İnsanların modern teknolojiyle ilişkilendirdiği bir şey varsa, o da parolalardır. Her yerdeler ve çoğumuz onları her gün düzinelerce şey için kullanıyoruz. Yine de çoğu insan şifre güvenliği konusunda şaşırtıcı derecede kayıtsız. Muhtemelen çoğumuz aynı şifreyi kullanan birini tanıyoruz. her şey, bilgisayarlarından ve e-postalarından Facebook ve banka hesaplarına - ve bu şifre, doğum günleri veya büyüdükleri sokağın adı kadar bariz bir şey olabilir. Ayrıca muhtemelen monitörünün yan tarafında “Parolalar” (içinde kırmızı, altı çift çizili), Twitter'dan Netflix'e kadar her şeyin bir listesi herkesin görebileceği şekilde açıkta duruyor. Okumak.
Bu uygulamalar, büyükanne ve büyükbabamızın neslinden gelen bir şey gibi gelebilir, ancak bu kesinlikle doğru değil: Geçen hafta bir film izledim. Not defteri aracılığıyla Samsung Galaxy S'den (er, Fascinate) HTC Rezound'a geçmeye çalışan D Kuşağı'nın tam teşekküllü üyesi bilgisayar. Tüm şifrelerini nasıl taşıyordu? Cüzdanında "tüm şifrelerinin" olduğu bir kağıt vardı - ve
Tümü demek istedi üç. Biri e-posta ve sosyal ağlar için, biri büyük teyzesinin e-postası için ("Onun için kontrol ediyorum") ve bir diğeri de diğer her şey için. Omzunun üzerinden baktığında, üçü de günlük sözlerdi: temizlik kolu,mırıldanan, Ve Lillian. Bilin bakalım teyzesi hangisiydi?Önerilen Videolar
Neyse ki, parolaları hem tahmin etmesi zor hem de hatırlaması kolay hale getirmenin basit yolları var. Maalesef, teknoloji endüstrisi bazen bunları kullanmanın önüne geçiyor. İşte yaygın parola zayıflıklarının bir listesi ve parolalarınızı ve çevrimiçi güvenliğinizi iyileştirmenin bazı yolları.
Belirsizlik ve karmaşıklık
Parolalarla ilgili yaygın bir gerçek, parolaların Asla tahmin etmek kolay olsun. Teknolojiden anlayan çoğu kişi, kimsenin kendileriyle ilgili ayrıntıları parola olarak kullanmaması gerektiği konusunda hemfikirdir: Buna şunlar dahildir: doğum günleri, adresler ve arkadaşların ve ailenin adları (ebeveynler, kardeşler, eşler, çocuklar ve evcil hayvanlar bile). Benzer şekilde, şifre diğerlerinin yaptığı gibi tekil olarak zayıf bir parola oluşturur sık kullanılan şifreler.
Bu her zaman geçerli olan tavsiye, genellikle şifrelerin karanlık, veya bir milyon yılları olsa kimsenin seçeceğinizi düşünmeyeceği bir terim. Evet, muğlaklık işe yarayabilir ve bariz bir parola seçmekten çok daha iyidir. Ancak belirsiz bir parola sizi yalnızca sizin hakkınızda bir şeyler bilen insanlardan korur. Muhtemelen, çoğu insan şifrelerinizi kırmaya çalışıyor yapma seni tanıyorum.
Çoğu şifre kırma, Kahramanımızın (veya Kahramanımızın) olduğu filmlerde gösterildiği gibi gerçekleşmez. Kötü adam) bir klavyenin başına oturur, bir veya iki cümle dener, çenesini ovuşturur ve ardından bir çocukluk fotoğrafını gözetler. masa. Aha! Sihirli kelimeyi yazın ve presto, güvenlik atlatıldı. Gerçek dünyada, şifre kırmanın büyük çoğunluğu otomatiktir ve bilgisayarlar kelimenin tam anlamıyla Sözlükteki her kelimeyi (ve sonra bazılarını) tökezleme umuduyla bir sisteme atmak doğru terim Bu yaklaşım işe yarayabilir çünkü bilgisayarlar parolaları insanlardan çok daha hızlı deneyebilir ve banyo molaları olmadan günde 24 saat, haftada yedi gün çalışabilirler. Otomatik parola kırıcılar, tehlikeye atmaya çalıştıkları kullanıcılar hakkında hiçbir şey bilmezler: Bu kaba kuvvet yaklaşımıdır.
