Jei yra vienas dalykas, kurį žmonės asocijuoja su šiuolaikinėmis technologijomis, tai yra slaptažodžiai. Jų yra visur, ir dauguma iš mūsų kasdien jas naudoja daugybei dalykų. Tačiau dauguma žmonių yra šokiruojančiai abejingi savo slaptažodžių saugumui. Daugelis iš mūsų tikriausiai žino ką nors, kas naudoja tą patį slaptažodį viskas, iš kompiuterio ir el. pašto į „Facebook“ ir banko sąskaitas – ir tas slaptažodis gali būti toks pat akivaizdus kaip jų gimtadienis ar gatvės, kurioje jie užaugo, pavadinimas. Taip pat tikriausiai žinome ką nors, kurio monitoriaus šone yra lipnus lapelis su užrašu „Slaptažodžiai“ raudona, du kartus pabraukta) su visko sąrašu – nuo „Twitter“ iki „Netflix“ – tiesiog visiems skaityti.
Ši praktika gali atrodyti kaip kažkas iš mūsų senelių kartos, bet tai nėra visiškai tiesa: praėjusią savaitę žiūrėjau pilnas D kartos narys, bandantis per savo nešiojamąjį kompiuterį pereiti nuo Samsung Galaxy S (er, Fascinate) prie HTC Rezound kompiuteris. Kaip jis perkėlė visus savo slaptažodžius? Piniginėje jis turėjo popieriaus lapą su „visais slaptažodžiais“ – ir iki šiol
visi jis turėjo omenyje trys. Vienas skirtas el. paštui ir socialiniams tinklams, kitas – jo didžiosios tetos el. paštui („Patikrinu ją“), o kitas – viskam. Žvelgiant jam per petį, visi trys buvo kasdieniai žodžiai: antgalis,murmėjus, ir lillianas. Atspėk, kuri buvo jo tetos?Rekomenduojami vaizdo įrašai
Laimei, yra paprastų būdų, kaip padaryti slaptažodžius sunkiai atspėjamus ir lengvai įsimenamus. Deja, technologijų pramonė kartais trukdo jas naudoti. Čia pateikiamos dažniausiai pasitaikančios slaptažodžio trūkumai ir keletas būdų, kaip pagerinti slaptažodžius ir saugumą internete.
Neaiškumas prieš sudėtingumą
Įprasta slaptažodžių tiesa yra ta, kad jie turėtų būti niekada būti lengva atspėti. Dauguma technologijų išmanančių žmonių sutinka, kad niekas neturėtų naudoti informacijos apie save kaip slaptažodžio: tai apima gimtadieniai, adresai ir draugų bei šeimos narių vardai (įskaitant tėvus, brolius ir seseris, sutuoktinius, vaikus ir net augintiniai). Panašiai, Slaptažodis sukuria ypač prastą slaptažodį – kaip ir visi kiti dažniausiai naudojami slaptažodžiai.
Šis amžinai žaliuojantis patarimas dažnai interpretuojamas taip, kad slaptažodžiai turėtų būti užtemdyti, arba terminas, kurio niekas nepagalvotų, kad pasirinktum, jei jiems būtų milijonas metų. Taip, neaiškus gali veikti – ir tai velniškai geriau nei pasirinkti aiškų slaptažodį. Tačiau neaiškus slaptažodis apsaugo jus tik nuo žmonių, kurie ką nors apie jus žino. Tikėtina, kad dauguma žmonių bando nulaužti jūsų slaptažodžius nedaryk žinau tave.
