Jos on olemassa yksi asia, jonka ihmiset yhdistävät moderniin teknologiaan, ne ovat salasanat. Niitä on kaikkialla, ja useimmat meistä käyttävät niitä kymmeniin asioihin joka päivä. Silti useimmat ihmiset ovat järkyttävän välinpitämättömiä salasanansa turvallisuuden suhteen. Useimmat meistä todennäköisesti tuntevat jonkun, joka käyttää samaa salasanaa kaikki, heidän tietokoneestaan ja sähköpostistaan Facebookiin ja pankkitileihinsä – ja tämä salasana saattaa olla jotain yhtä itsestään selvää kuin heidän syntymäpäivänsä tai sen kadun nimi, jolla he kasvoivat. Tiedämme todennäköisesti myös jonkun, jonka näytön kyljessä on tarralappu "Salasanat" punainen, kaksoisalleviivattu), jossa on luettelo kaikesta Twitteristä Netflixiin, joka on kaikkien nähtävillä lukea.
Nämä käytännöt saattavat kuulostaa joltakin isovanhempamme sukupolvelta, mutta se ei ole aivan totta: viime viikolla katsoin D-sukupolven täysivaltainen jäsen, joka yrittää vaihtaa Samsung Galaxy S: stä (er, Fascinate) HTC Rezoundiin kannettavan tietokoneensa kautta tietokone. Kuinka hän siirsi kaikki salasanansa? Hänellä oli lompakkossaan paperi, jossa oli ”kaikki salasanat” – ja ohi
kaikki hän tarkoitti kolme. Toinen sähköpostiin ja sosiaaliseen verkostoitumiseen, toinen hänen isotätinsä sähköpostiin ("Tarkistan sen hänen puolestaan") ja toinen kaikkeen muuhun. Kun katsoi hänen olkapäänsä yli, kaikki kolme olivat jokapäiväisiä sanoja: mophandle,mutiseja, ja lillian. Arvaa mikä oli hänen tätinsä?Suositellut videot
Onneksi on olemassa yksinkertaisia tapoja tehdä salasanoista sekä vaikeasti arvattavia että helposti muistettavia. Valitettavasti, teknologiateollisuus estää joskus niiden käytön. Tässä on yhteenveto yleisistä salasanojen heikkouksista ja joitain tapoja parantaa salasanojasi ja verkkoturvallisuuttasi.
Epäselvyys versus monimutkaisuus
Yleinen totuus salasanoista on, että niiden pitäisi olla ei koskaan on helppo arvata. Useimmat tekniikkataitoiset ihmiset ovat yhtä mieltä siitä, ettei kenenkään pitäisi käyttää tietoja itsestään salasanana: se sisältää syntymäpäivät, osoitteet ja ystävien ja perheen nimet (mukaan lukien vanhemmat, sisarukset, puolisot, lapset ja jopa lemmikit). Samalla lailla, Salasana tekee poikkeuksellisen huonon salasanan - kuten kaikki muutkin yleisesti käytettyjä salasanoja.
Tämän ikivihreän neuvon tulkitaan usein tarkoittavan, että salasanojen pitäisi olla epäselvä, tai termi, jota kukaan ei koskaan uskoisi sinun valitsevasi, jos heillä olisi miljoona vuotta. Kyllä, epäselvä voi toimia – ja se on pirun parempi näky kuin selvän salasanan valitseminen. Epäselvä salasana kuitenkin suojaa sinua vain ihmisiltä, jotka tietävät sinusta jotain. Todennäköisesti useimmat ihmiset yrittävät murtaa salasanasi älä tietää sinut.
