Om det är något som folk förknippar med modern teknik så är det lösenord. De finns överallt, och de flesta av oss använder dem till dussintals saker varje dag. Ändå är de flesta människor chockerande likgiltiga när det gäller sin lösenordssäkerhet. De flesta av oss känner förmodligen någon som använder samma lösenord för allt, från sin dator och e-post till sina Facebook- och bankkonton – och det lösenordet kan vara något så självklart som deras födelsedag eller namnet på gatan där de växte upp. Och vi känner förmodligen också någon som har en klisterlapp på sidan av sin bildskärm märkt "Lösenord" (i röd, dubbelt understruken) med en lista över allt från Twitter till Netflix som bara står öppet för alla läsa.
Dessa metoder kan låta som något från våra morföräldrars generation, men det är inte strikt sant: Förra veckan såg jag en fullfjädrad medlem av generation D som försöker byta från en Samsung Galaxy S (er, Fascinate) till en HTC Rezound via sin bärbara dator dator. Hur flyttade han alla sina lösenord? Han hade ett papper i plånboken med "alla hans lösenord" - och genom
Rekommenderade videor
Lyckligtvis finns det enkla sätt att göra lösenord både svåra att gissa och lätta att komma ihåg. Tyvärr, teknikindustrin står ibland i vägen för att använda dem. Här är en sammanfattning av vanliga lösenordssvagheter och några sätt du kan förbättra dina lösenord och din onlinesäkerhet.
Otydlighet kontra komplexitet
En vanlig sanning om lösenord är att de borde aldrig vara lätt att gissa. De flesta teknikkunniga människor håller med om att ingen ska använda information om sig själv som lösenord: Det inkluderar födelsedagar, adresser och namn på vänner och familj (inklusive föräldrar, syskon, makar, barn och även husdjur). Liknande, Lösenord gör ett synnerligen dåligt lösenord - liksom alla andra vanliga engångslösenord.
Detta vintergröna råd tolkas ofta som att lösenord ska vara det skymma, eller en term som ingen någonsin skulle tro att du skulle välja om de hade en miljon år. Ja, obskyrt kan fungera - och det är en jäkla syn bättre än att välja ett uppenbart lösenord. Ett obskyrt lösenord skyddar dig dock bara från personer som vet något om dig. Oddsen är att de flesta försöker knäcka dina lösenord inte känner dig.
Det mesta av lösenordsknäckning sker inte som det skildras i filmer, där Our Hero (eller The Villain) sitter vid ett tangentbord, provar en fras eller två, gnuggar sig på hakan och spionerar sedan på ett barndomsfoto på skrivbordet. A ha! Skriv det magiska ordet och presto, säkerhet kringgås. I den verkliga världen är den stora majoriteten av lösenordsknäckning automatiserad, med datorer bokstavligen kasta varje ord i ordboken (och lite till) på ett system i hopp om att snubbla över korrekt term. Det här tillvägagångssättet kan fungera eftersom datorer kan prova lösenord mycket snabbare än vad människor kan skriva dem, och de kan köra 24 timmar om dygnet, sju dagar i veckan, utan badrumsuppehåll. Automatiserade lösenordsknäckare vet ingenting om användarna de försöker kompromissa: Det är en brute-force-strategi.
Så det visar sig att en nyckel till ett starkt lösenord inte är det dunkel men det är komplexitet — saker som gör det mindre sannolikt att gissas av en automatiserad lösenordsknäckare. Men att göra ett bra komplext lösenord innebär att veta lite om hur lösenord bryts.
Att bryta lösenord
I mycket allmänna termer har lösenordsknäckare vanligtvis två tillvägagångssätt. En är att bokstavligen prova en förkompilerad lista över möjliga lösenord. Dessa utgår vanligtvis från mycket vanliga lösenord (som Lösenord eller qwerty) och arbeta sig ner till mindre vanliga termer, och så småningom använda en lista med ord sammanställd från en onlineordbok och andra källor. Detta tillvägagångssätt är mer benäget att hitta lösenord som är giltiga ord eller varianter av dem, även om de är oklara.
En annan metod för att knäcka lösenord är att prova giltiga sekvenser av bokstäver, siffror och symboler, oavsett deras betydelse. En lösenordsknäckare som använder detta tillvägagångssätt kan börja med aaaaaaaa för ett lösenord på åtta tecken, försök sedan aaaaaaab sedan aaaaaaac och så vidare upp i alfabetet, genom blandning av versaler och gemener, och genom att kasta in siffror och symboler. Detta tillvägagångssätt är mer benäget att hitta lösenord som är "maskinvänliga" eller slumpmässigt genererade. Ett lösenord som 4De78Hf1 är inte svårare att hitta på det här sättet än tonåring skulle vara.
