Če obstaja ena stvar, ki jo ljudje povezujejo s sodobno tehnologijo, so to gesla. Povsod so in večina od nas jih vsak dan uporablja za več deset stvari. Vendar je večina ljudi šokantno brezbrižna do varnosti svojih gesel. Večina nas verjetno pozna nekoga, ki uporablja isto geslo za vse, iz njihovega računalnika in e-pošte na njihov Facebook in bančne račune - in to geslo je lahko nekaj tako očitnega kot njihov rojstni dan ali ime ulice, kjer so odraščali. Prav tako verjetno poznamo koga, ki ima na strani monitorja samolepilni list z oznako »Gesla« (v rdeča, dvojno podčrtana) s seznamom vsega, od Twitterja do Netflixa, ki je na voljo vsem prebrati.
Te prakse morda zvenijo kot nekaj iz generacije naših starih staršev, vendar to ni povsem res: prejšnji teden sem gledal polnopravni član generacije D, ki poskuša preiti s Samsung Galaxy S (hm, Fascinate) na HTC Rezound prek svojega prenosnika računalnik. Kako je premikal vsa svoja gesla? V denarnici je imel kos papirja z "vsemi njegovimi gesli" - in mimo
Priporočeni videoposnetki
Na srečo obstajajo preprosti načini, kako narediti gesla tako težko uganljiva kot tudi enostavna za zapomnitev. na žalost, tehnološka industrija včasih ovira njihovo uporabo. Tukaj je povzetek pogostih slabosti gesel in nekaj načinov, kako lahko izboljšate svoja gesla in spletno varnost.
Nejasnost proti zapletenosti
Splošna resnica o geslih je, da bi morala nikoli enostavno uganiti. Večina tehnično podkovanih ljudi se strinja, da nihče ne bi smel uporabljati podrobnosti o sebi kot geslo: to vključuje rojstni dnevi, naslovi in imena prijateljev in družine (vključno s starši, brati in sestrami, zakonci, otroki in celo hišne ljubljenčke). Podobno, geslo naredi izjemno slabo geslo - tako kot vsa druga pogosto uporabljena gesla za enkratno uporabo.
Ta zimzeleni nasvet se pogosto razlaga tako, da bi morala biti gesla nejasen, ali izraz, za katerega si nihče ne bi nikoli mislil, da bi ga izbrali, če bi imeli milijon let. Da, nejasno lahko deluje - in to je prekleto bolje kot izbiranje očitnega gesla. Vendar pa vas nejasno geslo ščiti le pred ljudmi, ki o vas kaj vedo. Verjetno večina ljudi poskuša razbiti vaša gesla ne poznam te.
Večina vlomov v gesla se ne zgodi tako, kot je prikazano v filmih, kjer je naš junak (ali Zlobnež) sedi za tipkovnico, poskusi frazo ali dve, si podrgne brado, nato pa si ogleda fotografijo iz otroštva miza. Aha! Vnesite čarobno besedo in presto, zaobiti varnost. V resničnem svetu je velika večina vdiranja gesel avtomatizirana, dobesedno z računalniki metati vsako besedo v slovarju (in potem še nekaj) v sistem v upanju, da bo naletel nanj pravilen izraz. Ta pristop lahko deluje, ker lahko računalniki preizkusijo gesla veliko hitreje, kot jih lahko ljudje vnesejo, in lahko delujejo 24 ur na dan, sedem dni v tednu, brez premora v stranišče. Avtomatizirani krekerji gesel ne vedo ničesar o uporabnikih, ki jih poskušajo ogroziti: to je pristop s surovo silo.
Izkazalo se je torej, da ključ do močnega gesla ni njegov nejasnost ampak njegov kompleksnost — stvari, zaradi katerih je manj verjetno, da bi jih avtomatsko razbijanje gesel uganilo. Vendar pa izdelava dobrega zapletenega gesla pomeni vedeti nekaj o tem, kako se gesla zlomijo.
