Hvis der er én ting, folk forbinder med moderne teknologi, så er det adgangskoder. De er overalt, og de fleste af os bruger dem til snesevis af ting hver dag. Alligevel er de fleste mennesker chokerende ligeglade med deres adgangskodesikkerhed. De fleste af os kender nok nogen, der bruger den samme adgangskode til alt, fra deres computer og e-mail til deres Facebook- og bankkonti - og den adgangskode kan være noget så indlysende som deres fødselsdag eller navnet på den gade, hvor de voksede op. Og vi kender sikkert også nogen, der har en klæbe seddel på siden af deres skærm mærket "Adgangskoder" (i rød, dobbelt-understreget) med en liste over alt fra Twitter til Netflix, der bare står åbent for enhver Læs.
Disse praksisser lyder måske som noget fra vores bedsteforældres generation, men det er strengt taget ikke sandt: I sidste uge så jeg en fuldgyldigt medlem af Generation D, der forsøger at skifte fra en Samsung Galaxy S (er, Fascinate) til en HTC Rezound via sin notebook computer. Hvordan flyttede han alle sine adgangskoder? Han havde et stykke papir i sin pung med "alle hans adgangskoder" - og ved at
alle han mente tre. En til e-mail og sociale netværk, en til hans store tantes e-mail ("jeg tjekker det for hende") og en anden til alt muligt andet. Da han kiggede sig over skulderen, var alle tre dagligdags ord: moppehåndtag,mumler, og lillian. Gæt hvem der var hans mosters?Anbefalede videoer
Heldigvis er der enkle måder at gøre adgangskoder både svære at gætte og nemme at huske. Desværre, teknologiindustrien kommer nogle gange i vejen for at bruge dem. Her er en oversigt over almindelige adgangskodesvagheder og nogle måder, du kan forbedre dine adgangskoder og din onlinesikkerhed på.
Uklarhed kontra kompleksitet
En almindelig truisme om adgangskoder er, at de skal aldrig være let at gætte. De fleste teknologikyndige mennesker er enige om, at ingen skal bruge detaljer om sig selv som adgangskode: Det inkluderer fødselsdage, adresser og navne på venner og familie (inklusive forældre, søskende, ægtefæller, børn og selv kæledyr). Tilsvarende adgangskode laver en særdeles dårlig adgangskode - som alle andre almindeligt anvendte engangsadgangskoder.
Dette stedsegrønne råd bliver ofte tolket til at betyde, at adgangskoder bør være det mærkelig, eller et udtryk, ingen nogensinde ville tro, du ville vælge, hvis de havde en million år. Ja, obskure kan fungere - og det er et skide bedre end at vælge en indlysende adgangskode. En obskur adgangskode beskytter dig dog kun mod folk, der ved noget om dig. Odds er, de fleste mennesker forsøger at knække dine adgangskoder ikke kender dig.
Det meste af krakning af adgangskoder sker ikke, som det er portrætteret i film, hvor Our Hero (eller The Skurk) sidder ved et tastatur, prøver en sætning eller to, gnider sig på hagen og spionerer derefter på et barndomsbillede skrivebordet. Aha! Skriv det magiske ord og presto, sikkerhed omgået. I den virkelige verden er langt størstedelen af krakning af adgangskoder automatiseret, med computere bogstaveligt talt smider hvert ord i ordbogen (og så nogle) efter et system i håb om at snuble over korrekt udtryk. Denne tilgang kan fungere, fordi computere kan prøve adgangskoder meget hurtigere, end mennesker kan skrive dem, og de kan køre 24 timer i døgnet, syv dage om ugen, uden badeværelsespauser. Automatiserede password-crackere ved ikke noget om de brugere, de forsøger at kompromittere: Det er en brute-force-tilgang.
Så det viser sig, at en nøgle til en stærk adgangskode ikke er dens uklarhed men det er kompleksitet — ting, der gør det mindre sandsynligt, at det bliver gættet af en automatiseret adgangskodeknakker. At lave en god kompleks adgangskode betyder dog at vide lidt om, hvordan adgangskoder bliver brudt.
