Jeśli jest coś, co ludzie kojarzą z nowoczesną technologią, są to hasła. Są wszędzie i większość z nas używa ich codziennie do dziesiątek rzeczy. Jednak większość ludzi jest szokująco obojętna na temat bezpieczeństwa swoich haseł. Większość z nas prawdopodobnie zna kogoś, kto używa tego samego hasła wszystko, z komputera i poczty e-mail na Facebook i konta bankowe — a hasło to może być czymś tak oczywistym, jak data urodzin lub nazwa ulicy, na której dorastali. Prawdopodobnie znamy też kogoś, kto ma przyklejoną karteczkę z boku monitora oznaczoną „Hasła” (w czerwony, podwójnie podkreślony) z listą wszystkiego, od Twittera po Netflix, po prostu dostępną dla każdego Czytać.
Praktyki te mogą wydawać się czymś zapożyczonym z pokolenia naszych dziadków, ale nie jest to do końca prawdą: w zeszłym tygodniu oglądałem pełnoprawny członek pokolenia D próbujący przejść z Samsunga Galaxy S (hm, Fascinate) na HTC Rezound za pośrednictwem swojego notebooka komputer. Jak on przenosił wszystkie swoje hasła? Miał w portfelu kartkę papieru ze „wszystkimi hasłami” – i
Wszystko on miał na myśli trzy. Jeden do poczty elektronicznej i sieci społecznościowych, jeden do poczty elektronicznej jego ciotki („Sprawdzam to dla niej”), a drugi do wszystkiego innego. Patrząc przez ramię, wszystkie trzy były codziennymi słowami: uchwyt do mofonu,bełkot, I Lilian. Zgadnijcie, która była jego ciotki?Polecane filmy
Na szczęście istnieją proste sposoby, dzięki którym hasła będą trudne do odgadnięcia i łatwe do zapamiętania. Niestety, przemysł technologiczny czasami staje na drodze do ich wykorzystania. Oto zestawienie typowych słabych punktów haseł oraz kilka sposobów na poprawę haseł i bezpieczeństwo w Internecie.
Niejasność kontra złożoność
Powszechnym truizmem dotyczącym haseł jest to, że powinny nigdy łatwo zgadnąć. Większość osób znających się na technologii zgadza się, że nikt nie powinien używać szczegółów o sobie jako hasła: obejmuje to urodziny, adresy i imiona przyjaciół i rodziny (w tym rodziców, rodzeństwa, małżonków, dzieci i nawet zwierzęta). Podobnie, hasło tworzy wyjątkowo słabe hasło — podobnie jak wszystkie inne powszechnie używane hasła jednorazowe.
Ta ponadczasowa rada często jest interpretowana w ten sposób, że hasła powinny takie być niejasny, lub termin, o którym nikt by nie pomyślał, że wybrałby, gdyby miał milion lat. Tak, niejasne hasło może zadziałać — i jest to cholernie lepszy widok niż wybieranie oczywistego hasła. Jednak niejasne hasło chroni Cię tylko przed osobami, które coś o Tobie wiedzą. Są szanse, że większość ludzi próbuje złamać Twoje hasła nie znam cię.
Większość łamania haseł nie odbywa się w taki sposób, w jaki jest to przedstawiane w filmach, w których Nasz bohater (lub The Złoczyńca) siada przy klawiaturze, wypróbowuje zdanie lub dwa, pociera brodę, a potem przegląda zdjęcie z dzieciństwa biurko. Aha! Wpisz magiczne słowo i presto, obejść zabezpieczenia. W prawdziwym świecie zdecydowana większość łamania haseł odbywa się automatycznie, a komputery dosłownie rzucanie każdym słowem ze słownika (a potem niektórymi) w system w nadziei, że natkniemy się na nie poprawne określenie. To podejście może się sprawdzić, ponieważ komputery mogą sprawdzać hasła znacznie szybciej niż ludzie je wpisywać i mogą działać 24 godziny na dobę, siedem dni w tygodniu, bez przerw na toaletę. Zautomatyzowani łamacze haseł nie wiedzą nic o użytkownikach, których próbują narazić na szwank: jest to podejście oparte na brutalnej sile.
Okazuje się, że klucz do silnego hasła nie jest jego kluczem zapomnienie ale to jest złożoność — rzeczy, które zmniejszają prawdopodobieństwo odgadnięcia przez automatyczny program do łamania haseł. Jednak utworzenie dobrego, złożonego hasła wymaga wiedzy na temat sposobów łamania haseł.
