Ak existuje niečo, čo si ľudia spájajú s modernými technológiami, sú to heslá. Sú všade a väčšina z nás ich denne používa na desiatky vecí. Napriek tomu je väčšina ľudí šokujúco ľahostajná k bezpečnosti svojich hesiel. Väčšina z nás pravdepodobne pozná niekoho, kto používa rovnaké heslo všetko, z ich počítača a e-mailu na ich Facebook a bankové účty – a toto heslo môže byť niečo také zrejmé, ako ich narodeniny alebo názov ulice, kde vyrastali. A tiež pravdepodobne poznáme niekoho, kto má na boku svojho monitora nalepený lístok s nápisom „Heslá“ (v červená, dvakrát podčiarknutá) so zoznamom všetkého od Twitteru po Netflix, ktorý je otvorený pre kohokoľvek čítať.
Tieto praktiky môžu znieť ako niečo z generácie našich starých rodičov, ale nie je to úplne pravda: Minulý týždeň som pozeral a plnohodnotný člen generácie D, ktorý sa snaží prejsť zo Samsungu Galaxy S (ehm, Fascinate) na HTC Rezound prostredníctvom svojho notebooku počítač. Ako presunul všetky svoje heslá? V peňaženke mal kúsok papiera so „všetkými jeho heslami“ – a to
všetky myslel tri. Jeden pre e-mail a sociálne siete, jeden pre e-mail jeho pratety („Skontrolujem jej to“) a ďalší pre všetko ostatné. Pri pohľade cez rameno boli všetky tri slová každodenného života: mophandle,mrmlateľ, a lillian. Hádajte, ktorá bola jeho tety?Odporúčané videá
Našťastie existujú jednoduché spôsoby, ako urobiť heslá ťažko uhádnuteľnými a ľahko zapamätateľnými. bohužiaľ, technologický priemysel im niekedy prekáža. Tu je prehľad bežných slabých stránok hesiel a niekoľko spôsobov, ako môžete zlepšiť svoje heslá a bezpečnosť online.
Nejasnosť verzus zložitosť
Bežnou pravdou o heslách je, že by mali nikdy ľahko uhádnuť. Väčšina technicky zdatných ľudí súhlasí s tým, že nikto by nemal používať podrobnosti o sebe ako heslo: To zahŕňa narodeniny, adresy a mená priateľov a rodiny (vrátane rodičov, súrodencov, manželov, detí a dokonca aj domáce zvieratá). podobne, heslo vytvára mimoriadne zlé heslo – rovnako ako všetky ostatné bežne používané jednorazové heslá.
Táto vždy zelená rada sa často interpretuje tak, že heslá by mali byť nejasný, alebo termín, o ktorom by si nikto nemyslel, že by ste si ho vybrali, keby mali milión rokov. Áno, nejasné môže fungovať – a je to sakramentsky lepší pohľad ako výber jasného hesla. Nejasné heslo vás však chráni len pred ľuďmi, ktorí o vás niečo vedia. Je pravdepodobné, že väčšina ľudí sa pokúša prelomiť vaše heslá nie poznám ťa.
Väčšina lámaní hesiel sa nedeje tak, ako sa to zobrazuje vo filmoch, kde je Náš hrdina (alebo The Darebák) sedí za klávesnicou, skúša jednu alebo dve frázy, šúcha si bradu a potom na nej zahliadne fotku z detstva Stôl. Aha! Napíšte čarovné slovo a presto, bezpečnosť obídená. V reálnom svete je drvivá väčšina lámania hesiel automatizovaná, s počítačmi doslova hádzať každé slovo v slovníku (a potom niektoré) na systém v nádeji, že narazia na správny termín. Tento prístup môže fungovať, pretože počítače môžu skúšať heslá oveľa rýchlejšie, ako ich ľudia píšu, a môžu bežať 24 hodín denne, sedem dní v týždni, bez prestávok v kúpeľni. Automatizované nástroje na prelomenie hesiel nevedia nič o používateľoch, ktorých sa snažia kompromitovať: Ide o prístup hrubej sily.
Ukázalo sa teda, že kľúč k silnému heslu nie je jeho nejasnosť ale jeho zložitosť — veci, vďaka ktorým je menej pravdepodobné, že ich uhádne automatizovaný nástroj na prelomenie hesiel. Vytvorenie dobrého komplexného hesla však znamená vedieť trochu o tom, ako sa heslá porušujú.
