Provali ovo: Kako odabrati jake lozinke i zadržati ih takvima

korisničko ime i lozinka shutterstock

Ako postoji jedna stvar koju ljudi povezuju s modernom tehnologijom, onda su to lozinke. Posvuda su i većina nas ih koristi za desetke stvari svaki dan. Ipak, većina ljudi je šokantno ravnodušna oko sigurnosti svoje lozinke. Većina nas vjerojatno poznaje nekoga tko koristi istu lozinku za sve, s računala i e-pošte na Facebook i bankovne račune — a ta zaporka može biti nešto tako očito kao što je njihov rođendan ili naziv ulice u kojoj su odrasli. Također vjerojatno poznajemo nekoga tko ima ljepljivu ceduljicu na bočnoj strani monitora s oznakom "Lozinke" (u crveno, dvostruko podcrtano) s popisom svega, od Twittera do Netflixa, koji je otvoren za svakoga čitati.

Ove prakse mogu zvučati kao nešto iz generacije naših baka i djedova, ali to nije točno: prošli tjedan gledao sam punopravni pripadnik generacije D pokušava se prebaciti sa Samsung Galaxy S (hm, Fascinate) na HTC Rezound putem svog prijenosnog računala Računalo. Kako je prebacivao sve svoje lozinke? Imao je komad papira u novčaniku sa "svim njegovim lozinkama" - i kraj

svi mislio je tri. Jedan za e-poštu i društveno umrežavanje, jedan za e-poštu njegove pratete ("Provjeravam za nju") i još jedan za sve ostalo. Gledajući preko ramena, sve tri su bile svakodnevne riječi: mophandle,mrmljač, i lillian. Pogodite koja je bila njegova teta?

Preporučeni videozapisi

Srećom, postoje jednostavni načini da lozinke učinite teškima za pogoditi i lakima za pamćenje. Nažalost, tehnološka industrija ponekad stane na put njihovom korištenju. Evo pregleda uobičajenih slabosti zaporki i nekih načina na koje možete poboljšati svoje zaporke i sigurnost na mreži.

Opskurnost nasuprot složenosti

Uobičajena istina o lozinkama je da bi trebale nikada biti lako pogoditi. Većina tehnički pametnih ljudi slaže se da nitko ne bi trebao koristiti pojedinosti o sebi kao lozinku: To uključuje rođendane, adrese i imena prijatelja i obitelji (uključujući roditelje, braću i sestre, supružnike, djecu i čak i kućni ljubimci). Slično tome, lozinka čini izuzetno lošu lozinku - kao i sve druge često korištene jednokratne lozinke.

Ovaj zimzeleni savjet često se tumači kao da bi lozinke trebale biti nejasan, ili termin za koji nitko ne bi pomislio da bi ga odabrao da ima milijun godina. Da, nejasno može funkcionirati - i to je prokleto bolje od odabira očite lozinke. Međutim, nejasna lozinka štiti vas samo od ljudi koji znaju nešto o vama. Vjerojatno većina ljudi pokušava probiti vaše lozinke nemoj znam te.

Većina provala lozinki ne događa se onako kako je prikazano u filmovima, gdje je naš heroj (ili negativac) sjedi za tipkovnicom, pokušava frazu ili dvije, trlja bradu, a zatim špijunira fotografiju iz djetinjstva stol. Aha! Upišite čarobnu riječ i prijesto, sigurnost zaobiđena. U stvarnom svijetu, velika većina razbijanja lozinki je automatizirana, doslovno s računalima bacanje svake riječi u rječniku (i onda neke) na sustav u nadi da će naići na ispravan izraz. Ovaj pristup može funkcionirati jer računala mogu isprobati lozinke mnogo brže nego što ih ljudi mogu upisati, i mogu raditi 24 sata dnevno, sedam dana u tjednu, bez pauze za kupaonicu. Automatizirani krekeri zaporki ne znaju ništa o korisnicima koje pokušavaju kompromitirati: to je pristup grube sile.