Łamanie haseł
Mówiąc bardzo ogólnie, łamacze haseł zazwyczaj mają dwa podejścia. Jednym z nich jest dosłownie wypróbowanie wstępnie skompilowanej listy możliwych haseł. Zwykle zaczynają się one od bardzo popularnych haseł (np hasło Lub qwerty) i przechodzą do mniej popularnych terminów, a ostatecznie korzystają z listy słów skompilowanej ze słownika internetowego i innych źródeł. Dzięki temu podejściu istnieje większe prawdopodobieństwo znalezienia haseł zawierających prawidłowe słowa lub ich warianty, nawet jeśli są niejasne.
Inną metodą łamania haseł jest wypróbowanie prawidłowych sekwencji liter, cyfr i symboli, niezależnie od ich znaczenia. Osoba do łamania haseł korzystająca z tego podejścia może zacząć od aaaa dla ośmioznakowego hasła, a następnie spróbuj aaaaaaab Następnie aaaaaaak i tak dalej w górę alfabetu, poprzez kombinację wielkich i małych liter oraz dodawanie cyfr i symboli. Dzięki temu podejściu istnieje większe prawdopodobieństwo znalezienia haseł „przyjaznych maszynie” lub wygenerowanych losowo. Hasło jak 4De78Hf1 nie jest trudniejsze do znalezienia w ten sposób niż nastolatek byłoby.
Jakie jest zatem prawdopodobieństwo odgadnięcia hasła? Obecnie większość systemów umożliwia użytkownikom tworzenie haseł przy użyciu liter (wielkich i małych), cyfr i wybranych symboli. Dopuszczalne symbole często różnią się w zależności od systemu (niektóre pozwalają na prawie wszystko, inne tylko na garść), ale dla naszych celów załóżmy, że oznacza to, że każdy znak hasła może mieć jedną z około 80 wartości — dwa alfabety po 26 liter każdy, dziesięć cyfr i 18 symbolika. (Teoretycznie dla każdego znaku powinno być dostępnych co najmniej 127 wartości, ale w praktyce jest to mniejsza liczba.)
Przy zastosowaniu podejścia opartego wyłącznie na brutalnej sile oznacza to, że losowe znalezienie jednoznakowego hasła zajmie maksymalnie 80 zgadnięć. Czteroznakowe hasło może wymagać ponad 40 milionów odgadnięć (80 × 80 × 80 × 80 = 40 960 000), a ośmioznakowe hasło może wymagać 1,6 biliarda odgadnięć (1 677 721 600 000 000).
Gdyby osoba łamająca hasła była w stanie dokonać 1000 odgadnięć na sekundę, uruchomienie wszystkich kombinacji czteroznakowego hasła zajęłoby około miesiąca, a ponad 53 000 lata aby uruchomić wszystkie kombinacje 8-znakowego hasła. To wydaje się całkiem bezpieczne, prawda?
Cóż, nie za bardzo. Z czysto statystycznego punktu widzenia, cracker ma 50/50 szans na znalezienie hasła połowa ten czas. Co bardziej niepokojące, ludzie, którzy tworzą narzędzia do łamania haseł, mają inne sposoby na zwiększenie swoich szans. Pamiętaj jak hasło było jednym z najgorszych haseł do użycia? Zgadnij, co jest również bardzo złym hasłem? Hasło, zastępując cyfrę zero literą O. Podczas gdy osoby łamiące hasła uruchamiają swoje popularne słowa ze słownika, wypróbowują także ich popularne warianty słowa, podstawiając zera za O, znaki @ i 4 za A, 3 za E, 1 i! za I, 7 za T, 5 za S i Wkrótce. Podobnie, 0qww294e to okropne hasło – po prostu hasło przesunięty o jeden wiersz w górę na standardowej klawiaturze angielskiej. Techniki te wykorzystują preferencje użytkowników dotyczące łatwych do zapamiętania haseł. Niestety, zastępując (lub zamieniając wielką literą) jeden lub dwa znaki w łatwym do zapamiętania terminie, ludzie przeważnie sprawiają, że ich hasła są bardziej niejasne, ale nie dużo bezpieczniejsze. W rzeczywistości typowe, wybierane przez użytkownika ośmioznakowe hasła z różnymi literami, cyframi i symbolami mają zwykle tylko około 30 bitów entropii, czyli nieco ponad miliard możliwych kombinacji. Dlaczego? Ponieważ lista terminów, na których ludzie opierają swoje hasła, jest znacznie mniejsza niż całkowita liczba możliwych kombinacji liter, cyfr i symboli.
