Jeśli jest coś, co ludzie kojarzą z nowoczesną technologią, są to hasła. Są wszędzie i większość z nas używa ich codziennie do dziesiątek rzeczy. Jednak większość ludzi jest szokująco obojętna na bezpieczeństwo swoich haseł. Większość z nas prawdopodobnie zna kogoś, kto używa tego samego hasła do wszystko, z ich komputera i poczty e-mail do ich Facebooka i kont bankowych — a to hasło może być czymś tak oczywistym, jak ich urodziny lub nazwa ulicy, na której dorastali. I prawdopodobnie znamy też kogoś, kto ma karteczkę samoprzylepną z boku monitora z napisem „Hasła” (w czerwony, podwójnie podkreślony) z listą wszystkiego, od Twittera po Netflix, po prostu otwartą dla każdego Czytać.
Te praktyki mogą brzmieć jak coś z pokolenia naszych dziadków, ale nie jest to do końca prawdą: w zeszłym tygodniu oglądałem pełnoprawny członek Generacji D próbujący przejść z Samsunga Galaxy S (eee, Fascinate) na HTC Rezound za pośrednictwem swojego notebooka komputer. Jak przenosił wszystkie swoje hasła? W portfelu miał kartkę z „wszystkimi hasłami” – i dalej
Wszystko on miał na myśli trzy. Jeden do poczty elektronicznej i sieci społecznościowych, jeden do poczty e-mail jego ciotki („Sprawdzę to dla niej”), a drugi do wszystkiego innego. Patrząc przez ramię, wszystkie trzy były codziennymi słowami: mofan,bełkot, I lillian. Zgadnij, która należała do jego ciotki?Polecane filmy
Na szczęście istnieją proste sposoby na to, aby hasła były zarówno trudne do odgadnięcia, jak i łatwe do zapamiętania. Niestety, przemysł technologiczny czasami przeszkadza w ich użyciu. Oto zestawienie typowych słabości haseł i kilka sposobów na poprawę haseł i bezpieczeństwa w Internecie.
Niejasność kontra złożoność
Powszechnym truizmem dotyczącym haseł jest to, że powinny nigdy być łatwym do odgadnięcia. Większość osób obeznanych z technologią zgadza się, że nikt nie powinien używać danych o sobie jako hasła: Obejmuje to urodziny, adresy i imiona przyjaciół i rodziny (w tym rodziców, rodzeństwo, małżonków, dzieci i nawet zwierzęta). Podobnie, hasło tworzy wyjątkowo słabe hasło — podobnie jak wszystkie inne powszechnie używane hasła jednorazowe.
Ta wieczna rada jest często interpretowana w ten sposób, że hasła powinny być niejasny, lub termin, którego nikt by nie pomyślał, gdyby miał milion lat. Tak, niejasne może działać - i jest to cholernie lepsze niż wybieranie oczywistego hasła. Jednak niejasne hasło chroni Cię tylko przed osobami, które coś o Tobie wiedzą. Szanse są takie, że większość ludzi próbuje złamać twoje hasła nie znam cię.
Większość przypadków łamania haseł nie odbywa się w sposób przedstawiony w filmach, w których Nasz bohater (lub The Złoczyńca) siedzi przy klawiaturze, próbuje sformułować kilka fraz, pociera brodę, a potem podgląda zdjęcie z dzieciństwa biurko. Aha! Wpisz magiczne słowo i presto, ominięte zabezpieczenia. W prawdziwym świecie zdecydowana większość łamania haseł jest zautomatyzowana, dosłownie za pomocą komputerów rzucając każde słowo ze słownika (a potem niektóre) w system w nadziei, że natknie się na poprawny termin. Takie podejście może się sprawdzić, ponieważ komputery mogą testować hasła znacznie szybciej niż ludzie są w stanie je wpisać, i mogą działać 24 godziny na dobę, siedem dni w tygodniu, bez przerw na toaletę. Zautomatyzowane narzędzia do łamania haseł nie wiedzą nic o użytkownikach, których próbują narazić na szwank: jest to podejście brutalne.
Okazuje się więc, że klucz do silnego hasła nie jest jego zapomnienie ale to jest złożoność — rzeczy, które zmniejszają prawdopodobieństwo odgadnięcia przez automatyczny program do łamania haseł. Jednak stworzenie dobrego, złożonego hasła oznacza trochę wiedzy o tym, jak hasła są łamane.
