Ja ir kāda lieta, kas cilvēkiem asociējas ar modernajām tehnoloģijām, tās ir paroles. Tie ir visur, un lielākā daļa no mums katru dienu tos izmanto desmitiem lietu. Tomēr lielākā daļa cilvēku ir šokējoši vienaldzīgi par paroles drošību. Lielākā daļa no mums droši vien pazīst kādu, kurš izmanto to pašu paroli viss, no sava datora un e-pasta uz viņu Facebook un bankas kontiem — un šī parole varētu būt tikpat acīmredzama kā viņu dzimšanas diena vai ielas nosaukums, kurā viņi uzauga. Un mēs droši vien zinām arī kādu, kuram monitora malā ir pielīmēta lapiņa ar uzrakstu “Paroles” (in sarkans, divreiz pasvītrots) ar visu sarakstu, sākot no Twitter un beidzot ar Netflix, kas ir pieejams ikvienam lasīt.
Šīs prakses varētu izklausīties kā kaut kas no mūsu vecvecāku paaudzes, taču tā nav gluži patiesība: pagājušajā nedēļā es skatījos pilntiesīgs D paaudzes dalībnieks, kurš mēģina pārslēgties no Samsung Galaxy S (er, Fascinate) uz HTC Rezound, izmantojot savu piezīmjdatoru dators. Kā viņš pārvietoja visas savas paroles? Viņa makā bija papīrs ar “visām viņa parolēm” — un līdz
visi viņš domāja trīs. Viens e-pastam un sociālajiem tīkliem, viens viņa lielās tantes e-pastam (“Es to pārbaudu viņas vietā”) un otrs visam pārējam. Skatoties pār plecu, visi trīs bija ikdienišķi vārdi: mofandle,muldētājs, un lillian. Uzminiet, kura bija viņa tantei?Ieteiktie videoklipi
Par laimi, ir vienkārši veidi, kā padarīt paroles gan grūti uzminjamas, gan viegli iegaumējamas. Diemžēl, tehnoloģiju nozare dažkārt traucē tos izmantot. Tālāk ir sniegta informācija par izplatītākajām paroļu nepilnībām un daži veidi, kā uzlabot paroles un tiešsaistes drošību.
Neskaidrība pret sarežģītību
Izplatīta patiesība par parolēm ir tāda, ka tām vajadzētu būt nekad viegli uzminēt. Lielākā daļa tehnoloģiju lietpratēju piekrīt, ka neviens nedrīkst izmantot informāciju par sevi kā paroli. Tas ietver dzimšanas dienas, adreses un draugu un ģimenes locekļu vārdi (tostarp vecāki, brāļi un māsas, laulātie, bērni un pat mājdzīvnieki). Līdzīgi, parole izveido īpaši sliktu paroli — tāpat kā visas citas bieži izmantotās paroles.
Šis mūžzaļais padoms bieži tiek interpretēts tādējādi, ka parolēm jābūt neskaidrs, vai termins, ko neviens nekad nedomātu, ka jūs izvēlētos, ja viņiem būtu miljons gadu. Jā, neskaidra var noderēt, un tas ir labāks skats nekā skaidras paroles izvēle. Tomēr neskaidra parole aizsargā jūs tikai no cilvēkiem, kuri par jums kaut ko zina. Iespējams, ka lielākā daļa cilvēku mēģina uzlauzt jūsu paroles nevajag zinu tevi.