Så vad är oddsen för att ett lösenord ska gissas? De flesta system gör det idag möjligt för användare att skapa lösenord med bokstäver (versaler och gemener), siffror och ett urval av symboler. Tillåtna symboler varierar ofta mellan system (vissa tillåter nästan vad som helst, andra tillåter bara en handfull), men för våra syften låt oss anta att det betyder att varje tecken i ett lösenord kan vara ett av cirka 80 värden - två alfabet med 26 bokstäver vardera, tio siffror och 18 symboler. (I teorin bör minst 127 värden vara tillgängliga för varje karaktär, men i praktiken är det ett mindre antal.)
Om du använder ett rent brute force-tillvägagångssätt betyder det att det skulle ta högst 80 gissningar för att slumpmässigt räkna ut ett lösenord med ett tecken. Ett lösenord med fyra tecken kan ta över 40 miljoner gissningar (80 × 80 × 80 × 80 = 40 960 000) och ett lösenord på åtta tecken kan ta över 1,6 kvadriljon gissningar (1 677 721 600 000 000).
Om en lösenordsknäckare kunde göra 1 000 gissningar i sekunden skulle den behöva ungefär en månad för att köra alla kombinationer av ett lösenord med fyra tecken, och över 53 000 år för att köra alla kombinationer av ett 8-teckens lösenord. Det verkar ganska säkert, eller hur?
Tja, inte riktigt. Rent statistiskt har en cracker 50/50 chans att hitta lösenordet i halv den gången. Mer oroande är att de som gör lösenordsknäckare har andra sätt att förbättra sina odds. Kom ihåg hur Lösenord var ett av de sämsta lösenorden att använda? Gissa vad som också är ett väldigt dåligt lösenord? lösenord, att ersätta en bokstav O med ett nummer noll. Medan lösenordsknäckare kör sina vanliga ord från en ordbok, provar de också vanliga varianter på dessa ord som ersätter nollor för O, @-tecken och 4:or för A, 3:or för E, 1:or och !:or för I, 7:or för T: or 5:or för S, och så vidare. Liknande, 0qww294e är ett fruktansvärt lösenord - det är bara Lösenord flyttas upp en rad på ett vanligt engelskt tangentbord. Dessa tekniker förgriper sig på användarnas preferenser för lösenord som är lätta att komma ihåg. Tyvärr, genom att ersätta (eller använda versaler) ett tecken eller två i en term som är lätt att komma ihåg, gör människor oftast sina lösenord mer otydliga, men inte mycket säkrare. Faktum är att typiska användarvalda lösenord på åtta tecken med blandade skiftläge, siffror och symboler vanligtvis bara har cirka 30 bitar av entropi, eller lite över en miljard möjliga kombinationer. Varför? Eftersom listan över termer som människor baserar sina lösenord på är mycket mindre än de totala möjliga kombinationerna av bokstäver, siffror och symboler.
Hur snabbt kan lösenord brytas? Att försöka 1 000 lösenord per sekund kan tyckas omöjligt – trots allt tenderar de flesta tjänster att låsa oss ute från våra egna konton om vi skriver fel lösenord tre eller fyra gånger, ofta återställer lösenordet och kräver att vi svarar på säkerhetsfrågor för att skapa ett nytt ett. Dessa "gateway"-tekniker do förbättra kontosäkerheten, och för övrigt är det också ett fantastiskt, bländande enkelt sätt att irritera människor. (Jag kan inte berätta hur många gånger jag har blivit utestängd från mitt iTunes-konto av lösenordsattacker, men det är förmodligen över hundra.)
Angripare som har för avsikt att bryta lösenord knackar dock inte på en tjänsts ytterdörr och försöker (bokstavligen) miljontals gånger att logga in på samma konto. De använder antingen mindre offentliga autentiseringsmetoder som inte är föremål för lockouter (som ett privat API för partners eller appar), och sprider deras attacker över ett brett spektrum av konton för att undvika lockoutperioder, eller (bästa fall) tillämpa lösenordsknäckningstekniker på stulna lösenord data. De flesta system krypterar lösenordsdata de lagrar, men de krypterade filerna är bara lika säkra som själva systemet. Om angripare kan få tag på den krypterade lösenordsfilen (genom ett säkerhetshål, äventyras maskin, eller social ingenjörskonst, till att börja med) kan de attackera den väldigt snabbt när den väl är på egen hand system. Det är därför berättelser om angripare som skaffar kontoinformation (som Stratfor, Epsilon, Sony, och Zappos) är oroande. När den krypterade datan väl har försvunnit kan angripare använda mycket kraftfullare verktyg för att öppna den.
