Dacă există un lucru pe care oamenii îl asociază cu tehnologia modernă, acestea sunt parolele. Sunt peste tot și majoritatea dintre noi le folosim pentru zeci de lucruri în fiecare zi. Cu toate acestea, majoritatea oamenilor sunt șocant de indiferenți în ceea ce privește securitatea parolei. Cei mai mulți dintre noi probabil cunoaștem pe cineva pentru care folosește aceeași parolă Tot, de la computer și e-mail la conturile lor de Facebook și bancare - și acea parolă ar putea fi ceva la fel de evidentă precum ziua de naștere sau numele străzii în care au crescut. Și probabil cunoaștem pe cineva care are pe partea laterală a monitorului o notă lipicioasă intitulată „Parole” (în roșu, subliniat dublu) cu o listă cu tot, de la Twitter la Netflix, doar în aer liber pentru ca oricine să poată citit.
Aceste practici ar putea suna ca ceva din generația bunicilor noștri, dar asta nu este strict adevărat: săptămâna trecută am urmărit un membru complet al generației D care încearcă să treacă de la un Samsung Galaxy S (eh, Fascinate) la un HTC Rezound prin intermediul notebook-ului său calculator. Cum și-a mutat toate parolele? Avea o bucată de hârtie în portofel cu „toate parolele” – și până
toate a vrut sa spuna Trei. Unul pentru e-mail și rețele sociale, unul pentru e-mailul mătușii lui străbune („Îl verific pentru ea”) și altul pentru orice altceva. Privind peste umăr, toate trei erau cuvinte de zi cu zi: mohandle,bolborosit, și lillian. Ghici care a fost al mătușii lui?Videoclipuri recomandate
Din fericire, există modalități simple de a face parole atât greu de ghicit, cât și ușor de reținut. Din pacate, industria tehnologiei le împiedică uneori să le folosească. Iată o listă a punctelor slabe comune ale parolelor și câteva modalități prin care vă puteți îmbunătăți parolele și siguranța online.
Obscuritate versus complexitate
Un truism comun despre parole este că ar trebui nu fi ușor de ghicit. Majoritatea oamenilor cunoscători de tehnologie sunt de acord că nimeni nu ar trebui să folosească detalii despre ei înșiși ca parolă: asta include zilele de naștere, adresele și numele prietenilor și familiei (inclusiv părinți, frați, soții, copii și chiar și animale de companie). În mod similar, parola face o parolă deosebit de slabă - la fel ca toate celelalte parole uzuale utilizate în mod obișnuit.
Acest sfat veșnic verde este adesea interpretat ca însemnând că parolele ar trebui să fie obscur, sau un termen pe care nimeni nu ar crede că l-ai alege dacă ar avea un milion de ani. Da, obscure poate funcționa - și este o vedere al naibii mai bună decât alegerea unei parole evidente. Cu toate acestea, o parolă obscure te protejează doar de oamenii care știu ceva despre tine. Şansele sunt că majoritatea oamenilor încearcă să spargă parolele tale nu te stiu.
Majoritatea spargerii parolelor nu se întâmplă așa cum este prezentată în filme, în care Eroul nostru (sau The Villain) stă la o tastatură, încearcă o frază sau două, își freacă bărbia, apoi spionează o fotografie din copilărie birou. Aha! Tastați cuvântul magic și bine, securitate eludată. În lumea reală, marea majoritate a spargerii parolelor este automatizată, cu computere la propriu aruncând fiecare cuvânt din dicționar (și apoi unele) la un sistem în speranța de a da peste termen corect. Această abordare poate funcționa deoarece computerele pot încerca parolele mult mai repede decât le pot introduce oamenii și pot rula 24 de ore pe zi, șapte zile pe săptămână, fără pauze de baie. Descoperitorii automati de parole nu știu nimic despre utilizatorii pe care încearcă să-i compromită: este o abordare cu forță brută.
