Hvis det er én ting folk forbinder med moderne teknologi, så er det passord. De er overalt, og de fleste av oss bruker dem til dusinvis av ting hver dag. Likevel er de fleste sjokkerende likegyldige når det gjelder passordsikkerheten deres. De fleste av oss kjenner nok noen som bruker samme passord for alt, fra datamaskinen og e-posten til Facebook- og bankkontoene deres - og det passordet kan være noe så åpenbart som fødselsdagen deres eller navnet på gaten der de vokste opp. Og vi kjenner nok også noen som har en lapp på siden av skjermen merket "Passord" (i rød, dobbelt-understreket) med en liste over alt fra Twitter til Netflix som bare står åpent for alle lese.
Disse praksisene kan høres ut som noe fra besteforeldrenes generasjon, men det er strengt tatt ikke sant: Forrige uke så jeg en fullverdig medlem av generasjon D prøver å skifte fra en Samsung Galaxy S (er, Fascinate) til en HTC Rezound via sin bærbare datamaskin. Hvordan flyttet han alle passordene sine? Han hadde et stykke papir i lommeboken med «alle passordene hans» – og ved
alle han mente tre. En for e-post og sosiale nettverk, en for e-posten til den store tanten ("Jeg sjekker det for henne"), og en annen for alt annet. Når han så seg over skulderen, var alle tre hverdagslige ord: mophåndtak,mumler, og lillian. Gjett hvem som var tanten hans?Anbefalte videoer
Heldigvis finnes det enkle måter å gjøre passord både vanskelig å gjette og lett å huske. Dessverre, teknologiindustrien kommer noen ganger i veien for å bruke dem. Her er en oversikt over vanlige passordsvakheter og noen måter du kan forbedre passordene og sikkerheten på nettet på.
Uklarhet versus kompleksitet
En vanlig truisme om passord er at de burde aldri være lett å gjette. De fleste teknologikyndige er enige om at ingen skal bruke detaljer om seg selv som passord: Det inkluderer bursdager, adresser og navn på venner og familie (inkludert foreldre, søsken, ektefeller, barn og til og med kjæledyr). På samme måte, passord lager et usedvanlig dårlig passord - som alle andre ofte brukte engangspassord.
Dette eviggrønne rådet blir ofte tolket til å bety at passord bør være det obskur, eller et begrep ingen noen gang ville tro du ville valgt hvis de hadde en million år. Ja, obskure kan fungere - og det er et jævla bedre enn å velge et åpenbart passord. Et uklart passord beskytter deg imidlertid bare mot folk som vet noe om deg. Sjansen er at de fleste prøver å knekke passordene dine ikke kjenner deg.
Mesteparten av passordknekking skjer ikke slik det er fremstilt i filmer, der Our Hero (eller The Skurk) sitter ved et tastatur, prøver en setning eller to, gnir seg på haken, og så spionerer et barndomsbilde på pulten. Aha! Skriv inn det magiske ordet og presto, sikkerheten omgås. I den virkelige verden er det store flertallet av passordknekking automatisert, med datamaskiner bokstavelig talt kaste hvert ord i ordboken (og litt til) på et system i håp om å snuble over riktig begrep. Denne tilnærmingen kan fungere fordi datamaskiner kan prøve passord mye raskere enn mennesker kan skrive dem, og de kan kjøre 24 timer i døgnet, syv dager i uken, uten badepauser. Automatiserte passordknekkere vet ikke noe om brukerne de prøver å kompromittere: Det er en brute-force-tilnærming.
Så det viser seg at en nøkkel til et sterkt passord ikke er det uklarhet men det er kompleksitet — ting som gjør det mindre sannsynlig at det blir gjettet av en automatisert passordknekker. Å lage et godt komplekst passord betyr imidlertid å vite litt om hvordan passord blir ødelagt.
Å bryte passord
I svært generelle termer har passordknekkere vanligvis to tilnærminger. Den ene er å bokstavelig talt prøve en forhåndskompilert liste over mulige passord. Disse starter vanligvis fra svært vanlige passord (som passord eller qwerty) og jobbe seg ned til mindre vanlige termer, og til slutt bruke en liste med ord satt sammen fra en nettordbok og andre kilder. Denne tilnærmingen er mer sannsynlig å finne passord som er gyldige ord eller varianter av dem, selv om de er uklare.
En annen tilnærming til å knekke passord er å prøve gyldige sekvenser av bokstaver, tall og symboler, uavhengig av betydningen. En passordknekker som bruker denne tilnærmingen kan begynne med aaaaaaaa for et passord på åtte tegn, prøv deretter aaaaaaab deretter aaaaaaac og så videre oppover i alfabetet, gjennom blandinger av store og små bokstaver, og å kaste inn tall og symboler. Denne tilnærmingen er mer sannsynlig å finne passord som er "maskinvennlige" eller tilfeldig genererte. Et passord som 4De78Hf1 er ikke vanskeligere å finne på denne måten enn tenåring ville vært.