I den verkliga världen betyder det att siffran 1 000 lösenord per sekund är extremt konservativ. Typisk datorhårdvara i dessa dagar kan testas miljoner av lösenord en sekund mot vanliga krypteringstekniker. På samma sätt finns det nu lösenordsknäckande verktyg som utnyttjar grafikprocessorer, och kriminella botnätoperatörer är också i lösenordsknäckningsbranschen. De kan sprida arbetsbördan över tusentals datorer. Kombinera denna råa kraft med sofistikerad heuristik (som att prova varianter av siffror och bokstäver på vanliga ord) och det är inte ovanligt att knäcka ett typiskt användarlösenord på åtta tecken på mindre än en halv timme.
Att skjuta oss själva i foten
Vi noterade ovan hur ett lösenord på åtta tecken kan, med versaler, gemener, siffror och symboler, ha långt över en kvadrilljoner möjliga kombinationer, men de flesta lösenord på åtta tecken som används idag faller inom en pool på bara omkring en miljard kombinationer. Det beror på att människor inte är maskiner. Där en dator nöjer sig med att använda heller sköldpadda eller Y&4nS0\2 som ett lösenord, gissa vilket som är lättare för en människa att komma ihåg? Gissa nu vilken som är säkrare.
Vissa system implementerar lösenordskrav som är avsedda att säkerställa att användare inte använder lättknäckta lösenord. Ett vanligt tillvägagångssätt är att kräva att användarlösenord ska ha minst en versal, en siffra, en symbol och vara minst åtta tecken långa. (Vissa system upprätthåller inte krav, men erbjuder en mätare av "lösenordsstyrka" som ett mått på hur effektivt det tror att ett lösenord kan vara.) Vissa system kräver också att användare ändrar sina lösenord då och då (säg var 30:e eller 45:e dag) och förhindrar dem från att återanvända lösenord.
Den här typen av krav do ökar säkerheten för lösenord, men de gör också lösenorden mycket svårare för människor att komma ihåg. Det betyder att en betydande del av användarna omedelbart kommer att komma på sätt att undergräva systemets säkerhet för sin egen bekvämlighet. Visst, vissa människor kan klara av lösenord som 9.3nDs(# men många andra människor kommer att svara med lösenordladdade klisterlappar på sidorna av bildskärmar, anteckningar i deras plånböcker eller ett Microsoft Word-dokument på skrivbordet som är användbart märkt "Lösenord" så att de kan kopiera och klistra in när nödvändig. Krav på lösenordskonstruktion tenderar också att skada produktiviteten och öka supportkostnaderna (både för anställda och kunder), eftersom fler människor kommer att glömma sina lösenord eller bli utestängda från sina konton, vilket kräver manuell intervention.
Skapa komplexa lösenord
Lösenordens heliga gral verkar då vara ett lösenord alltså komplex tillräckligt för att det är opraktiskt att knäcka med automatiserade tekniker, men ändå lätt nog att komma ihåg att användare inte äventyrar säkerheten genom att lagra eller hantera dem på ett osäkert sätt.
Här är några tips för att skapa komplexa lösenord som är lätta att komma ihåg:
- Använd långa lösenord. Om ett lösenord på åtta tecken kan ha 1,6 kvadriljon möjliga kombinationer, föreställ dig hur många ett lösenord på 16 tecken kan ha? (Omkring 2,8 miljarder eller 2,830.) Men, kanske ännu viktigare, uppsättningen värden för ett 16-teckens lösenord med vanliga termer och variationerna är strax under 1,2 kvintiljoner, där det var drygt en miljard med en åtta tecken Lösenord. Att använda längre lösenord är det enklaste sättet att göra lösenord mer komplexa och säkrare.
- Använd kombinerade ord. Hur gör man långa lösenord som är lätta att komma ihåg? En vanlig teknik är att använda en serie på tre till fem enkla, orelaterad villkor. Dessa är i allmänhet lika lätta att komma ihåg som PIN-nummer; kognitivt tenderar människor att komma ihåg hela ord som enstaka enheter. Dessa lösenord kan dock vara mycket komplexa, åtminstone ur lösenordsknäckande synvinkel. Och dessa lösenord är lätta att skapa bara genom att titta runt eller bläddra en bok till en slumpmässig sida. När jag tittar vänster ut genom fönstret ser jag en leksaksgroda, en bil och fönstret i någons pentry. Nytt lösenord: FrogHubcapCupboard — det är 18 tecken, men bara tre ord att komma ihåg. Ser rätt ut: RunnerCameraGlueString — fyra korta ord, 22 tecken. Jag har bara använt versaler för att hjälpa till att bryta ut ord. Att lägga till fler tecken eller ersättningar kan öka komplexiteten – bli bara inte så komplicerad att du faller offer för svagheterna med tuffa lösenord.