Deci, se dovedește că o cheie pentru o parolă puternică nu este ea obscuritate dar e complexitate — lucruri care fac să fie mai puțin probabil să fie ghicit de un spartor de parole automat. Cu toate acestea, a face o parolă complexă bună înseamnă să cunoașteți puțin despre cum parolele sunt sparte.
Spargerea parolelor
În termeni foarte generali, declanșatorii de parole au de obicei două abordări. Una este să încercați literalmente o listă pre-compilată de parole posibile. Acestea pornesc de obicei de la parole foarte comune (cum ar fi parola sau qwerty) și mergeți la termeni mai puțin obișnuiți și, în cele din urmă, utilizați o listă de cuvinte compilată dintr-un dicționar online și din alte surse. Această abordare este mai probabil să găsească parole care sunt cuvinte valide sau variante ale acestora, chiar dacă sunt obscure.
O altă abordare de spargere a parolelor este de a încerca secvențe valide de litere, numere și simboluri, indiferent de semnificația lor. O spargere a parolelor care utilizează această abordare ar putea începe cu aaaaaaaa pentru o parolă de opt caractere, apoi încercați aaaaaaab apoi aaaaaaac și așa mai departe în sus în alfabet, prin amestecuri de litere mari și minuscule și introducând numere și simboluri. Această abordare este mai probabil să găsească parole care sunt „compatibile cu mașina” sau generate aleatoriu. O parolă ca 4De78Hf1 nu este mai greu de găsit în acest fel decât adolescent va fi.
Deci, care sunt șansele ca o parolă să fie ghicită? Cele mai multe sisteme din zilele noastre permit utilizatorilor să creeze parole folosind litere (majuscule și minuscule), numere și o selecție de simboluri. Simbolurile permise variază adesea între sisteme (unele permit aproape orice, altele permit doar o mână), dar pentru scopurile noastre să presupunem că asta înseamnă că fiecare caracter dintr-o parolă poate fi unul din aproximativ 80 de valori - două alfabete cu 26 de litere fiecare, zece cifre și 18 simboluri. (În teorie, ar trebui să fie disponibile cel puțin 127 de valori pentru fiecare caracter, dar în practică este un număr mai mic.)
Folosind o abordare pur forță brută, asta înseamnă că ar fi nevoie de maximum 80 de presupuneri pentru a afla aleatoriu o parolă cu un singur caracter. O parolă de patru caractere ar putea prelua peste 40 de milioane de ghiciri (80 × 80 × 80 × 80 = 40.960.000), iar o parolă de opt caractere ar putea prelua 1,6 cvadrilioane de ghiciri (1.677.721.600.000.000).
Dacă un instrument de spargere a parolei ar putea face 1.000 de ghiciri pe secundă, ar avea nevoie de aproximativ o lună pentru a rula toate combinațiile unei parole de patru caractere și peste 53.000 de ani pentru a rula toate combinațiile unei parole de 8 caractere. Pare destul de sigur, nu?
Nu chiar. În termeni pur statistici, un cracker are o șansă de 50/50 de a găsi parola jumătate acel timp. Mai îngrijorător, cei care fac spargeri de parole au alte modalități de a-și îmbunătăți șansele. Amintește-ți cum parola a fost una dintre cele mai proaste parole de folosit? Ghici care este și o parolă foarte proastă? Parolă, înlocuind litera O cu un număr zero. În timp ce declanșatorii de parole își execută cuvintele obișnuite dintr-un dicționar, ei încearcă și variante comune ale acestora cuvinte, înlocuind zerourile pentru O, semnele @ și 4 pentru A, 3 pentru E, 1 și! pentru I, 7 pentru T 5 pentru S și curând. În mod similar, 0qww294e este o parolă groaznică - asta este doar parola deplasat cu un rând în sus pe o tastatură engleză standard. Aceste tehnici se bazează pe preferința utilizatorilor pentru parole ușor de reținut. Din păcate, prin înlocuirea (sau scrierea cu majuscule) a unui caracter sau două într-un termen ușor de reținut, oamenii își fac în mare parte parolele mai obscure, dar nu mult mai sigure. De fapt, parolele tipice de opt caractere selectate de utilizator cu litere mari, numere și simboluri mixte au de obicei doar aproximativ 30 de biți de entropie sau puțin peste un miliard de combinații posibile. De ce? Deoarece lista de termeni oameni pe care oamenii își bazează parolele este mult mai mică decât totalul combinațiilor posibile de litere, numere și simboluri.