Dakle, pokazalo se da ključ jake lozinke nije njegov nejasnoća ali to je složenost — stvari zbog kojih je manja vjerojatnost da će ih automatizirani kreker zaporke pogoditi. Međutim, napraviti dobru složenu lozinku znači znati ponešto o tome kako se lozinke razbijaju.

shutterstock lozinka ključRazbijanje lozinki

Općenito govoreći, krekeri zaporki obično imaju dva pristupa. Jedan je doslovno isprobati unaprijed sastavljen popis mogućih lozinki. One obično počinju od vrlo uobičajenih lozinki (kao lozinka ili qwerty) i spuštaju se do manje uobičajenih pojmova te na kraju koriste popis riječi sastavljen iz online rječnika i drugih izvora. Veća je vjerojatnost da će ovaj pristup pronaći lozinke koje sadrže važeće riječi ili varijante, čak i ako su nejasne.

Drugi pristup probijanju lozinki je isprobavanje valjanih nizova slova, brojeva i simbola, bez obzira na njihovo značenje. Provaljivač lozinki koji koristi ovaj pristup mogao bi započeti s aaaaaaaa za lozinku od osam znakova, a zatim pokušajte aaaaaaab zatim aaaaaaac i tako dalje po abecedi, kroz miješanje velikih i malih slova, i ubacivanje brojeva i simbola. Veća je vjerojatnost da će ovaj pristup pronaći lozinke koje su "prilagođene stroju" ili nasumično generirane. Šifra poput 4De78Hf1 nije ništa teže pronaći na ovaj način nego tinejdžer bilo bi.

Dakle, koliki su izgledi da se lozinka pogodi? Većina današnjih sustava omogućuje korisnicima stvaranje lozinki pomoću slova (velikih i malih), brojeva i izbora simbola. Dopušteni simboli često se razlikuju od sustava do sustava (neki dopuštaju gotovo sve, drugi dopuštaju samo pregršt), ali za naše potrebe recimo pretpostavimo da to znači da svaki znak u lozinci može biti jedna od oko 80 vrijednosti — dvije abecede po 26 slova svaka, deset brojeva i 18 simboli. (U teoriji bi najmanje 127 vrijednosti trebalo biti dostupno za svaki znak, ali u praksi je to manji broj.)

Korištenjem čisto grubog pristupa, to znači da bi bilo potrebno najviše 80 pogađanja da se nasumično otkrije lozinka od jednog znaka. Lozinka od četiri znaka mogla bi podnijeti više od 40 milijuna pogađanja (80 × 80 × 80 × 80 = 40.960.000), a lozinka od osam znakova mogla bi podnijeti više od 1,6 kvadrilijuna pogađanja (1.677.721.600.000.000).

Kad bi kreker za lozinke mogao pogoditi 1000 puta u sekundi, trebalo bi mu oko mjesec dana da pokrene sve kombinacije lozinke od četiri znaka i više od 53 000 godine za pokretanje svih kombinacija lozinke od 8 znakova. To se čini prilično sigurnim, zar ne?

Pa, ne baš. U čistom statističkom smislu, kreker ima 50/50 šanse da pronađe lozinku u pola to vrijeme. Što je još više zabrinjavajuće, ljudi koji izrađuju alate za probijanje lozinki imaju druge načine poboljšanja svojih izgleda. Sjeti se kako lozinka bila jedna od najgorih lozinki za korištenje? Pogodite koja je također vrlo loša lozinka? Lozinka0rd, zamjena slova O brojem nula. Dok krekeri zaporki pokreću svoje uobičajene riječi iz rječnika, oni također isprobavaju uobičajene varijante na tim riječi, zamjenjujući nule za O, znakove @ i 4 za A, 3 za E, 1 i! za I, 7 za T, 5 za S, i tako dalje. Slično tome, 0qww294e je užasna lozinka - to je jednostavno lozinka pomaknuti za jedan red gore na standardnoj engleskoj tipkovnici. Ove tehnike plijene korisničke preferencije za lozinkama koje se lako pamte. Nažalost, zamjenom (ili velikim slovom) jednog ili dva znaka u pojmu koji se lako pamti, ljudi uglavnom svoje lozinke čine nejasnijima, ali ne i sigurnijima. Zapravo, tipične lozinke od osam znakova koje odabire korisnik s miješanim malim i velikim slovima, brojevima i simbolima obično imaju samo oko 30 bitova entropije ili nešto više od milijardu mogućih kombinacija. Zašto? Zato što je popis pojmova ljudi na kojima ljudi temelje svoje lozinke daleko manji od ukupnih mogućih kombinacija slova, brojeva i simbola.