Lielākā daļa paroļu uzlaušanas nenotiek tā, kā tas ir attēlots filmās, kur Mūsu varonis (vai nelietis) sēž pie klaviatūras, izmēģina vienu vai divas frāzes, berzē zodu un pēc tam izspiego bērnības fotoattēlu rakstāmgalds. Aha! Ierakstiet burvju vārdu un Presto, apieta drošība. Reālajā pasaulē lielākā daļa paroļu uzlaušanas ir automatizētas, un datori burtiski iemetot katru vārdnīcas vārdu (un pēc tam dažus) sistēmai, cerot paklupt pāri pareizs termins. Šī pieeja var darboties, jo datori var izmēģināt paroles daudz ātrāk, nekā cilvēki var tās ierakstīt, un tie var darboties 24 stundas diennaktī, septiņas dienas nedēļā, bez pārtraukumiem vannas istabā. Automātiskie paroļu uzlauzēji neko nezina par lietotājiem, kurus viņi cenšas panākt: tā ir brutāla pieeja.
Tātad izrādās, ka tā nav spēcīgas paroles atslēga neskaidrība bet tas ir sarežģītība — lietas, kas samazina iespēju, ka automātiskais paroļu uzlauzējs to uzminēs. Tomēr labas sarežģītas paroles izveidošana nozīmē mazliet zināt, kā paroles tiek sabojātas.
Paroļu laušana
Ļoti vispārīgi runājot, paroļu uzlauzējiem parasti ir divas pieejas. Viens no tiem ir burtiski izmēģināt iepriekš sastādītu iespējamo paroļu sarakstu. Tās parasti sākas ar ļoti izplatītām parolēm (piemēram, parole vai qwerty) un strādājiet pie mazāk izplatītiem terminiem un galu galā izmantojiet vārdu sarakstu, kas izveidots no tiešsaistes vārdnīcas un citiem avotiem. Izmantojot šo pieeju, ir lielāka iespēja atrast paroles, kurās ir derīgi vārdi vai varianti, pat ja tie ir neskaidri.
Vēl viena paroles uzlaušanas metode ir izmēģināt derīgas burtu, ciparu un simbolu secības neatkarīgi no to nozīmes. Paroļu uzlauzējs, izmantojot šo pieeju, varētu sākties ar aaaaaaaa astoņu rakstzīmju parolei, pēc tam mēģiniet aaaaaaab tad aaaaaac un tā tālāk pa alfabētu, izmantojot lielos un mazos burtus, kā arī ciparus un simbolus. Izmantojot šo pieeju, ir lielāka iespēja atrast paroles, kas ir “iekārtām draudzīgas” vai nejauši ģenerētas. Ieejas kods, piemēram 4De78Hf1 nav grūtāk atrast šo ceļu pusaudzis būtu.
Tātad, kāda ir paroles uzminēšanas iespēja? Mūsdienās lielākā daļa sistēmu ļauj lietotājiem izveidot paroles, izmantojot burtus (lielos un mazos burtus), ciparus un dažādus simbolus. Pieļaujamie simboli dažādās sistēmās bieži atšķiras (dažas atļauj gandrīz visu, citas pieļauj tikai nedaudzu), taču mūsu vajadzībām pieņemsim pieņemsim, ka katrai paroles rakstzīmei var būt viena no aptuveni 80 vērtībām — divi alfabēti ar 26 burtiem katrā, desmit cipariem un 18. simboliem. (Teorētiski katrai rakstzīmei jābūt pieejamām vismaz 127 vērtībām, taču praksē tas ir mazāks skaitlis.)
Izmantojot tīri brutāla spēka pieeju, tas nozīmē, ka būtu nepieciešami ne vairāk kā 80 minējumi, lai nejauši izdomātu vienas rakstzīmes paroli. Četru rakstzīmju parole var aizņemt vairāk nekā 40 miljonus minējumu (80 × 80 × 80 × 80 = 40 960 000), bet astoņu rakstzīmju parole var aizņemt 1,6 kvadriljonus minējumu (1 677 721 600 000 000).
Ja paroļu uzlauzējs spētu izdarīt 1000 minējumu sekundē, tam būtu nepieciešams apmēram mēnesis, lai palaistu visas četru rakstzīmju paroles kombinācijas un vairāk nekā 53 000 gadiem lai palaistu visas 8 rakstzīmju paroles kombinācijas. Tas šķiet diezgan droši, vai ne?