Łamanie haseł
Mówiąc bardzo ogólnie, łamacze haseł mają zazwyczaj dwa podejścia. Jednym z nich jest dosłownie wypróbowanie wstępnie skompilowanej listy możliwych haseł. Zwykle zaczynają się one od bardzo popularnych haseł (np hasło Lub qwerty) i przejść do mniej powszechnych terminów, a ostatecznie użyć listy słów skompilowanej ze słownika internetowego i innych źródeł. Takie podejście zwiększa prawdopodobieństwo znalezienia haseł, które są prawidłowymi słowami lub wariantami, nawet jeśli są niejasne.
Innym podejściem do łamania haseł jest wypróbowanie poprawnych sekwencji liter, cyfr i symboli, niezależnie od ich znaczenia. Narzędzie do łamania haseł stosujące to podejście może zacząć od aaaaaaaa dla hasła składającego się z ośmiu znaków, a następnie spróbuj aaaaaab Następnie aaaaaak i tak dalej w górę alfabetu, poprzez mieszanie wielkich i małych liter oraz dodawanie cyfr i symboli. Takie podejście jest bardziej prawdopodobne, aby znaleźć hasła, które są „przyjazne dla maszyny” lub generowane losowo. Hasło jak 4De78Hf1 nie jest trudniej znaleźć w ten sposób niż nastolatek byłoby.
Jakie są zatem szanse na odgadnięcie hasła? Obecnie większość systemów umożliwia użytkownikom tworzenie haseł przy użyciu liter (wielkich i małych), cyfr i wybranych symboli. Dozwolone symbole często różnią się w zależności od systemu (niektóre zezwalają na prawie wszystko, inne tylko na kilka), ale dla naszych celów przyjmijmy załóżmy, że oznacza to, że każdy znak w haśle może być jedną z około 80 wartości — dwoma alfabetami po 26 liter, dziesięcioma cyframi i 18 symbolika. (Teoretycznie dla każdego znaku powinno być dostępnych co najmniej 127 wartości, ale w praktyce jest to mniejsza liczba).
Używając podejścia czysto brutalnego, oznacza to, że wylosowanie jednoznakowego hasła zajęłoby maksymalnie 80 zgadnięć. Czteroznakowe hasło może przyjąć ponad 40 milionów prób (80 × 80 × 80 × 80 = 40 960 000), a hasło ośmioznakowe może zająć ponad 1,6 biliarda prób (1 677 721 600 000 000).
Gdyby narzędzie do łamania haseł było w stanie zgadnąć 1000 na sekundę, uruchomienie wszystkich kombinacji czteroznakowego hasła zajęłoby około miesiąca, a ponad 53 000 lata aby uruchomić wszystkie kombinacje 8-znakowego hasła. To wydaje się całkiem bezpieczne, prawda?
Cóż, nie za bardzo. Mówiąc czysto statystycznie, cracker ma 50/50 szans na znalezienie hasła połowa ten czas. Co bardziej niepokojące, ludzie, którzy tworzą łamacze haseł, mają inne sposoby na zwiększenie swoich szans. Pamiętaj jak hasło było jednym z najgorszych haseł do użycia? Zgadnij, jakie jest również bardzo złe hasło? hasło0rd, zastępując cyfrę zero literą O. Podczas gdy łamacze haseł uruchamiają swoje popularne słowa ze słownika, wypróbowują również popularne warianty tych słów słowa, zastępując zerami O, znaki @ i 4 za A, 3 za E, 1 i! za I, 7 za T, 5 za S oraz Wkrótce. Podobnie, 0qww294e to okropne hasło — po prostu hasło przesunięty o jeden wiersz w górę na standardowej angielskiej klawiaturze. Techniki te wykorzystują preferencje użytkowników dotyczące łatwych do zapamiętania haseł. Niestety, zastępując (lub używając wielkich liter) znak lub dwa w łatwym do zapamiętania terminie, ludzie najczęściej sprawiają, że ich hasła są bardziej niejasne, ale niewiele bardziej bezpieczne. W rzeczywistości typowe wybierane przez użytkownika ośmioznakowe hasła z mieszanymi literami, cyframi i symbolami mają zwykle tylko około 30 bitów entropii lub nieco ponad miliard możliwych kombinacji. Dlaczego? Ponieważ lista terminów ludzie, na których ludzie opierają swoje hasła, jest znacznie mniejsza niż wszystkie możliwe kombinacje liter, cyfr i symboli.