Koliko brzo se lozinke mogu razbiti? Isprobavanje 1000 lozinki u sekundi moglo bi se činiti nemogućim - naposljetku, većina nas usluga blokira s vlastitih računa ako krivo utipkajte lozinku tri ili četiri puta, često poništavajući lozinku i tražeći od nas da odgovorimo na sigurnosna pitanja kako bismo napravili novu jedan. Ove "gateway" tehnike čini poboljšati sigurnost računa, a uzgred, također su izvrstan zasljepljujuće jednostavan način za živciranje ljudi. (Ne mogu vam reći koliko sam puta bio zaključan s svog iTunes računa zbog napada lozinkom, ali vjerojatno više od stotinu.)

Međutim, napadači s namjerom razbijanja lozinki ne kucaju na ulazna vrata usluge i pokušavaju se (doslovno) milijune puta prijaviti na isti račun. Ili koriste manje javne metode provjere autentičnosti koje ne podliježu zaključavanju (poput privatnog API-ja za partnere ili aplikacije), šireći svoje napadi na širok raspon računa kako bi se izbjegla razdoblja zaključavanja ili (u najboljem slučaju) primjena tehnika probijanja lozinki na ukradenu lozinku podaci. Većina sustava šifrira podatke o lozinkama koje pohranjuje, ali te šifrirane datoteke su sigurne onoliko koliko je siguran i sam sustav. Ako se napadači dočepaju šifrirane datoteke zaporke (kroz sigurnosnu rupu, ugrožena stroj, ili društveni inženjering, za početak) mogu ga napasti vrlo brzo nakon što bude sam sustava. Zato priče o napadačima koji su došli do podataka o računu (kao Stratfor, Epsilon, Sony, i Zappos) zabrinjavaju. Nakon što se šifrirani podaci oslobode, napadači mogu primijeniti mnogo moćnije alate da ih provale.

probijanje lozinki shutterstock

U stvarnom svijetu to znači da je brojka od 1000 lozinki u sekundi vrlo konzervativna. Tipični hardver stolnog računala ovih dana može testirati milijuni lozinki u sekundi protiv uobičajenih tehnologija šifriranja. Slično tome, sada postoje alati za probijanje lozinki koji koriste grafičke procesore, a kriminalni botnet operateri također su u poslu za probijanje lozinki. Oni mogu rasporediti radno opterećenje na tisuće računala. Kombinirajte ovu sirovu snagu sa sofisticiranom heuristikom (poput isprobavanja varijanti brojeva i slova na uobičajene riječi) i nije neuobičajeno probiti tipičnu korisničku lozinku od osam znakova za manje od pola godine sat.

Pucati sebi u stopalo

Gore smo primijetili kako lozinka od osam znakova, s velikim, malim slovima, brojevima i simbolima, može imati više od kvadrilijun mogućih kombinacija, ali većina lozinki od osam znakova koje se danas koriste spada u skupinu od samo oko milijardu kombinacije. To je zato što ljudi nisu strojevi. Gdje je računalo zadovoljstvo koristiti bilo kornjača ili Y&4nS0\2 kao lozinku, pogodite koju je čovjeku lakše zapamtiti? Sada pogodite koji je sigurniji.

Neki sustavi provode zahtjeve za zaporke kako bi se osiguralo da korisnici ne koriste zaporke koje je lako probiti. Uobičajeni pristup je zahtijevati da korisničke lozinke imaju najmanje jedno veliko slovo, jedan broj, jedan simbol i da budu dugačke najmanje osam znakova. (Neki sustavi ne provode zahtjeve, ali nude mjerač "snage lozinke" kao mjeru koliko misle da bi lozinka mogla biti učinkovita biti.) Neki sustavi također zahtijevaju od korisnika da mijenjaju svoje lozinke svako toliko (recimo, svakih 30 ili 45 dana) i sprječavaju njihovu ponovnu upotrebu lozinke.

