde počítač je obsah k použití buď želva nebo Y&4nS0\2 jako heslo, hádejte, které si člověk snáze zapamatuje? Nyní hádejte, který z nich je bezpečnější.
Některé systémy implementují požadavky na hesla, které mají zajistit, aby uživatelé nepoužívali snadno prolomitelná hesla. Běžným přístupem je vyžadovat, aby uživatelská hesla měla alespoň jedno velké písmeno, jednu číslici, jeden symbol a měla alespoň osm znaků. (Některé systémy nevynucují požadavky, ale nabízejí měřítko „síly hesla“ jako měřítko toho, jak efektivní by heslo mohlo Některé systémy také vyžadují, aby uživatelé svá hesla často měnili (řekněme každých 30 nebo 45 dní) a zabránili jim v opětovném použití. hesla.
Tyto druhy požadavků dělat zvyšují bezpečnost hesel, ale také značně znesnadňují zapamatování hesel. To znamená, že značná část uživatelů okamžitě přijde na způsoby, jak podvrátit zabezpečení systému pro své vlastní pohodlí. Jistě, někteří lidé si poradí s hesly jako 9,3 nDs (# ale spousta dalších lidí odpoví heslem nalepenými samolepkami na stranách monitorů, poznámkami v jejich peněženky nebo dokument Microsoft Word na jejich ploše s užitečným označením „Hesla“, aby je mohli kopírovat a vkládat, když nutné. Požadavky na konstrukci hesel také obvykle snižují produktivitu a zvyšují náklady na podporu (jak pro zaměstnance, tak pro zákazníci), protože více lidí zapomene svá hesla nebo bude uzamčeno ze svých účtů, což vyžaduje ruční ovládání zásah.
Vytváření složitých hesel
Svatý grál hesel by se pak zdál být heslem, které je komplex natolik, že je nepraktické prolomit pomocí automatizovaných technik, a přitom si snadno zapamatovat, že uživatelé neohrožují bezpečnost tím, že je ukládají nebo spravují nebezpečně.
Zde je několik tipů pro vytváření složitých a snadno zapamatovatelných hesel:
- Používejte dlouhá hesla. Pokud může mít osmimístné heslo 1,6 kvadrilionu možných kombinací, představte si, kolik může mít heslo o 16 znacích? (Přibližně 2,8 miliardy nebo 2,830.) Co je však možná důležitější, sada hodnot pro 16znakové heslo používající běžné výrazy a variací je těsně pod 1,2 kvintiliónem, kde to bylo jen něco málo přes miliardu s osmiznakovými Heslo. Použití delších hesel je nejsnazší způsob, jak vytvořit hesla složitější a bezpečnější.
- Používejte kombinovaná slova. Jak vytvořit snadno zapamatovatelná dlouhá hesla? Jednou z běžných technik je použití série tří až pěti jednoduchých, nesouvisející podmínky. Ty jsou obecně stejně snadno zapamatovatelné jako čísla PIN; kognitivně si lidé pamatují celá slova jako jednotlivé jednotky. Tato hesla však mohou být velmi složitá, alespoň z pohledu prolomení hesel. A tato hesla lze snadno vytvořit pouhým pohledem kolem sebe nebo překlopením knihy na náhodnou stránku. Když se podívám z okna ven, vidím žabku, auto a okno něčího kuchyňského koutu. Nové heslo: FrogHubcapCupboard — to je 18 znaků, ale zapamatovat si pouze tři slova. Při pohledu správně: RunnerCameraGlueString — čtyři krátká slova, 22 znaků. Použil jsem pouze velká písmena, abych pomohl rozdělit slova. Přidání dalších znaků nebo substitucí může zvýšit složitost – nebuďte tak složití, abyste se stali obětí slabin náročných hesel.
- Používejte fráze nebo texty. Dalším způsobem vytváření dlouhých hesel je použití částí frází nebo textů. Co se týče textů, relativně běžné písně jsou možná lepší než ty, které jsou pro vás obzvlášť důležité: znovu, nechcete lidé, kteří vás dobře znají, aby dokázali uhodnout vaše hesla jen proto, že jste velkým fanouškem Michaela Boltona (nebo ne). Příklady hesel vytvořených z fází nebo textů mohou být Vy jste NoJackKennedy (19 znaků), iShotaManinReno (15 znaků), impeepinandimcreepin (20 znaků).