Dauguma slaptažodžių įlaužimo nevyksta taip, kaip vaizduojama filmuose, kur mūsų herojus (arba piktadarys) sėdi prie klaviatūros, išmėgina vieną ar dvi frazes, trina smakrą, tada spjauna vaikystės nuotrauką stalas. Aha! Įveskite stebuklingą žodį ir presto, apeinamas saugumas. Realiame pasaulyje didžioji dauguma slaptažodžių nulaužimo yra automatizuota, o kompiuteriai tiesiogine prasme mesti kiekvieną žodyne esantį žodį (o tada ir kai kuriuos) į sistemą, tikėdamasis suklupti teisingas terminas. Šis metodas gali veikti, nes kompiuteriai gali išbandyti slaptažodžius daug greičiau, nei žmonės gali juos įvesti, ir jie gali veikti 24 valandas per parą, septynias dienas per savaitę, be pertraukų vonios kambaryje. Automatiniai slaptažodžių laužytojai nieko nežino apie vartotojus, kuriems jie bando sukompromituoti: tai žiaurios jėgos metodas.
Taigi paaiškėja, kad stipraus slaptažodžio raktas nėra jo nežinomybė bet tai sudėtingumo – dalykų, dėl kurių automatinis slaptažodžių laužytojas gali būti atspėjęs mažiau. Tačiau sukurti gerą sudėtingą slaptažodį reiškia šiek tiek žinoti, kaip slaptažodžiai pažeidžiami.
Slaptažodžių sulaužymas
Apskritai, slaptažodžių krekeriai paprastai turi du būdus. Vienas iš jų yra tiesiogine prasme išbandyti iš anksto sudarytą galimų slaptažodžių sąrašą. Paprastai jie prasideda nuo labai įprastų slaptažodžių (pvz., Slaptažodis arba qwerty) ir pereiti prie rečiau paplitusių terminų ir galiausiai naudoti žodžių sąrašą, sudarytą iš internetinio žodyno ir kitų šaltinių. Taikant šį metodą yra didesnė tikimybė, kad slaptažodžiai yra tinkami žodžiai arba jų variantai, net jei jie yra neaiškūs.
Kitas slaptažodžio nulaužimo būdas yra išbandyti tinkamas raidžių, skaičių ir simbolių sekas, neatsižvelgiant į jų reikšmę. Slaptažodžių įlaužimo priemonė, naudojanti šį metodą, gali prasidėti aaaaaaaa aštuonių simbolių slaptažodžiui, tada pabandykite aaaaaab tada aaaaaac ir t. t. aukštyn abėcėlėje, derinant didžiąsias ir mažąsias raides, įvedant skaičius ir simbolius. Taikant šį metodą yra didesnė tikimybė, kad slaptažodžiai būtų „tinkami mašinoms“ arba sugeneruoti atsitiktinai. Toks slaptažodis kaip 4De78Hf1 rasti šį kelią nėra sunkiau nei paauglys būtų.
Taigi, kokia tikimybė, kad slaptažodis bus atspėtas? Dauguma šių dienų sistemų leidžia vartotojams kurti slaptažodžius naudojant raides (didžiąsias ir mažąsias raides), skaičius ir pasirinktus simbolius. Leidžiami simboliai įvairiose sistemose dažnai skiriasi (vienos leidžia beveik viską, kitos leidžia tik keletą), bet mūsų tikslams tarkime, kad kiekvienas slaptažodžio simbolis gali būti viena iš maždaug 80 reikšmių – dvi abėcėlės po 26 raides, dešimt skaitmenų ir 18 simboliai. (Teoriškai kiekvienam simboliui turėtų būti prieinamos mažiausiai 127 reikšmės, tačiau praktiškai tai yra mažesnis skaičius.)
Naudojant grynai brutalią jėgą, tai reiškia, kad norint atsitiktinai išsiaiškinti vieno simbolio slaptažodį, prireiktų daugiausia 80 spėjimų. Keturių simbolių slaptažodis gali atspėti daugiau nei 40 milijonų (80 × 80 × 80 × 80 = 40 960 000), o aštuonių simbolių slaptažodis – 1,6 kvadrilijono spėjimų (1 677 721 600 000 000).
Jei slaptažodžių laužytojas sugebėtų atspėti 1 000 atspėjimų per sekundę, prireiktų maždaug mėnesio, kad būtų paleistos visos keturių simbolių slaptažodžio kombinacijos, o daugiau nei 53 000 metų paleisti visus 8 simbolių slaptažodžio derinius. Tai atrodo gana saugu, tiesa?
