Kui on midagi, mida inimesed kaasaegse tehnoloogiaga seostavad, on need paroolid. Neid on kõikjal ja enamik meist kasutab neid iga päev kümnete asjade jaoks. Kuid enamik inimesi on oma paroolide turvalisuse suhtes šokeerivalt ükskõiksed. Tõenäoliselt teab enamik meist kedagi, kes kasutab sama parooli kõike, arvutist ja e-postist Facebooki ja pangakontodele – ja see parool võib olla midagi sama ilmselget nagu nende sünnipäev või tänava nimi, kus nad üles kasvasid. Tõenäoliselt teame ka kedagi, kelle monitori küljel on kleepsus kirjaga "Paroolid" punane, topelt allakriipsutatud) koos loendiga kõigest alates Twitterist kuni Netflixini, mis on lihtsalt kõigile kättesaadav lugeda.
Need tavad võivad kõlada nagu midagi meie vanavanemate põlvkonnast, kuid see pole rangelt tõsi: eelmisel nädalal vaatasin D-põlvkonna täieõiguslik liige, kes üritab oma sülearvuti kaudu Samsung Galaxy S-lt (ee, Fascinate) üle minna HTC Rezoundile arvuti. Kuidas ta kõik oma paroolid teisaldas? Tal oli rahakotis paberitükk "kõikide paroolidega" – ja juba
kõik ta mõtles kolm. Üks meili ja suhtlusvõrgustike jaoks, üks tema vanatädi meili jaoks ("Ma kontrollin seda tema jaoks") ja teine kõige muu jaoks. Üle tema õla vaadates olid kõik kolm igapäevast sõna: mophald,pomiseja, ja lillian. Arva ära, kumb oli tema tädi oma?Soovitatavad videod
Õnneks on olemas lihtsad viisid, kuidas muuta paroolid nii raskesti äraarvatavaks kui ka meeldejäävaks. Kahjuks tehnoloogiatööstus segab mõnikord nende kasutamist. Siin on kokkuvõte levinud paroolide nõrkustest ja mõned viisid, kuidas oma paroole ja võrguohutust parandada.
Ebaselgus versus keerukus
Levinud tõde paroolide kohta on see, et need peaksid olema mitte kunagi olema lihtne ära arvata. Enamik tehnikatundlikke inimesi nõustub, et keegi ei tohiks paroolina enda kohta andmeid kasutada: see hõlmab ka sünnipäevad, aadressid ning sõprade ja pereliikmete nimed (sealhulgas vanemad, õed-vennad, abikaasad, lapsed ja isegi lemmikloomad). Samamoodi parool teeb erakordselt kehva parooli - nagu ka kõik teised tavaliselt kasutatavad paroolid.
Seda igihaljast nõuannet tõlgendatakse sageli nii, et paroolid peaksid olema ebaselge, või termin, mida keegi ei arvaks, et sa valiksid, kui neil oleks miljon aastat. Jah, ebaselge võib töötada – ja see on parem vaade kui ilmselge parooli valimine. Kuid ebaselge parool kaitseb teid ainult inimeste eest, kes teie kohta midagi teavad. Tõenäoliselt üritab enamik inimesi teie paroole murda ära tee tunnen sind.
Enamik paroolide murdmist ei toimu nii, nagu seda kujutatakse filmides, kus Meie kangelane (või Kaabakas) istub klaviatuuri taga, proovib fraasi või paar, hõõrub lõuga ja luurab siis lapsepõlvefotot laud. Ahaa! Sisestage võlusõna ja presto, turvalisusest möödahiilitud. Reaalses maailmas on valdav enamus paroolide murdmisest automatiseeritud, arvutid sõna otseses mõttes visates iga sõna sõnastikus (ja siis mõne) süsteemile lootuses komistada õige termin. Selline lähenemine võib toimida, kuna arvutid saavad proovida paroole palju kiiremini, kui inimesed suudavad neid sisestada, ja nad saavad töötada 24 tundi ööpäevas, seitse päeva nädalas, ilma tualettpausideta. Automaatsed paroolimurdjad ei tea midagi nendest kasutajatest, keda nad üritavad kompromisse teha: see on julm lähenemine.
