Ha van valami, amit az emberek a modern technológiával társítanak, az a jelszavak. Mindenhol ott vannak, és legtöbbünk minden nap tucatnyi dologra használja őket. A legtöbb ember azonban megdöbbentően közömbös jelszavai biztonságát illetően. A legtöbben valószínűleg ismerünk valakit, aki ugyanazt a jelszót használja minden, a számítógépükről és az e-mailjükről a Facebook- és bankszámlájukra – és ez a jelszó olyan nyilvánvaló dolog lehet, mint a születésnapjuk vagy az utca neve, ahol felnőttek. Valószínűleg ismerünk valakit, akinek a monitor oldalán egy „Jelszavak” feliratú cetlik van (a piros, duplán aláhúzott) listával a Twittertől a Netflixig, amely mindenki számára elérhető olvas.
Lehet, hogy ezek a gyakorlatok úgy hangzanak, mintha a nagyszüleink generációjából származna, de ez nem teljesen igaz: a múlt héten megnéztem egy a D generáció teljes jogú tagja, aki a notebookján keresztül próbál átváltani Samsung Galaxy S-ről (öh, Fascinate) egy HTC Rezoundra számítógép. Hogyan helyezte át az összes jelszavát? A tárcájában volt egy darab papír, benne „minden jelszavával” – és addigra
minden úgy értette három. Az egyik az e-mailekhez és a közösségi hálózatokhoz, egy a nagynénje e-mailjéhez ("Megnézem neki"), a másik pedig minden máshoz. A válla fölött végignézve mindhárom mindennapi szó volt: kilincs,motyogó, és lillian. Találd ki, melyik volt a nagynénjé?Ajánlott videók
Szerencsére vannak egyszerű módszerek a jelszavak nehezen kitalálhatóvá és könnyen megjegyezhetővé tételére. Sajnálatos módon, a technológiai ipar néha útjába áll ezek használatának. Íme egy összefoglaló a jelszavak gyakori gyengeségeiről, valamint néhány módszerről, amellyel javíthatja jelszavait és online biztonságát.
Homály kontra bonyolultság
A jelszavakkal kapcsolatban általános közhely, hogy kell soha legyen könnyű kitalálni. A legtöbb műszakilag hozzáértő ember egyetért abban, hogy senki ne használjon saját adatait jelszóként: Ez magában foglalja születésnapok, címek és barátok és családtagok nevei (beleértve a szülőket, testvéreket, házastársakat, gyermekeket és akár háziállatok is). Hasonlóképpen, Jelszó kivételesen rossz jelszót ad – akárcsak az összes többi gyakran használt eldobható jelszavak.
Ezt az örökzöld tanácsot gyakran úgy értelmezik, hogy a jelszavaknak ilyeneknek kell lenniük homályos, vagy egy olyan kifejezés, amelyet soha senki nem gondolna, hogy választana, ha lenne egymillió éve. Igen, a homályos funkció működhet – és ez átkozottul jobb látvány, mint egy nyilvánvaló jelszó kiválasztása. A homályos jelszó azonban csak azoktól véd meg, akik tudnak rólad valamit. Valószínűleg a legtöbb ember megpróbálja feltörni a jelszavait ne ismerlek.
A legtöbb jelszófeltörés nem úgy történik, ahogy azt a filmekben bemutatják, ahol a Hősünk (vagy a Gazember) a billentyűzethez ül, megpróbál egy-két mondatot, megdörzsöli az állát, majd kémkedik egy gyerekkori fotón az asztal. Aha! Írja be a varázsszót és gyors, a biztonságot megkerülték. A való világban a jelszavak feltörésének túlnyomó többsége automatizált, a számítógépek szó szerint a szótár minden szavát (majd néhányat) egy rendszerre dobva abban a reményben, hogy belebotlik a helyes kifejezés. Ez a megközelítés azért működhet, mert a számítógépek sokkal gyorsabban próbálják ki a jelszavakat, mint az emberek, és a nap 24 órájában, a hét minden napján, fürdőszobai szünetek nélkül futhatnak. Az automatizált jelszótörők semmit sem tudnak azokról a felhasználókról, akikkel kompromisszumot akarnak kötni: ez egy brute-force megközelítés.
Tehát kiderül, hogy az erős jelszó kulcsa nem az homály de ez bonyolultság - olyan dolgok, amelyek miatt kevésbé valószínű, hogy egy automata jelszótörő kitalálja. Egy jó összetett jelszó elkészítése azonban azt jelenti, hogy ismerjük egy kicsit a jelszavak törésének módját.
