Se c'è una cosa che le persone associano alla tecnologia moderna, sono le password. Sono ovunque e la maggior parte di noi li usa per dozzine di cose ogni giorno. Eppure la maggior parte delle persone è incredibilmente indifferente alla sicurezza della propria password. La maggior parte di noi probabilmente conosce qualcuno che usa la stessa password per qualunque cosa, dal loro computer ed e-mail a Facebook e conti bancari - e quella password potrebbe essere qualcosa di ovvio come il loro compleanno o il nome della strada in cui sono cresciuti. E probabilmente conosciamo anche qualcuno che ha una nota adesiva sul lato del monitor con l'etichetta "Password" (in rosso, doppia sottolineatura) con un elenco di qualsiasi cosa, da Twitter a Netflix, semplicemente aperto a chiunque Leggere.
Queste pratiche potrebbero sembrare qualcosa della generazione dei nostri nonni, ma non è del tutto vero: la scorsa settimana ho visto un membro a pieno titolo della generazione D che cerca di passare da un Samsung Galaxy S (ehm, Fascinate) a un HTC Rezound tramite il suo notebook computer. Come stava spostando tutte le sue password? Aveva un pezzo di carta nel portafoglio con "tutte le sue password" - e via
Tutto lui intendeva tre. Uno per la posta elettronica e i social network, uno per l'e-mail della sua prozia ("Controllo per lei") e un altro per tutto il resto. Guardandosi alle spalle, tutte e tre erano parole quotidiane: mophandle,mormorio, E lilian. Indovina quale era di sua zia?Video consigliati
Fortunatamente, ci sono modi semplici per rendere le password difficili da indovinare e facili da ricordare. Purtroppo, l'industria tecnologica a volte ostacola il loro utilizzo. Ecco una carrellata dei punti deboli comuni delle password e alcuni modi in cui puoi migliorare le tue password e la tua sicurezza online.
Oscurità contro complessità
Una verità comune sulle password è che dovrebbero Mai essere facile da indovinare. La maggior parte delle persone esperte di tecnologia concorda sul fatto che nessuno dovrebbe usare i dettagli su se stessi come password: questo include compleanni, indirizzi e nomi di amici e familiari (inclusi genitori, fratelli, coniugi, figli e anche animali domestici). Allo stesso modo, parola d'ordine crea una password singolarmente scadente, come tutte le altre password usa e getta di uso comune.
Questo consiglio sempreverde viene spesso interpretato nel senso che le password dovrebbero essere oscuro, o un termine che nessuno penserebbe mai che sceglieresti se avessero un milione di anni. Sì, l'oscuro può funzionare ed è dannatamente meglio che scegliere una password ovvia. Tuttavia, una password oscura ti protegge solo dalle persone che sanno qualcosa di te. Le probabilità sono che la maggior parte delle persone cerchi di decifrare le tue password non ti conosco.
La maggior parte del cracking delle password non avviene nel modo in cui viene rappresentato nei film, dove Our Hero (o The Villain) si siede alla tastiera, prova una frase o due, si massaggia il mento, poi spia una foto d'infanzia la scrivania. Ah! Digita la parola magica e presto, sicurezza aggirata. Nel mondo reale, la stragrande maggioranza del cracking delle password è automatizzato, letteralmente con i computer lanciando ogni parola nel dizionario (e poi alcune) in un sistema nella speranza di imbattersi nel termine corretto. Questo approccio può funzionare perché i computer possono provare le password molto più velocemente di quanto gli umani possano digitarle e possono funzionare 24 ore al giorno, sette giorni alla settimana, senza pause per il bagno. I cracker automatici di password non sanno nulla degli utenti che stanno cercando di compromettere: è un approccio di forza bruta.
Quindi, si scopre che una chiave per una password complessa non è la sua oscurità ma è complessità - cose che rendono meno probabile che venga indovinato da un cracker automatico di password. Tuttavia, creare una buona password complessa significa conoscere un po' come si violano le password.
Rompere le password
In termini molto generali, i cracker di password in genere hanno due approcci. Uno è provare letteralmente un elenco precompilato di possibili password. Questi di solito iniziano da password molto comuni (come parola d'ordine O qwerty) e passare a termini meno comuni e infine utilizzare un elenco di parole compilato da un dizionario online e altre fonti. È più probabile che questo approccio trovi password che sono parole o varianti valide, anche se sono oscure.
Un altro approccio per il cracking delle password consiste nel provare sequenze valide di lettere, numeri e simboli, indipendentemente dal loro significato. Un cracker di password che utilizza questo approccio potrebbe iniziare con aaaaaaa per una password di otto caratteri, quindi prova aaaaaab Poi aaaaaac e così via nell'alfabeto, mescolando lettere maiuscole e minuscole, aggiungendo numeri e simboli. È più probabile che questo approccio trovi password "amichevoli per la macchina" o generate casualmente. Un passcode come 4De78Hf1 non è più difficile da trovare in questo modo di adolescente sarebbe.