Suurin osa salasanan murtamisesta ei tapahdu niin kuin se esitetään elokuvissa, joissa sankarimme (tai Pahis) istuu näppäimistön ääressä, kokeilee lausetta tai paria, hieroo leukaansa ja vakoilee sitten lapsuuden valokuvaa pöytä. Ahaa! Kirjoita taikasana ja presto, turvallisuutta kierretty. Todellisessa maailmassa suurin osa salasanojen murtamisesta on automatisoitua, ja tietokoneet kirjaimellisesti heittämällä jokaisen sanakirjan sanan (ja sitten osan) järjestelmään toivoen törmäävän sen yli oikea termi. Tämä lähestymistapa voi toimia, koska tietokoneet voivat kokeilla salasanoja paljon nopeammin kuin ihmiset voivat kirjoittaa ne, ja ne voivat toimia 24 tuntia vuorokaudessa seitsemänä päivänä viikossa ilman kylpyhuonekatkoja. Automaattiset salasanojen murskaajat eivät tiedä mitään käyttäjistä, joita he yrittävät tehdä kompromisseille: Se on raa'an voiman lähestymistapa.
Joten käy ilmi, että vahvan salasanan avain ei ole se epäselvyys mutta se on monimutkaisuus - asioita, jotka tekevät sen epätodennäköisemmän automaattisen salasanan murskaajan arvaamaksi. Hyvän monimutkaisen salasanan tekeminen tarkoittaa kuitenkin, että tietää vähän siitä, kuinka salasanat rikkoutuvat.
Salasanojen rikkominen
Hyvin yleisellä tasolla salasanojen keksijillä on tyypillisesti kaksi lähestymistapaa. Yksi on kirjaimellisesti kokeilla valmiiksi laadittua luetteloa mahdollisista salasanoista. Ne alkavat yleensä hyvin yleisistä salasanoista (esim Salasana tai qwerty) ja siirtyä vähemmän yleisiin termeihin ja käyttää lopulta online-sanakirjasta ja muista lähteistä koottua sanaluetteloa. Tämä lähestymistapa löytää todennäköisemmin salasanoja, jotka ovat kelvollisia sanoja tai muunnelmia, vaikka ne olisivatkin epäselviä.
Toinen salasanan murtautumistapa on kokeilla kelvollisia kirjainten, numeroiden ja symbolien sarjoja niiden merkityksestä riippumatta. Tätä lähestymistapaa käyttävä salasanan murtaja voi alkaa aaaaaaaa kahdeksanmerkkinen salasana, ja yritä sitten aaaaaaab sitten aaaaaaac ja niin edelleen ylös aakkosissa isojen ja pienten kirjainten sekoituksella sekä numeroiden ja symbolien lisäämisellä. Tämä lähestymistapa löytää todennäköisemmin salasanoja, jotka ovat "koneystävällisiä" tai satunnaisesti luotuja. Pääsykoodi kuten 4De78Hf1 ei ole sen vaikeampaa löytää tämä tapa teini-ikäinen olisi.
Joten, mikä on todennäköisyys, että salasana arvataan? Useimmat nykyään järjestelmät antavat käyttäjien luoda salasanoja käyttämällä kirjaimia (isoja ja pieniä kirjaimia), numeroita ja erilaisia symboleita. Sallitut symbolit vaihtelevat usein eri järjestelmissä (jotkut sallivat melkein kaiken, toiset vain kourallisen), mutta meidän tarkoituksiamme varten oletetaan, että jokainen salasanan merkki voi olla yksi noin 80 arvosta – kaksi aakkosta, joissa kussakin on 26 kirjainta, kymmenen numeroa ja 18 symboleja. (Teoriassa jokaiselle merkille pitäisi olla saatavilla vähintään 127 arvoa, mutta käytännössä se on pienempi luku.)
Puhtaasti raakaa voimaa käyttämällä tämä tarkoittaa, että yhden merkin salasanan satunnaiseen selvittämiseen kuluisi enintään 80 arvausta. Nelimerkkinen salasana voi kestää yli 40 miljoonaa arvausta (80 × 80 × 80 × 80 = 40 960 000) ja kahdeksanmerkkinen salasana 1,6 kvadriljoonaa arvausta (1 677 721 600 000 000).