Jelszavak feltörése
Általánosságban elmondható, hogy a jelszótörőknek általában két megközelítése van. Az egyik az, hogy szó szerint megpróbáljuk a lehetséges jelszavak előre összeállított listáját. Ezek általában nagyon gyakori jelszavakból indulnak ki (pl Jelszó vagy qwerty). Ez a megközelítés nagyobb valószínűséggel talál olyan jelszavakat, amelyek érvényes szavak vagy változatok rajtuk, még akkor is, ha homályosak.
Egy másik jelszófeltörési módszer az érvényes betű-, szám- és szimbólumsorozatok kipróbálása, függetlenül azok jelentésétől. Az ezt a megközelítést alkalmazó jelszótörő kezdődhet aaaaaaaa nyolc karakterből álló jelszóhoz, majd próbálkozzon aaaaaaab akkor aaaaaaac és így tovább az ábécéig, a kis- és nagybetűk keverésével, valamint a számok és szimbólumok bedobásával. Ez a megközelítés nagyobb valószínűséggel talál „gépbarát” vagy véletlenszerűen generált jelszavakat. Olyan jelkód, mint 4De78Hf1 nem nehezebb megtalálni ezt az utat tizenéves lenne.
Szóval, mekkora az esélye annak, hogy egy jelszót kitalálnak? Manapság a legtöbb rendszer lehetővé teszi a felhasználók számára, hogy jelszavakat hozzanak létre betűk (kis- és nagybetűk), számok és szimbólumok segítségével. Az engedélyezett szimbólumok rendszerenként változnak (egyesek szinte bármit megengednek, mások csak egy maroknyit), de a mi célunk érdekében tegyük fel, hogy ez azt jelenti, hogy a jelszó minden karaktere körülbelül 80 érték valamelyike lehet – két ábécé, egyenként 26 betűből, tíz számból és 18-ból. szimbólumok. (Elméletileg minden karakterhez legalább 127 értéknek kell rendelkezésre állnia, de a gyakorlatban ez egy kisebb szám.)
A tisztán brute force megközelítést alkalmazva ez azt jelenti, hogy legfeljebb 80 találgatásra lenne szükség egy egykarakteres jelszó véletlenszerű kitalálásához. Egy négy karakterből álló jelszó több mint 40 millió találgatást (80 × 80 × 80 × 80 = 40 960 000), egy nyolc karakterből álló jelszó pedig 1,6 kvadrillió találgatást (1 677 721 600 000 000).
Ha egy jelszótörő másodpercenként 1000 tippet tudna végezni, körülbelül egy hónapra lenne szüksége a négykarakteres jelszó összes kombinációjának futtatásához, és több mint 53 000 évek a 8 karakteres jelszó összes kombinációjának futtatásához. Ez elég biztonságosnak tűnik, igaz?
Nos, nem igazán. Pusztán statisztikai értelemben egy crackernek 50/50 az esélye, hogy megtalálja a jelszót fél Abban az időben. Még aggasztóbb, hogy a jelszótörőket gyártó emberek más módon is javíthatják esélyeiket. Ne feledje, hogyan Jelszó volt az egyik legrosszabb használt jelszó? Találd ki, mi is a nagyon rossz jelszó? Jelszó0, nulla szám behelyettesítése O betűre. Míg a jelszótörők szótárból futtatják a gyakori szavaikat, próbálkoznak ezeken a gyakori változatokkal is szavakat, nullákkal helyettesítve az O-kat, @ jelekkel és 4-gyel az A-t, 3-ast az E-t, 1-et és !-t az I-t, 7-et a T-t 5-öt az S-t, és hamar. Hasonlóképpen, 0qww294e egy szörnyű jelszó – ez csak Jelszó egy sorral feljebb tolva egy szabványos angol billentyűzeten. Ezek a technikák a felhasználók könnyen megjegyezhető jelszavakat preferálják. Sajnos egy-két karakter helyettesítésével (vagy nagybetűvel) egy könnyen megjegyezhető kifejezésben az emberek többnyire homályosabbá teszik jelszavaikat, de nem sokkal biztonságosabbá. Valójában a felhasználók által kiválasztott, nyolc karakterből álló, vegyes kis- és nagybetűket, számokat és szimbólumokat tartalmazó jelszavak általában csak körülbelül 30 bites entrópiával rendelkeznek, vagy valamivel több mint egymilliárd lehetséges kombinációval rendelkeznek. Miért? Mert a kifejezések listája, amelyekre az emberek jelszavaikat alapozzák, sokkal kisebb, mint a betűk, számok és szimbólumok összes lehetséges kombinációja.