Prelomenie hesiel
Vo veľmi všeobecných podmienkach majú nástroje na prelomenie hesiel zvyčajne dva prístupy. Jedným z nich je doslova vyskúšať vopred zostavený zoznam možných hesiel. Tieto zvyčajne začínajú od veľmi bežných hesiel (napr heslo alebo qwerty) a prepracovať sa k menej bežným výrazom a prípadne použiť zoznam slov zostavený z online slovníka a iných zdrojov. Tento prístup s väčšou pravdepodobnosťou nájde heslá, ktoré sú platnými slovami alebo ich variantmi, aj keď sú nejasné.
Ďalším prístupom k prelomeniu hesiel je skúšanie platných sekvencií písmen, číslic a symbolov bez ohľadu na ich význam. Nástroj na prelomenie hesiel, ktorý používa tento prístup, môže začať s aaaaaaaa ak chcete získať osemmiestne heslo, skúste to aaaaaaab potom aaaaaaac a tak ďalej v abecede, cez kombináciu veľkých a malých písmen a hádzanie čísel a symbolov. Tento prístup s väčšou pravdepodobnosťou nájde heslá, ktoré sú „strojovo vhodné“ alebo náhodne generované. Ako prístupový kód 4De78Hf1 nájsť túto cestu nie je o nič ťažšie ako teenager bolo by.
Aké sú teda šance na uhádnutie hesla? Väčšina systémov v súčasnosti umožňuje používateľom vytvárať heslá pomocou písmen (veľkých a malých písmen), čísel a výberu symbolov. Povolené symboly sa medzi systémami často líšia (niektoré povoľujú takmer všetko, iné len niekoľko), ale pre naše účely predpokladajme, že to znamená, že každý znak v hesle môže byť jednou z približne 80 hodnôt – dve abecedy po 26 písmen, desať číslic a 18 symbolov. (Teoreticky by malo byť pre každú postavu k dispozícii aspoň 127 hodnôt, ale v praxi je to menšie číslo.)
Pri použití čisto hrubej sily to znamená, že na náhodné zistenie jednoznakového hesla by bolo potrebných maximálne 80 tipov. Štvorznakové heslo môže zabrať viac ako 40 miliónov odhadov (80 × 80 × 80 × 80 = 40 960 000) a heslo s ôsmimi znakmi môže prevziať 1,6 bilióna odhadov (1 677 721 600 000 000).
Ak by bol nástroj na prelomenie hesiel schopný urobiť 1 000 uhodnutí za sekundu, potreboval by asi mesiac na spustenie všetkých kombinácií štvormiestneho hesla a viac ako 53 000 rokov na spustenie všetkých kombinácií 8-znakového hesla. Vyzerá to celkom bezpečne, však?
No, ani nie. Čisto štatisticky povedané, cracker má 50/50 šancu nájsť heslo polovicu vtedy. Ešte znepokojujúcejšie je, že ľudia, ktorí vyrábajú lámanie hesiel, majú iné spôsoby, ako zlepšiť svoje šance. Pamätajte si ako heslo bolo jedno z najhorších hesiel na použitie? Hádajte, čo je tiež veľmi zlé heslo? heslo, nahradením písmena O číslicou nula. Zatiaľ čo nástroje na prelomenie hesiel spúšťajú svoje bežné slová zo slovníka, skúšajú na nich aj bežné varianty slová nahradzujúce nuly za O, znaky @ a 4 za A, 3 za E, 1 a! za I, 7 za T, 5 za S a tak ďalej. podobne, 0qww294e je hrozné heslo – to je proste heslo posunuté o jeden riadok na štandardnej anglickej klávesnici. Tieto techniky využívajú preferencie používateľov pre ľahko zapamätateľné heslá. Nanešťastie, nahradením jedného alebo dvoch znakov v ľahko zapamätateľnom výraze (alebo veľkých písmen) ľudia väčšinou robia svoje heslá nejasnejšími, ale nie oveľa bezpečnejšími. V skutočnosti typické užívateľom zvolené osemznakové heslá so zmiešanými malými a veľkými písmenami, číslami a symbolmi majú zvyčajne len asi 30 bitov entropie alebo niečo vyše miliardy možných kombinácií. prečo? Pretože zoznam výrazov, na ktorých ľudia zakladajú svoje heslá, je oveľa menší ako celkové možné kombinácie písmen, číslic a symbolov.