Cât de repede pot fi sparte parolele? Încercarea a 1.000 de parole pe secundă ar putea părea imposibil - la urma urmei, majoritatea serviciilor tind să ne blocheze din propriile noastre conturi dacă tastați greșit o parolă de trei sau patru ori, adesea resetând parola și solicitându-ne să răspundem la întrebări de securitate pentru a face o nouă unu. Aceste tehnici de „gateway”. do îmbunătățește securitatea contului și, de altfel, sunt, de asemenea, o modalitate grozavă de ușoară de a enerva oamenii. (Nu vă pot spune de câte ori am fost blocat din contul meu iTunes din cauza atacurilor cu parole, dar probabil este peste o sută.)
Cu toate acestea, atacatorii intenționați să spargă parolele nu bat la ușa unui serviciu și nu încearcă (literal) de milioane de ori să se conecteze la același cont. Fie folosesc metode de autentificare mai puțin publice care nu sunt supuse blocărilor (cum ar fi un API privat pentru parteneri sau aplicații), răspândindu-și atacuri într-o gamă largă de conturi pentru a evita perioadele de blocare sau (în cel mai bun caz) aplicarea tehnicilor de spargere a parolelor la parola furată date. Majoritatea sistemelor criptează datele despre parole pe care le stochează, dar acele fișiere criptate sunt la fel de sigure ca și sistemul însuși. Dacă atacatorii pot pune mâna pe fișierul cu parole criptate (printr-o gaură de securitate, compromis mașină sau inginerie socială, pentru început), o pot ataca foarte rapid odată ce este pe cont propriu sisteme. De aceea, poveștile despre atacatori care obțin informații despre cont (cum ar fi Stratfor, Epsilon, Sony, și Zappos) sunt tulburătoare. Odată ce datele criptate au fost eliberate, atacatorii pot aplica instrumente mult mai puternice pentru a le deschide.
În lumea reală, asta înseamnă că cifra de 1.000 de parole pe secundă este extrem de conservatoare. Hardware-ul obișnuit de computer desktop în zilele noastre poate testa milioane de parole o secundă împotriva tehnologiilor comune de criptare. În mod similar, există acum instrumente de spargere a parolelor care folosesc procesoarele grafice, iar operatorii de botnet criminale sunt, de asemenea, în afacerea de spargere a parolelor. Ele pot distribui volumul de lucru pe mii de computere. Combină această putere brută cu euristică sofisticată (cum ar fi încercarea de variante cu numere și litere pe cuvinte comune) și nu este neobișnuit să spargeți o parolă tipică de utilizator de opt caractere în mai puțin de jumătate ora.
Ne împușcăm în picior
Am observat mai sus cum o parolă de opt caractere, cu majuscule, minuscule, numere și simboluri, poate avea mult peste o cvadrilioane de combinații posibile, dar majoritatea parolelor de opt caractere utilizate astăzi se încadrează într-un grup de doar aproximativ un miliard combinatii. Asta pentru că oamenii nu sunt mașini. În cazul în care un computer este mulțumit de utilizat fie broască-țestoasă sau Y&4nS0\2 ca parolă, ghici care dintre ele este mai ușor de reținut pentru un om? Acum, ghici care este mai sigur.
Unele sisteme implementează cerințe de parolă menite să se asigure că utilizatorii nu folosesc parole ușor sparte. O abordare comună este de a solicita parolelor utilizatorului să aibă cel puțin o literă mare, un număr, un simbol și să aibă cel puțin opt caractere. (Unele sisteme nu impun cerințe, dar oferă un indicator al „puterii parolei” ca o măsură a cât de eficientă crede că ar putea o parolă fi.) Unele sisteme solicită, de asemenea, utilizatorilor să-și schimbe parolele din când în când (să zicem, la fiecare 30 sau 45 de zile) și să îi împiedice să le refolosească parolele.