Jak szybko można łamać hasła? Wypróbowanie 1000 haseł na sekundę może wydawać się niemożliwe — w końcu większość usług blokuje nam dostęp do naszych własnych kont, jeśli błędnie wpisać hasło trzy lub cztery razy, często resetując hasło i wymagając od nas odpowiedzi na pytania zabezpieczające w celu utworzenia nowego jeden. Te techniki „bramowe”. Do poprawić bezpieczeństwo konta, a nawiasem mówiąc, są również świetnym, oślepiająco łatwym sposobem na irytowanie ludzi. (Nie mogę powiedzieć, ile razy zostałem zablokowany z mojego konta iTunes przez ataki hasłem, ale prawdopodobnie jest to ponad sto.)
Jednak osoby atakujące, które chcą złamać hasła, nie pukają do drzwi usługi i nie próbują (dosłownie) milionów razy zalogować się na to samo konto. Albo używają mniej publicznych metod uwierzytelniania, które nie podlegają blokadom (takich jak prywatny interfejs API dla partnerów lub aplikacji), rozpowszechniają swoje ataki na szeroki zakres kont w celu uniknięcia okresów blokady lub (w najlepszym przypadku) zastosowanie technik łamania haseł do skradzionych haseł dane. Większość systemów szyfruje przechowywane w nich dane haseł, ale te zaszyfrowane pliki są tak bezpieczne, jak sam system. Jeśli atakujący mogą zdobyć zaszyfrowany plik hasła (przez lukę w zabezpieczeniach, skompromitowany maszyna lub socjotechnika, na początek) mogą zaatakować ją bardzo szybko, gdy jest zdana na siebie systemy. Dlatego historie o atakujących uzyskujących informacje o koncie (np Stratfor, Epsilon, Sony, I Zappos) są niepokojące. Po wydobyciu zaszyfrowanych danych atakujący mogą zastosować znacznie potężniejsze narzędzia, aby je złamać.
W prawdziwym świecie oznacza to, że liczba 1000 haseł na sekundę jest niezwykle konserwatywna. Typowy sprzęt do komputerów stacjonarnych w dzisiejszych czasach może przetestować miliony haseł na sekundę w porównaniu z popularnymi technologiami szyfrowania. Podobnie istnieją teraz narzędzia do łamania haseł, które wykorzystują procesory graficzne, a przestępczy operatorzy botnetów również zajmują się łamaniem haseł. Mogą rozłożyć obciążenie pracą na tysiące komputerów. Połącz tę surową moc z wyrafinowaną heurystyką (np popularne słowa) i nie jest niczym niezwykłym złamanie typowego ośmioznakowego hasła użytkownika w mniej niż pół godziny godzina.
Strzelanie sobie w stopę
Zauważyliśmy powyżej, że ośmioznakowe hasło, zawierające wielkie i małe litery, cyfry i symbole, może mieć znacznie ponad a kwadrylionów możliwych kombinacji, ale większość używanych obecnie ośmioznakowych haseł mieści się w puli zaledwie około miliarda kombinacje. To dlatego, że ludzie nie są maszynami. Gdzie komputer jest zadowolony z użycia żółw Lub Y&4nS0\2 jako hasło, zgadnij, które jest łatwiejsze do zapamiętania dla człowieka? Teraz zgadnij, który z nich jest bardziej bezpieczny.
Niektóre systemy wprowadzają wymagania dotyczące haseł, aby zapewnić, że użytkownicy nie będą używać haseł łatwych do złamania. Powszechnym podejściem jest wymaganie, aby hasła użytkowników zawierały co najmniej jedną wielką literę, jedną cyfrę, jeden symbol i miały co najmniej osiem znaków. (Niektóre systemy nie egzekwują wymagań, ale oferują wskaźnik „siły hasła” jako miarę tego, jak skuteczne może być hasło be.) Niektóre systemy wymagają również od użytkowników zmiany hasła co jakiś czas (powiedzmy co 30 lub 45 dni) i uniemożliwiają ponowne użycie Hasła.
