Ако постоји нешто што људи повезују са модерном технологијом, то су лозинке. Они су свуда, а већина нас их користи за десетине ствари сваког дана. Ипак, већина људи је шокантно равнодушна по питању сигурности њихове лозинке. Већина нас вероватно зна некога ко користи исту лозинку за све, са њиховог рачунара и е-поште на њихове Фацебоок и банковне рачуне — и та лозинка би могла бити нешто тако очигледно као њихов рођендан или име улице у којој су одрасли. А такође вероватно знамо некога ко има лепљиву цедуљицу са стране свог монитора са ознаком „Лозинке“ (у црвено, двоструко подвучено) са листом свега, од Твитера до Нетфлик-а, који само стоји на отвореном за било кога читати.
Ове праксе могу звучати као нешто из генерације наших бака и дедова, али то није сасвим тачно: Прошле недеље сам гледао пуноправни члан генерације Д покушава да пређе са Самсунг Галаки С (ер, Фасцинате) на ХТЦ Резоунд преко свог нотебоок-а рачунар. Како је померао све своје лозинке? Имао је комад папира у новчанику са „свим својим лозинкама“ - и тако даље
све Он је мислио три. Један за е-пошту и друштвене мреже, један за имејл његове велике тетке („Проверавам за њу“), а други за све остало. Гледајући преко рамена, све три су биле свакодневне речи: мопхандле,мрмљач, и лиллиан. Погоди која је била његова тетка?Препоручени видео снимци
На срећу, постоје једноставни начини да лозинке буду тешко погодне и лако за памћење. Нажалост, технолошка индустрија понекад стане на пут њиховом коришћењу. Ево прегледа уобичајених слабости лозинки и неких начина на које можете да побољшате своје лозинке и своју безбедност на мрежи.
Опскурност против сложености
Уобичајена истина о лозинкама је да би требало никад бити лако погодити. Већина људи упућених у технологију слаже се да нико не треба да користи детаље о себи као лозинку: То укључује рођендани, адресе и имена пријатеља и породице (укључујући родитеље, браћу и сестре, супружнике, децу и чак и кућни љубимци). Слично томе, Лозинка прави изузетно лошу лозинку — као и све друге најчешће коришћене лозинке за бацање.
Овај зимзелени савет се често тумачи тако да лозинке треба да буду нејасан, или термин који нико никада не би помислио да бисте изабрали да имају милион година. Да, нејасно може да функционише - и то је проклето бољи призор од бирања очигледне лозинке. Међутим, нејасна лозинка вас штити само од људи који знају нешто о вама. Шансе су да већина људи покушава да провали ваше лозинке немој Знам те.
Већина разбијања лозинки се не дешава онако како је приказано у филмовима, где је наш херој (или Зликовац) седи за тастатуром, покушава фразу или две, трља браду, а затим шпијунира фотографију из детињства сто. Аха! Откуцајте магичну реч и престо, безбедност заобиђена. У стварном свету, велика већина разбијања лозинки је аутоматизована, са рачунарима буквално бацајући сваку реч у речнику (а затим и понеку) на систем у нади да ће наићи на тачан термин. Овај приступ може да функционише јер рачунари могу да испробају лозинке много брже него што их људи могу укуцати, и могу да раде 24 сата дневно, седам дана у недељи, без пауза у купатилу. Аутоматски крекери лозинки не знају ништа о корисницима које покушавају да компромитују: то је приступ грубом силом.
Дакле, испоставило се да кључ за јаку лозинку није његов опскурност али је сложеност — ствари због којих је мања вероватноћа да ће их аутоматизовани крекер лозинки погодити. Међутим, прављење добре сложене лозинке значи да знате нешто о томе како се лозинке разбијају.
Разбијање лозинки
Уопштено говорећи, крекери лозинки обично имају два приступа. Један је да буквално испробате унапред састављену листу могућих лозинки. Оне обично почињу од врло уобичајених лозинки (нпр Лозинка или кверти) и своде се на мање уобичајене термине и на крају користе листу речи састављену из онлајн речника и других извора. Овај приступ ће вероватније пронаћи лозинке које су важеће речи или варијанте на њима, чак и ако су нејасне.