Na, tikrai ne. Kalbant grynai statistiškai, krekeris turi 50/50 galimybę rasti slaptažodį pusė tą kartą. Daugiau nerimą kelia tai, kad slaptažodžių laužytuvus gaminantys žmonės turi kitų būdų, kaip pagerinti savo galimybes. Prisiminkite, kaip Slaptažodis buvo vienas iš prasčiausių naudojamų slaptažodžių? Atspėk, kas taip pat yra labai blogas slaptažodis? Passw0rd, raidę O pakeičiant skaičiumi nuliu. Nors slaptažodžių laužytojai naudoja įprastus žodžius iš žodyno, jie taip pat bando įprastus jų variantus žodžius pakeičiant nuliais O raidėmis, @ ženklais ir 4 raidėmis A, 3 – E, 1 ir! – I, 7 – T, 5 – S ir taip toliau. Panašiai, 0qww294e yra baisus slaptažodis – tai tiesiog Slaptažodis perkelta viena eilute aukštyn standartinėje anglų kalbos klaviatūroje. Šie metodai priklauso nuo vartotojų pasirinkimo lengvai įsimenamiems slaptažodžiams. Deja, pakeisdami (arba didžiosiomis raidėmis) vieną ar du simbolius lengvai įsimenamame termine, žmonės dažniausiai padaro savo slaptažodžius neaiškesnius, bet ne daug saugesnius. Tiesą sakant, tipiški vartotojo pasirinkti aštuonių simbolių slaptažodžiai su mišriomis didžiosiomis ir mažosiomis raidėmis, skaičiais ir simboliais paprastai turi tik apie 30 bitų entropijos arba šiek tiek daugiau nei milijardą galimų kombinacijų. Kodėl? Nes terminų, kuriais žmonės remiasi savo slaptažodžius, sąrašas yra daug mažesnis nei visos galimos raidžių, skaičių ir simbolių kombinacijos.
Kaip greitai galima sulaužyti slaptažodžius? Išbandyti 1 000 slaptažodžių per sekundę gali atrodyti neįmanoma – juk dauguma paslaugų yra linkusios užrakinti mus nuo savo paskyrų, jei tris ar keturis kartus klaidingai įveda slaptažodį, dažnai iš naujo nustato slaptažodį ir reikalauja, kad atsakytume į saugos klausimus, kad sukurtume naują vienas. Šios „vartų“ technikos daryti pagerinti paskyros saugumą ir, beje, yra puikus akinančiai paprastas būdas suerzinti žmones. (Negaliu pasakyti, kiek kartų buvau užblokuotas savo iTunes paskyros dėl slaptažodžių atakų, bet tikriausiai daugiau nei šimtas.)
Tačiau užpuolikai, ketinantys sulaužyti slaptažodžius, nesibeldžia į tarnybos duris ir nebando (tiesiogine prasme) milijonus kartų prisijungti prie tos pačios paskyros. Jie naudoja mažiau viešus autentifikavimo metodus, kuriems netaikomas blokavimas (pvz., privačią API partneriams ar programoms), skleidžia savo atakos įvairiose paskyrose, siekiant išvengti blokavimo laikotarpių arba (geriausiu atveju) slaptažodžio nulaužimo metodų taikymas pavogtam slaptažodžiui duomenis. Dauguma sistemų užšifruoja saugomus slaptažodžių duomenis, tačiau šie užšifruoti failai yra tokie pat saugūs kaip ir pati sistema. Jei užpuolikai gali patekti į užšifruotą slaptažodžio failą (per saugos spragą, pažeistas mašina arba socialinė inžinerija, pradedantiesiems), jie gali labai greitai jį užpulti, kai tik pradeda veikti savarankiškai sistemos. Štai kodėl istorijos apie užpuolikus, gaunančius paskyros informaciją (pvz., Stratfor, Epsilonas, Sony, ir Zappos) kelia nerimą. Kai užšifruoti duomenys bus pašalinti, užpuolikai gali naudoti daug galingesnius įrankius, kad juos atidarytų.