Nu ne īsti. Tīri statistikas izteiksmē krekerim ir 50/50 iespēja atrast paroli puse tajā laikā. Satraucošāk ir tas, ka cilvēkiem, kuri izgatavo paroļu uzlauzējus, ir citi veidi, kā uzlabot savas izredzes. Atcerieties, kā parole vai bija viena no sliktākajām parolēm? Uzminiet, kas ir arī ļoti slikta parole? Parole0, aizstājot burtu O ar skaitli nulli. Lai gan paroļu meklētāji izmanto savus parastos vārdus no vārdnīcas, viņi arī izmēģina tos izplatītākos variantus vārdus, aizstājot ar nullēm O, @ zīmēm un 4, lai A, 3 ir E, 1 un!, I ir 7, T ir 5, un tā tālāk. Līdzīgi, 0qww294e ir šausmīga parole — tā vienkārši ir parole pabīdīts par vienu rindu uz augšu uz standarta angļu valodas tastatūras. Šīs metodes ir atkarīgas no lietotāju izvēles viegli iegaumējamām parolēm. Diemžēl, aizstājot (vai rakstot lielos burtus) vienu vai divas rakstzīmes viegli iegaumējamā terminā, cilvēki lielākoties padara savas paroles neskaidrākas, bet ne daudz drošākas. Faktiski tipiskām lietotāja izvēlētām astoņu rakstzīmju parolēm ar jauktiem reģistriem, cipariem un simboliem parasti ir tikai aptuveni 30 bitu entropijas jeb nedaudz vairāk par miljardu iespējamo kombināciju. Kāpēc? Jo to terminu saraksts, uz kuriem cilvēki balstās savas paroles, ir daudz mazāks nekā kopējās iespējamās burtu, ciparu un simbolu kombinācijas.
Cik ātri var uzlauzt paroles? Izmēģināt 1000 paroles sekundē varētu šķist neiespējami — galu galā lielākā daļa pakalpojumu mēdz mūs bloķēt no mūsu pašu kontiem, ja mēs nepareizi ievadiet paroli trīs vai četras reizes, bieži atiestatot paroli un pieprasot mums atbildēt uz drošības jautājumiem, lai izveidotu jaunu viens. Šīs “vārtu” metodes darīt uzlabot konta drošību un, starp citu, ir arī lielisks, pārsteidzoši vienkāršs veids, kā kaitināt cilvēkus. (Es nevaru pateikt, cik reižu esmu bloķēts no sava iTunes konta paroles uzbrukumu dēļ, taču, iespējams, tas ir vairāk nekā simts.)
Tomēr uzbrucēji, kas vēlas uzlauzt paroles, neklauvē pie pakalpojuma durvīm un nemēģina (burtiski) miljoniem reižu pieteikties tajā pašā kontā. Viņi vai nu izmanto mazāk publiskas autentifikācijas metodes, kas nav pakļautas bloķēšanai (piemēram, privātu API partneriem vai lietotnēm), izplatot savu uzbrukumi dažādiem kontiem, lai izvairītos no bloķēšanas periodiem vai (labākajā gadījumā) paroles uzlaušanas paņēmienu izmantošana nozagtai parolei datus. Lielākā daļa sistēmu šifrē saglabātos paroles datus, taču šie šifrētie faili ir tikpat droši kā pati sistēma. Ja uzbrucēji var iegūt rokās šifrēto paroles failu (caur drošības caurumu, uzlauzts mašīna vai sociālā inženierija, iesācējiem), viņi var tai ļoti ātri uzbrukt, tiklīdz tā ir pati par sevi sistēmas. Tāpēc stāsti par uzbrucējiem, kuri iegūst konta informāciju (piemēram, Stratfor, Epsilons, Sony, un Zappos) ir satraucoši. Kad šifrētie dati ir atbrīvoti, uzbrucēji var izmantot daudz jaudīgākus rīkus, lai tos atvērtu.