Jak szybko można złamać hasła? Wypróbowanie 1000 haseł na sekundę może wydawać się niemożliwe — w końcu większość usług blokuje nam dostęp do własnych kont, jeśli błędnie wpisz hasło trzy lub cztery razy, często resetując hasło i wymagając od nas odpowiedzi na pytania zabezpieczające, aby utworzyć nowe jeden. Te techniki „bramkowe”. Do poprawiają bezpieczeństwo konta i, nawiasem mówiąc, są także świetnym, oślepiająco łatwym sposobem na zirytowanie ludzi. (Nie mogę zliczyć, ile razy moje konto iTunes zostało zablokowane przez ataki hasłem, ale prawdopodobnie ponad sto).
Jednak osoby atakujące, które chcą złamać hasło, nie pukają do drzwi usługi i nie próbują (dosłownie) miliony razy zalogować się na to samo konto. Używają mniej publicznych metod uwierzytelniania, które nie podlegają blokadom (takich jak prywatny interfejs API dla partnerów lub aplikacji), rozpowszechniając swoje ataki na szeroką gamę kont w celu uniknięcia okresów blokady lub (w najlepszym przypadku) zastosowanie technik łamania haseł w przypadku skradzionych haseł dane. Większość systemów szyfruje przechowywane dane dotyczące haseł, ale te zaszyfrowane pliki są tak bezpieczne, jak sam system. Jeśli atakujący zdołają zdobyć zaszyfrowany plik haseł (przez lukę w zabezpieczeniach, zostaną naruszone na początek maszyna lub socjotechnika), mogą zaatakować ją bardzo szybko, gdy będzie już zdana na siebie systemy. Dlatego historie o atakujących uzyskujących informacje o koncie (np Stratfor, Epsilon, Sony, I Zappos) są niepokojące. Po odzyskaniu zaszyfrowanych danych atakujący mogą zastosować znacznie potężniejsze narzędzia, aby je otworzyć.
W prawdziwym świecie oznacza to, że liczba 1000 haseł na sekundę jest niezwykle konserwatywna. Typowy sprzęt komputerowy do komputerów stacjonarnych w dzisiejszych czasach może testować miliony haseł na sekundę w porównaniu z powszechnymi technologiami szyfrowania. Podobnie istnieją obecnie narzędzia do łamania haseł, które wykorzystują procesory graficzne, a przestępczy operatorzy botnetów również zajmują się łamaniem haseł. Mogą rozłożyć obciążenie na tysiące komputerów. Połącz tę surową moc z wyrafinowaną heurystyką (np. wypróbowywanie wariantów liczb i liter na popularne słowa) i nie jest niczym niezwykłym złamanie typowego ośmioznakowego hasła użytkownika w czasie krótszym niż pół godzina.
Strzelamy sobie w stopę
Zauważyliśmy powyżej, że ośmioznakowe hasło, zawierające wielkie i małe litery, cyfry i symbole, może mieć znacznie ponad a biliardów możliwych kombinacji, ale większość używanych obecnie ośmioznakowych haseł mieści się w puli zaledwie około miliarda kombinacje. Dzieje się tak dlatego, że ludzie nie są maszynami. Tam, gdzie komputer jest zadowolony z użycia żółw Lub Y&4nS0\2 jako hasło, zgadnij, które jest łatwiejsze do zapamiętania przez człowieka? Teraz zgadnij, który z nich jest bezpieczniejszy.
Niektóre systemy wdrażają wymagania dotyczące haseł, które mają na celu zapewnienie, że użytkownicy nie będą używać haseł łatwych do złamania. Powszechnym podejściem jest wymaganie, aby hasła użytkowników zawierały co najmniej jedną wielką literę, jedną cyfrę, jeden symbol i miały długość co najmniej ośmiu znaków. (Niektóre systemy nie egzekwują wymagań, ale oferują wskaźnik „siły hasła” jako miarę skuteczności hasła be.) Niektóre systemy wymagają również od użytkowników częstej zmiany haseł (powiedzmy co 30 lub 45 dni) i zapobiegania ich ponownemu użyciu Hasła.