Tego rodzaju wymagania Do zwiększają bezpieczeństwo haseł, ale także znacznie utrudniają zapamiętanie haseł. Oznacza to, że znaczna część użytkowników natychmiast wymyśli sposoby na podważenie bezpieczeństwa systemu dla własnej wygody. Jasne, niektórzy ludzie radzą sobie z hasłami takimi jak 9,3 nDs(# ale wiele innych osób odpowie karteczkami samoprzylepnymi z hasłami na bokach monitorów, notatkami w ich portfele lub dokument Microsoft Word na ich pulpicie, oznaczony pomocną etykietą „Hasła”, aby mogli kopiować i wklejać, gdy niezbędny. Wymagania dotyczące konstrukcji haseł mają również tendencję do obniżania produktywności i zwiększania kosztów pomocy technicznej (zarówno dla pracowników, jak i klientów), ponieważ więcej osób zapomni swoich haseł lub zostanie zablokowanych na swoich kontach, co wymaga ręcznej obsługi interwencja.
Tworzenie złożonych haseł
Święty Graal haseł wydawałby się wtedy hasłem złożony na tyle, że łamanie przy użyciu zautomatyzowanych technik jest niepraktyczne, a jednocześnie na tyle łatwe do zapamiętania, że użytkownicy nie narażają bezpieczeństwa, przechowując je lub zarządzając nimi w sposób niebezpieczny.
Oto kilka wskazówek dotyczących tworzenia złożonych, łatwych do zapamiętania haseł:
- Używaj długich haseł. Jeśli ośmioznakowe hasło może mieć 1,6 biliarda możliwych kombinacji, wyobraź sobie, ile może mieć hasło 16-znakowe? (Około 2,8 nonilliona, czyli 2,830.) Jednak, co być może ważniejsze, zestaw wartości dla 16-znakowego hasła przy użyciu wspólnych terminów i odmian jest nieco poniżej 1,2 kwintyliona, podczas gdy było to nieco ponad miliard przy ośmioznakowym hasło. Używanie dłuższych haseł to najłatwiejszy sposób na uczynienie haseł bardziej złożonymi i bezpieczniejszymi.
- Użyj połączonych słów. Jak tworzyć łatwe do zapamiętania długie hasła? Jedną z powszechnych technik jest stosowanie serii od trzech do pięciu prostych, niepowiązane warunki. Są one na ogół tak łatwe do zapamiętania jak numery PIN; poznawczo ludzie mają tendencję do zapamiętywania całych słów jako pojedynczych jednostek. Jednak hasła te mogą być bardzo złożone, przynajmniej z punktu widzenia łamania haseł. A te hasła można łatwo utworzyć, po prostu rozglądając się lub przewracając książkę na losową stronę. Spoglądając w lewo przez okno, widzę zabawkową żabę, samochód i okno czyjegoś aneksu kuchennego. Nowe hasło: ŻabaKołpakSzafka — to 18 znaków, ale tylko trzy słowa do zapamiętania. Patrząc w prawo: RunnerCameraGlueString — cztery krótkie słowa, 22 znaki. Użyłem tylko wielkich liter, aby pomóc wydzielić słowa. Dodanie większej liczby znaków lub podstawień może zwiększyć złożoność — po prostu nie bądź tak złożony, aby nie paść ofiarą słabości trudnych haseł.
- Używaj zwrotów lub tekstów. Innym sposobem tworzenia długich haseł jest użycie fragmentów fraz lub tekstów. Jeśli chodzi o teksty, stosunkowo popularne piosenki są być może lepsze niż te, które są dla ciebie szczególnie ważne: znowu nie chcesz ludzi, którzy dobrze Cię znają, aby mogli odgadnąć Twoje hasła tylko dlatego, że jesteś wielkim fanem Michaela Boltona (lub nie). Przykładami haseł utworzonych z faz lub tekstów mogą być Nie jesteś JackKennedy (19 znaków), iShotaManinReno (15 znaków), impeepinandimcreepin (20 znaków).
- Użyj mnemotechniki. Wadą długich haseł jest to, że mogą być trudne do wpisania, zwłaszcza na urządzeniu mobilnym. Inną sztuczką, którą niektórzy ludzie uważają za przydatną do generowania złożonych, krótszych haseł, jest użycie pierwszego znaku każdego słowa we frazie lub tekście. „Ile dróg musi przejść człowiek” mogłoby się stać Hmrmamw D— tylko osiem znaków, ale stosunkowo skomplikowane z punktu widzenia programu do łamania haseł. Podobnie mogłoby stać się „Trząśnij, potrząśnij jak zdjęcie polaroidowe”. SiSiLapp — może nie super, ale lepiej niż żółw. Ta sztuczka może również pomóc w generowaniu dobrych haseł dla systemów, które nadal mają limit długości haseł.