Milyen gyorsan törhetők fel a jelszavak? Másodpercenként 1000 jelszó kipróbálása lehetetlennek tűnhet – elvégre a legtöbb szolgáltatás hajlamos kizárni minket a saját fiókunkból, ha háromszor vagy négyszer rosszul írja be a jelszót, gyakran visszaállítja a jelszót, és megköveteli tőlünk, hogy válaszoljunk a biztonsági kérdésekre, hogy új jelszót készítsünk. egy. Ezek az „átjáró” technikák csináld javítja a fiók biztonságát, és mellesleg nagyszerű módja annak, hogy bosszantsa az embereket. (Nem tudom megmondani, hányszor zártak ki az iTunes-fiókomból jelszótámadások, de valószínűleg több mint száz.)
A jelszavakat feltörni szándékozó támadók azonban nem kopogtatnak be egy szolgáltatás bejárati ajtaján, és nem próbálnak (szó szerint) milliószor bejelentkezni ugyanabba a fiókba. Vagy kevésbé nyilvános hitelesítési módszereket használnak, amelyek nincsenek kizárva (például privát API-t a partnerek vagy alkalmazások számára), így terjesztik fiókok széles körét érintő támadások a zárolási időszakok elkerülése érdekében, vagy (legjobb esetben) jelszófeltörési technikák alkalmazása az ellopott jelszavakra adat. A legtöbb rendszer titkosítja az általa tárolt jelszóadatokat, de ezek a titkosított fájlok csak annyira biztonságosak, mint maga a rendszer. Ha a támadók hozzájuthatnak a titkosított jelszófájlhoz (biztonsági résen keresztül, feltörve gép, vagy social engineering, kezdésként) nagyon gyorsan megtámadhatják, ha már önálló rendszerek. Ez az oka annak, hogy a támadókról szóló történetek fiókadatokhoz jutnak (pl Stratfor, Epsilon, Sony, és Zappos) aggasztóak. Miután a titkosított adatokat felszabadították, a támadók sokkal hatékonyabb eszközöket alkalmazhatnak a feltörésére.
A való világban ez azt jelenti, hogy a másodpercenkénti 1000 jelszó rendkívül konzervatív. A manapság tipikus asztali számítógépes hardverek tesztelhetik milliókat a jelszavak egy másodpercre az elterjedt titkosítási technológiákkal szemben. Hasonlóképpen, ma már léteznek olyan jelszófeltörő eszközök, amelyek grafikus processzorokat használnak, és a bűnöző botnet-üzemeltetők is a jelszavak feltörésével foglalkoznak. Megoszthatják a munkaterhelést több ezer számítógép között. Kombinálja ezt a nyers erőt kifinomult heurisztikával (például szám- és betűváltozatok kipróbálása gyakori szavak), és nem szokatlan egy tipikus nyolc karakterből álló felhasználói jelszó fél perc alatt feltörni óra.
Lábon lőni magunkat
Fentebb megjegyeztük, hogy egy nyolc karakteres jelszó – nagybetűkkel, kisbetűkkel, számokkal és szimbólumokkal – jóval több mint kvadrillió lehetséges kombináció, de a legtöbb manapság használt nyolc karakterből álló jelszó csak egymilliárdból áll. kombinációk. Ez azért van, mert az emberek nem gépek. Ahol egy számítógép is elégedett a használattal teknős vagy Y&4nS0\2 mint jelszó, találd ki, melyiket jegyezheti meg könnyebben az ember? Most találd ki, melyik a biztonságosabb.
Egyes rendszerek jelszókövetelményeket alkalmaznak annak biztosítására, hogy a felhasználók ne használjanak könnyen feltörhető jelszavakat. Egy általános megközelítés szerint a felhasználói jelszavaknak legalább egy nagybetűt, egy számot, egy szimbólumot kell tartalmazniuk, és legalább nyolc karakter hosszúak. (Egyes rendszerek nem kényszerítik ki a követelményeket, de felkínálják a „jelszó erősségének” mértékét annak mérésére, hogy szerintük mennyire hatékony lehet egy jelszó Egyes rendszerek megkövetelik a felhasználóktól, hogy időnként (például 30 vagy 45 naponta) módosítsák jelszavaikat, és megakadályozzák, hogy jelszavakat.