Seega selgub, et tugeva parooli võti pole see hämarus aga see on keerukus — asjad, mille tõttu automaatne paroolimurdja seda vähem arvab. Hea keerulise parooli loomine tähendab aga pisut teadmist, kuidas paroolid katki lähevad.
Paroolide murdmine
Väga üldiselt on paroolimurdjatel tavaliselt kaks lähenemisviisi. Üks on sõna otseses mõttes proovida võimalike paroolide eelnevalt koostatud loendit. Need algavad tavaliselt väga levinud paroolidest (nt parool või qwerty) ja jõuda vähem levinud terminiteni ning lõpuks kasutada veebisõnastikust ja muudest allikatest koostatud sõnade loendit. See lähenemine leiab tõenäolisemalt paroole, mis on nendelt kehtivad sõnad või variandid, isegi kui need on ebaselged.
Teine paroolimurdmise meetod on proovida kehtivaid tähtede, numbrite ja sümbolite jadasid, olenemata nende tähendusest. Seda lähenemisviisi kasutav paroolimurdja võib alata aaaaaaaa kaheksakohalise parooli jaoks, seejärel proovige aaaaaaab siis aaaaaaac ja nii edasi tähestikku, suur- ja väiketähtede segamise ning numbrite ja sümbolite sisestamise kaudu. See lähenemine leiab tõenäolisemalt paroolid, mis on "masinasõbralikud" või juhuslikult genereeritud. Pääsukood nagu 4De78Hf1 seda teed pole raskem leida kui teismeline oleks.
Niisiis, kui suur on parooli äraarvamise tõenäosus? Enamik tänapäeval võimaldab kasutajatel luua paroole, kasutades tähti (suur- ja väiketähti), numbreid ja erinevaid sümboleid. Lubatavad sümbolid on süsteemideti sageli erinevad (mõned lubavad peaaegu kõike, teised vaid käputäit), kuid meie eesmärkidel oletame, et see tähendab, et parooli iga tähemärk võib olla üks umbes 80 väärtusest – kaks tähestikku, igaüks 26 tähest, kümme numbrit ja 18 sümbolid. (Teoreetiliselt peaks iga tähemärgi jaoks saadaval olema vähemalt 127 väärtust, kuid praktikas on see väiksem arv.)
Puhtalt toore jõuga lähenemine tähendab, et ühekohalise parooli juhuslikuks väljamõtlemiseks kulub maksimaalselt 80 oletust. Neljakohaline parool võib võtta üle 40 miljoni oletuse (80 × 80 × 80 × 80 = 40 960 000) ja kaheksakohaline parool võib võtta üle 1,6 kvadriljoni oletuse (1 677 721 600 000 000).
Kui paroolimurdja suudaks teha 1000 oletust sekundis, kuluks neljakohalise parooli kõigi kombinatsioonide käivitamiseks umbes kuu ja üle 53 000 aastat et käivitada kõik 8-kohalise parooli kombinatsioonid. See tundub üsna turvaline, eks?
No tegelikult mitte. Puhtalt statistilises mõttes on kräkkeril 50/50 võimalus parool leida pool Sel ajal. Veelgi murettekitav on see, et inimestel, kes teevad paroolimurdjaid, on muid võimalusi oma tõenäosust parandada. Pidage meeles, kuidas parool oli üks halvimaid paroole, mida kasutada? Arvake ära, mis on ka väga halb parool? Parool0rd, asendades tähe O numbri nulliga. Kuigi paroolimurdjad kasutavad oma levinud sõnu sõnastikust, proovivad nad ka nende jaoks tavalisi variante sõnad, asendades nullidega O-d, @-märgid ja 4-ga A-d, 3-d E-d, 1-d ja !-d I-d, 7-d T-d 5-d S-de asemel ja nii edasi. Samamoodi 0qww294e on kohutav parool - see on lihtsalt parool nihutatud tavalisel ingliskeelsel klaviatuuril ühe rea võrra ülespoole. Need tehnikad sõltuvad sellest, kuidas kasutajad eelistavad kergesti meeldejäävaid paroole. Kahjuks muudavad inimesed hõlpsasti meeldejäävas terminis ühe või kahe tähemärgi asendamisega (või suurtähtedega) oma paroolid enamasti ebaselgemaks, kuid mitte palju turvalisemaks. Tegelikult on tüüpilistel kasutaja valitud kaheksakohalistel paroolidel, milles on segatud suurtähti, numbreid ja sümboleid, tavaliselt vaid umbes 30 bitti entroopiat ehk veidi üle miljardi võimaliku kombinatsiooni. Miks? Kuna terminite loend, millele inimesed oma paroolid tuginevad, on palju väiksem kui võimalikud tähtede, numbrite ja sümbolite kombinatsioonid.