Quindi, quali sono le probabilità che una password venga indovinata? La maggior parte dei sistemi odierni consente agli utenti di creare password utilizzando lettere (maiuscole e minuscole), numeri e una selezione di simboli. I simboli consentiti spesso variano tra i sistemi (alcuni consentono quasi tutto, altri ne consentono solo una manciata), ma per i nostri scopi facciamolo supponiamo che ciò significhi che ogni carattere in una password può essere uno di circa 80 valori: due alfabeti di 26 lettere ciascuno, dieci numeri e 18 simboli. (In teoria dovrebbero essere disponibili almeno 127 valori per ogni carattere, ma in pratica è un numero inferiore.)
Utilizzando un approccio puramente di forza bruta, ciò significa che occorrerebbero un massimo di 80 ipotesi per capire casualmente una password di un carattere. Una password di quattro caratteri potrebbe richiedere oltre 40 milioni di tentativi (80 × 80 × 80 × 80 = 40.960.000) e una password di otto caratteri potrebbe richiedere oltre 1,6 quadrilioni di tentativi (1.677.721.600.000.000).
Se un cracker di password fosse in grado di effettuare 1.000 ipotesi al secondo, avrebbe bisogno di circa un mese per eseguire tutte le combinazioni di una password di quattro caratteri e oltre 53.000 anni per eseguire tutte le combinazioni di una password di 8 caratteri. Sembra abbastanza sicuro, giusto?
Beh, non proprio. In termini puramente statistici, un cracker ha una probabilità del 50% di trovare la password metà quella volta. Più preoccupante, le persone che creano cracker di password hanno altri modi per migliorare le loro probabilità. Ricorda come parola d'ordine è stata una delle peggiori password da usare? Indovina cos'è anche una pessima password? Password, sostituendo un numero zero per una lettera O. Mentre i cracker di password eseguono le loro parole comuni da un dizionario, stanno anche provando varianti comuni su quelle parole, sostituendo zeri per O, segni @ e 4 per A, 3 per E, 1 e! per I, 7 per T, 5 per S e Presto. Allo stesso modo, 0qww294e è una password terribile - è solo parola d'ordine spostato in alto di una riga su una tastiera inglese standard. Queste tecniche fanno leva sulla preferenza degli utenti per password facili da ricordare. Sfortunatamente, sostituendo (o mettendo in maiuscolo) un carattere o due in un termine facile da ricordare, le persone per lo più rendono le loro password più oscure, ma non molto più sicure. In effetti, le tipiche password di otto caratteri selezionate dall'utente con lettere maiuscole, numeri e simboli di solito hanno solo circa 30 bit di entropia, o poco più di un miliardo di possibili combinazioni. Perché? Perché l'elenco dei termini persone su cui le persone basano le proprie password è molto più piccolo del totale delle possibili combinazioni di lettere, numeri e simboli.
Quanto velocemente possono essere violate le password? Provare 1.000 password al secondo potrebbe sembrare impossibile: dopotutto, la maggior parte dei servizi tende a bloccarci dai nostri account se sbagliare a digitare una password tre o quattro volte, spesso reimpostando la password e richiedendoci di rispondere alle domande di sicurezza per crearne una nuova uno. Queste tecniche "gateway". Fare migliorare la sicurezza dell'account e, per inciso, sono anche un ottimo modo incredibilmente semplice per infastidire le persone. (Non posso dirti quante volte sono stato bloccato fuori dal mio account iTunes da attacchi di password, ma probabilmente sono più di cento.)
Tuttavia, gli aggressori intenti a violare le password non bussano alla porta principale di un servizio e tentano (letteralmente) milioni di volte di accedere allo stesso account. Stanno utilizzando metodi di autenticazione meno pubblici che non sono soggetti a blocchi (come un'API privata per partner o app), diffondendo il loro attacchi su un'ampia gamma di account per evitare periodi di blocco o (nella migliore delle ipotesi) applicando tecniche di cracking della password alla password rubata dati. La maggior parte dei sistemi crittografa i dati delle password che memorizza, ma quei file crittografati sono sicuri solo quanto il sistema stesso. Se gli aggressori riescono a mettere le mani sul file della password crittografato (attraverso una falla di sicurezza, compromessa macchina, o ingegneria sociale, per cominciare) possono attaccarlo molto rapidamente una volta che è da solo sistemi. Ecco perché le storie sugli aggressori che ottengono informazioni sull'account (come Stratford, Epsilon, Sony, E Zappos) sono preoccupanti. Una volta che i dati crittografati sono stati liberati, gli aggressori possono applicare strumenti molto più potenti per aprirli.