Reālajā pasaulē tas nozīmē, ka skaitlis 1000 paroļu sekundē ir ārkārtīgi konservatīvs. Mūsdienās var pārbaudīt parasto galddatoru aparatūru miljoniem paroļu sekunde pret izplatītākajām šifrēšanas tehnoloģijām. Tāpat tagad ir paroļu uzlaušanas rīki, kas izmanto grafikas procesorus, un noziedzīgi robottīklu operatori arī nodarbojas ar paroļu uzlaušanu. Viņi var sadalīt darba slodzi tūkstošiem datoru. Apvienojiet šo neapstrādāto jaudu ar izsmalcinātu heiristiku (piemēram, izmēģinot ciparu un burtu variantus parastie vārdi), un nav nekas neparasts uzlauzt parastu astoņu rakstzīmju lietotāja paroli mazāk nekā puslaikā stunda.
Iešaujam sev kājā
Iepriekš mēs atzīmējām, kā astoņu rakstzīmju parolei ar lielajiem un mazajiem burtiem, cipariem un simboliem var būt daudz vairāk kvadriljoni iespējamo kombināciju, taču lielākā daļa mūsdienās izmantoto astoņu zīmju paroļu ietilpst tikai aptuveni miljarda zīmju grupā. kombinācijas. Tas ir tāpēc, ka cilvēki nav mašīnas. Kur dators ir apmierināts, lai to izmantotu bruņurupucis vai Y&4nS0\2 kā paroli, uzmini, kuru cilvēkam vieglāk atcerēties? Tagad uzminiet, kurš no tiem ir drošāks.
Dažas sistēmas ievieš paroles prasības, kas paredzētas, lai nodrošinātu, ka lietotāji neizmanto viegli uzlaužamas paroles. Izplatīta pieeja ir pieprasīt, lai lietotāju parolēm būtu vismaz viens lielais burts, viens cipars, viens simbols un vismaz astoņas rakstzīmes. (Dažas sistēmas nepiemēro prasības, bet piedāvā “paroles stipruma” mērauklu, lai noteiktu, cik efektīva, tāsprāt, var būt parole būt.) Dažās sistēmās lietotājiem ir arī jāmaina savas paroles ik tik bieži (piemēram, ik pēc 30 vai 45 dienām) un neļauj viņiem izmantot paroles.
Šāda veida prasības darīt palielina paroļu drošību, taču tās arī padara paroles daudz grūtāk atcerēties. Tas nozīmē, ka liela daļa lietotāju nekavējoties nāks klajā ar veidiem, kā samazināt sistēmas drošību savām ērtībām. Protams, daži cilvēki var tikt galā ar tādām parolēm kā 9.3nDs(# bet daudzi citi cilvēki atbildēs ar paroles pielīmētām piezīmēm monitoru sānos, piezīmes savos maki vai Microsoft Word dokuments viņu darbvirsmā ar noderīgu apzīmējumu “Paroles”, lai viņi varētu kopēt un ielīmēt, kad nepieciešams. Paroles izveides prasības mēdz arī samazināt produktivitāti un palielināt atbalsta izmaksas (gan darbiniekiem, gan klienti), jo vairāk cilvēku aizmirsīs savas paroles vai tiks bloķēti no saviem kontiem, tādēļ būs nepieciešama manuāla iejaukšanās.
Sarežģītu paroļu veidošana
Šķiet, ka paroļu Svētais Grāls ir tāda parole, kāda tā ir komplekss pietiekami, ka ir nepraktiski uzlauzt, izmantojot automatizētas metodes, tomēr pietiekami viegli atcerēties, ka lietotāji neapdraud drošību, tos glabājot vai pārvaldot nedroši.