Ako rýchlo je možné prelomiť heslá? Vyskúšať 1 000 hesiel za sekundu sa môže zdať nemožné – koniec koncov, väčšina služieb má tendenciu zablokovať nám naše vlastné účty, ak trikrát alebo štyrikrát nesprávne zadali heslo, čo často znamená obnovenie hesla a vyžaduje, aby sme odpovedali na bezpečnostné otázky, aby sme mohli vytvoriť nové jeden. Tieto techniky „brány“. robiť zlepšiť bezpečnosť účtu a mimochodom sú tiež skvelým, oslepujúco jednoduchým spôsobom, ako nahnevať ľudí. (Neviem vám povedať, koľkokrát som bol vymknutý z môjho účtu iTunes útokmi na heslo, ale pravdepodobne je to viac ako sto.)
Útočníci, ktorí chcú prelomiť heslá, však neklopú na predné dvere služby a nepokúšajú sa (doslova) milióny krát prihlásiť do rovnakého účtu. Buď používajú menej verejné metódy overovania, ktoré nepodliehajú blokovaniu (napríklad súkromné rozhranie API pre partnerov alebo aplikácie), čím šíria svoje útoky na širokú škálu účtov, aby sa predišlo obdobiam blokovania, alebo (najlepší scenár) aplikovanie techník prelomenia hesla na ukradnuté heslo údajov. Väčšina systémov šifruje uložené údaje o heslách, ale tieto šifrované súbory sú len také bezpečné ako samotný systém. Ak sa útočníci dostanú k zašifrovanému súboru hesiel (cez bezpečnostnú dieru, ohrozená stroj, alebo sociálne inžinierstvo, pre začiatočníkov) môžu naň veľmi rýchlo zaútočiť, len čo sa osamostatní systémov. To je dôvod, prečo príbehy o útočníkoch získavajúcich informácie o účte (napr Stratfor, Epsilon, Sony, a Zappos) znepokojujú. Po uvoľnení šifrovaných údajov môžu útočníci použiť oveľa výkonnejšie nástroje na ich otvorenie.
V reálnom svete to znamená, že údaj 1 000 hesiel za sekundu je extrémne konzervatívny. Bežný hardvér stolných počítačov v súčasnosti môže testovať miliónov hesiel sekundu proti bežným šifrovacím technológiám. Podobne teraz existujú nástroje na prelamovanie hesiel, ktoré využívajú grafické procesory, a v biznise s prelamovaním hesiel sú aj kriminálni prevádzkovatelia botnetov. Dokážu rozložiť pracovné zaťaženie na tisíce počítačov. Skombinujte túto surovú silu so sofistikovanou heuristikou (napríklad vyskúšanie variantov čísel a písmen bežné slová) a nie je nezvyčajné prelomiť typické osemmiestne heslo používateľa za menej ako pol hodiny hodina.
Streľba do nôh
Vyššie sme uviedli, ako môže mať osemznakové heslo s veľkými, malými písmenami, číslami a symbolmi viac ako kvadrilión možných kombinácií, ale väčšina dnes používaných hesiel s ôsmimi znakmi spadá do skupiny iba asi miliardy kombinácie. Je to preto, že ľudia nie sú stroje. Tam, kde je vhodné použiť aj počítač korytnačka alebo Y&4nS0\2 ako heslo, uhádni, ktoré je pre človeka ľahšie zapamätateľné? Teraz hádajte, ktorý z nich je bezpečnejší.
Niektoré systémy implementujú požiadavky na heslá, ktorých cieľom je zabezpečiť, aby používatelia nepoužívali ľahko prelomiteľné heslá. Bežným prístupom je vyžadovať, aby používateľské heslá mali aspoň jedno veľké písmeno, jedno číslo, jeden symbol a mali aspoň osem znakov. (Niektoré systémy nevynucujú požiadavky, ale ponúkajú mieru „sily hesla“ ako mieru účinnosti hesla Niektoré systémy tiež vyžadujú, aby si používatelia často menili svoje heslá (povedzme každých 30 alebo 45 dní) a zabránili ich opätovnému použitiu heslá.