Nel mondo reale, ciò significa che la cifra di 1.000 password al secondo è estremamente prudente. L'hardware di elaborazione desktop tipico in questi giorni può testare milioni di password al secondo rispetto alle comuni tecnologie di crittografia. Allo stesso modo, ora ci sono strumenti per il cracking delle password che sfruttano i processori grafici e anche gli operatori di botnet criminali sono nel business del cracking delle password. Possono distribuire il carico di lavoro su migliaia di computer. Combina questa potenza pura con sofisticate euristiche (come provare varianti di numeri e lettere su parole comuni) e non è insolito decifrare una tipica password utente di otto caratteri in meno di mezz'ora ora.
Spararci sui piedi
Abbiamo notato sopra come una password di otto caratteri possa, con lettere maiuscole, minuscole, numeri e simboli, avere ben più di a quadrilioni di possibili combinazioni, ma la maggior parte delle password di otto caratteri in uso oggi rientra in un pool di solo circa un miliardo combinazioni. Questo perché gli esseri umani non sono macchine. Dove un computer si accontenta di usare entrambi tartaruga O Y&4nS0\2 come password, indovina quale è più facile da ricordare per un essere umano? Ora, indovina quale è più sicuro.
Alcuni sistemi implementano requisiti per le password intesi a garantire che gli utenti non utilizzino password facilmente decifrabili. Un approccio comune consiste nel richiedere che le password utente contengano almeno una lettera maiuscola, un numero, un simbolo e siano lunghe almeno otto caratteri. (Alcuni sistemi non impongono requisiti, ma offrono un indicatore della "complessità della password" come misura dell'efficacia che una password potrebbe avere be.) Alcuni sistemi richiedono anche agli utenti di cambiare le loro password ogni tanto (ad esempio, ogni 30 o 45 giorni) e impedire loro di riutilizzare Le password.
Questo tipo di requisiti Fare aumentano la sicurezza delle password, ma rendono anche le password molto più difficili da ricordare per le persone. Ciò significa che una parte significativa degli utenti troverà immediatamente modi per sovvertire la sicurezza del sistema per la propria convenienza. Certo, alcune persone possono far fronte a password come 9.3nDs(# ma molte altre persone risponderanno con note adesive piene di password sui lati dei monitor, note nei loro portafogli o un documento di Microsoft Word sul desktop con l'utile etichetta "Password" in modo che possano copiare e incollare quando necessario. I requisiti di costruzione delle password tendono anche a danneggiare la produttività e ad aumentare i costi di supporto (sia per i dipendenti che per i dipendenti clienti), poiché più persone dimenticheranno le loro password o saranno bloccate dai loro account, richiedendo un manuale intervento.
Creazione di password complesse
Il Santo Graal delle password sembrerebbe quindi essere una password cioè complesso abbastanza da rendere poco pratico il crack utilizzando tecniche automatizzate, ma abbastanza facile da ricordare che gli utenti non compromettono la sicurezza archiviandoli o gestendoli in modo non sicuro.
Ecco alcuni suggerimenti per creare password complesse e facili da ricordare:
- Usa password lunghe. Se una password di otto caratteri può avere 1,6 quadrilioni di combinazioni possibili, immagina quante può avere una password di 16 caratteri? (Circa 2,8 non miliardi, o 2,830.) Tuttavia, forse ancora più importante, l'insieme di valori per una password di 16 caratteri utilizzando termini comuni e variazioni è poco meno di 1,2 quintilioni, dove era poco più di un miliardo con otto caratteri parola d'ordine. L'utilizzo di password più lunghe è il modo più semplice per rendere le password più complesse e più sicure.
- Usa parole combinate. Come creare password lunghe facili da ricordare? Una tecnica comune consiste nell'usare una serie da tre a cinque semplici, non correlato termini. Questi sono generalmente facili da ricordare come i numeri PIN; cognitivamente, le persone tendono a ricordare intere parole come singole unità. Tuttavia, queste password possono essere molto complesse, almeno dal punto di vista del cracking delle password. E queste password sono facili da creare semplicemente guardandosi intorno o sfogliando un libro su una pagina a caso. Guardando a sinistra fuori dalla finestra vedo una rana giocattolo, un'auto e la finestra dell'angolo cottura di qualcuno. Nuova password: FrogHubcapArmadietto - sono 18 caratteri, ma solo tre parole da ricordare. Guardando a destra: CorridoreCameraCollaStringa — quattro parole brevi, 22 caratteri. Ho usato solo lettere maiuscole per facilitare la scomposizione delle parole. L'aggiunta di più caratteri o sostituzioni può aumentare la complessità, ma non diventare così complesso da cadere preda dei punti deboli delle password difficili.