Böylece, güçlü bir parolanın anahtarının onun anahtarı olmadığı ortaya çıktı. belirsizlik ama o karmaşıklık — otomatik parola kırıcı tarafından tahmin edilme olasılığını azaltan şeyler. Ancak, iyi bir karmaşık parola oluşturmak, parolaların nasıl kırılacağı hakkında biraz bilgi sahibi olmak anlamına gelir.
şifreleri kırmak
Çok genel bir ifadeyle, şifre kırıcıların tipik olarak iki yaklaşımı vardır. Birincisi, kelimenin tam anlamıyla önceden derlenmiş bir olası şifreler listesini denemektir. Bunlar genellikle çok yaygın parolalardan başlar (örneğin şifre veya qwerty) ve daha az yaygın terimlere doğru ilerleyin ve sonunda bir çevrimiçi sözlükten ve diğer kaynaklardan derlenen bir kelime listesi kullanın. Bu yaklaşımın, belirsiz olsalar bile, geçerli kelimeler veya varyantları olan şifreleri bulma olasılığı daha yüksektir.
Başka bir şifre kırma yaklaşımı, anlamlarından bağımsız olarak geçerli harf, sayı ve sembol dizilerini denemektir. Bu yaklaşımı kullanan bir şifre kırıcı şu şekilde başlayabilir: aaaaaaaa sekiz karakterlik bir şifre için, ardından deneyin aaaaaaaa Daha sonra aaaaaa ve büyük ve küçük harflerin karışımları ve sayıların ve sembollerin eklenmesi yoluyla alfabede böyle devam eder. Bu yaklaşımın "makine dostu" veya rastgele oluşturulmuş parolalar bulma olasılığı daha yüksektir. gibi bir şifre 4De78Hf1 bu yolu bulmak daha zor değil genç muhtemel.
Peki, bir şifrenin tahmin edilme olasılığı nedir? Günümüzde çoğu sistem, kullanıcıların harfler (büyük ve küçük harf), sayılar ve çeşitli semboller kullanarak parolalar oluşturmasına olanak tanır. İzin verilen semboller genellikle sistemler arasında farklılık gösterir (bazıları hemen hemen her şeye izin verir, bazıları ise yalnızca bir avuç izin verir), ancak amaçlarımız için bunun bir paroladaki her karakterin yaklaşık 80 değerden biri olabileceği anlamına geldiğini varsayalım - her biri 26 harften oluşan iki alfabe, on rakam ve 18 semboller. (Teorik olarak her karakter için en az 127 değer bulunmalıdır, ancak pratikte bu daha küçük bir sayıdır.)
Tamamen kaba kuvvet yaklaşımı kullanmak, tek karakterli bir şifreyi rastgele bulmak için en fazla 80 tahmin gerektiği anlamına gelir. Dört karakterli bir parola 40 milyondan fazla tahmin (80 × 80 × 80 × 80 = 40.960.000) ve sekiz karakterli bir şifre 1,6 katrilyondan fazla tahmin (1.677.721.600.000.000) alabilir.
Bir şifre kırıcı saniyede 1.000 tahmin yapabilseydi, dört karakterlik bir şifrenin tüm kombinasyonlarını çalıştırmak için yaklaşık bir ay ve 53.000'den fazla tahmin gerekirdi. yıl 8 karakterlik bir şifrenin tüm kombinasyonlarını çalıştırmak için. Bu oldukça güvenli görünüyor, değil mi?
Aslında değil. Tamamen istatistiksel terimlerle, bir korsanın şifreyi bulma şansı 50/50'dir. yarım o zaman. Daha da kötüsü, şifre kırıcılar yapanların olasılıklarını artırmanın başka yolları da var. Nasıl olduğunu hatırla şifre kullanmak için en kötü şifrelerden biri miydi? Tahmin et aynı zamanda çok kötü bir şifre nedir? şifre, O harfi yerine sıfır rakamı koymak. Parola kırıcılar, ortak sözcüklerini bir sözlükten çalıştırırken, aynı zamanda bu sözcüklerin ortak değişkenlerini de deniyorlar. kelimeler, O'ların yerine sıfırlar, A'lar için @ işaretleri ve 4'ler, E'ler için 3'ler, I'ler için 1'ler ve !'ler, T'ler yerine 7'ler, S'ler için 5'ler ve yakında. Benzer şekilde, 0qww294e korkunç bir şifre - bu sadece şifre standart bir İngilizce klavyede bir satır yukarı kaydırıldı. Bu teknikler, kullanıcıların hatırlaması kolay şifreler tercihinden beslenir. Ne yazık ki, hatırlanması kolay bir terimde bir veya iki karakteri değiştirerek (veya büyük harfle yazarak) insanlar çoğunlukla şifrelerini daha belirsiz hale getiriyor, ancak çok daha güvenli değil. Aslında, karma harf, sayı ve simgeler içeren, kullanıcı tarafından seçilen tipik sekiz karakterli parolalar genellikle yalnızca yaklaşık 30 bit entropiye veya bir milyardan biraz fazla olası kombinasyona sahiptir. Neden? Çünkü insanların şifrelerini dayandırdıkları terimler listesi, olası harf, sayı ve sembol kombinasyonlarının toplamından çok daha küçüktür.