Požiadavky tohto druhu robiť zvyšujú bezpečnosť hesiel, no zároveň sťažujú zapamätanie si hesiel. To znamená, že významná časť používateľov okamžite príde na spôsoby, ako podlomiť bezpečnosť systému pre svoje pohodlie. Iste, niektorí ľudia sa dokážu vyrovnať s heslami ako 9,3 nDs (# ale veľa ďalších ľudí odpovie nalepenými papierikmi po stranách monitorov, poznámkami v ich peňaženky alebo dokument Microsoft Word na ich pracovnej ploche s užitočným označením „Heslá“, aby ich mohli kopírovať a prilepiť, keď nevyhnutné. Požiadavky na vytváranie hesiel tiež zvyčajne znižujú produktivitu a zvyšujú náklady na podporu (pre zamestnancov aj zákazníci), pretože viac ľudí zabudne svoje heslá alebo bude zablokovaný prístup k svojim účtom, čo si vyžaduje manuál zásah.
Vytváranie zložitých hesiel
Svätý grál hesiel by sa potom zdal byť heslom, ktoré je komplexné natoľko, že je nepraktické prelomiť ich pomocou automatizovaných techník, no zároveň je dosť ľahké zapamätať si, že používatelia neohrozujú bezpečnosť tým, že ich ukladajú alebo spravujú nebezpečne.
Tu je niekoľko tipov na vytváranie zložitých a ľahko zapamätateľných hesiel:
- Používajte dlhé heslá. Ak osemznakové heslo môže mať 1,6 bilióna možných kombinácií, predstavte si, koľko môže mať 16-znakové heslo? (Približne 2,8 miliardy alebo 2,830.) Čo je však možno dôležitejšie, množina hodnôt pre 16-znakové heslo používajúca bežné výrazy a variácií je tesne pod 1,2 kvintilióna, kde to bolo niečo cez miliardu s ôsmimi znakmi heslo. Používanie dlhších hesiel je najjednoduchší spôsob, ako urobiť heslá zložitejšími a bezpečnejšími.
- Používajte kombinované slová. Ako vytvoriť ľahko zapamätateľné dlhé heslá? Jednou z bežných techník je použitie série troch až piatich jednoduchých, nesúvisiace podmienky. Tieto sú vo všeobecnosti tak ľahko zapamätateľné ako čísla PIN; z kognitívneho hľadiska majú ľudia tendenciu pamätať si celé slová ako samostatné jednotky. Tieto heslá však môžu byť veľmi zložité, minimálne z pohľadu prelomenia hesiel. A tieto heslá sa dajú ľahko vytvoriť len tak, že sa rozhliadnete alebo prehodíte knihu na náhodnú stranu. Keď sa pozriem von z okna, vidím žabku, auto a okno niekoho z kuchynky. Nové heslo: FrogHubcapCupboard - to je 18 znakov, ale len tri slová na zapamätanie. Pri pohľade správne: RunnerCameraGlueString — štyri krátke slová, 22 znakov. Použil som iba veľké písmená, aby som pomohol rozlíšiť slová. Pridanie ďalších znakov alebo náhrad môže zvýšiť zložitosť – nebuďte tak zložité, aby ste sa stali obeťou slabých stránok náročných hesiel.
- Používajte frázy alebo texty. Ďalším spôsobom vytvárania dlhých hesiel je použitie častí fráz alebo textov. Pokiaľ ide o texty, relatívne bežné piesne sú možno lepšie ako tie, ktoré sú pre vás obzvlášť dôležité: opäť, nechcete ľudí, ktorí vás dobre poznajú, aby dokázali uhádnuť vaše heslá len preto, že ste veľkým fanúšikom Michaela Boltona (alebo nie). Príklady hesiel vytvorených z fáz alebo textov môžu byť Si NoJackKennedy (19 znakov), iShotaManinReno (15 znakov), impeepinandimcreepin (20 znakov).
- Používajte mnemotechnické pomôcky. Nevýhodou dlhých hesiel je, že môžu byť náročné na písanie, najmä na mobilnom zariadení. Ďalším trikom, ktorý niektorí ľudia považujú za užitočný na generovanie zložitých kratších hesiel, je použitie prvého znaku každého slova vo fráze alebo texte. „Koľko ciest musí prejsť človek“ by sa mohlo stať HmrmamwD—iba osem znakov, ale pomerne zložité z pohľadu programu na lámanie hesiel. Podobne by sa mohlo stať „zatraste, zatraste ako polaroidový obrázok“. SiSiLapp - možno nie skvelé, ale lepšie ako korytnačka. Tento trik môže tiež pomôcť pri generovaní dobrých hesiel pre systémy, ktoré majú stále limit na dĺžku hesiel.