Kui kiiresti saab paroole murda? 1000 parooli proovimine sekundis võib tunduda võimatu – lõppude lõpuks kipuvad enamik teenuseid meid oma kontodelt lukustama, kui me tippige parool kolm või neli korda valesti, sageli lähtestades parooli ja nõudes meilt uue loomiseks turvaküsimustele vastamist üks. Need "värava" tehnikad teha parandada konto turvalisust ja muide on ka suurepärane pimestavalt lihtne viis inimeste pahandamiseks. (Ma ei oska öelda, mitu korda olen paroolirünnakute tõttu oma iTunesi kontolt välja lülitatud, kuid tõenäoliselt on see üle saja.)
Ründajad, kes soovivad paroole murda, ei koputa siiski teenuse välisuksele ega ürita (sõna otseses mõttes) miljoneid kordi samale kontole sisse logida. Nad kasutavad kas vähem avalikke autentimismeetodeid, mis ei allu lukustamisele (nt partnerite või rakenduste privaatne API), levitades oma rünnakud paljudele kontodele, et vältida lukustusperioode, või (parimal juhul) parooli murdmise tehnika rakendamine varastatud paroolidele andmeid. Enamik süsteeme krüpteerib salvestatud parooliandmed, kuid need krüptitud failid on sama turvalised kui süsteem ise. Kui ründajad saavad krüptitud paroolifaili kätte (läbi turvaaugu, rikutud masin või sotsiaalne insener), võivad nad seda väga kiiresti rünnata, kui see on üksi süsteemid. Seetõttu on lood ründajatest, kes saavad kontoteavet (nt Stratfor, Epsilon, Sonyja Zappos) on murettekitavad. Kui krüptitud andmed on lahti võetud, saavad ründajad nende avamiseks kasutada palju võimsamaid tööriistu.
Reaalses maailmas tähendab see, et 1000 parooli sekundis on äärmiselt konservatiivne. Tänapäeval saab tavalist lauaarvuti riistvara testida miljoneid paroolidest sekund tavaliste krüpteerimistehnoloogiate vastu. Sarnaselt on nüüd olemas paroolimurdmise tööriistad, mis kasutavad graafikaprotsessoreid, ja kuritegelikud botnetioperaatorid tegelevad ka paroolimurdmisega. Nad võivad jagada töökoormuse tuhandete arvutite vahel. Ühendage see toores jõud keeruka heuristikaga (nt numbrite ja tähtede variantide proovimine levinud sõnad) ja pole ebatavaline murda tavaline kaheksakohaline kasutajaparool alla poole ajaga tund.
Tulistame endale jalga
Eespool märkisime, kuidas kaheksakohaline parool võib koos suurtähtedega, väiketähtedega, numbrite ja sümbolitega olla palju suurem kui kvadriljonit võimalikku kombinatsiooni, kuid enamik tänapäeval kasutatavaid kaheksakohalisi paroole mahub vaid umbes miljardi suurusesse kogumi kombinatsioonid. Seda seetõttu, et inimesed ei ole masinad. Kus arvuti on rahul kasutamiseks kilpkonn või Y&4nS0\2 paroolina arvake ära, kumba on inimesel kergem meeles pidada? Nüüd arvake, kumb on turvalisem.
Mõned süsteemid rakendavad paroolinõudeid, mille eesmärk on tagada, et kasutajad ei kasutaks kergesti purunevaid paroole. Levinud lähenemisviis on nõuda, et kasutaja paroolid sisaldaksid vähemalt ühte suurtähte, ühte numbrit, ühte sümbolit ja vähemalt kaheksa tähemärki. (Mõned süsteemid ei jõusta nõudeid, kuid pakuvad parooli tugevuse mõõdikut, mis mõõdab parooli tõhusust. olla.) Mõned süsteemid nõuavad ka kasutajatelt oma paroolide vahetamist iga nii sageli (näiteks iga 30 või 45 päeva järel) ja takistavad neil uuesti kasutada paroolid.