- Používejte mnemotechnické pomůcky. Nevýhodou dlouhých hesel je, že jejich psaní může být obtížné, zejména na mobilním zařízení. Dalším trikem, který někteří lidé považují za užitečný pro generování složitých kratších hesel, je použití prvního znaku každého slova ve frázi nebo textu. „Kolik cest musí člověk projít“ by se mohlo stát HmrmamwD—pouze osm znaků, ale z pohledu programu na prolamování hesel poměrně složité. Podobně by se mohlo stát „Zatřes s tím, zatřes s tím jako s polaroidovým obrázkem“. SiSiLapp - možná ne skvělé, ale lepší než želva. Tento trik může také pomoci generovat dobrá hesla pro systémy, které mají stále omezenou délku hesla.
Tyto pokyny vám obecně pomohou vymyslet snadno zapamatovatelná a složitá hesla. Samozřejmě, když se jedná o systémy hesel s požadavky na složení (to znamená, že očekávají smíšená velká a malá písmena, čísla nebo symboly), stále budete muset vymýšlet zábavné zvraty hesel, abyste je splnili požadavky. Pamatujte, že s delšími hesly můžete provádět náhrady a změny na zřejmých místech – obvykle jsou tato dlouhá hesla snadněji zapamatovatelná i s požadavky než krátká, nesmyslná hesla.
Několik dalších tipů
Další věci, na které je třeba myslet při výběru hesel:
- Pro samostatné služby používejte samostatná hesla. Nepoužívejte své heslo k sociální síti pro online bankovnictví. Pokud je heslo prozrazeno u jedné služby, ostatní by měly být v bezpečí.
- Pečlivě volte důležitá hesla. Systémy jednotného přihlašování mohou být nesmírně pohodlné, ale mohou také vytvářet jediné místo selhání pro více služeb. Příkladem mohou být hesla k účtům ve službách Google, Yahoo a Microsoft, kde může poskytnout jediné prolomené heslo někdo má přístup k e-mailu, dokumentům, obrázkům, sociálním sítím, blogům, knihovnám fotografií, seznamům kontaktů, adresářům a více. Podobně s tolika weby (dokonce Digitální trendy) Přijetím přihlášení k Facebooku a Twitteru může mít napadené heslo k sociální síti dalekosáhlé následky.
- Změňte svá hesla. Je lákavé si myslet, že když se prolomí jedno z vašich hesel, budete to vědět hned: váš e-mail zmizí, váš blog zmizí staňte se sadou lulz grafiky, váš seznam dárků na Amazonu může být plný trapných možností, váš účet PayPal může být vymazán ven. To však není vždy případ: Pokud někdo prolomí vaše heslo, nemusí se objevit žádné zjevné znamení, alespoň ne hned. Pravidelnou změnou hesla zajistíte, že i když se někdo vloupe, jeho příležitost zneužít vás bude omezená. Frekvence, s jakou byste měli měnit hesla, se liší podle toho, jak používáte online služby. U všeho, co se týká skutečných peněz, obecně doporučuji uživatelům měnit hesla každých 30 až 90 dní – čím více peněz, tím častěji.
Žádné heslo není bezpečné
Možná nejdůležitější věc, kterou si o heslech zapamatovat, je to žádný heslo lze prolomit: Je jen otázkou, kolik času a úsilí je někdo ochoten tomu věnovat. Zde uvedené tipy vám pomohou snížit pravděpodobnost, že vaše hesla budou vykořeněna náhodnými útočníky a dokonce i přáteli a rodinou, ale žádné heslo není zcela bezpečné. Pokud je pro vás zabezpečený přístup ke službě velmi důležitý, zvažte různé formy vícefaktorové autentizace, abyste dále snížili pravděpodobnost neoprávněného přístupu.
Kredit obrázku: Shutterstock / jamdesign / Taťána Popová / Pedro Miguel Sousa
Doporučení redakce
- Tato trapná hesla napadla celebrity
- Ne, 1Password nebyl hacknut – tady je to, co se skutečně stalo
- Jak chránit heslem složku ve Windows a macOS
- LastPass odhaluje, jak byl hacknut – a není to dobrá zpráva
- Reddit byl hacknut – zde je návod, jak nastavit 2FA k ochraně vašeho účtu