Aceste tipuri de cerințe do sporesc securitatea parolelor, dar fac și parolele mult mai greu de reținut de către oameni. Aceasta înseamnă că o parte semnificativă a utilizatorilor va găsi imediat modalități de a submina securitatea sistemului pentru confortul lor. Sigur, unii oameni pot face față parolelor precum 9.3nDs(# dar mulți alți oameni vor răspunde cu note lipicioase încărcate cu parole pe lateralele monitoare, note în portofele sau un document Microsoft Word pe desktop etichetat util „Parole”, astfel încât să poată copia și lipi atunci când necesar. Cerințele de construire a parolei tind, de asemenea, să afecteze productivitatea și să crească costurile de asistență (atât pentru angajați, cât și pentru clienți), deoarece mai mulți oameni își vor uita parolele sau vor fi blocați în conturile lor, necesitând manual intervenţie.
Crearea de parole complexe
Sfântul Graal al parolelor ar părea atunci a fi o parolă care este complex suficient încât nu este practic să spargi folosind tehnici automate, dar destul de ușor de reținut că utilizatorii nu compromit securitatea prin stocarea sau gestionarea lor nesigură.
Iată câteva sfaturi pentru a crea parole complexe, ușor de reținut:
- Folosiți parole lungi. Dacă o parolă de opt caractere poate avea 1,6 cvadrilioane combinații posibile, imaginați-vă câte poate avea o parolă de 16 caractere? (Aproximativ 2,8 miliarde sau 2,830.) Cu toate acestea, poate mai important, setul de valori pentru o parolă de 16 caractere care utilizează termeni și variațiile sunt puțin sub 1,2 chintilioane, unde a fost puțin peste un miliard cu un număr de opt caractere parola. Utilizarea parolelor mai lungi este cel mai simplu mod de a face parolele mai complexe și mai sigure.
- Folosiți cuvinte combinate. Cum să faci parole lungi ușor de reținut? O tehnică comună este utilizarea unei serii de trei până la cinci simple, fără legătură termeni. Acestea sunt în general la fel de ușor de reținut ca și numerele PIN; cognitiv, oamenii tind să-și amintească cuvinte întregi ca unități unice. Cu toate acestea, aceste parole pot fi foarte complexe, cel puțin din punctul de vedere al spargerii parolelor. Și aceste parole sunt ușor de făcut doar privind în jur sau răsturnând o carte într-o pagină aleatorie. Privind în stânga pe fereastră, văd o broască de jucărie, o mașină și fereastra chicinetei cuiva. Parolă Nouă: FrogHubcapCupboard — sunt 18 caractere, dar doar trei cuvinte de reținut. Arata corect: RunnerCameraGlueString — patru cuvinte scurte, 22 de caractere. Am folosit doar majuscule pentru a ajuta la despartirea cuvintelor. Adăugarea mai multor caractere sau înlocuiri poate crește complexitatea - doar nu deveniți atât de complex încât să rămâneți pradă punctelor slabe ale parolelor dure.
- Folosește fraze sau versuri. O altă modalitate de a crea parole lungi este să folosești părți din fraze sau versuri. Pentru versuri, melodiile relativ comune sunt poate mai bune decât cele deosebit de importante pentru tine: din nou, nu vrei oameni care te cunosc bine pentru a-ți putea ghici parolele doar pentru că ești un mare fan al lui Michael Bolton (sau nu). Exemple de parole realizate din faze sau versuri ar putea fi Tu ești NoJackKennedy (19 caractere), iShotaManinReno (15 caractere), impeepinandimcreepin (20 de caractere).