Ovakvi zahtjevi čini povećavaju sigurnost lozinki, ali također čine lozinke daleko težima za pamćenje. To znači da će značajan dio korisnika odmah smisliti načine za potkopavanje sigurnosti sustava radi vlastite udobnosti. Naravno, neki se ljudi mogu nositi s lozinkama poput 9,3nDs(# ali puno će drugih ljudi odgovoriti ljepljivim bilješkama s lozinkom na stranama monitora, bilješkama u svojim novčanike ili Microsoft Word dokument na njihovoj radnoj površini s korisnom oznakom "Lozinke" kako bi mogli kopirati i zalijepiti kada potrebno. Zahtjevi za konstrukcijom lozinki također imaju tendenciju da štete produktivnosti i povećavaju troškove podrške (i za zaposlenike i za kupaca), budući da će više ljudi zaboraviti svoje lozinke ili biti zaključani sa svojih računa, zahtijevajući ručno intervencija.

Izrada složenih lozinki

Sveti gral lozinki tada bi izgledao kao lozinka koja je kompleks dovoljno da je nepraktično razbiti pomoću automatiziranih tehnika, ali dovoljno lako zapamtiti da korisnici ne ugrožavaju sigurnost pohranjivanjem ili upravljanjem njima na nesiguran način.

Evo nekoliko savjeta za izradu složenih zaporki koje je lako pamtiti:

  • Koristite dugačke lozinke. Ako lozinka od osam znakova može imati 1,6 kvadrilijuna mogućih kombinacija, zamislite koliko lozinka od 16 znakova može imati? (Oko 2,8 nemilijuna, ili 2,830.) Međutim, što je možda još važnije, skup vrijednosti za lozinku od 16 znakova koristeći uobičajene pojmove i varijacija je nešto ispod 1,2 kvintilijuna, gdje je bilo nešto više od milijarde s osam znakova lozinka. Korištenje duljih lozinki najlakši je način da lozinke učinite složenijima i sigurnijima.
  • Koristite kombinirane riječi. Kako napraviti dugačke lozinke koje se lako pamte? Jedna uobičajena tehnika je korištenje niza od tri do pet jednostavnih, nepovezano Pojmovi. Općenito ih je lako zapamtiti kao i PIN brojeve; kognitivno, ljudi imaju tendenciju pamtiti cijele riječi kao pojedinačne jedinice. Međutim, ove lozinke mogu biti vrlo složene, barem sa stajališta probijanja lozinki. A te je lozinke lako napraviti samo gledanjem okolo ili listanjem knjige na nasumično odabranu stranicu. Pogledavši lijevo kroz svoj prozor, vidim igračku žabu, auto i prozor nečije čajne kuhinje. Nova lozinka: FrogHubcapOrmar — to je 18 znakova, ali samo tri riječi koje treba zapamtiti. Gledajući desno: RunnerCameraGlueString — četiri kratke riječi, 22 znaka. Koristio sam samo velika slova da lakše razdvojim riječi. Dodavanje više znakova ili zamjena može povećati složenost - samo nemojte biti toliko složeni da postanete žrtva slabosti teških zaporki.
  • Koristite fraze ili tekstove. Drugi način izrade dugih lozinki je korištenje dijelova fraza ili pjesama. Za tekstove, relativno uobičajene pjesme možda su bolje od onih koje su vam posebno važne: opet, ne želite ljudi koji vas dobro poznaju da bi mogli pogoditi vaše lozinke samo zato što ste veliki obožavatelj Michaela Boltona (ili niste). Primjeri zaporki napravljenih od faza ili riječi mogu biti Ti nisiJackKennedy (19 znakova), iShotaManinReno (15 znakova), impeepinandimcreepin (20 znakova).
  • Koristite mnemotehniku. Loša strana dugih zaporki je to što ih je teško upisati, osobito na mobilnom uređaju. Još jedan trik koji neki ljudi smatraju korisnim za generiranje složenih kraćih lozinki je korištenje prvog znaka svake riječi u frazi ili stihu. Moglo bi postati "kolikim putovima čovjek mora hodati". HmrmamwD—samo osam znakova, ali relativno složen sa stajališta programa za probijanje lozinki. Slično bi moglo postati "Shake it, shake it like a polaroid photo". SiSiLapp — možda ne sjajan, ali bolji od kornjača. Ovaj trik također može pomoći u generiranju dobrih lozinki za sustave koji još uvijek imaju ograničenje dužine lozinki.