Razbijanje gesel
V zelo splošnem smislu imajo razbijalci gesel običajno dva pristopa. Eno je, da dobesedno preizkusite vnaprej sestavljen seznam možnih gesel. Ta se običajno začnejo z zelo pogostimi gesli (npr geslo oz qwerty) in se spuščajo k manj običajnim izrazom ter na koncu uporabijo seznam besed, sestavljen iz spletnega slovarja in drugih virov. Ta pristop bo bolj verjetno našel gesla z veljavnimi besedami ali njihovimi različicami, tudi če so nejasna.
Drug pristop k razbijanju gesel je preizkušanje veljavnih zaporedij črk, številk in simbolov, ne glede na njihov pomen. Razbijanje gesel, ki uporablja ta pristop, se lahko začne z aaaaaaaa za osemmestno geslo, nato poskusite aaaaaaab potem aaaaaaac in tako naprej po abecedi z mešanjem velikih in malih črk ter dodajanjem številk in simbolov. Ta pristop bo bolj verjetno našel gesla, ki so "stroju prijazna" ali naključno ustvarjena. Geslo kot 4De78Hf1 na ta način ni nič težje najti kot najstnik bi bilo.
Torej, kakšna je verjetnost, da bo geslo uganjeno? Večina današnjih sistemov uporabnikom omogoča ustvarjanje gesel z uporabo črk (velikih in malih), številk in izbora simbolov. Dovoljeni simboli se med sistemi pogosto razlikujejo (nekateri dovoljujejo skoraj vse, drugi le peščico), vendar za naše namene predpostavimo, da to pomeni, da je lahko vsak znak v geslu ena od približno 80 vrednosti - dve abecedi po 26 črk, deset številk in 18 simboli. (V teoriji bi moralo biti za vsak znak na voljo vsaj 127 vrednosti, v praksi pa je to manjše število.)
Če uporabimo povsem surovi pristop, to pomeni, da bi bilo potrebnih največ 80 ugibanj, da bi naključno ugotovili enomestno geslo. Geslo s štirimi znaki bi lahko preneslo več kot 40 milijonov ugibanj (80 × 80 × 80 × 80 = 40.960.000), geslo z osmimi znaki pa bi lahko preneslo več kot 1,6 kvadrilijona ugibanj (1.677.721.600.000.000).
Če bi razbijač gesel lahko izvedel 1000 ugibanj na sekundo, bi potreboval približno en mesec, da izvede vse kombinacije gesla s štirimi znaki in več kot 53.000 leta za zagon vseh kombinacij gesla z 8 znaki. To se zdi precej varno, kajne?
No, res ne. Čisto statistično gledano ima kreker 50/50 možnosti, da najde geslo v pol tisti čas. Bolj zaskrbljujoče je, da imajo ljudje, ki izdelujejo krekerje za gesla, druge načine za izboljšanje svojih možnosti. Spomni se, kako geslo je bilo eno najslabših gesel za uporabo? Uganete, kaj je tudi zelo slabo geslo? Geslo0rd, zamenjava črke O s številko nič. Medtem ko razbijalci gesel izvajajo svoje običajne besede iz slovarja, preizkušajo tudi običajne različice teh besede, ki nadomeščajo ničle za O, znake @ in 4 za A, 3 za E, 1 in! za I, 7 za T, 5 za S in tako naprej Podobno, 0qww294e je grozno geslo - to je samo geslo premaknjena za eno vrstico navzgor na standardni angleški tipkovnici. Te tehnike temeljijo na preferencah uporabnikov glede gesel, ki si jih je enostavno zapomniti. Na žalost z zamenjavo (ali z veliko začetnico) znaka ali dveh v izrazu, ki si ga je lahko zapomniti, ljudje večinoma naredijo svoja gesla bolj nejasna, vendar ne veliko bolj varna. Dejansko imajo tipična osemmestna gesla z mešanimi velikimi in malimi črkami, številkami in simboli, ki jih izbere uporabnik, običajno le približno 30 bitov entropije ali malo več kot milijardo možnih kombinacij. Zakaj? Ker je seznam izrazov, na podlagi katerih ljudje gradijo svoja gesla, veliko manjši od vseh možnih kombinacij črk, številk in simbolov.