Tego typu wymagania Do zwiększają bezpieczeństwo haseł, ale także znacznie utrudniają ich zapamiętanie. Oznacza to, że znaczna część użytkowników natychmiast wymyśli sposoby na obejście bezpieczeństwa systemu dla własnej wygody. Jasne, niektórzy ludzie radzą sobie z hasłami takimi jak 9,3 nDs (# ale wiele innych osób w odpowiedzi zamieści karteczki samoprzylepne z hasłami na bokach monitorów, notatki w swoich portfele lub dokument Microsoft Word na pulpicie oznaczony etykietą „Hasła”, dzięki czemu mogą kopiować i wklejać, gdy niezbędny. Wymagania dotyczące tworzenia haseł również zwykle szkodzą produktywności i zwiększają koszty wsparcia (zarówno dla pracowników, jak i klientów), ponieważ więcej osób zapomni swoich haseł lub utraci dostęp do swoich kont, co wymaga ręcznej obsługi interwencja.
Tworzenie skomplikowanych haseł
Święty Graal haseł wydawałby się wówczas hasłem złożony na tyle, że złamanie zabezpieczeń przy użyciu zautomatyzowanych technik jest niepraktyczne, a jednocześnie na tyle łatwo, aby pamiętać, że użytkownicy nie narażają bezpieczeństwa, przechowując je w niebezpieczny sposób lub zarządzając nimi.
Oto kilka wskazówek, jak tworzyć złożone i łatwe do zapamiętania hasła:
- Używaj długich haseł. Jeśli ośmioznakowe hasło może mieć 1,6 biliarda możliwych kombinacji, wyobraź sobie, ile może mieć 16-znakowe hasło? (Około 2,8 nonillionu, czyli 2,830.) Jednak, co być może ważniejsze, zestaw wartości 16-znakowego hasła wykorzystujący popularne terminy i wahań wynosi nieco poniżej 1,2 tryliona, podczas gdy w przypadku ośmioznakowego wskaźnika było to nieco ponad miliard hasło. Używanie dłuższych haseł to najprostszy sposób na uczynienie haseł bardziej złożonymi i bezpieczniejszymi.
- Użyj połączonych słów. Jak tworzyć łatwe do zapamiętania długie hasła? Jedną z powszechnych technik jest użycie serii trzech do pięciu prostych, niepowiązane warunki. Są one na ogół równie łatwe do zapamiętania jak numery PIN; poznawczo ludzie mają tendencję do zapamiętywania całych słów jako pojedynczych jednostek. Jednak hasła te mogą być bardzo złożone, przynajmniej z punktu widzenia łamania haseł. A te hasła można łatwo utworzyć, po prostu rozglądając się lub przewracając książkę na losową stronę. Spoglądając w lewo, widzę zabawkową żabę, samochód i okno czyjegoś aneksu kuchennego. Nowe hasło: ŻabaKołpakSzafka — to 18 znaków, ale tylko trzy słowa do zapamiętania. Patrząc w prawo: RunnerCameraGlueString — cztery krótkie słowa, 22 znaki. Używałem wielkich liter tylko do rozdzielania słów. Dodanie większej liczby znaków lub podstawień może zwiększyć złożoność — po prostu nie bądź tak skomplikowany, aby paść ofiarą słabości trudnych haseł.
- Użyj zwrotów lub tekstów. Innym sposobem tworzenia długich haseł jest użycie części fraz lub tekstu. Jeśli chodzi o teksty, stosunkowo popularne piosenki są być może lepsze niż te szczególnie dla Ciebie ważne: znowu nie chcesz osobom, które dobrze Cię znają, aby mogły odgadnąć Twoje hasła tylko dlatego, że jesteś wielkim fanem Michaela Boltona (lub nie). Przykładami haseł utworzonych z faz lub tekstów mogą być Nie jesteś Jackiem Kennedym (19 znaków), iShotaManinReno (15 znaków), impeepinandimcreepin (20 znaków).
- Używaj mnemoników. Wadą długich haseł jest to, że mogą być trudne do wpisania, zwłaszcza na urządzeniu mobilnym. Inną sztuczką, którą niektórzy uważają za przydatną do generowania złożonych, krótszych haseł, jest użycie pierwszego znaku każdego słowa w wyrażeniu lub tekście. „Ile dróg musi przejść człowiek” mogłoby brzmieć HmmmwD—tylko osiem znaków, ale stosunkowo skomplikowane z punktu widzenia programu do łamania haseł. Podobnie mogłoby wyglądać „potrząśnij, potrząśnij jak zdjęciem polaroidowym”. SiSiLapp — może nie świetnie, ale lepiej niż żółw. Ta sztuczka może również pomóc w generowaniu dobrych haseł do systemów, w których nadal obowiązuje ograniczenie długości haseł.