Други приступ разбијању лозинки је испробавање валидних низова слова, бројева и симбола, без обзира на њихово значење. Крекер лозинки који користи овај приступ могао би да почне са аааааааа за лозинку од осам знакова, а затим покушајте аааааааб онда ааааааац и тако даље по алфабету, мешањем великих и малих слова, и убацивањем бројева и симбола. Већа је вероватноћа да ће овај приступ пронаћи лозинке које су „прилагођене машини“ или насумично генерисане. Лозинка као 4Де78Хф1 није ништа теже пронаћи на овај начин него тинејџер би.
Дакле, које су шансе да се лозинка погоди? Већина система ових дана омогућава корисницима да креирају лозинке користећи слова (велика и мала слова), бројеве и избор симбола. Дозвољени симболи често варирају између система (неки дозвољавају скоро све, други дозвољавају само неколико), али за наше потребе хајде да претпоставимо да то значи да сваки знак у лозинки може бити једна од око 80 вредности - два алфабета са по 26 слова, десет бројева и 18 симболи. (У теорији би најмање 127 вредности требало да буде доступно за сваки знак, али у пракси је то мањи број.)
Користећи приступ чисто грубе силе, то значи да би било потребно највише 80 погађања да би се насумично открила лозинка од једног знака. Лозинка од четири карактера могла би да преузме више од 40 милиона погађања (80 × 80 × 80 × 80 = 40.960.000), а лозинка од осам знакова може да преузме више од 1,6 квадрилиона погађања (1.677.721.600.000.000).
Ако би крекер лозинке могао да направи 1.000 погађања у секунди, требало би му око месец дана да покрене све комбинације лозинке од четири карактера и преко 53.000 године да покренете све комбинације лозинке од 8 знакова. То изгледа прилично сигурно, зар не?
Па не баш. У чисто статистичком смислу, крекер има 50/50 шансе да пронађе лозинку пола то време. Још више забрињава то што људи који праве крекере лозинки имају друге начине да побољшају своје шансе. Запамтите како Лозинка била једна од најгорих лозинки за употребу? Погодите шта је такође веома лоша лозинка? Пассв0рд, замењујући слово О бројем нула. Док крекери лозинки покрећу своје уобичајене речи из речника, они такође покушавају уобичајене варијанте на тим речи, замењујући нуле за О, знаке @ и 4 за А, 3 за Е, 1 и! за И, 7 за Т, 5 за С, и ускоро. Слично томе, 0квв294е је ужасна лозинка - то је само Лозинка померен за један ред навише на стандардној енглеској тастатури. Ове технике се ослањају на преференције корисника за лозинке које се лако памте. Нажалост, заменом (или великим словима) једног или два знака у изразу који се лако памти, људи углавном чине своје лозинке нејаснијима, али не и много сигурнијим. У ствари, типичне лозинке од осам знакова које бирају корисници са мешаним великим словима, бројевима и симболима обично имају само око 30 бита ентропије, или нешто више од милијарду могућих комбинација. Зашто? Зато што је листа појмова људи на којима људи заснивају своје лозинке далеко мања од укупног броја могућих комбинација слова, бројева и симбола.
Колико брзо се лозинке могу разбити? Испробавање 1.000 лозинки у секунди може изгледати немогуће – на крају крајева, већина услуга има тенденцију да нас закључа са сопствених налога ако погрешно укуцајте лозинку три или четири пута, често ресетујући лозинку и захтевајући од нас да одговоримо на безбедносна питања да бисмо направили нову један. Ове технике „капија“. урадите побољшају безбедност налога, а узгред, такође су сјајан заслепљујуће лак начин да нервирате људе. (Не могу вам рећи колико пута сам био закључан са свог иТунес налога због напада лозинком, али вероватно је преко сто.)
Међутим, нападачи који намеравају да разбију лозинке не куцају на улазна врата услуге и покушавају (буквално) милионе пута да се пријаве на исти налог. Они или користе мање јавне методе аутентификације које не подлежу закључавању (као што је приватни АПИ за партнере или апликације), ширећи своје напади на широк спектар налога да би се избегли периоди закључавања или (у најбољем случају) примена техника разбијања лозинки на украдену лозинку података. Већина система шифрује податке о лозинкама које чувају, али те шифроване датотеке су безбедне само колико и сам систем. Ако нападачи могу да се дочепају шифроване датотеке лозинке (кроз безбедносну рупу, компромитована машине, или друштвени инжењеринг, за почетак) могу да га нападну веома брзо када буде сам система. Зато приче о нападачима који добијају информације о налогу (нпр Стратфор, Епсилон, Сони, и Заппос) забрињавају. Једном када се шифровани подаци ослободе, нападачи могу применити много моћније алате да их разбију.