Jos salasanan murskaaja pystyisi tekemään 1 000 arvausta sekunnissa, se vaatisi noin kuukauden suorittaakseen kaikki nelimerkkisen salasanan yhdistelmät ja yli 53 000 vuotta suorittaaksesi kaikki 8-merkkisen salasanan yhdistelmät. Se näyttää melko turvalliselta, eikö?
No eipä oikeastaan. Puhtaasti tilastollisesti sanottuna krakkaajalla on 50/50 todennäköisyys löytää salasana puoli Tuolloin. Vielä huolestuttavampaa on, että salasanojen keksijillä on muita tapoja parantaa mahdollisuuksiaan. Muista kuinka Salasana oliko yksi huonoimmista salasanoista? Arvaa mikä on myös erittäin huono salasana? Salasana0, O-kirjaimen korvaaminen numerolla nolla. Vaikka salasanojen keksijät käyttävät yleisiä sanojaan sanakirjasta, he kokeilevat myös yleisiä muunnelmia niistä sanoja korvaamalla nollia O: t, @-merkit ja 4:t A: t, 3:t E: t, 1:t ja !:t I: t, 7:t T: t 5:t S: t pian. Samalla lailla, 0qww294e on kauhea salasana - se on vain Salasana siirtyi yhden rivin ylöspäin tavallisella englanninkielisellä näppäimistöllä. Nämä tekniikat ottavat huomioon käyttäjien mieltymyksen helposti muistettavia salasanoja. Valitettavasti ihmiset tekevät salasanoistaan epäselvempiä, mutta eivät paljon turvallisempia korvaamalla (tai kirjoittamalla isoilla kirjaimilla) helposti muistettavassa termissä. Itse asiassa tyypillisissä käyttäjän valitsemissa kahdeksan merkin salasanoissa, joissa on kirjainkokoa, numeroita ja symboleja, on yleensä vain noin 30 bittiä entropiaa tai hieman yli miljardi mahdollista yhdistelmää. Miksi? Koska luettelo termeistä, joihin ihmiset perustavat salasanansa, on paljon pienempi kuin mahdolliset kirjainten, numeroiden ja symbolien yhdistelmät.
Kuinka nopeasti salasanat voidaan rikkoa? 1 000 salasanan kokeileminen sekunnissa saattaa tuntua mahdottomalta – loppujen lopuksi useimmat palvelut yleensä lukitsevat meidät omilta tileiltämme, jos kirjoittaa salasanan väärin kolme tai neljä kertaa, usein nollaten salasanan ja vaatien meitä vastaamaan turvakysymyksiin uuden luomiseksi yksi. Nämä "yhdyskäytävä"-tekniikat tehdä parantaa tilin turvallisuutta, ja muuten ne ovat myös loistava sokaisevan helppo tapa ärsyttää ihmisiä. (En osaa kertoa, kuinka monta kertaa olen joutunut ulos iTunes-tililtäni salasanahyökkäysten vuoksi, mutta luku on todennäköisesti yli sata.)
Salasanojen murtamiseen pyrkivät hyökkääjät eivät kuitenkaan koputa palvelun etuoveen ja yritä (kirjaimellisesti) miljoonia kertoja kirjautua samalle tilille. He joko käyttävät vähemmän julkisia todennusmenetelmiä, jotka eivät ole lukitusten alaisia (kuten kumppaneiden tai sovellusten yksityinen API) ja levittävät hyökkäyksiä useille eri tileille estääkseen työsulkujaksot tai (parhaassa tapauksessa) salasanojen murtotekniikoiden soveltamisen varastettuun salasanaan tiedot. Useimmat järjestelmät salaavat tallentamansa salasanatiedot, mutta nämä salatut tiedostot ovat vain yhtä turvallisia kuin itse järjestelmä. Jos hyökkääjät voivat saada käsiinsä salatun salasanatiedoston (turva-aukon kautta, vaarantunut kone tai sosiaalinen suunnittelu, aluksi) he voivat hyökätä sitä vastaan hyvin nopeasti, kun se on itsestään järjestelmät. Siksi tarinat hyökkääjistä hankkivat tilitietoja (esim Stratfor, Epsilon, Sony, ja Zappos) ovat huolestuttavia. Kun salatut tiedot on poistettu, hyökkääjät voivat käyttää paljon tehokkaampia työkaluja niiden avaamiseen.