Realiame pasaulyje tai reiškia, kad 1000 slaptažodžių per sekundę skaičius yra labai konservatyvus. Įprasta stalinio kompiuterio aparatinė įranga šiais laikais gali būti išbandyta milijonai slaptažodžių, antra, prieš įprastas šifravimo technologijas. Panašiai dabar yra slaptažodžių nulaužimo įrankių, naudojančių grafikos procesorius, o nusikalstami botnet operatoriai taip pat užsiima slaptažodžių nulaužimo verslu. Jie gali paskirstyti darbo krūvį tūkstančiams kompiuterių. Sujunkite šią neapdorotą galią su sudėtinga euristika (pvz., išbandykite skaičių ir raidžių variantus bendri žodžiai) ir nėra neįprasta nulaužti įprastą aštuonių simbolių vartotojo slaptažodį per mažiau nei pusę valandą.
Šauname sau į koją
Aukščiau pažymėjome, kaip aštuonių simbolių slaptažodis su didžiosiomis ir mažosiomis raidėmis, skaičiais ir simboliais gali turėti daug daugiau kvadrilijonas galimų kombinacijų, tačiau dauguma šiandien naudojamų aštuonių simbolių slaptažodžių patenka į tik apie milijardą deriniai. Taip yra todėl, kad žmonės nėra mašinos. Kur galima naudoti kompiuterį vėžlys arba Y&4nS0\2 Kaip slaptažodį, atspėk, kurį žmogui lengviau atsiminti? Dabar atspėkite, kuris iš jų yra saugesnis.
Kai kurios sistemos įgyvendina slaptažodžių reikalavimus, skirtus užtikrinti, kad vartotojai nenaudotų lengvai įlaužiamų slaptažodžių. Įprastas būdas yra reikalauti, kad naudotojų slaptažodžiai sudarytų bent vieną didžiąją raidę, vieną skaičių, vieną simbolį ir bent aštuonių simbolių. (Kai kurios sistemos nevykdo reikalavimų, tačiau siūlo „slaptažodžio stiprumo“ matuoklį, kaip matą, kaip efektyviai, jos nuomone, gali būti slaptažodis be.) Kai kurios sistemos taip pat reikalauja, kad vartotojai kas taip dažnai (tarkime, kas 30 ar 45 dienas) keistų slaptažodžius ir neleistų jiems pakartotinai naudoti slaptažodžius.
Tokie reikalavimai daryti padidina slaptažodžių saugumą, tačiau dėl jų žmonėms slaptažodžius daug sunkiau įsiminti. Tai reiškia, kad nemaža dalis vartotojų nedelsdami sugalvos, kaip savo patogumui pakirsti sistemos saugumą. Žinoma, kai kurie žmonės gali susidoroti su tokiais slaptažodžiais kaip 9.3nDs(# bet daugelis kitų žmonių atsakys su slaptažodžiais užpildytais lipniais lapeliais monitorių šonuose, užrašais savo ekranuose. piniginės arba „Microsoft Word“ dokumentas darbalaukyje, pažymėtas „Slaptažodžiais“, kad galėtų nukopijuoti ir įklijuoti, kai būtina. Slaptažodžio kūrimo reikalavimai taip pat kenkia produktyvumui ir padidina palaikymo išlaidas (tiek darbuotojams, tiek klientų), nes daugiau žmonių pamirš savo slaptažodžius arba bus užblokuoti savo paskyroje, todėl reikės rankiniu būdu intervencija.
Sudėtingų slaptažodžių kūrimas
Tada atrodytų, kad slaptažodžių Šventasis Gralis yra slaptažodis kompleksas pakankamai, kad būtų nepraktiška nulaužti naudojant automatizuotus metodus, tačiau pakankamai lengva prisiminti, kad vartotojai nekelia pavojaus saugai juos saugodami ar tvarkydami.