Kako hitro je mogoče zlomiti gesla? Preizkušanje 1000 gesel na sekundo se morda zdi nemogoče – navsezadnje nas večina storitev zaklene iz lastnih računov, če trikrat ali štirikrat napačno vtipkate geslo, kar pogosto ponastavi geslo in od nas zahteva, da odgovorimo na varnostna vprašanja, da ustvarimo novo eno. Te "prehodne" tehnike narediti izboljšajo varnost računa in so mimogrede tudi odličen, osupljivo enostaven način za motenje ljudi. (Ne morem vam povedati, kolikokrat sem bil zaradi napadov z geslom zaklenjen iz svojega računa iTunes, vendar jih je verjetno več kot sto.)
Vendar pa napadalci, ki nameravajo zlomiti gesla, ne potrkajo na vhodna vrata storitve in se (dobesedno) milijonkrat ne poskušajo prijaviti v isti račun. Uporabljajo manj javne metode preverjanja pristnosti, ki niso predmet zaklepanja (na primer zasebni API za partnerje ali aplikacije), s čimer širijo svoje napadi na širok nabor računov, da bi se izognili obdobjem zaklepanja, ali (v najboljšem primeru) uporaba tehnik vdiranja gesel za ukradeno geslo podatke. Večina sistemov šifrira podatke o geslih, ki jih hranijo, vendar so te šifrirane datoteke varne le toliko, kolikor je varen sistem sam. Če se napadalci lahko dokopajo do šifrirane datoteke z geslom (skozi varnostno luknjo, ogrožena stroj ali socialni inženiring, za začetek) ga lahko napadejo zelo hitro, ko je sam sistemi. Zato zgodbe o napadalcih, ki pridobivajo podatke o računu (npr Stratfor, Epsilon, Sony, in Zappos) so zaskrbljujoči. Ko so šifrirani podatki osvobojeni, lahko napadalci uporabijo veliko zmogljivejša orodja, da jih odprejo.
V resničnem svetu to pomeni, da je številka 1000 gesel na sekundo izjemno konzervativna. Tipična strojna oprema za namizne računalnike v teh dneh lahko testira milijoni gesel na sekundo proti običajnim tehnologijam šifriranja. Podobno zdaj obstajajo orodja za razbijanje gesel, ki izkoriščajo grafične procesorje, kriminalni operaterji botnetov pa se prav tako ukvarjajo z razbijanjem gesel. Delovno obremenitev lahko porazdelijo na tisoče računalnikov. Združite to surovo moč s prefinjeno hevristiko (kot je preizkušanje različic s številkami in črkami na pogoste besede) in ni nič nenavadnega, da tipično osemmestno uporabniško geslo razbijete v manj kot pol časa uro.
Ustrelimo se v nogo
Zgoraj smo opazili, kako ima lahko osemmestno geslo z velikimi in malimi črkami, številkami in simboli precej več kot kvadrilijon možnih kombinacij, vendar večina gesel z osmimi znaki, ki so danes v uporabi, spada v skupino le približno milijarde kombinacije. To je zato, ker ljudje nismo stroji. Kjer je računalnik dovolj uporaben želva oz Y&4nS0\2 kot geslo, uganite, katero si človek lažje zapomni? Zdaj pa uganite, kateri je bolj varen.
Nekateri sistemi izvajajo zahteve za gesla, ki zagotavljajo, da uporabniki ne bodo uporabljali gesel, ki jih je zlahka zlomiti. Pogost pristop je zahteva, da uporabniška gesla vsebujejo vsaj eno veliko črko, eno številko, en simbol in so dolga vsaj osem znakov. (Nekateri sistemi ne uveljavljajo zahtev, ampak ponujajo merilo "moč gesla" kot merilo, kako učinkovito se jim zdi geslo nekateri sistemi od uporabnikov zahtevajo tudi, da vsake toliko časa spremenijo svoja gesla (recimo vsakih 30 ali 45 dni) in preprečijo njihovo ponovno uporabo. gesla.