У стварном свету, то значи да је цифра од 1.000 лозинки у секунди изузетно конзервативна. Типични рачунарски хардвер ових дана може да се тестира милиона лозинки у секунди против уобичајених технологија шифровања. Слично томе, сада постоје алати за разбијање лозинки који користе графичке процесоре, а криминални ботнет оператери се такође баве пословима пробијања лозинки. Они могу да распореде оптерећење на хиљаде рачунара. Комбинујте ову сирову снагу са софистицираном хеуристиком (попут испробавања варијанти бројева и слова на уобичајене речи) и није необично да се типична корисничка лозинка од осам знакова разбије за мање од пола сат.
Пуцамо себи у ногу
Горе смо напоменули како лозинка од осам знакова, са великим, малим словима, бројевима и симболима, може имати знатно више од квадрилион могућих комбинација, али већина лозинки од осам знакова које се данас користе спадају у групу од само око милијарду комбинације. То је зато што људи нису машине. Где је рачунар садржај за коришћење корњача или И&4нС0\2 као лозинку, погодите коју је човек лакше запамтити? Сада погодите који је сигурнији.
Неки системи примењују захтеве за лозинком који имају за циљ да осигурају да корисници не користе лозинке које се лако разбијају. Уобичајени приступ је да се захтева да корисничке лозинке имају најмање једно велико слово, један број, један симбол и да буду дугачке најмање осам знакова. (Неки системи не спроводе захтеве, али нуде мерач „снаге лозинке“ као меру колико ефикасна сматра да би лозинка могла бити.) Неки системи такође захтевају од корисника да мењају своје лозинке свако толико (рецимо, сваких 30 или 45 дана) и спречавају их да поново користе лозинке.
Овакви захтеви урадите повећавају сигурност лозинки, али такође чине лозинке далеко тежим за памћење. То значи да ће значајан део корисника одмах смислити начине да угрози безбедност система ради сопствене погодности. Наравно, неки људи могу да се носе са лозинкама попут 9.3нДс(# али много других људи ће одговорити лепљивим белешкама напуњеним лозинкама на бочним странама монитора, белешкама у својим новчанике или Мицрософт Ворд документ на радној површини са корисном ознаком „Лозинке“ тако да могу да копирају и залепе када неопходно. Захтеви за израду лозинке такође имају тенденцију да утичу на продуктивност и повећавају трошкове подршке (и за запослене и за клијенти), јер ће све већи број људи заборавити своје лозинке или ће им бити онемогућен приступ налогу, што ће захтевати ручно коришћење интервенција.
Прављење сложених лозинки
Свети грал лозинки би тада изгледао као лозинка која јесте комплекс довољно да је непрактично разбити коришћењем аутоматизованих техника, али довољно лако да запамтите да корисници не угрожавају безбедност тако што их складиште или управљају небезбедно.
Ево неколико савета за прављење сложених лозинки које се лако памте:
- Користите дуге лозинке. Ако лозинка од осам знакова може имати 1,6 квадрилиона могућих комбинација, замислите колико лозинка од 16 знакова може имати? (Око 2,8 нонилиона, или 2,830.) Међутим, што је можда још важније, скуп вредности за лозинку од 16 знакова користећи уобичајене термине и варијације су нешто мање од 1,2 квинтилиона, где је било нешто више од милијарду са осам знакова Лозинка. Коришћење дужих лозинки је најлакши начин да лозинке буду сложеније и безбедније.
- Користите комбиноване речи. Како направити дугачке лозинке које се лако памте? Једна уобичајена техника је коришћење серије од три до пет једноставних, неповезано услови. Они се генерално лако памте као и ПИН бројеви; когнитивно, људи имају тенденцију да памте целе речи као појединачне јединице. Међутим, ове лозинке могу бити веома сложене, барем са становишта разбијања лозинки. А ове лозинке је лако направити само разгледањем или окретањем књиге на насумичну страницу. Гледајући лево кроз прозор видим играчку жабу, ауто и прозор нечије чајне кухиње. Нова лозинка: ФрогХубцапЦупбоард — то је 18 знакова, али само три речи које треба запамтити. Гледајући десно: РуннерЦамераГлуеСтринг — четири кратке речи, 22 знака. Користио сам само велика слова да бих помогао у изласку речи. Додавање више знакова или замена може повећати сложеност – само немојте бити толико сложени да постанете жртвом слабости тешких лозинки.