Az ilyen követelmények csináld növelik a jelszavak biztonságát, de sokkal nehezebbé teszik a jelszavak megjegyezését. Ez azt jelenti, hogy a felhasználók jelentős része azonnal olyan módszerekkel fog előállni, amelyekkel felforgathatja a rendszer biztonságát saját kényelme érdekében. Persze, néhány ember megbirkózik az olyan jelszavakkal, mint pl 9.3nDs(# de sokan mások jelszóval megtöltött cetlikekkel fognak válaszolni a monitorok oldalán, pénztárcák, vagy egy Microsoft Word dokumentum az asztalukon, amely segítőkészen „Jelszavak” felirattal van ellátva, így másolhatják és beilleszthetik, amikor szükséges. A jelszó-szerkesztési követelmények általában rontják a termelékenységet és növelik a támogatási költségeket (mind az alkalmazottak, mind a ügyfelek), mivel többen felejtik el jelszavukat, vagy zárják ki fiókjukat, amihez manuálisan kell beállítani közbelépés.
Összetett jelszavak készítése
A jelszavak Szent Grálja akkor olyan jelszónak tűnhet, ami az összetett elég ahhoz, hogy nem praktikus feltörni automatizált technikákkal, ugyanakkor elég könnyű megjegyezni, hogy a felhasználók nem veszélyeztetik a biztonságot azzal, hogy nem biztonságosan tárolják vagy kezelik őket.
Íme néhány tipp az összetett, könnyen megjegyezhető jelszavak készítéséhez:
- Használjon hosszú jelszavakat. Ha egy nyolc karakterből álló jelszónak 1,6 kvadrillió lehetséges kombinációja lehet, képzelje el, mennyi lehet egy 16 karakterből álló jelszó? (Körülbelül 2,8 millió vagy 2,830.) Ami azonban talán még fontosabb, a 16 karakteres jelszó értékkészlete általános kifejezéseket és eltérések alig 1,2 kvintimillió alatt vannak, ahol alig több mint egy milliárd egy nyolc karakterből álló Jelszó. A hosszabb jelszavak használata a legegyszerűbb módja annak, hogy a jelszavakat összetettebbé és biztonságosabbá tegye.
- Használjon kombinált szavakat. Hogyan készítsünk könnyen megjegyezhető hosszú jelszavakat? Az egyik gyakori technika három-öt egyszerű sorozat használata, nem rokon feltételeket. Ezek általában olyan könnyen megjegyezhetők, mint a PIN-számok; kognitív szempontból az emberek hajlamosak az egész szavakra egyetlen egységként emlékezni. Ezek a jelszavak azonban nagyon összetettek lehetnek, legalábbis a jelszó feltörése szempontjából. Ezeket a jelszavakat pedig könnyű elkészíteni, ha körbenéz, vagy egy könyvet egy véletlenszerű oldalra forgat. Ha kinézek az ablakomon, egy játékbékát látok, egy autót és valakinek a konyhájának ablakát. Új jelszó: FrogHubcapCupboard - ez 18 karakter, de csak három szót kell megjegyezni. Jobbra nézve: RunnerCameraGlueString — négy rövid szó, 22 karakter. Csak a nagybetűket használtam a szavak kibontására. További karakterek hozzáadása vagy helyettesítése növelheti a bonyolultságot – csak ne legyen olyan bonyolult, hogy a kemény jelszavak gyengeségei áldozatává váljon.
- Használjon kifejezéseket vagy szövegeket. A hosszú jelszavak készítésének másik módja a kifejezések vagy szövegrészek használata. A dalszövegeknél a viszonylag gyakori dalok talán jobbak, mint a számodra különösen fontos dalok: megint csak nem akarod olyan emberek, akik jól ismernek téged, hogy kitalálhassák a jelszavaidat, csak mert Michael Bolton nagy rajongója vagy (vagy nem). Példák a fázisokból vagy dalszövegekből készült jelszavakra Te vagy NoJackKennedy (19 karakter), iShotaManinReno (15 karakter), impeepinandimcreepin (20 karakter).