Så, hva er oddsen for at et passord blir gjettet? De fleste systemer i disse dager lar brukere lage passord ved hjelp av bokstaver (store og små bokstaver), tall og et utvalg symboler. Tillatte symboler varierer ofte mellom systemer (noen tillater nesten hva som helst, andre tillater bare en håndfull), men for våre formål la oss anta at hvert tegn i et passord kan være en av omtrent 80 verdier - to alfabeter på 26 bokstaver hver, ti tall og 18 symboler. (I teorien bør minst 127 verdier være tilgjengelige for hver karakter, men i praksis er det et mindre tall.)
Ved å bruke en ren brute force-tilnærming betyr det at det vil ta maksimalt 80 gjetninger for å finne ut et ett-tegns passord tilfeldig. Et passord på fire tegn kan ta over 40 millioner gjetninger (80 × 80 × 80 × 80 = 40 960 000) og et passord på åtte tegn kan ta over 1,6 kvadrillioner gjetninger (1 677 721 600 000 000).
Hvis en passordknekker var i stand til å gjøre 1000 gjetninger i sekundet, ville den trenge omtrent en måned for å kjøre alle kombinasjoner av et fire-tegns passord, og over 53.000 år for å kjøre alle kombinasjonene av et passord på 8 tegn. Det virker ganske sikkert, ikke sant?
Vel, egentlig ikke. Rent statistisk har en cracker 50/50 sjanse til å finne passordet i halv den tiden. Mer urovekkende er at de som lager passordknekkere har andre måter å forbedre oddsen på. Husk hvordan passord var et av de verste passordene å bruke? Gjett hva som også er et veldig dårlig passord? Passord, erstatte et tall null med en bokstav O. Mens passordknekkere kjører sine vanlige ord fra en ordbok, prøver de også vanlige varianter på disse ord, erstatte nuller for O-er, @-tegn og 4-er for A-er, 3-er for E-er, 1-er og !-er for I-er, 7-er for T-5-er for S-er, og så videre. På samme måte, 0qww294e er et forferdelig passord - det er bare passord flyttet opp en rad på et standard engelsk tastatur. Disse teknikkene preger brukernes preferanser for passord som er enkle å huske. Dessverre, ved å erstatte (eller bruke store bokstaver) et tegn eller to i et begrep som er lett å huske, gjør folk stort sett passordene sine mer obskure, men ikke mye sikrere. Faktisk har typiske brukervalgte passord på åtte tegn med blandede store og små bokstaver, tall og symboler vanligvis bare omtrent 30 biter med entropi, eller litt over en milliard mulige kombinasjoner. Hvorfor? Fordi listen over termer som folk baserer passordene sine på er langt mindre enn de totale mulige kombinasjonene av bokstaver, tall og symboler.
Hvor raskt kan passord brytes? Å prøve 1000 passord i sekundet kan virke umulig - tross alt har de fleste tjenester en tendens til å låse oss ute fra våre egne kontoer hvis vi feiltasting av passord tre eller fire ganger, ofte tilbakestiller passordet og krever at vi svarer på sikkerhetsspørsmål for å lage et nytt en. Disse "gateway"-teknikkene gjøre forbedre kontosikkerheten, og er forresten også en glimrende enkel måte å irritere folk på. (Jeg kan ikke fortelle deg hvor mange ganger jeg har blitt låst ute av iTunes-kontoen min på grunn av passordangrep, men det er sannsynligvis over hundre.)
Angripere som har til hensikt å bryte passord, banker imidlertid ikke på en tjenestes inngangsdør og prøver (bokstavelig talt) millioner av ganger å logge på samme konto. De bruker enten mindre offentlige autentiseringsmetoder som ikke er gjenstand for lockout (som en privat API for partnere eller apper), og sprer deres angrep på tvers av et bredt spekter av kontoer for å unngå lockout-perioder, eller (best case) bruk av passordknekkingsteknikker på stjålet passord data. De fleste systemer krypterer passorddataene de lagrer, men de krypterte filene er bare like sikre som selve systemet. Hvis angripere kan få tak i den krypterte passordfilen (gjennom et sikkerhetshull, kompromittert maskin, eller sosial ingeniørkunst, for det første) kan de angripe den veldig raskt når den først er på egen hånd systemer. Det er derfor historier om angripere som innhenter kontoinformasjon (som Stratfor, Epsilon, Sony, og Zappos) er urovekkende. Når de krypterte dataene er løsnet, kan angripere bruke mye kraftigere verktøy for å åpne dem.