Ove će vam smjernice općenito pomoći da smislite složene lozinke koje je lako zapamtiti. Naravno, kada se radi o sustavima zaporki sa zahtjevima za sastav (što znači da očekuju miješana slova, brojevi ili simboli) i dalje ćete morati smisliti čudne zaokrete u lozinkama da biste ih ispunili zahtjevi. Samo zapamtite da s dužim lozinkama možete izvršiti zamjene i promjene na očiglednim mjestima — obično je ove duge lozinke lakše zapamtiti čak i uz zahtjeve nego kratke, besmislice lozinke.

Nekoliko drugih savjeta

Druge stvari o kojima treba razmišljati kada birate zaporke:

  • Koristite zasebne lozinke za zasebne usluge. Nemojte koristiti svoju lozinku za društvene mreže za internetsko bankarstvo. Ako je lozinka ugrožena na jednoj usluzi, ostale bi trebale biti sigurne.
  • Pažljivo birajte važne lozinke. Sustavi jedinstvene prijave mogu biti iznimno praktični, ali također stvaraju jednu točku kvara za više usluga. Primjeri bi bile lozinke za račune na uslugama Google, Yahoo i Microsoft, gdje jedna probijena lozinka može dati nečiji pristup e-pošti, dokumentima, slikama, društvenim mrežama, blogovima, bibliotekama fotografija, popisima kontakata, adresarima i više. Slično tome, s toliko mnogo stranica (čak Digitalni trendovi) prihvaćanje prijava na Facebook i Twitter, ugrožena lozinka za društveno umrežavanje može imati dalekosežne posljedice.
  • Promijenite svoje lozinke. Primamljivo je pomisliti da ćete, ako jedna od vaših lozinki bude razbijena, odmah znati: vaša će e-pošta nestati, vaš će blog postati skup lulz grafika, vaš Amazonov popis darova mogao bi biti ispunjen neugodnim opcijama, vaš PayPal račun bi mogao biti izbrisan van. Međutim, to nije uvijek slučaj: ako netko probije vašu lozinku, možda neće biti nikakvog otvorenog znaka, barem ne odmah. Redovitim mijenjanjem lozinke osiguravate da će, čak i ako netko provali, njegova prilika da vas iskoristi biti ograničena. Učestalost kojom biste trebali mijenjati lozinke ovisi o tome kako koristite mrežne usluge. Za sve što uključuje pravi novac, općenito preporučujem korisnicima da mijenjaju svoje lozinke svakih 30 do 90 dana - što više novca, to češće.

Nijedna lozinka nije sigurna

Možda je najvažnija stvar koju treba zapamtiti o lozinkama bilo koji lozinka se može probiti: samo je pitanje koliko je vremena i truda netko spreman uložiti u to. Ovdje navedeni savjeti pomoći će smanjiti izglede da će vaše lozinke iskorijeniti nasumični napadači, pa čak i prijatelji i obitelj, ali nijedna lozinka nije potpuno sigurna. Ako vam je siguran pristup usluzi vrlo važan, razmislite o različitim oblicima višestruke provjere autentičnosti kako biste dodatno smanjili šanse neovlaštenog pristupa.

Autor slike: Shutterstock / jamdesign / Tatjana Popova / Pedro Miguel Sousa

Preporuke urednika

  • Ove neugodne lozinke hakiraju slavne osobe
  • Ne, 1Password nije hakiran - evo što se stvarno dogodilo
  • Kako lozinkom zaštititi mapu u sustavu Windows i macOS
  • LastPass otkriva kako je hakiran - i to nisu dobre vijesti
  • Reddit je hakiran — evo kako postaviti 2FA da zaštitite svoj račun