Te vrste zahtev narediti povečujejo varnost gesel, hkrati pa si jih ljudje veliko težje zapomnijo. To pomeni, da se bo velik del uporabnikov takoj domislil načinov, kako spodkopati varnost sistema za svoje udobje. Seveda se nekateri ljudje znajo spopasti z gesli, kot je 9,3nDs(# vendar se bo veliko drugih ljudi odzvalo z nalepkami z geslom na straneh monitorjev, opombami v denarnice ali dokument Microsoft Word na namizju s koristno oznako »Gesla«, tako da lahko kopirajo in prilepijo, ko potrebno. Zahteve za izdelavo gesel prav tako škodujejo produktivnosti in povečujejo stroške podpore (tako za zaposlene kot za stranke), saj bo več ljudi pozabilo svoja gesla ali zaklenili svoje račune, kar bo zahtevalo ročno intervencija.
Izdelava kompleksnih gesel
Sveti gral gesel bi se potem zdelo geslo, ki je kompleksen dovolj, da je nepraktično vdreti z avtomatiziranimi tehnikami, vendar dovolj enostavno, da si zapomnite, da uporabniki ne ogrožajo varnosti z nevarnim shranjevanjem ali upravljanjem.
Tukaj je nekaj nasvetov za izdelavo zapletenih gesel, ki si jih je lahko zapomniti:
- Uporabljajte dolga gesla. Če ima lahko osemmestno geslo 1,6 kvadrilijona možnih kombinacij, si predstavljajte, koliko jih ima lahko 16-mestno geslo? (Približno 2,8 nemilijona ali 2,830.) Kar pa je morda še pomembneje, je niz vrednosti za 16-mestno geslo, ki uporablja običajne izraze in variacij je nekaj manj kot 1,2 kvintilijona, kjer je bilo malo več kot milijarda z osmimi znaki geslo. Uporaba daljših gesel je najlažji način za bolj zapletena in varnejša gesla.
- Uporabite kombinirane besede. Kako narediti dolga gesla, ki si jih je enostavno zapomniti? Ena pogosta tehnika je uporaba niza treh do petih preprostih, nepovezano pogoji. Te si je na splošno tako enostavno zapomniti kot številke PIN; kognitivno si ljudje ponavadi zapomnimo cele besede kot posamezne enote. Vendar pa so ta gesla lahko zelo zapletena, vsaj z vidika razbijanja gesel. In ta gesla je enostavno ustvariti, če pogledate naokoli ali obrnete knjigo na naključno stran. Ko pogledam levo skozi okno, vidim igračo žabo, avto in okno nečije kuhinje. Novo geslo: FrogHubcapCupboard — to je 18 znakov, vendar le tri besede, ki si jih je treba zapomniti. Če pogledam desno: RunnerCameraGlueString — štiri kratke besede, 22 znakov. Uporabljal sem samo velike črke, da sem lažje ločil besede. Dodajanje več znakov ali zamenjav lahko poveča zapletenost – samo ne postanite tako zapleteni, da postanete žrtev slabosti zahtevnih gesel.
- Uporabite fraze ali besedila. Drugi način ustvarjanja dolgih gesel je uporaba delov fraz ali besedil. Za besedila so razmeroma pogoste pesmi morda boljše od tistih, ki so za vas posebej pomembne: spet ne želite ljudje, ki vas dobro poznajo, da lahko uganejo vaša gesla samo zato, ker ste velik oboževalec Michaela Boltona (ali ne). Primeri gesel iz faz ali besedil so lahko Ti nisiJackKennedy (19 znakov), iShotaManinReno (15 znakov), impeepinandimcreepin (20 znakov).
- Uporabite mnemotehniko. Slaba stran dolgih gesel je, da jih je težko vnesti, zlasti v mobilni napravi. Še en trik, ki se nekaterim ljudem zdi koristen za generiranje zapletenih krajših gesel, je uporaba prvega znaka vsake besede v frazi ali besedilu. "Koliko cest mora človek prehoditi" bi lahko postalo HmrmamwD—samo osem znakov, vendar razmeroma zapleteno z vidika programa za razbijanje gesel. Podobno bi lahko postalo "Shake it, shake it like a polaroid photo". SiSiLapp — morda ne odlično, a boljše od želva. Ta trik lahko pomaga tudi pri ustvarjanju dobrih gesel za sisteme, ki imajo še vedno omejitev glede dolžine gesla.