I den virkelige verden betyr det at tallet på 1000 passord per sekund er ekstremt konservativt. Typisk maskinvare for datamaskiner i disse dager kan teste millioner av passord et sekund mot vanlige krypteringsteknologier. På samme måte er det nå passord-cracking-verktøy som utnytter grafikkprosessorer, og kriminelle botnett-operatører er også i passord-cracking-bransjen. De kan spre arbeidsmengden på tusenvis av datamaskiner. Kombiner denne rå kraften med sofistikert heuristikk (som å prøve tall-og-bokstavvarianter på vanlige ord), og det er ikke uvanlig å knekke et typisk brukerpassord på åtte tegn på under en halv time.
Skyter oss selv i foten
Vi bemerket ovenfor hvordan et passord på åtte tegn kan, med store bokstaver, små bokstaver, tall og symboler, ha godt over en kvadrillioner mulige kombinasjoner, men de fleste passord på åtte tegn som brukes i dag faller innenfor en pool på bare rundt en milliard kombinasjoner. Det er fordi mennesker ikke er maskiner. Hvor en datamaskin er fornøyd med å bruke heller skilpadde eller Y&4nS0\2 som et passord, gjett hvilket som er lettere for et menneske å huske? Nå, gjett hvilken som er sikrere.
Noen systemer implementerer passordkrav som er ment å sikre at brukere ikke bruker passord som er lett å knekke. En vanlig tilnærming er å kreve at brukerpassord har minst én stor bokstav, ett tall, ett symbol og minst åtte tegn. (Noen systemer håndhever ikke krav, men tilbyr et mål på "passordstyrke" som et mål på hvor effektivt det tror et passord kan være.) Noen systemer krever også at brukerne endrer passordene sine med jevne mellomrom (for eksempel hver 30. eller 45. dag) og hindrer dem i å gjenbruke passord.
Slike krav gjøre øker sikkerheten til passord, men de gjør også passordene langt vanskeligere for folk å huske. Det betyr at en betydelig del av brukerne umiddelbart vil komme opp med måter å undergrave sikkerheten til systemet for deres egen bekvemmelighet. Jada, noen mennesker kan takle passord som 9.3nDs(# men mange andre kommer til å svare med passordfylte klistrelapper på sidene av skjermene, notater i deres lommebøker, eller et Microsoft Word-dokument på skrivebordet som er nyttig merket "Passord", slik at de kan kopiere og lime inn når nødvendig. Krav til passordkonstruksjon har også en tendens til å skade produktiviteten og øke støttekostnadene (både for ansatte og kunder), siden flere mennesker vil glemme passordene sine eller bli utestengt fra kontoene sine, noe som krever manuell innblanding.
Lage komplekse passord
Den hellige gral av passord ser da ut til å være et passord kompleks nok til at det er upraktisk å knekke ved hjelp av automatiserte teknikker, men likevel lett nok til å huske at brukere ikke kompromitterer sikkerheten ved å lagre eller administrere dem på en usikker måte.
Her er noen tips for å lage komplekse passord som er enkle å huske:
- Bruk lange passord. Hvis et passord på åtte tegn kan ha 1,6 kvadrillioner mulige kombinasjoner, tenk deg hvor mange et passord på 16 tegn kan ha? (Omtrent 2,8 ikke-millioner, eller 2,830.) Men kanskje enda viktigere, settet med verdier for et passord på 16 tegn som bruker vanlige termer og variasjoner er i underkant av 1,2 kvintillioner, hvor det var litt over en milliard med en åtte tegn passord. Å bruke lengre passord er den enkleste måten å gjøre passord mer komplekse og sikrere på.
- Bruk kombinerte ord. Hvordan lage lange passord som er enkle å huske? En vanlig teknikk er å bruke en serie på tre til fem enkle, ikke relatert vilkår. Disse er vanligvis like enkle å huske som PIN-numre; kognitivt har folk en tendens til å huske hele ord som enkeltenheter. Disse passordene kan imidlertid være svært komplekse, i det minste fra synspunktet om passordknekking. Og disse passordene er enkle å lage bare ved å se deg rundt eller bla en bok til en tilfeldig side. Når jeg ser ute av vinduet mitt, ser jeg en lekefrosk, en bil og vinduet på noens kjøkkenkrok. Nytt passord: FrogHubcapCupboard – det er 18 tegn, men bare tre ord å huske. Ser riktig ut: RunnerCameraGlueString — fire korte ord, 22 tegn. Jeg har bare brukt store bokstaver for å hjelpe med å skille ut ord. Å legge til flere tegn eller erstatninger kan øke kompleksiteten - bare ikke bli så komplisert at du blir offer for svakhetene til tøffe passord.