At bryde adgangskoder
I meget generelle termer har password crackers typisk to tilgange. Den ene er bogstaveligt talt at prøve en præ-kompileret liste over mulige adgangskoder. Disse starter normalt fra meget almindelige adgangskoder (som adgangskode eller qwerty) og arbejde sig ned til mindre almindelige termer og til sidst bruge en liste over ord, der er udarbejdet fra en onlineordbog og andre kilder. Denne tilgang er mere tilbøjelig til at finde adgangskoder, der er gyldige ord eller varianter på dem, selvom de er uklare.
En anden adgangskodeknækkende tilgang er at prøve gyldige sekvenser af bogstaver, tal og symboler, uanset deres betydning. En adgangskode-cracker, der bruger denne tilgang, kan begynde med aaaaaaaa for en adgangskode på otte tegn, så prøv aaaaaaab derefter aaaaaaac og så videre op i alfabetet, gennem blandinger af store og små bogstaver, og ved at smide tal og symboler ind. Denne tilgang er mere tilbøjelig til at finde adgangskoder, der er "maskinevenlige" eller tilfældigt genererede. En adgangskode som 4De78Hf1 er ikke sværere at finde på denne måde end teenager ville være.
Så hvad er oddsene for, at en adgangskode bliver gættet? De fleste systemer i dag gør det muligt for brugere at oprette adgangskoder ved hjælp af bogstaver (store og små bogstaver), tal og et udvalg af symboler. Tilladte symboler varierer ofte mellem systemer (nogle tillader næsten alt, andre tillader kun en håndfuld), men lad os til vores formål antag, at det betyder, at hvert tegn i en adgangskode kan være en af omkring 80 værdier - to alfabeter på hver 26 bogstaver, ti tal og 18 symboler. (I teorien burde mindst 127 værdier være tilgængelige for hver karakter, men i praksis er det et mindre tal.)
Ved at bruge en ren brute force-tilgang betyder det, at det ville tage maksimalt 80 gæt at tilfældigt finde ud af en adgangskode på ét tegn. En adgangskode på fire tegn kunne tage over 40 millioner gæt (80 × 80 × 80 × 80 = 40.960.000), og en adgangskode på otte tegn kunne overtage 1,6 kvadrillioner gæt (1.677.721.600.000.000).
Hvis en kodeordsknækker var i stand til at foretage 1.000 gæt i sekundet, ville det tage omkring en måned at køre alle kombinationer af en fire-tegns adgangskode og over 53.000 flere år for at køre alle kombinationerne af en adgangskode på 8 tegn. Det virker ret sikkert, ikke?
Nå, egentlig ikke. Rent statistisk har en cracker en 50/50 chance for at finde adgangskoden i halvt den tid. Mere bekymrende, de folk, der laver adgangskodeknækkere, har andre måder at forbedre deres odds på. Husk hvordan adgangskode var en af de værste adgangskoder at bruge? Gæt hvad der også er en meget dårlig adgangskode? adgangskode, erstatte et tal nul med et bogstav O. Mens password-crackere kører deres almindelige ord fra en ordbog, prøver de også almindelige varianter på disse ord, der erstatter nuller for O'er, @-tegn og 4'er for A'er, 3'er for E'er, 1'er og !'er for I'er, 7'er for T'er 5'er for S'er, og snart. Tilsvarende 0qww294e er en frygtelig adgangskode - det er bare adgangskode flyttet en række op på et standard engelsk tastatur. Disse teknikker forgriber sig på brugernes præferencer for adgangskoder, der er nemme at huske. Desværre gør folk for det meste deres adgangskoder mere uklare, men ikke meget mere sikre ved at erstatte (eller skrive med stort) et tegn eller to i en let at huske term. Faktisk har typiske brugervalgte kodeord på otte tegn med blandet store og små bogstaver, tal og symboler normalt kun omkring 30 bits entropi eller lidt over en milliard mulige kombinationer. Hvorfor? Fordi listen over termer, som folk baserer deres adgangskoder på, er langt mindre end de samlede mulige kombinationer af bogstaver, tal og symboler.