Šeit ir daži padomi, kā izveidot sarežģītas, viegli iegaumējamas paroles:
- Izmantojiet garas paroles. Ja astoņu rakstzīmju parolei var būt 1,6 kvadriljoni iespējamo kombināciju, iedomājieties, cik daudz var būt 16 rakstzīmju parolei? (Apmēram 2,8 miljoni jeb 2,830.) Tomēr, iespējams, vēl svarīgāk ir vērtību kopa 16 rakstzīmju parolei, izmantojot parastos terminus un variācijas ir nedaudz mazākas par 1,2 kvintiljoniem, kur tas bija nedaudz vairāk par miljardu ar astoņām rakstzīmēm parole. Garāku paroļu izmantošana ir vienkāršākais veids, kā padarīt paroles sarežģītākas un drošākas.
- Izmantojiet kombinētos vārdus. Kā izveidot viegli iegaumējamas garas paroles? Viens izplatīts paņēmiens ir izmantot trīs līdz piecu vienkāršu, nesaistīti noteikumiem. Parasti tos ir tikpat viegli atcerēties kā PIN numurus; Kognitīvi cilvēki mēdz atcerēties veselus vārdus kā atsevišķas vienības. Tomēr šīs paroles var būt ļoti sarežģītas, vismaz no paroļu uzlaušanas viedokļa. Un šīs paroles ir viegli izveidot, vienkārši paskatoties apkārt vai pāršķirot grāmatu uz nejaušu lapu. Pametot skatienu pa logu, es redzu rotaļu vardi, automašīnu un kāda virtuvītes logu. Jauna parole: FrogHubcapCupboard — tas ir 18 rakstzīmes, bet jāatceras tikai trīs vārdi. Skatoties pareizi: RunnerCameraGlueString — četri īsi vārdi, 22 rakstzīmes. Es izmantoju tikai lielos burtus, lai palīdzētu izdalīt vārdus. Vairāku rakstzīmju vai aizstāšanas pievienošana var palielināt sarežģītību — vienkārši nekļūstiet tik sarežģīti, ka kļūstat par grūto paroļu vājo vietu upuri.
- Izmantojiet frāzes vai dziesmu tekstus. Vēl viens veids, kā izveidot garas paroles, ir izmantot frāžu vai dziesmu tekstu daļas. Dziesmu tekstiem salīdzinoši izplatītas dziesmas, iespējams, ir labākas par tām, kas jums īpaši svarīgas: jūs atkal nevēlaties cilvēki, kuri jūs labi pazīst, lai varētu uzminēt jūsu paroles tikai tāpēc, ka esat milzīgs Maikla Boltona fans (vai nē). Paroļu piemēri, kas izveidoti no fāzēm vai dziesmu vārdiem, varētu būt Tu esi NoJackKennedy (19 rakstzīmes), iShotaManinReno (15 rakstzīmes), impepinandimcreepin (20 rakstzīmes).
- Izmantojiet mnemoniku. Garo paroļu mīnuss ir tāds, ka tās var būt grūti ievadīt, it īpaši mobilajā ierīcē. Vēl viens triks, ko daži cilvēki uzskata par noderīgu sarežģītu īsāku paroļu ģenerēšanai, ir katra vārda pirmās rakstzīmes izmantošana frāzē vai lirikā. "Cik daudz ceļu cilvēkam jāiet" varētu kļūt HmmmmwD— tikai astoņas rakstzīmes, bet salīdzinoši sarežģītas no paroles uzlaušanas programmas viedokļa. Līdzīgi varētu kļūt par “Sakratiet, kratiet kā polaroīda attēlu”. SiSiLapp — varbūt ne lieliski, bet labāk nekā bruņurupucis. Šis triks var arī palīdzēt ģenerēt labas paroles sistēmām, kurām joprojām ir ierobežots paroļu garums.