Štai keletas patarimų, kaip sukurti sudėtingus, lengvai įsimenamus slaptažodžius:
- Naudokite ilgus slaptažodžius. Jei aštuonių simbolių slaptažodis gali turėti 1,6 kvadrilijono galimų kombinacijų, įsivaizduokite, kiek gali būti 16 simbolių slaptažodis? (Apie 2,8 nemilijono arba 2,830.) Tačiau galbūt dar svarbiau yra 16 simbolių slaptažodžio reikšmių rinkinys, naudojant įprastus terminus ir variacijos yra šiek tiek mažiau nei 1,2 kvintilijono, kai tai buvo šiek tiek daugiau nei milijardas su aštuoniais simboliais Slaptažodis. Naudoti ilgesnius slaptažodžius yra lengviausias būdas padaryti slaptažodžius sudėtingesnius ir saugesnius.
- Naudokite kombinuotus žodžius. Kaip sukurti lengvai įsimenamus ilgus slaptažodžius? Vienas iš įprastų būdų yra naudoti trijų ar penkių paprastų, nesusiję terminai. Paprastai juos taip pat lengva įsiminti kaip PIN kodus; Kognityviniu požiūriu žmonės linkę atsiminti ištisus žodžius kaip atskirus vienetus. Tačiau šie slaptažodžiai gali būti labai sudėtingi, bent jau slaptažodžių nulaužimo požiūriu. O šiuos slaptažodžius nesunku sukurti tiesiog apsižvalgius arba pavartant knygą į atsitiktinį puslapį. Žvilgtelėjęs pro langą matau žaislinę varlę, mašiną ir kažkieno virtuvėlės langą. Naujas Slaptažodis: FrogHubcapCupboard - tai 18 simbolių, bet tik trys žodžiai, kuriuos reikia prisiminti. Žiūrint teisingai: RunnerCameraGlueString — keturi trumpi žodžiai, 22 simboliai. Naudojau tik didžiąsias raides, kad padėtų atskirti žodžius. Pridėjus daugiau simbolių ar pakeitimų, gali padidėti sudėtingumas – tiesiog nebūkite tokie sudėtingi, kad taptumėte sudėtingų slaptažodžių silpnybių auka.
- Naudokite frazes ar dainų tekstus. Kitas būdas sukurti ilgus slaptažodžius yra naudoti frazių ar dainų žodžių dalis. Kalbant apie dainų tekstus, santykinai įprastos dainos galbūt yra geresnės nei jums ypač svarbios dainos: vėlgi, jūs nenorite žmonės, kurie jus gerai pažįsta, kad galėtų atspėti jūsų slaptažodžius vien todėl, kad esate didžiulis Michaelo Boltono gerbėjas (arba ne). Slaptažodžių, sudarytų iš fazių ar dainų žodžių, pavyzdžiai gali būti Tu esi NoJackKennedy (19 simbolių), iShotaManinReno (15 simbolių), impepinandimcreepin (20 simbolių).
- Naudokite mnemoniką. Ilgų slaptažodžių trūkumas yra tas, kad juos gali būti sunku įvesti, ypač mobiliajame įrenginyje. Kitas triukas, kuris kai kuriems žmonėms atrodo naudingas kuriant sudėtingus trumpesnius slaptažodžius, yra kiekvieno žodžio pirmojo simbolio naudojimas frazėje ar dainų tekste. Gali tapti „Kiek kelių turi nueiti žmogus“. HmmmwD-tik aštuoni simboliai, bet gana sudėtingi slaptažodžio nulaužimo programos požiūriu. Panašiai gali tapti „Papurtykite, purtykite kaip polaroidinį paveikslėlį“. SiSiLapp – gal ir nelabai, bet geriau nei vėžlys. Šis triukas taip pat gali padėti sukurti gerus slaptažodžius sistemoms, kuriose slaptažodžių ilgis vis dar ribojamas.
Šios gairės paprastai padės sugalvoti lengvai įsimenamus sudėtingus slaptažodžius. Žinoma, kalbant apie slaptažodžių sistemas su sudėties reikalavimais (tai reiškia, kad jie tikisi, kad skaičiai ar simboliai), vis tiek turėsite sugalvoti įdomių slaptažodžių pakeitimų, kad juos įvykdytumėte reikalavimus. Tiesiog atminkite, kad naudodami ilgesnius slaptažodžius galite keisti ir keisti matomose vietose – paprastai šiuos ilgus slaptažodžius lengviau atsiminti net ir laikantis reikalavimų, nei trumpus, nesąmones slaptažodžius.