Hvor hurtigt kan adgangskoder brydes? At prøve 1.000 adgangskoder i sekundet kan virke umuligt - trods alt har de fleste tjenester en tendens til at låse os ude af vores egne konti, hvis vi indtaste en adgangskode forkert tre eller fire gange, og ofte nulstille adgangskoden og kræve, at vi besvarer sikkerhedsspørgsmål for at lave en ny en. Disse "gateway"-teknikker gør forbedre kontosikkerheden, og er i øvrigt også en fantastisk blændende nem måde at irritere folk på. (Jeg kan ikke fortælle dig, hvor mange gange jeg er blevet låst ude af min iTunes-konto på grund af adgangskodeangreb, men det er sandsynligvis over hundrede.)
Angribere, der har til hensigt at bryde adgangskoder, banker dog ikke på en tjenestes hoveddør og forsøger (bogstaveligt talt) millioner af gange at logge ind på den samme konto. De bruger enten mindre offentlige godkendelsesmetoder, der ikke er underlagt lockouts (som en privat API til partnere eller apps), og spreder deres angreb på tværs af en bred vifte af konti for at undgå lockoutperioder eller (bedste tilfælde) anvendelse af adgangskodeknækningsteknikker på stjålet adgangskode data. De fleste systemer krypterer de adgangskodedata, de gemmer, men disse krypterede filer er kun lige så sikre som selve systemet. Hvis angribere kan få fingrene i den krypterede adgangskodefil (gennem et sikkerhedshul, kompromitteret maskine, eller social engineering, for det første), kan de angribe den meget hurtigt, når den først er på egen hånd systemer. Det er derfor historier om angribere, der får kontooplysninger (som Stratfor, Epsilon, Sony, og Zappos) er bekymrende. Når først de krypterede data er blevet løsnet, kan angribere anvende meget mere kraftfulde værktøjer til at åbne dem.
I den virkelige verden betyder det, at tallet på 1.000 adgangskoder i sekundet er ekstremt konservativt. Typisk desktop computing hardware i disse dage kan teste millioner af adgangskoder et sekund mod almindelige krypteringsteknologier. På samme måde er der nu adgangskodeknækningsværktøjer, der udnytter grafikprocessorer, og kriminelle botnetoperatører er også i adgangskodeknækningsbranchen. De kan sprede arbejdsbyrden på tusindvis af computere. Kombiner denne rå kraft med sofistikerede heuristik (som at prøve tal- og bogstavvarianter på almindelige ord), og det er ikke usædvanligt at knække en typisk otte-tegns brugeradgangskode på under en halv time.
Skyder os selv i foden
Vi bemærkede ovenfor, hvordan en adgangskode på otte tegn med store bogstaver, små bogstaver, tal og symboler kan have langt over en kvadrillioner mulige kombinationer, men de fleste otte-tegns adgangskoder, der bruges i dag, falder inden for en pulje på kun omkring en milliard kombinationer. Det er fordi mennesker ikke er maskiner. Hvor en computer er tilfreds med at bruge enten skildpadde eller Y&4nS0\2 som en adgangskode, gæt hvilken der er nemmere for et menneske at huske? Gæt nu, hvilken der er mere sikker.
Nogle systemer implementerer adgangskodekrav, der er beregnet til at sikre, at brugere ikke bruger adgangskoder, der let kan knækkes. En almindelig tilgang er at kræve, at brugeradgangskoder skal have mindst ét stort bogstav, ét tal, ét symbol og være mindst otte tegn lange. (Nogle systemer håndhæver ikke krav, men tilbyder en målestok for "adgangskodestyrke" som et mål for, hvor effektiv den mener, at en adgangskode kan være.) Nogle systemer kræver også, at brugerne ændrer deres adgangskoder med mellemrum (f.eks. hver 30. eller 45. dag) og forhindrer dem i at genbruge adgangskoder.