Todellisessa maailmassa tämä tarkoittaa, että luku 1000 salasanaa sekunnissa on erittäin varovainen. Tyypillinen pöytätietokonelaitteisto nykyään voi testata miljoonia salasanoista toinen yleisiä salaustekniikoita vastaan. Samoin nyt on olemassa salasanojen murtamiseen tarkoitettuja työkaluja, jotka hyödyntävät näytönohjainta, ja myös rikolliset botnet-operaattorit ovat mukana salasanojen murtamisessa. Ne voivat jakaa työtaakan tuhansien tietokoneiden kesken. Yhdistä tämä raaka voima kehittyneisiin heuristiikkaan (kuten kokeilemalla numero- ja kirjainmuunnelmia yleiset sanat) ja ei ole epätavallista murtaa tyypillinen kahdeksanmerkkinen salasana alle puolessa tunnissa tunnin.
Ammumme itseämme jalkaan
Huomasimme edellä, kuinka kahdeksan merkin salasanalla, jossa on isoja, pieniä kirjaimia, numeroita ja symboleja, voi olla reilusti yli kvadriljoona mahdollista yhdistelmää, mutta useimmat nykyään käytetyt kahdeksanmerkkiset salasanat kuuluvat vain noin miljardin joukkoon yhdistelmiä. Tämä johtuu siitä, että ihmiset eivät ole koneita. Missä tietokonetta on hyvä käyttää kilpikonna tai Y&4nS0\2 salasanaksi, arvaa kumpi ihmisen on helpompi muistaa? Arvaa nyt kumpi on turvallisempi.
Jotkut järjestelmät ottavat käyttöön salasanavaatimukset, joiden tarkoituksena on varmistaa, etteivät käyttäjät käytä helposti murtuvia salasanoja. Yleinen lähestymistapa on vaatia käyttäjien salasanoissa vähintään yksi iso kirjain, yksi numero, yksi symboli ja vähintään kahdeksan merkkiä pitkä. (Jotkin järjestelmät eivät täytä vaatimuksia, mutta tarjoavat "salasanan vahvuuden" mittana, kuinka tehokas salasana sen mielestä voi olla olla.) Jotkin järjestelmät vaativat käyttäjiä myös vaihtamaan salasanansa aina niin usein (esim. 30 tai 45 päivän välein) ja estävät heitä käyttämästä niitä uudelleen. salasanat.
Tällaisia vaatimuksia tehdä lisäävät salasanojen turvallisuutta, mutta ne myös tekevät salasanoista paljon vaikeampaa muistaa. Tämä tarkoittaa, että merkittävä osa käyttäjistä keksii välittömästi tapoja heikentää järjestelmän turvallisuutta oman mukavuuden vuoksi. Toki jotkut ihmiset voivat käsitellä salasanoja, kuten 9.3nDs(# mutta monet muut ihmiset aikovat vastata salasanalla täytetyillä tarralapuilla näyttöjen sivuilla, muistiinpanoilla lompakot tai työpöydällä oleva Microsoft Word -asiakirja, jossa on avulias "salasanat", jotta he voivat kopioida ja liittää, kun tarpeellista. Salasanan rakentamisvaatimukset heikentävät myös tuottavuutta ja lisäävät tukikustannuksia (sekä työntekijöille että asiakkaat), koska useammat ihmiset unohtavat salasanansa tai joutuvat lukituksi tililleen, mikä edellyttää manuaalista käsittelyä väliintuloa.
Monimutkaisten salasanojen tekeminen
Salasanojen Graalin malja näyttäisi silloin olevan salasana, joka on monimutkainen tarpeeksi, että on epäkäytännöllistä murtaa automaattisilla tekniikoilla, mutta silti tarpeeksi helppoa muistaa, että käyttäjät eivät vaaranna turvallisuutta tallentamalla tai hallitsemalla niitä epäturvallisesti.