Šīs vadlīnijas parasti palīdzēs jums izveidot viegli iegaumējamas, sarežģītas paroles. Protams, strādājot ar paroļu sistēmām ar kompozīcijas prasībām (tas nozīmē, ka viņi sagaida jauktu reģistru, cipariem vai simboliem), jums joprojām būs jāizdomā dīvaini paroļu pavērsieni, lai tos izpildītu prasībām. Vienkārši atcerieties, ka ar garākām parolēm varat veikt aizstāšanu un izmaiņas acīmredzamās vietās — parasti šīs garās paroles ir vieglāk atcerēties pat ar prasībām nekā īsas, muļķīgas paroles paroles.
Vēl daži padomi
Citas lietas, kas jāņem vērā, izvēloties paroles:
- Izmantojiet atsevišķas paroles atsevišķiem pakalpojumiem. Neizmantojiet savu sociālo tīklu paroli internetbankai. Ja viena pakalpojuma parole ir apdraudēta, pārējiem jābūt drošiem.
- Rūpīgi izvēlieties svarīgas paroles. Vienas pierakstīšanās sistēmas var būt ārkārtīgi ērtas, taču tās var arī radīt vienu atteices punktu vairākiem pakalpojumiem. Piemēri varētu būt Google, Yahoo un Microsoft pakalpojumu kontu paroles, kurās varētu būt viena uzlauzta parole kāds var piekļūt e-pastam, dokumentiem, attēliem, sociālajiem tīkliem, emuāriem, fotoattēlu bibliotēkām, kontaktu sarakstiem, adrešu grāmatām un vairāk. Tāpat ar tik daudzām vietnēm (pat Digitālās tendences) pieņemot Facebook un Twitter pieteikšanos, apdraudēta sociālā tīkla parole var radīt tālejošas sekas.
- Mainiet savas paroles. Ir vilinoši domāt, ka, ja kāda no jūsu parolēm tiks sabojāta, jūs uzreiz zināt: jūsu e-pasts pazudīs, jūsu emuārs kļūt par lulz grafikas komplektu, jūsu Amazon dāvanu saraksts var būt piepildīts ar mulsinošām iespējām, jūsu PayPal konts var tikt notīrīts ārā. Tomēr tas ne vienmēr tā ir: ja kāds uzlauž jūsu paroli, iespējams, ka tajā nav nevienas acīmredzamas zīmes, vismaz ne uzreiz. Regulāri mainot paroli, jūs nodrošināsiet, ka pat tad, ja kāds uzlaužas, viņa iespējas jūs izmantot ir ierobežotas. Paroļu maiņas biežums ir atkarīgs no tiešsaistes pakalpojumu lietošanas veida. Attiecībā uz visu, kas saistīts ar reālu naudu, es parasti iesaku lietotājiem mainīt paroles ik pēc 30 līdz 90 dienām — jo vairāk naudas, jo biežāk.
Neviena parole nav droša
Iespējams, vissvarīgākā lieta, kas jāatceras par parolēm, ir tā jebkura paroli var uzlauzt: jautājums ir tikai par to, cik daudz laika un pūļu kāds ir gatavs tam veltīt. Šeit sniegtie padomi palīdzēs samazināt izredzes, ka nejauši uzbrucēji un pat draugi un ģimenes locekļi izdzēsīs jūsu paroles, taču neviena parole nav pilnībā droša. Ja jums ir ļoti svarīga droša piekļuve pakalpojumam, apsveriet iespēju izpētīt dažādus vairāku faktoru autentifikācijas veidus, lai vēl vairāk samazinātu nesankcionētas piekļuves iespējas.
Attēla kredīts: Shutterstock / jamdizains / Tatjana Popova / Pedro Migels Sousa
Redaktoru ieteikumi
- Šīs apkaunojošās paroles uzlauza slavenības
- Nē, 1Password netika uzlauzta — lūk, kas patiesībā notika
- Kā ar paroli aizsargāt mapi operētājsistēmās Windows un macOS
- LastPass atklāj, kā tas tika uzlauzts, un tās nav labas ziņas
- Reddit tika uzlauzts — lūk, kā iestatīt 2FA, lai aizsargātu savu kontu