Den slags krav gør øger sikkerheden ved adgangskoder, men de gør også adgangskoderne langt sværere for folk at huske. Det betyder, at en betydelig del af brugerne straks vil finde på måder at undergrave systemets sikkerhed for deres egen bekvemmelighed. Selvfølgelig kan nogle mennesker klare adgangskoder som 9.3nDs(# men masser af andre mennesker kommer til at reagere med adgangskodefyldte klisterlapper på siderne af skærme, noter i deres tegnebøger eller et Microsoft Word-dokument på deres skrivebord, der er hjælpsomt mærket "Adgangskoder", så de kan kopiere og indsætte, når nødvendig. Adgangskodekonstruktionskrav har også en tendens til at skade produktiviteten og øge supportomkostningerne (både for medarbejdere og kunder), da flere mennesker vil glemme deres adgangskoder eller blive låst ude af deres konti, hvilket kræver manual intervention.
Lav komplekse adgangskoder
Den hellige gral af adgangskoder ser så ud til at være en adgangskode, dvs kompleks nok til, at det er upraktisk at crack ved hjælp af automatiserede teknikker, men alligevel let nok til at huske, at brugere ikke kompromitterer sikkerheden ved at opbevare eller administrere dem på en usikker måde.
Her er nogle tips til at lave komplekse adgangskoder, der er nemme at huske:
- Brug lange adgangskoder. Hvis en adgangskode på otte tegn kan have 1,6 kvadrillioner mulige kombinationer, forestil dig, hvor mange en adgangskode på 16 tegn kan have? (Ca. 2,8 non-million, eller 2,830.) Men, måske endnu vigtigere, værdisættet for en adgangskode på 16 tegn, der bruger almindelige termer og variationer er lige under 1,2 kvintillioner, hvor det var lidt over en milliard med et otte tegn adgangskode. Brug af længere adgangskoder er den nemmeste måde at gøre adgangskoder mere komplekse og mere sikre på.
- Brug kombinerede ord. Hvordan laver man lange adgangskoder, der er nemme at huske? En almindelig teknik er at bruge en serie på tre til fem enkle, ingen forbindelse betingelser. Disse er generelt lige så nemme at huske som PIN-numre; kognitivt har folk en tendens til at huske hele ord som enkelte enheder. Disse adgangskoder kan dog være meget komplekse, i det mindste fra synspunktet om adgangskodeknækning. Og disse adgangskoder er nemme at lave bare ved at kigge rundt eller vende en bog til en tilfældig side. Når jeg kigger venstre ud af mit vindue, ser jeg en legetøjsfrø, en bil og vinduet i en andens tekøkken. Nyt kodeord: FrogHubcapCupboard - det er 18 tegn, men kun tre ord at huske. Ser rigtigt ud: RunnerCameraGlueString — fire korte ord, 22 tegn. Jeg har kun brugt store bogstaver til at hjælpe med at skille ord ud. Tilføjelse af flere tegn eller erstatninger kan øge kompleksiteten - bare bliv ikke så kompleks, at du bliver offer for svaghederne ved svære adgangskoder.
- Brug vendinger eller sangtekster. En anden måde at lave lange adgangskoder på er at bruge dele af sætninger eller sangtekster. For tekster er relativt almindelige sange måske bedre end dem, der er særligt vigtige for dig: igen, du vil ikke folk, der kender dig godt for at kunne gætte dine adgangskoder, bare fordi du er stor fan af Michael Bolton (eller ej). Eksempler på adgangskoder lavet af faser eller sangtekster kan være Du er NoJackKennedy (19 tegn), iShotaManinReno (15 tegn), impeepinandimcreepin (20 tegn).