Tieto pokyny vám vo všeobecnosti pomôžu nájsť ľahko zapamätateľné a zložité heslá. Samozrejme, pri práci so systémami hesiel s požiadavkami na zloženie (to znamená, že očakávajú zmiešané veľké a malé písmená, čísla alebo symboly), stále budete musieť prísť s vtipnými zvratmi hesiel, aby ste ich splnili požiadavky. Nezabudnite, že s dlhšími heslami môžete vykonávať zámeny a zmeny na viditeľných miestach – zvyčajne sú tieto dlhé heslá ľahšie zapamätateľné aj s požiadavkami ako krátke nezmysly heslá.
Niekoľko ďalších rád
Ďalšie veci, na ktoré treba myslieť pri výbere hesiel:
- Pre samostatné služby používajte samostatné heslá. Nepoužívajte svoje heslo sociálnej siete na online bankovníctvo. Ak dôjde k ohrozeniu hesla v jednej službe, ostatné by mali byť v bezpečí.
- Starostlivo si vyberajte dôležité heslá. Systémy jednotného prihlásenia môžu byť veľmi pohodlné, ale môžu tiež vytvárať jediný bod zlyhania pre viaceré služby. Príkladmi by mohli byť heslá k účtom v službách Google, Yahoo a Microsoft, kde môže poskytnúť jediné prelomené heslo niekto má prístup k e-mailu, dokumentom, obrázkom, sociálnym sieťam, blogom, knižniciam fotografií, zoznamom kontaktov, adresárom a viac. Podobne pri toľkých stránkach (dokonca Digitálne trendy) akceptovaním prihlásení na Facebook a Twitter môže mať napadnuté heslo sociálnej siete ďalekosiahle následky.
- Zmeňte si heslá. Je lákavé myslieť si, že ak sa prelomí jedno z vašich hesiel, budete to vedieť hneď: váš e-mail zmizne, váš blog ak sa stanete súborom lulz grafiky, váš zoznam darčekov na Amazone môže byť plný trápnych možností, váš účet PayPal môže byť vymazaný von. Nie je to však vždy tak: Ak niekto prelomí vaše heslo, nemusí tam byť žiadny zjavný znak, aspoň nie hneď. Pravidelnou zmenou hesla zabezpečíte, že aj keď sa niekto vláme, jeho príležitosť zneužiť vás bude obmedzená. Frekvencia, s akou by ste si mali meniť heslá, sa líši podľa toho, ako používate online služby. Pre čokoľvek, čo sa týka skutočných peňazí, vo všeobecnosti odporúčam používateľom meniť svoje heslá každých 30 až 90 dní – čím viac peňazí, tým častejšie.
Žiadne heslo nie je bezpečné
Snáď najdôležitejšia vec, ktorú si o heslách treba zapamätať, je to akýkoľvek heslo sa dá prelomiť: Je len otázkou, koľko času a úsilia je tomu niekto ochotný venovať. Tu uvedené tipy vám pomôžu znížiť pravdepodobnosť, že vaše heslá budú vykorenené náhodnými útočníkmi a dokonca aj priateľmi a rodinou, ale žiadne heslo nie je úplne bezpečné. Ak je pre vás bezpečný prístup k službe veľmi dôležitý, zvážte preskúmanie rôznych foriem viacfaktorovej autentifikácie, aby ste ešte viac znížili šance na neoprávnený prístup.
Kredit obrázka: Shutterstock / jamdesign / Tatiana Popová / Pedro Miguel Sousa
Odporúčania redaktorov
- Tieto trápne heslá hackli celebrity
- Nie, 1Password nebolo napadnuté – tu je to, čo sa skutočne stalo
- Ako chrániť priečinok heslom v systéme Windows a MacOS
- LastPass odhaľuje, ako bol napadnutý - a to nie je dobrá správa
- Reddit bol napadnutý hackermi – tu je návod, ako nastaviť 2FA na ochranu vášho účtu