- Bruk fraser eller tekster. En annen måte å lage lange passord på er å bruke deler av fraser eller tekster. For tekster er relativt vanlige sanger kanskje bedre enn de som er spesielt viktige for deg: igjen, du vil ikke folk som kjenner deg godt for å kunne gjette passordene dine bare fordi du er en stor fan av Michael Bolton (eller ikke). Eksempler på passord laget av faser eller tekster kan være Du er NoJackKennedy (19 tegn), iShotaManinReno (15 tegn), impeepinandimcreepin (20 tegn).
- Bruk mnemonikk. Ulempen med lange passord er at de kan være vanskelige å skrive, spesielt på en mobil enhet. Et annet triks som noen finner nyttig for å generere komplekse kortere passord, er å bruke det første tegnet i hvert ord i en frase eller sangtekst. «Hvor mange veier må en mann gå ned» kan bli HmrmamwD— bare åtte tegn, men relativt komplekst sett fra et passord-knekkingsprograms synspunkt. På samme måte kan "Rist det, rist det som et polaroidbilde" bli SiSiLapp – kanskje ikke bra, men bedre enn skilpadde. Dette trikset kan også bidra til å generere gode passord for systemer som fortsatt har en grense for hvor lange passord kan være.
Disse retningslinjene vil generelt hjelpe deg med å finne komplekse passord som er enkle å huske. Selvfølgelig, når de har å gjøre med passordsystemer med sammensetningskrav (som betyr at de forventer blandet sak, tall eller symboler) må du fortsatt komme med funky vendinger på passord for å oppfylle disse krav. Bare husk at med lengre passord kan du gjøre erstatninger og endringer på åpenbare steder - vanligvis er disse lange passordene lettere å huske selv med krav enn korte tull passord.
Noen andre hint
Andre ting du bør tenke på når du velger passord:
- Bruk separate passord for separate tjenester. Ikke bruk passordet ditt for sosiale nettverk for nettbank. Hvis et passord er kompromittert på én tjeneste, bør de andre være trygge.
- Velg viktige passord nøye. Enkeltpåloggingssystemer kan være svært praktiske, men skaper også et enkelt feilpunkt for flere tjenester. Eksempler kan være passord til kontoer hos Google, Yahoo og Microsoft-tjenester, der et enkelt knekt passord kan gi noen tilgang til e-post, dokumenter, bilder, sosiale nettverk, blogger, fotobiblioteker, kontaktlister, adressebøker og mer. På samme måte med så mange nettsteder (til og med Digitale trender) aksepterer Facebook- og Twitter-pålogginger, kan et kompromittert passord for sosiale nettverk ha vidtrekkende konsekvenser.
- Endre passordene dine. Det er fristende å tenke at hvis et av passordene dine blir ødelagt, vil du vite det med en gang: e-posten din vil forsvinne, bloggen din vil bli et sett med lulz-grafikk, Amazon-gavelisten din kan være fylt med pinlige alternativer, PayPal-kontoen din kan bli slettet ute. Det er imidlertid ikke alltid tilfelle: Hvis noen knekker passordet ditt, er det kanskje ikke noe åpenlyst tegn, i hvert fall ikke med en gang. Ved å endre passordet ditt regelmessig, sikrer du at selv om noen bryter seg inn, er mulighetene deres for å utnytte deg begrenset. Hvor ofte du bør endre passord varierer med hvordan du bruker nettjenester. For alt som involverer ekte penger, anbefaler jeg generelt at brukere endrer passord hver 30. til 90. dag - jo mer penger, jo oftere.
Ingen passord er trygge
Kanskje det viktigste å huske om passord er det noen passord kan knekkes: Det er bare et spørsmål om hvor mye tid og krefter noen er villig til å legge i det. Tipsene her vil bidra til å redusere sjansene for at passordene dine blir rotet ut av tilfeldige angripere og til og med venner og familie, men ingen passord er helt sikre. Hvis sikker tilgang til en tjeneste er veldig viktig for deg, bør du vurdere å se nærmere på ulike former for flerfaktorautentisering for å redusere sjansene for uautorisert tilgang ytterligere.
Bildekreditt: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Redaktørenes anbefalinger
- Disse pinlige passordene fikk kjendiser til å hacke
- Nei, 1Password ble ikke hacket – her er hva som virkelig skjedde
- Hvordan passordbeskytte en mappe i Windows og macOS
- LastPass avslører hvordan det ble hacket - og det er ikke gode nyheter
- Reddit ble hacket - her er hvordan du konfigurerer 2FA for å beskytte kontoen din