Keletas kitų užuominų
Kiti dalykai, į kuriuos reikia atsižvelgti renkantis slaptažodžius:
- Naudokite atskirus slaptažodžius atskiroms paslaugoms. Nenaudokite savo socialinio tinklo slaptažodžio internetinei bankininkystei. Jei vienos paslaugos slaptažodis pažeistas, kitos turėtų būti saugios.
- Atidžiai pasirinkite svarbius slaptažodžius. Vieno prisijungimo sistemos gali būti nepaprastai patogios, tačiau taip pat gali sukurti vieną kelių paslaugų gedimo tašką. Pavyzdžiai būtų „Google“, „Yahoo“ ir „Microsoft“ paslaugų paskyrų slaptažodžiai, kai vienas nulaužtas slaptažodis gali būti suteiktas el. pašto, dokumentų, nuotraukų, socialinių tinklų, tinklaraščių, nuotraukų bibliotekų, kontaktų sąrašų, adresų knygų ir daugiau. Panašiai su tiek daug svetainių (net Skaitmeninės tendencijos) priimant „Facebook“ ir „Twitter“ prisijungimus, pažeistas socialinio tinklo slaptažodis gali turėti plataus masto pasekmių.
- Pakeiskite slaptažodžius. Kyla pagunda manyti, kad jei vienas iš jūsų slaptažodžių bus sugadintas, jūs iš karto sužinosite: jūsų el. paštas išnyks, jūsų tinklaraštis tapti lulz grafikos rinkiniu, jūsų „Amazon“ dovanų sąrašas gali būti užpildytas nepatogiomis galimybėmis, jūsų „PayPal“ paskyra gali būti išvalyta išeiti. Tačiau taip būna ne visada: jei kas nors nulaužtų jūsų slaptažodį, gali nebūti jokio atviro ženklo, bent jau ne iš karto. Reguliariai keisdami slaptažodį užtikrinate, kad net jei kas nors įsilaužs, jo galimybės jumis išnaudoti bus ribotos. Slaptažodžių keitimo dažnumas priklauso nuo to, kaip naudojatės internetinėmis paslaugomis. Viskam, kas susiję su tikrais pinigais, paprastai rekomenduoju vartotojams keisti slaptažodžius kas 30–90 dienų – kuo daugiau pinigų, tuo dažniau.
Joks slaptažodis nėra saugus
Galbūt svarbiausias dalykas, kurį reikia atsiminti naudojant slaptažodžius, yra tai bet koks slaptažodis gali būti nulaužtas: tik klausimas, kiek laiko ir pastangų kas nors nori tam skirti. Čia pateikti patarimai padės sumažinti tikimybę, kad atsitiktiniai užpuolikai ir net draugai bei šeimos nariai panaikins jūsų slaptažodžius, tačiau nė vienas slaptažodis nėra visiškai saugus. Jei jums labai svarbi saugi prieiga prie paslaugos, apsvarstykite galimybę ieškoti įvairių kelių veiksnių autentifikavimo formų, kad dar labiau sumažintumėte neteisėtos prieigos tikimybę.
Vaizdo kreditas: Shutterstock / jamdesign / Tatjana Popova / Pedro Miguelis Sousa
Redaktorių rekomendacijos
- Dėl šių gėdingų slaptažodžių buvo nulaužtos įžymybės
- Ne, 1 slaptažodis nebuvo nulaužtas – štai kas iš tikrųjų atsitiko
- Kaip apsaugoti aplanką slaptažodžiu „Windows“ ir „MacOS“.
- „LastPass“ atskleidžia, kaip į jį buvo įsilaužta – ir tai nėra gera žinia
- „Reddit“ buvo nulaužtas – štai kaip nustatyti 2FA, kad apsaugotumėte paskyrą