- Használj mnemonikat. A hosszú jelszavak hátránya, hogy nehéz lehet begépelni őket, különösen mobileszközön. Egy másik trükk, amelyet egyesek hasznosnak találnak összetett, rövidebb jelszavak generálásához, hogy minden szó első karakterét használják egy kifejezésben vagy szövegben. „Hány úton kell végigmennie egy embernek” válhat belőle HmmmwD-csak nyolc karakter, de egy jelszófeltörő program szempontjából viszonylag bonyolult. Hasonlóképpen válhat a „Rázd meg, rázd úgy, mint egy polaroid képet”. SiSiLapp - Talán nem nagyszerű, de jobb annál teknős. Ez a trükk is segíthet jó jelszavak létrehozásában olyan rendszerek számára, amelyeknél még mindig van korlát a jelszavak hosszúságára vonatkozóan.
Ezek az irányelvek általában segítenek könnyen megjegyezhető, összetett jelszavak kidolgozásában. Természetesen, ha összetételi követelményeket támasztó jelszórendszerekkel foglalkozunk (vagyis vegyes kis- és nagybetűket várnak, számok vagy szimbólumok), akkor is funky csavarokat kell kitalálnia a jelszavakon, hogy teljesítse ezeket követelményeknek. Ne feledje, hogy hosszabb jelszavakkal nyilvánvaló helyeken hajthatja végre a helyettesítéseket és változtatásokat – Általában ezeket a hosszú jelszavakat könnyebb megjegyezni még követelmények mellett is, mint a rövid, értelmetleneket jelszavakat.
Még néhány tipp
A jelszavak kiválasztásakor figyelembe kell venni egyéb szempontokat:
- Különálló szolgáltatásokhoz használjon külön jelszavakat. Ne használja közösségi hálózatához tartozó jelszavát online banki szolgáltatásokhoz. Ha az egyik szolgáltatásban feltörtek egy jelszót, a többinek biztonságban kell lennie.
- Gondosan válassza ki a fontos jelszavakat. Az egyszeri bejelentkezési rendszerek rendkívül kényelmesek lehetnek, de több szolgáltatás egyetlen hibapontját is létrehozhatják. Ilyenek például a Google, a Yahoo és a Microsoft szolgáltatások fiókjainak jelszavai, ahol egyetlen feltört jelszó is megadható valaki hozzáférhet e-mailekhez, dokumentumokhoz, képekhez, közösségi hálózatokhoz, blogokhoz, fényképkönyvtárhoz, névjegyzékhez, címjegyzékhez és több. Hasonlóképpen sok webhelyen (még Digitális trendek) elfogadja a Facebook- és Twitter-bejelentkezéseket, egy kompromittált közösségi hálózati jelszónak messzemenő következményei lehetnek.
- Változtassa meg jelszavait. Csábító azt gondolni, hogy ha valamelyik jelszavad eltörik, azonnal tudni fogod: az e-mailed eltűnik, a blogod lulz grafika készletévé válhat, az Amazon-ajándéklistája megtelhet kínos lehetőségekkel, a PayPal-fiókja törölve lehet ki. Ez azonban nem mindig van így: ha valaki feltöri a jelszavát, előfordulhat, hogy nem lesz nyilvánvaló jel, legalábbis nem azonnal. Jelszava rendszeres megváltoztatásával biztosíthatja, hogy még ha valaki betör is, korlátozott legyen a lehetősége az Ön kihasználására. A jelszavak módosításának gyakorisága az online szolgáltatások használatától függően változik. Minden valódi pénzzel kapcsolatos dolog esetén általában azt javaslom a felhasználóknak, hogy 30-90 naponként változtassák meg jelszavaikat – minél több pénz, annál gyakrabban.
Egy jelszó sem biztonságos
Talán a legfontosabb dolog, amit a jelszavakkal kapcsolatban emlékezni kell, az Bármi a jelszó feltörhető: Csak az a kérdés, hogy valaki mennyi időt és energiát hajlandó rá fektetni. Az itt található tippek segítenek csökkenteni annak az esélyét, hogy jelszavait véletlenszerű támadók, sőt barátok és családtagok is kitöröljék, de egyik jelszó sem teljesen biztonságos. Ha nagyon fontos Önnek egy szolgáltatáshoz való biztonságos hozzáférés, fontolja meg a többtényezős hitelesítés különféle formáit, hogy tovább csökkentse az illetéktelen hozzáférés esélyét.
Kép jóváírása: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Szerkesztői ajánlások
- Ezekkel a kínos jelszavakkal hírességeket törtek fel
- Nem, az 1Password-ot nem törték fel – ez történt valójában
- Hogyan lehet jelszóval védeni egy mappát Windows és macOS rendszerben
- A LastPass feltárja, hogyan törték fel – és ez nem jó hír
- A Reddit feltörték – így állíthatja be a 2FA-t fiókja védelme érdekében