Tässä on muutamia vinkkejä monimutkaisten ja helposti muistettavien salasanojen tekemiseen:
- Käytä pitkiä salasanoja. Jos kahdeksan merkin salasanassa voi olla 1,6 kvadriljoonaa mahdollista yhdistelmää, kuvittele kuinka monta 16 merkin salasanaa voi olla? (Noin 2,8 miljoonaa tai 2,830.) Mutta mikä ehkä vielä tärkeämpää, 16-merkkisen salasanan arvot, joissa käytetään yleisiä termejä ja vaihtelu on hieman alle 1,2 kvintiljoonaa, kun se oli hieman yli miljardi kahdeksan merkin kanssa Salasana. Pidempien salasanojen käyttäminen on helpoin tapa tehdä salasanoista monimutkaisempia ja turvallisempia.
- Käytä yhdistettyjä sanoja. Kuinka tehdä helposti muistettavia pitkiä salasanoja? Yksi yleinen tekniikka on käyttää kolmesta viiteen yksinkertaista, ei liity toisiinsa ehdot. Nämä ovat yleensä yhtä helppoja muistaa kuin PIN-koodit; Kognitiivisesti ihmisillä on taipumus muistaa kokonaisia sanoja yksittäisinä yksikköinä. Nämä salasanat voivat kuitenkin olla erittäin monimutkaisia, ainakin salasanan murtamisen kannalta. Ja nämä salasanat on helppo tehdä vain katsomalla ympärilleen tai kääntämällä kirja satunnaiselle sivulle. Katsoessani ulos ikkunastani näen lelusammakon, auton ja jonkun keittiön ikkunan. Uusi salasana: FrogHubcapCupboard - Se on 18 merkkiä, mutta vain kolme sanaa muistaa. Oikealta katsottuna: RunnerCameraGlueString — neljä lyhyttä sanaa, 22 merkkiä. Olen käyttänyt vain isoja kirjaimia sanojen erottamiseen. Merkkien tai korvausten lisääminen voi lisätä monimutkaisuutta – älä vain mene niin monimutkaiseksi, että joudut kovien salasanojen heikkouksien uhriksi.
- Käytä lauseita tai sanoituksia. Toinen tapa tehdä pitkiä salasanoja on käyttää lauseita tai sanoituksia. Sanoituksissa suhteellisen yleiset kappaleet ovat ehkä parempia kuin sinulle erityisen tärkeät kappaleet: taas et halua ihmiset, jotka tuntevat sinut hyvin, jotta he voivat arvata salasanasi vain siksi, että olet suuri Michael Boltonin fani (tai et). Esimerkkejä vaiheista tai sanoituksista valmistetuista salasanoista voivat olla Olet NoJackKennedy (19 merkkiä), iShotaManinReno (15 merkkiä), impeepinandimcreepin (20 merkkiä).
- Käytä muistikirjaa. Pitkien salasanojen haittapuoli on, että niitä voi olla vaikea kirjoittaa, etenkin mobiililaitteella. Toinen temppu, jota jotkut ihmiset pitävät hyödyllisenä monimutkaisten lyhyempien salasanojen luomisessa, on käyttää lauseen tai sanoituksen jokaisen sanan ensimmäistä merkkiä. "Kuinka monta tietä ihmisen täytyy kävellä" voisi tulla HmmmmwD— vain kahdeksan merkkiä, mutta suhteellisen monimutkainen salasanan murto-ohjelman kannalta. Samalla tavalla "Ravista, ravista kuin polaroidikuvaa" voisi tulla SiSiLapp - ei ehkä hienoa, mutta parempi kuin kilpikonna. Tämä temppu voi myös auttaa luomaan hyviä salasanoja järjestelmiin, joissa salasanojen pituudelle on edelleen raja.