Seda tüüpi nõuded teha suurendavad paroolide turvalisust, kuid muudavad ka paroolide meeldejätmise palju raskemaks. See tähendab, et märkimisväärne osa kasutajatest mõtleb oma mugavuse huvides kohe välja viisid, kuidas süsteemi turvalisust õõnestada. Muidugi saavad mõned inimesed hakkama selliste paroolidega nagu 9.3nDs(# kuid paljud teised inimesed hakkavad vastama paroolidega kleepuvate märkmetega monitoride külgedel. rahakotid või nende töölaual olev Microsoft Wordi dokument, millel on abiks silt "Paroolid", et nad saaksid kopeerida ja kleepida, kui vajalik. Parooli loomise nõuded kipuvad samuti kahjustama tootlikkust ja suurendama tugikulusid (nii töötajate kui ka klientidele), kuna rohkem inimesi unustab oma paroolid või kaotab oma kontodele juurdepääsu, mis nõuab käsitsi sekkumine.
Keeruliste paroolide tegemine
Paroolide Püha Graal näib siis olevat parool, mis on keeruline piisavalt, et automaatsete tehnikate abil on ebapraktiline murda, kuid samas piisavalt lihtne meeles pidada, et kasutajad ei ohusta turvalisust, hoides või haldades neid ebaturvaliselt.
Siin on mõned näpunäited keerukate ja kergesti meeldejäävate paroolide loomiseks.
- Kasutage pikki paroole. Kui kaheksakohalisel paroolil võib olla 1,6 kvadriljonit võimalikku kombinatsiooni, siis kujutage ette, mitu 16-kohalist parooli võib olla? (umbes 2,8 mittemiljonit ehk 2,830.) Kuid võib-olla veelgi olulisem on 16-kohalise parooli väärtuste kogum, mis kasutab tavalisi termineid ja variatsioonid on veidi alla 1,2 kvintiljoni, kus see oli kaheksa märgiga veidi üle miljardi parool. Pikemate paroolide kasutamine on lihtsaim viis paroolide keerukamaks ja turvalisemaks muutmiseks.
- Kasutage kombineeritud sõnu. Kuidas teha kergesti meeldejäävaid pikki paroole? Üks levinud tehnika on kolme kuni viie lihtsa seeria kasutamine, mitteseotud tingimustele. Neid on üldiselt sama lihtne meelde jätta kui PIN-koode; Kognitiivselt kipuvad inimesed mäletama terveid sõnu üksikute ühikutena. Need paroolid võivad aga olla väga keerulised, vähemalt paroolimurdmise seisukohalt. Ja neid paroole on lihtne teha, kui lihtsalt ringi vaadata või raamatut juhuslikule lehele keerata. Aknast välja vaadates näen mänguasja konna, autot ja kellegi kööginurga akent. Uus salasõna: FrogHubcapCupboard - see on 18 tähemärki, kuid meeles pidada ainult kolm sõna. Õigesti vaadates: RunnerCameraGlueString — neli lühikest sõna, 22 tähemärki. Olen sõnade eraldamiseks kasutanud ainult suurtähti. Tähemärkide või asenduste lisamine võib keerukamaks muuta – ärge lihtsalt muutuge nii keeruliseks, et langete karmide paroolide nõrkade külgede ohvriks.
- Kasutage fraase või laulusõnu. Teine viis pikkade paroolide tegemiseks on kasutada fraaside või laulusõnade osi. Laulusõnade jaoks on suhteliselt tavalised laulud ehk paremad kui teie jaoks eriti olulised laulud: jällegi, te ei taha inimesed, kes tunnevad teid hästi, et saaksite teie paroole ära arvata lihtsalt sellepärast, et olete Michael Boltoni suur fänn (või mitte). Faasidest või laulusõnadest koostatud paroolide näited võivad olla Sa oled NoJackKennedy (19 tähemärki), iShotaManinReno (15 tähemärki), impeepinandimcreepin (20 tähemärki).