- Користите фразе или стихове. Други начин прављења дугих лозинки је коришћење делова фраза или текстова. За текстове, релативно уобичајене песме су можда боље од оних које су вам посебно важне: опет, не желите људи који вас добро познају да бисте могли да погодите ваше лозинке само зато што сте велики обожаватељ Мајкла Болтона (или не). Примери лозинки направљених од фаза или текстова могу бити Ти си НоЈацкКеннеди (19 знакова), иСхотаМанинРено (15 знакова), импеепинандимцреепин (20 знакова).
- Користите мнемотехнику. Лоша страна дугих лозинки је то што их је тешко укуцати, посебно на мобилном уређају. Још један трик који неки људи сматрају корисним за генерисање сложених краћих лозинки је коришћење првог знака сваке речи у фрази или тексту. „Колико путева човек мора да пређе“ може постати ХмрмамвД— само осам знакова, али релативно сложено са становишта програма за разбијање лозинки. Слично, „Протресите, протресите као полароидну слику“ може постати СиСиЛапп — можда није сјајно, али боље од корњача. Овај трик такође може помоћи у генерисању добрих лозинки за системе који још увек имају ограничење колико дуге лозинке могу бити.
Ове смернице ће вам генерално помоћи да смислите сложене лозинке које се лако памте. Наравно, када се ради о системима лозинки са захтевима за композицију (што значи, они очекују мешање великих и малих слова, бројеве или симболе) и даље ћете морати да смислите необичне заокрете лозинки да бисте их испунили захтевима. Само запамтите да са дужим лозинкама можете извршити своје замене и промене на очигледним местима — обично се ове дугачке лозинке лакше памте чак и са захтевима него кратке, глупости лозинке.
Неколико других наговештаја
Остале ствари о којима треба размишљати када бирате своје лозинке:
- Користите засебне лозинке за засебне услуге. Не користите лозинку за друштвено умрежавање за онлајн банкарство. Ако је лозинка компромитована на једној услузи, остале би требало да буду безбедне.
- Пажљиво бирајте важне лозинке. Системи за једнократно пријављивање могу бити изузетно згодни, али такође стварају једну тачку квара за више услуга. Примери би били лозинке за налоге на Гоогле, Иахоо и Мицрософт услугама, где би једна пробијена лозинка могла дати неко има приступ е-пошти, документима, сликама, друштвеним мрежама, блоговима, фототекама, листама контаката, адресарима и више. Слично, са толико сајтова (чак Дигитал Трендс) прихватањем пријављивања на Фејсбук и Твитер, компромитована лозинка за друштвене мреже може имати далекосежне последице.
- Промените своје лозинке. Примамљиво је помислити да ако се једна од ваших лозинки поквари, одмах ћете знати: ваша е-пошта ће нестати, ваш блог ће постане скуп лулз графика, ваша Амазон листа поклона може бити испуњена срамотним опцијама, ваш ПаиПал налог може бити обрисан оут. Међутим, то није увек случај: ако неко провали вашу лозинку, можда неће бити никаквог очигледног знака, барем не одмах. Редовном променом лозинке обезбеђујете да чак и ако неко провали, њихов прозор могућности да вас искоришћава буде ограничен. Учесталост којом треба да мењате лозинке зависи од начина на који користите онлајн услуге. За све што укључује прави новац, генерално препоручујем корисницима да мењају своје лозинке сваких 30 до 90 дана — што више новца, то чешће.
Ниједна лозинка није сигурна
Можда је најважнија ствар коју треба запамтити у вези са лозинкама било који лозинка се може разбити: само је питање колико је времена и труда неко спреман да уложи у њу. Ови савети ће вам помоћи да смањите шансе да ће ваше лозинке бити искорењене од стране насумичних нападача, па чак и пријатеља и породице, али ниједна лозинка није потпуно сигурна. Ако вам је безбедан приступ услузи веома важан, размислите о разматрању различитих облика вишефакторске аутентификације како бисте додатно смањили шансе за неовлашћени приступ.
Кредит за слику: Схуттерстоцк / јамдесигн / Татиана Попова / Педро Мигел Соуса
Препоруке уредника
- Ове срамотне лозинке су хаковале познате личности
- Не, 1Пассворд није хакован – ево шта се заиста догодило
- Како заштитити фасциклу лозинком у Виндовс-у и МацОС-у
- ЛастПасс открива како је хакован - и то није добра вест
- Реддит је хакован - ево како да подесите 2ФА да бисте заштитили свој налог