Nämä ohjeet auttavat sinua yleensä löytämään helposti muistettavia, monimutkaisia salasanoja. Tietenkin, kun käsitellään salasanajärjestelmiä, joissa on kokoonpanovaatimuksia (eli he odottavat kirjainten sekamuotoa, numerot tai symbolit), sinun on silti keksittävä salasanoihin hauskoja käänteitä täyttääksesi ne vaatimukset. Muista vain, että pidemmillä salasanoilla voit tehdä vaihtoja ja muutoksia ilmeisissä paikoissa — yleensä nämä pitkät salasanat on helpompi muistaa jopa vaatimuksilla kuin lyhyet, hölynpölyä salasanat.
Muutamia muita vinkkejä
Muita huomioitavia asioita salasanoja valittaessa:
- Käytä erillisiä salasanoja eri palveluille. Älä käytä sosiaalisen verkoston salasanaasi verkkopankkitoiminnassa. Jos salasana vaarantuu yhdessä palvelussa, muiden tulee olla turvassa.
- Valitse tärkeät salasanat huolellisesti. Kertakirjautumisjärjestelmät voivat olla erittäin käteviä, mutta ne voivat myös luoda yhden vikakohdan useille palveluille. Esimerkkejä ovat Google-, Yahoo- ja Microsoft-palveluiden tilien salasanat, joille yksi murtunut salasana voisi antaa joku käyttää sähköpostia, asiakirjoja, kuvia, sosiaalisia verkostoja, blogeja, valokuvakirjastoja, yhteystietoja, osoitekirjoja ja lisää. Samoin niin monilla sivustoilla (jopa Digitaalitrendit) hyväksymällä Facebook- ja Twitter-kirjautumiset, vaarantuneella sosiaalisen verkoston salasanalla voi olla kauaskantoisia seurauksia.
- Vaihda salasanasi. On houkuttelevaa ajatella, että jos jokin salasanoistasi rikkoutuu, tiedät heti: sähköpostisi katoaa, blogisi tulee joukko lulz-grafiikkaa, Amazon-lahjaluettelosi saattaa olla täynnä kiusallisia vaihtoehtoja, PayPal-tilisi saatetaan tyhjentää ulos. Näin ei kuitenkaan aina ole: Jos joku murtaa salasanasi, siinä ei välttämättä ole mitään selvää merkkiä, ainakaan heti. Vaihtamalla salasanasi säännöllisesti varmistat, että vaikka joku murtautuisi sisään, hänen mahdollisuutensa hyödyntää sinua on rajoitettu. Salasanojen vaihtotiheys vaihtelee verkkopalveluiden käyttötavan mukaan. Kaikessa oikeaa rahaa koskevissa asioissa suosittelen yleensä käyttäjiä vaihtamaan salasanansa 30–90 päivän välein – mitä enemmän rahaa, sitä useammin.
Mikään salasana ei ole turvallinen
Ehkä tärkeintä muistaa salasanoista on se minkä tahansa salasana voidaan murtaa: Kyse on vain siitä, kuinka paljon aikaa ja vaivaa joku on valmis käyttämään siihen. Tässä olevat vinkit auttavat vähentämään todennäköisyyttä, että satunnaiset hyökkääjät ja jopa ystävät ja perheenjäsenet poistavat salasanasi, mutta mikään salasana ei ole täysin turvallinen. Jos palvelun turvallinen käyttö on sinulle erittäin tärkeää, harkitse useiden erilaisten monitekijätodennustapojen tutkimista luvattoman käytön riskin vähentämiseksi.
Kuvan luotto: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Toimittajien suositukset
- Nämä kiusalliset salasanat saivat julkkikset hakkeroitumaan
- Ei, 1Passwordia ei hakkeroitu – tässä on mitä todella tapahtui
- Kuinka suojata kansio salasanalla Windowsissa ja macOS: ssä
- LastPass paljastaa, kuinka se hakkeroitiin - ja se ei ole hyvä uutinen
- Reddit hakkeroitiin – näin voit määrittää 2FA: n tilisi suojaamiseksi