- Folosiți mnemonice. Dezavantajul parolelor lungi este că pot fi dificil de tastat, mai ales pe un dispozitiv mobil. Un alt truc pe care unii îl consideră util pentru a genera parole complexe mai scurte este folosirea primului caracter al fiecărui cuvânt dintr-o frază sau versuri. „Câte drumuri trebuie să parcurgă un om” ar putea deveni HmrmamwD—doar opt caractere, dar relativ complex din punctul de vedere al unui program de spargere a parolelor. În mod similar, ar putea deveni „Sheke it, shake it like a polaroid picture”. SiSiLapp — poate nu grozav, dar mai bine decât broască-țestoasă. Acest truc poate ajuta, de asemenea, la generarea de parole bune pentru sistemele care au încă o limită pentru cât de lungi pot fi parolele.
Aceste instrucțiuni vă vor ajuta, în general, să găsiți parole complexe, ușor de reținut. Desigur, atunci când aveți de-a face cu sisteme de parole cu cerințe de compoziție (adică, se așteaptă la un mix de minuscule, numere sau simboluri) va trebui totuși să vii cu răsturnări ciudate ale parolelor pentru a le îndeplini. cerințe. Nu uitați că, cu parole mai lungi, puteți efectua înlocuiri și modificări în locuri evidente - de obicei, aceste parole lungi sunt mai ușor de reținut chiar și cu cerințe decât scurte, prostii parolele.
Alte câteva indicii
Alte lucruri la care să vă gândiți când vă alegeți parolele:
- Utilizați parole separate pentru servicii separate. Nu folosiți parola rețelei sociale pentru operațiuni bancare online. Dacă o parolă este compromisă pentru un serviciu, celelalte ar trebui să fie în siguranță.
- Alegeți cu atenție parolele importante. Sistemele de conectare unică pot fi extrem de convenabile, dar creează și un singur punct de eșec pentru mai multe servicii. Exemple ar fi parolele pentru conturile de la serviciile Google, Yahoo și Microsoft, unde o singură parolă spartă ar putea oferi cineva acces la e-mail, documente, imagini, rețele sociale, bloguri, biblioteci foto, liste de contacte, agende și Mai mult. În mod similar, cu atât de multe site-uri (chiar Tendințe digitale) acceptând autentificarea Facebook și Twitter, o parolă de rețea socială compromisă poate avea repercusiuni de mare amploare.
- Schimbați-vă parolele. Este tentant să crezi că, dacă una dintre parolele tale este spartă, vei ști imediat: e-mailul tău va dispărea, blogul tău va dispărea deveniți un set de grafice lulz, lista dvs. de cadouri Amazon ar putea fi plină cu opțiuni jenante, contul dvs. PayPal ar putea fi șters afară. Cu toate acestea, acesta nu este întotdeauna cazul: dacă cineva vă sparge parola, s-ar putea să nu existe niciun semn clar, cel puțin nu imediat. Schimbându-ți parola în mod regulat, vă asigurați că, chiar dacă cineva intră prin efracție, fereastra de oportunitate de a vă exploata este limitată. Frecvența cu care ar trebui să schimbați parolele variază în funcție de modul în care utilizați serviciile online. Pentru orice implică bani reali, recomand utilizatorilor să-și schimbe parolele la fiecare 30 până la 90 de zile - cu cât mai mulți bani, cu atât mai des.
Nicio parolă nu este sigură
Poate cel mai important lucru de reținut despre parole este că orice parola poate fi spartă: este doar o întrebare despre cât timp și efort este cineva dispus să depună în ea. Sfaturile de aici vă vor ajuta să reduceți șansele ca parolele dvs. să fie eliminate de către atacatori aleatori și chiar de prieteni și familie, dar nicio parolă nu este complet sigură. Dacă accesul securizat la un serviciu este foarte important pentru dvs., luați în considerare diferitele forme de autentificare cu mai mulți factori pentru a reduce și mai mult șansele de acces neautorizat.
Credit imagine: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Recomandările editorilor
- Aceste parole jenante le-au spart pe celebrități
- Nu, 1Password nu a fost piratată – iată ce s-a întâmplat cu adevărat
- Cum să protejați cu parolă un folder în Windows și macOS
- LastPass dezvăluie cum a fost piratat - și nu este o veste bună
- Reddit a fost spart - iată cum să configurați 2FA pentru a vă proteja contul