- Kasutage mnemoonikat. Pikkade paroolide negatiivne külg on see, et nende sisestamine võib olla keeruline, eriti mobiilseadmes. Teine trikk, mida mõned inimesed peavad kasulikuks keerukate lühemate paroolide genereerimiseks, on kasutada fraasis või laulusõnades iga sõna esimest tähemärki. "Mitu teed peab mees läbima" võiks saada HmmmwD—ainult kaheksa tähemärki, kuid paroolimurdmise programmi seisukohalt suhteliselt keeruline. Samamoodi võib saada "Raputage, raputage nagu polaroidpilti". SiSiLapp — võib-olla mitte suurepärane, aga parem kui kilpkonn. See trikk võib samuti aidata luua häid paroole süsteemidele, millel on paroolide pikkusele piirang.
Need juhised aitavad teil üldiselt hõlpsasti meeldejäävaid keerukaid paroole välja mõelda. Muidugi, kui tegemist on kompositsiooninõuetega paroolisüsteemidega (see tähendab, et nad eeldavad segatähtedega, numbrid või sümbolid), peate nende täitmiseks siiski paroolide osas naljakaid pöördeid välja mõtlema nõuded. Pidage meeles, et pikemate paroolidega saate asendusi ja muudatusi teha ilmselgetes kohtades — tavaliselt on neid pikki paroole lihtsam meeles pidada isegi nõuetega kui lühikesi jama paroolid.
Paar muud vihjet
Muud asjad, millele paroolide valimisel mõelda:
- Kasutage eraldi teenuste jaoks eraldi paroole. Ärge kasutage oma suhtlusvõrgustiku parooli Interneti-panganduses. Kui ühe teenuse parool on ohus, peaksid teised olema turvalised.
- Valige olulised paroolid hoolikalt. Ühekordse sisselogimise süsteemid võivad olla tohutult mugavad, kuid tekitada ka ühe tõrkepunkti mitme teenuse jaoks. Näiteks Google'i, Yahoo ja Microsofti teenuste kontode paroolid, mille jaoks võib anda üks murtud parool kellelgi juurdepääs meilidele, dokumentidele, piltidele, suhtlusvõrgustikele, ajaveebidele, fotokogudele, kontaktiloenditele, aadressiraamatutele ja rohkem. Samamoodi nii paljude saitide puhul (isegi Digitaalsed suundumused) Facebooki ja Twitteri sisselogimisi aktsepteerides võib rikutud suhtlusvõrgustiku paroolil olla kaugeleulatuvad tagajärjed.
- Muutke oma paroole. On ahvatlev mõelda, et kui üks teie paroolidest läheb katki, saate kohe teada: teie e-post kaob, teie ajaveeb saada lulz-graafika komplektiks, võib teie Amazoni kingituste loend olla täis piinlikke valikuid, teie PayPali konto võidakse kustutada välja. Kuid see ei ole alati nii: kui keegi murrab teie parooli, ei pruugi sellel olla ühtegi ilmset märki, vähemalt mitte kohe. Muutes oma parooli regulaarselt, tagate, et isegi kui keegi tungib sisse, on tema võimalus teid ära kasutada piiratud. Paroolide muutmise sagedus sõltub võrguteenuste kasutamisest. Kõigi pärisrahaga seotud asjade puhul soovitan kasutajatel üldiselt oma paroole vahetada iga 30–90 päeva tagant – mida rohkem raha, seda sagedamini.
Ükski parool pole ohutu
Võib-olla on see kõige olulisem asi, mida paroolide puhul meeles pidada ükskõik milline parooli saab murda: küsimus on vaid selles, kui palju aega ja vaeva keegi on nõus sellesse panustama. Siin olevad näpunäited aitavad vähendada tõenäosust, et juhuslikud ründajad ning isegi sõbrad ja perekond teie paroolid välja juurivad, kuid ükski parool pole täiesti turvaline. Kui turvaline juurdepääs teenusele on teie jaoks väga oluline, kaaluge mitmefaktorilise autentimise erinevate vormide uurimist, et volitamata juurdepääsu võimalust veelgi vähendada.
Pildi krediit: Shutterstock / jamdesign / Tatjana Popova / Pedro Miguel Sousa
Toimetajate soovitused
- Need piinlikud paroolid häkkisid kuulsused
- Ei, 1 parooli ei häkitud – siin on see, mis tegelikult juhtus
- Kausta parooliga kaitsmine Windowsis ja macOS-is
- LastPass paljastab, kuidas see sisse häkkiti – ja see pole hea uudis
- Reddit häkiti – konto kaitsmiseks 2FA seadistamiseks toimige järgmiselt