Te wskazówki zazwyczaj pomogą Ci wymyślić łatwe do zapamiętania, złożone hasła. Oczywiście, gdy mamy do czynienia z systemami haseł z wymaganiami dotyczącymi składu (co oznacza, że oczekują mieszanych wielkości liter, cyfry lub symbole), nadal będziesz musiał wymyślać zabawne zwroty akcji w hasłach, aby je spełnić wymagania. Pamiętaj tylko, że przy dłuższych hasłach możesz dokonywać podmian i zmian w oczywistych miejscach — zwykle te długie hasła są łatwiejsze do zapamiętania nawet przy wymaganiach niż krótkie, bezsensowne Hasła.
Kilka innych wskazówek
Inne kwestie, o których należy pamiętać podczas wybierania haseł:
- Używaj oddzielnych haseł do oddzielnych usług. Nie używaj swojego hasła do sieci społecznościowych w bankowości internetowej. Jeśli hasło zostanie naruszone w jednej usłudze, inne powinny być bezpieczne.
- Ostrożnie wybieraj ważne hasła. Systemy jednokrotnego logowania mogą być niezwykle wygodne, ale mogą również tworzyć pojedynczy punkt awarii dla wielu usług. Przykładami mogą być hasła do kont w usługach Google, Yahoo i Microsoft, gdzie może dać pojedyncze złamane hasło dostęp kogoś do poczty e-mail, dokumentów, zdjęć, sieci społecznościowych, blogów, bibliotek zdjęć, list kontaktów, książek adresowych i więcej. Podobnie przy tak wielu witrynach (nawet Trendy cyfrowe) akceptując loginy Facebooka i Twittera, złamane hasło do sieci społecznościowej może mieć dalekosiężne konsekwencje.
- Zmień swoje hasła. Kusząca jest myśl, że jeśli jedno z Twoich haseł zostanie złamane, od razu się o tym dowiesz: Twój e-mail zniknie, Twój blog stać się zestawem grafik Lulz, Twoja lista prezentów Amazon może być wypełniona żenującymi opcjami, Twoje konto PayPal może zostać wyczyszczone na zewnątrz. Jednak nie zawsze tak jest: jeśli ktoś złamie twoje hasło, może nie być żadnego jawnego znaku, przynajmniej nie od razu. Regularnie zmieniając hasło, masz pewność, że nawet jeśli ktoś się włamie, jego możliwości wykorzystania Cię będą ograniczone. Częstotliwość zmiany haseł różni się w zależności od sposobu korzystania z usług online. W przypadku wszystkiego, co wiąże się z prawdziwymi pieniędzmi, generalnie zalecam użytkownikom zmianę hasła co 30 do 90 dni — im więcej pieniędzy, tym częściej.
Żadne hasło nie jest bezpieczne
Być może najważniejszą rzeczą do zapamiętania na temat haseł jest to każdy hasło można złamać: to tylko kwestia tego, ile czasu i wysiłku ktoś chce w to włożyć. Poniższe wskazówki pomogą zmniejszyć prawdopodobieństwo, że Twoje hasła zostaną wykorzenione przez przypadkowych napastników, a nawet przyjaciół i rodzinę, ale żadne hasło nie jest całkowicie bezpieczne. Jeśli bezpieczny dostęp do usługi jest dla Ciebie bardzo ważny, rozważ różne formy uwierzytelniania wieloskładnikowego, aby jeszcze bardziej zmniejszyć ryzyko nieautoryzowanego dostępu.
Źródło obrazu: Shutterstock / projekt dżemu / Tatiana Popowa / Pedro Miguel Sousa
Zalecenia redaktorów
- Te zawstydzające hasła zhakowały celebrytów
- Nie, 1Password nie zostało zhakowane – oto, co naprawdę się wydarzyło
- Jak zabezpieczyć hasłem folder w systemie Windows i macOS
- LastPass ujawnia, w jaki sposób został zhakowany — i nie jest to dobra wiadomość
- Reddit został zhakowany — oto jak skonfigurować 2FA, aby chronić swoje konto