- Använd fraser eller texter. Ett annat sätt att skapa långa lösenord är att använda delar av fraser eller sångtexter. För texter är relativt vanliga låtar kanske bättre än de som är särskilt viktiga för dig: igen, du vill inte människor som känner dig väl för att kunna gissa dina lösenord bara för att du är ett stort fan av Michael Bolton (eller inte). Exempel på lösenord gjorda av faser eller sångtexter kan vara Du är NoJackKennedy (19 tecken), iShotaManinReno (15 tecken), impeepinandimcreepin (20 tecken).
- Använd mnemonics. Nackdelen med långa lösenord är att de kan vara svåra att skriva, speciellt på en mobil enhet. Ett annat knep som vissa människor tycker är användbart för att skapa komplexa kortare lösenord är att använda det första tecknet i varje ord i en fras eller sångtext. "Hur många vägar måste en man gå ner för" kan bli HmrmamwD—endast åtta tecken, men relativt komplext ur ett lösenordsknäckande programs synvinkel. På samma sätt kan "skaka det, skaka det som en polaroidbild" bli SiSiLapp — Kanske inte bra, men bättre än sköldpadda. Detta trick kan också hjälpa till att skapa bra lösenord för system som fortfarande har en gräns för hur långa lösenord kan vara.
Dessa riktlinjer hjälper dig i allmänhet att komma på komplexa lösenord som är lätta att komma ihåg. Naturligtvis, när de hanterar lösenordssystem med krav på sammansättning (vilket betyder att de förväntar sig blandade versaler, siffror eller symboler) måste du fortfarande komma med läckra vändningar på lösenord för att uppfylla dem krav. Kom bara ihåg att med längre lösenord kan du göra dina byten och ändringar på uppenbara platser - vanligtvis är dessa långa lösenord lättare att komma ihåg även med krav än korta, nonsens lösenord.
Några andra tips
Andra saker att tänka på när du väljer dina lösenord:
- Använd separata lösenord för separata tjänster. Använd inte ditt sociala nätverkslösenord för internetbanker. Om ett lösenord äventyras på en tjänst bör de andra vara säkra.
- Välj viktiga lösenord noggrant. System med enkel inloggning kan vara oerhört bekvämt, men skapar också en enda felpunkt för flera tjänster. Exempel skulle vara lösenord till konton hos Google, Yahoo och Microsofts tjänster, där ett enda knäckt lösenord kan ge någon tillgång till e-post, dokument, bilder, sociala nätverk, bloggar, fotobibliotek, kontaktlistor, adressböcker och Mer. På samma sätt, med så många webbplatser (även Digitala trender) accepterar Facebook- och Twitter-inloggningar, kan ett komprometterat lösenord för sociala nätverk få långtgående konsekvenser.
- Ändra dina lösenord. Det är frestande att tro att om ett av dina lösenord går sönder, kommer du att veta direkt: din e-post kommer att försvinna, din blogg kommer att bli en uppsättning lulz-grafik, din Amazon-presentlista kan vara fylld med pinsamma alternativ, ditt PayPal-konto kan rensas ut. Men det är inte alltid fallet: Om någon knäcker ditt lösenord, kanske det inte finns några tydliga tecken, åtminstone inte direkt. Genom att ändra ditt lösenord regelbundet säkerställer du att även om någon bryter sig in är deras möjligheter att utnyttja dig begränsad. Hur ofta du bör byta lösenord varierar med hur du använder onlinetjänster. För allt som involverar riktiga pengar rekommenderar jag i allmänhet användare att byta lösenord var 30:e till 90:e dag - ju mer pengar, desto oftare.
Inget lösenord är säkert
Det kanske viktigaste att komma ihåg om lösenord är det några lösenord kan knäckas: Det är bara en fråga om hur mycket tid och ansträngning någon är villig att lägga på det. Tipsen här hjälper till att minska oddsen att dina lösenord kommer att rotas ut av slumpmässiga angripare och till och med vänner och familj, men inget lösenord är helt säkert. Om säker åtkomst till en tjänst är mycket viktig för dig, överväg att undersöka olika former av multipelfaktorautentisering för att ytterligare minska risken för obehörig åtkomst.
Bildkredit: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Redaktörens rekommendationer
- Dessa pinsamma lösenord fick kändisar att hacka
- Nej, 1Password hackades inte – här är vad som verkligen hände
- Hur man lösenordsskyddar en mapp i Windows och macOS
- LastPass avslöjar hur det blev hackat - och det är inga goda nyheter
- Reddit hackades – så här ställer du in 2FA för att skydda ditt konto