- Brug mnemonics. Ulempen ved lange adgangskoder er, at de kan være svære at skrive, især på en mobilenhed. Et andet trick, som nogle mennesker finder nyttigt til at generere komplekse kortere adgangskoder, er at bruge det første tegn i hvert ord i en sætning eller sangtekst. "Hvor mange veje skal en mand gå ned" kunne blive HmrmamwD—kun otte tegn, men relativt komplekst set fra et kodeordsknækkende programs synspunkt. På samme måde kunne "Shake it, shake it like a polaroid picture" blive SiSiLapp - måske ikke fantastisk, men bedre end skildpadde. Dette trick kan også hjælpe med at generere gode adgangskoder til systemer, der stadig har en grænse for, hvor lange adgangskoder kan være.
Disse retningslinjer vil generelt hjælpe dig med at finde komplekse adgangskoder, der er nemme at huske. Selvfølgelig, når de beskæftiger sig med adgangskodesystemer med krav til sammensætning (hvilket betyder, at de forventer blandede sager, tal eller symboler), skal du stadig finde på funky drejninger på adgangskoder for at opfylde dem krav. Bare husk, at med længere adgangskoder kan du foretage dine erstatninger og ændringer på oplagte steder - normalt er disse lange adgangskoder lettere at huske selv med krav end korte, nonsens adgangskoder.
Et par andre hints
Andre ting at tænke på, når du vælger dine adgangskoder:
- Brug separate adgangskoder til separate tjenester. Brug ikke din adgangskode til det sociale netværk til netbank. Hvis en adgangskode er kompromitteret på én tjeneste, bør de andre være sikre.
- Vælg vigtige adgangskoder omhyggeligt. Single-log-in-systemer kan være enormt praktiske, men skaber også et enkelt fejlpunkt for flere tjenester. Eksempler ville være adgangskoder til konti hos Google, Yahoo og Microsoft-tjenester, hvor en enkelt knækket adgangskode kunne give nogen adgang til e-mail, dokumenter, billeder, sociale netværk, blogs, fotobiblioteker, kontaktlister, adressebøger og mere. På samme måde med så mange websteder (endda Digitale trends) accepterer Facebook- og Twitter-login, kan en kompromitteret adgangskode til sociale netværk have vidtrækkende konsekvenser.
- Skift dine adgangskoder. Det er fristende at tro, at hvis en af dine adgangskoder bliver brudt, vil du vide det med det samme: din e-mail forsvinder, din blog vil blive et sæt lulz-grafik, din Amazon-gaveliste kan være fyldt med pinlige muligheder, din PayPal-konto kan blive ryddet ud. Det er dog ikke altid tilfældet: Hvis nogen knækker din adgangskode, er der måske ikke noget åbenlyst tegn, i hvert fald ikke med det samme. Ved at ændre din adgangskode regelmæssigt sikrer du, at selvom nogen bryder ind, er deres mulighed for at udnytte dig begrænset. Hyppigheden, hvormed du skal ændre adgangskoder, varierer med, hvordan du bruger onlinetjenester. For alt, der involverer rigtige penge, anbefaler jeg generelt, at brugere ændrer deres adgangskoder hver 30. til 90. dag - jo flere penge, jo oftere.
Ingen adgangskode er sikker
Måske er det vigtigste at huske om adgangskoder nogen adgangskode kan knækkes: Det er bare et spørgsmål om, hvor meget tid og kræfter nogen er villig til at lægge i det. Tipsene her hjælper med at reducere chancerne for, at dine adgangskoder bliver udryddet af tilfældige angribere og endda venner og familie, men ingen adgangskode er fuldstændig sikker. Hvis sikker adgang til en tjeneste er meget vigtig for dig, kan du overveje at undersøge forskellige former for multiple-factor autentificering for yderligere at reducere chancerne for uautoriseret adgang.
Billedkredit: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Redaktørernes anbefalinger
- Disse pinlige adgangskoder fik berømtheder hacket
- Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
- Sådan beskytter du en mappe med adgangskode i Windows og macOS
- LastPass afslører, hvordan det blev hacket - og det er ikke gode nyheder
- Reddit blev hacket - her er, hvordan du konfigurerer 2FA for at beskytte din konto