Te smernice vam bodo na splošno pomagale sestaviti zapletena gesla, ki si jih je lahko zapomniti. Seveda, ko imamo opravka s sistemi gesel z zahtevami glede sestave (kar pomeni, da pričakujejo mešane male in male črke, številke ali simboli), si boste še vedno morali izmisliti čudne preobrate gesel, da jih boste izpolnili zahteve. Samo zapomnite si, da lahko z daljšimi gesli naredite svoje zamenjave in spremembe na očitnih mestih - ponavadi si je ta dolga gesla lažje zapomniti tudi z zahtevami kot kratka, nesmiselna gesla.
Še nekaj namigov
Druge stvari, na katere morate pomisliti, ko izbirate svoja gesla:
- Za ločene storitve uporabite ločena gesla. Za spletno bančništvo ne uporabljajte gesla za socialno omrežje. Če je geslo v eni storitvi ogroženo, bi morale biti druge varne.
- Previdno izberite pomembna gesla. Sistemi z enotno prijavo so lahko izjemno priročni, hkrati pa ustvarjajo eno samo točko napake za več storitev. Primeri so lahko gesla za račune v storitvah Google, Yahoo in Microsoft, kjer lahko eno samo vlomljeno geslo dostop nekoga do e-pošte, dokumentov, slik, družabnih omrežij, blogov, knjižnic fotografij, seznamov stikov, imenikov in več. Podobno je s toliko spletnimi mesti (celo Digitalni trendi) sprejemanje prijav v Facebook in Twitter, ima lahko ogroženo geslo za družabna omrežja daljnosežne posledice.
- Spremenite svoja gesla. Mamljivo je misliti, da boste takoj vedeli, če bo eno od vaših gesel polomljeno: vaša e-pošta bo izginila, vaš blog postane nabor lulz grafike, bo vaš Amazonov seznam daril morda poln neprijetnih možnosti, vaš račun PayPal bo morda izbrisan ven. Vendar ni vedno tako: če nekdo razbije vaše geslo, morda ne bo očitnega znaka, vsaj ne takoj. Z rednim spreminjanjem gesla zagotovite, da je njegova priložnost, da vas izkoristi, omejena, tudi če nekdo vdre. Pogostost spreminjanja gesel je odvisna od tega, kako uporabljate spletne storitve. Za vse, kar vključuje pravi denar, na splošno priporočam, da uporabniki spremenijo svoja gesla vsakih 30 do 90 dni - več denarja, pogosteje.
Nobeno geslo ni varno
Morda je najpomembnejša stvar, ki si jo morate zapomniti pri geslih, ta kaj geslo je mogoče vdreti: vprašanje je le, koliko časa in truda je nekdo pripravljen vložiti v to. Tukajšnji nasveti bodo pomagali zmanjšati verjetnost, da bodo vaša gesla izkoreninili naključni napadalci ter celo prijatelji in družina, vendar nobeno geslo ni popolnoma varno. Če je varen dostop do storitve za vas zelo pomemben, razmislite o različnih oblikah večstopenjske avtentikacije, da dodatno zmanjšate možnosti nepooblaščenega dostopa.
Avtor slike: Shutterstock / jamdesign / Tatjana Popova / Pedro Miguel Sousa
Priporočila urednikov
- Zaradi teh neprijetnih gesel so zvezdniki vdrli
- Ne, v 1Password ni prišlo do vdora – tukaj se je res zgodilo
- Kako zaščititi mapo z geslom v sistemih Windows in macOS
- LastPass razkriva, kako je prišlo do vdora - in to ni dobra novica
- Reddit je bil vlomljen – tukaj je opisano, kako nastavite 2FA za zaščito svojega računa