- Usa frasi o testi. Un altro modo per creare password lunghe è utilizzare parti di frasi o testi. Per i testi, le canzoni relativamente comuni sono forse migliori di quelle particolarmente importanti per te: ancora una volta, non vuoi persone che ti conoscono bene per poter indovinare le tue password solo perché sei un grande fan di Michael Bolton (o no). Potrebbero essere esempi di password create da fasi o testi Non sei Jack Kennedy (19 caratteri), iShotaManinReno (15 caratteri), impeepinandimcreepin (20 caratteri).
- Usa mnemonici. Lo svantaggio delle password lunghe è che possono essere difficili da digitare, soprattutto su un dispositivo mobile. Un altro trucco che alcune persone trovano utile per generare password più brevi e complesse è usare il primo carattere di ogni parola in una frase o in un testo. “Quante strade deve percorrere un uomo” potrebbe diventare HmrmamwD—solo otto caratteri, ma relativamente complesso dal punto di vista di un programma di cracking delle password. Allo stesso modo, potrebbe diventare “Shake it, shake it like a polaroid picture”. SiSiLapp - forse non eccezionale, ma migliore di tartaruga. Questo trucco può anche aiutare a generare buone password per i sistemi che hanno ancora un limite alla lunghezza delle password.
Queste linee guida ti aiuteranno generalmente a trovare password complesse e facili da ricordare. Naturalmente, quando si ha a che fare con sistemi di password con requisiti di composizione (ovvero, si aspettano caratteri misti, numeri o simboli) dovrai comunque inventare colpi di scena stravaganti sulle password per soddisfarli requisiti. Ricorda solo che con password più lunghe puoi effettuare sostituzioni e modifiche in punti ovvi: di solito, queste password lunghe sono più facili da ricordare anche con requisiti che brevi, senza senso Le password.
Alcuni altri suggerimenti
Altre cose a cui pensare quando si scelgono le password:
- Utilizzare password separate per servizi separati. Non utilizzare la tua password di social network per l'online banking. Se una password viene compromessa su un servizio, gli altri dovrebbero essere al sicuro.
- Scegli attentamente le password importanti. I sistemi di accesso singolo possono essere estremamente convenienti, ma creano anche un singolo punto di errore per più servizi. Esempi potrebbero essere le password per gli account dei servizi Google, Yahoo e Microsoft, dove una singola password crackata potrebbe dare qualcuno ha accesso a e-mail, documenti, immagini, social network, blog, librerie di foto, elenchi di contatti, rubriche e Di più. Allo stesso modo, con così tanti siti (anche Tendenze digitali) accettando gli accessi a Facebook e Twitter, una password di social network compromessa può avere ripercussioni di vasta portata.
- Cambia le tue password. È allettante pensare che se una delle tue password viene violata, lo saprai subito: la tua email svanirà, il tuo blog diventare un set di grafica lulz, la tua lista dei regali Amazon potrebbe essere piena di opzioni imbarazzanti, il tuo conto PayPal potrebbe essere cancellato fuori. Tuttavia, non è sempre così: se qualcuno viola la tua password, potrebbe non esserci alcun segno evidente, almeno non subito. Cambiando regolarmente la tua password, ti assicuri che, anche se qualcuno si intromette, la sua finestra di opportunità per sfruttarti sia limitata. La frequenza con cui è necessario modificare le password varia in base al modo in cui si utilizzano i servizi online. Per qualsiasi cosa che coinvolga denaro reale, in genere consiglio agli utenti di cambiare le proprie password ogni 30-90 giorni: più soldi ci sono, più spesso.
Nessuna password è sicura
Forse la cosa più importante da ricordare sulle password è questa Qualunque la password può essere violata: è solo una questione di quanto tempo e impegno qualcuno è disposto a dedicarci. I suggerimenti qui aiuteranno a ridurre le probabilità che le tue password vengano sradicate da aggressori casuali e persino da amici e familiari, ma nessuna password è completamente sicura. Se l'accesso sicuro a un servizio è molto importante per te, prendi in considerazione la possibilità di esaminare varie forme di autenticazione a più fattori per ridurre ulteriormente le possibilità di accesso non autorizzato.
Credito immagine: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Raccomandazioni della redazione
- Queste password imbarazzanti hanno fatto hackerare le celebrità
- No, 1Password non è stato violato: ecco cosa è successo davvero
- Come proteggere con password una cartella in Windows e macOS
- LastPass rivela come è stato violato e non è una buona notizia
- Reddit è stato violato: ecco come impostare 2FA per proteggere il tuo account