Te wytyczne zazwyczaj pomogą Ci wymyślić łatwe do zapamiętania, złożone hasła. Oczywiście, gdy mamy do czynienia z systemami haseł wymagającymi składu (co oznacza, że oczekują różnych wielkości liter, cyfry lub symbole), aby je spełnić, nadal będziesz musiał wymyślić ciekawe wariacje na temat haseł wymagania. Pamiętaj tylko, że przy dłuższych hasłach możesz dokonać podstawień i zmian w oczywistych miejscach — zazwyczaj te długie hasła są łatwiejsze do zapamiętania nawet przy wymaganiach niż krótkie, nonsensowne Hasła.
Kilka innych wskazówek
Inne kwestie, o których należy pamiętać przy wyborze haseł:
- Używaj oddzielnych haseł do oddzielnych usług. Nie używaj hasła do sieci społecznościowych do bankowości internetowej. Jeśli hasło w jednej usłudze zostanie naruszone, pozostałe powinny być bezpieczne.
- Wybieraj ważne hasła ostrożnie. Systemy pojedynczego logowania mogą być niezwykle wygodne, ale także tworzą pojedynczy punkt awarii dla wielu usług. Przykładami mogą być hasła do kont w usługach Google, Yahoo i Microsoft, gdzie może dać jedno złamane hasło ktoś ma dostęp do poczty e-mail, dokumentów, zdjęć, sieci społecznościowych, blogów, bibliotek zdjęć, list kontaktów, książek adresowych i więcej. Podobnie w przypadku tak wielu witryn (nawet Trendy cyfrowe) akceptowania loginów do Facebooka i Twittera, złamanie hasła do sieci społecznościowej może mieć daleko idące konsekwencje.
- Zmień swoje hasła. Kusząca jest myśl, że jeśli jedno z Twoich haseł zostanie złamane, od razu się o tym dowiesz: Twój e-mail zniknie, Twój blog stanie się zestawem grafik Lulz, Twoja lista prezentów Amazon może być wypełniona kłopotliwymi opcjami, Twoje konto PayPal może zostać wyczyszczone na zewnątrz. Jednak nie zawsze tak jest: jeśli ktoś złamie Twoje hasło, może nie być żadnego widocznego znaku, przynajmniej nie od razu. Regularnie zmieniając hasło, masz pewność, że nawet jeśli ktoś się włamie, jego szansa na wykorzystanie Cię będzie ograniczona. Częstotliwość zmiany haseł zależy od sposobu korzystania z usług online. W przypadku wszelkich transakcji związanych z prawdziwymi pieniędzmi ogólnie zalecam użytkownikom zmianę haseł co 30 do 90 dni — im więcej pieniędzy, tym częściej.
Żadne hasło nie jest bezpieczne
Być może najważniejszą rzeczą, o której należy pamiętać w przypadku haseł, jest to każdy hasło można złamać: to tylko kwestia tego, ile czasu i wysiłku ktoś jest skłonny w to włożyć. Poniższe wskazówki pomogą zmniejszyć ryzyko wykorzenienia Twoich haseł przez przypadkowych atakujących, a nawet przyjaciół i rodzinę, ale żadne hasło nie jest całkowicie bezpieczne. Jeśli bezpieczny dostęp do usługi jest dla Ciebie bardzo ważny, rozważ różne formy uwierzytelniania wieloskładnikowego, aby jeszcze bardziej zmniejszyć ryzyko nieautoryzowanego dostępu.
Źródło obrazu: Shutterstock / jamdesign / Tatiana Popowa / Pedro Miguela Sousa
Zalecenia redaktorów
- Te żenujące hasła zostały zhakowane przez celebrytów
- Nie, 1Password nie zostało zhakowane – oto, co naprawdę się wydarzyło
- Jak zabezpieczyć hasłem folder w systemie Windows i macOS
- LastPass ujawnia, w jaki sposób został zhakowany — i nie jest to dobra wiadomość
- Reddit został zhakowany — oto jak skonfigurować 2FA, aby chronić swoje konto