Parolalar ne kadar hızlı kırılabilir? Saniyede 1.000 şifre denemek imkansız görünebilir - sonuçta, çoğu hizmet, eğer istersek kendi hesaplarımızı kilitleme eğilimindedir. Parolayı üç veya dört kez yanlış yazın, genellikle parolayı sıfırlayın ve yeni bir parola oluşturmak için güvenlik sorularını yanıtlamamızı isteyin. bir. Bu “ağ geçidi” teknikleri Yapmak hesap güvenliğini artırmak ve bu arada, aynı zamanda insanları kızdırmanın göz kamaştırıcı derecede kolay bir yoludur. (Size kaç kez parola saldırıları nedeniyle iTunes hesabıma erişimimi engellediğimi söyleyemem ama muhtemelen yüzün üzerindedir.)
Ancak, parolaları kırmaya niyetli saldırganlar, bir hizmetin ön kapısını çalıp (kelimenin tam anlamıyla) milyonlarca kez aynı hesapta oturum açmaya çalışmıyor. Ya kilitlenmeye tabi olmayan daha az genel kimlik doğrulama yöntemleri kullanıyorlar (iş ortakları veya uygulamalar için özel bir API gibi), kimliklerini yayıyorlar. kilitleme sürelerini önlemek için çok çeşitli hesaplara saldırılar veya (en iyi durum senaryosu) çalınan parolaya parola kırma teknikleri uygulamak veri. Çoğu sistem sakladıkları parola verilerini şifreler, ancak bu şifrelenmiş dosyalar yalnızca sistemin kendisi kadar güvenlidir. Saldırganlar şifrelenmiş parola dosyasını ele geçirebilirse (bir güvenlik deliğinden, güvenliği ihlal edilmiş yeni başlayanlar için makine veya toplum mühendisliği) kendi başlarına olduklarında ona çok hızlı saldırabilirler. sistemler. Saldırganların hesap bilgilerini ele geçirmesiyle ilgili hikayelerin (ör. Strafor, Epsilon, sony, Ve zappos) sıkıntılıdır. Şifrelenmiş veriler serbest bırakıldıktan sonra, saldırganlar bu verileri kırmak için çok daha güçlü araçlar kullanabilir.
Gerçek dünyada bu, saniyede 1.000 şifre rakamının son derece ihtiyatlı olduğu anlamına gelir. Bugünlerde tipik masaüstü bilgi işlem donanımı test edebilir milyonlarca Yaygın şifreleme teknolojilerine karşı saniyede parola sayısı. Benzer şekilde, artık grafik işlemcilerden yararlanan parola kırma araçları var ve suçlu botnet operatörleri de parola kırma işinde. İş yükünü binlerce bilgisayara dağıtabilirler. Bu ham gücü sofistike buluşsal yöntemlerle birleştirin (ör. yaygın kelimeler) ve sekiz karakterlik tipik bir kullanıcı şifresini yarım saatten daha kısa sürede kırmak alışılmadık bir durum değildir. saat.
Kendi ayağımıza kurşun sıkmak
Yukarıda, büyük harf, küçük harf, sayı ve sembollerden oluşan sekiz karakterli bir şifrenin nasıl birden fazla karaktere sahip olabileceğine dikkat çektik. katrilyon olası kombinasyon, ancak bugün kullanımda olan sekiz karakterlik şifrelerin çoğu yalnızca yaklaşık bir milyarlık bir havuza giriyor kombinasyonlar. Bunun nedeni, insanların makine olmamasıdır. Bir bilgisayarın kullanmaktan memnun olduğu durumlarda tosbağa veya Y&4nS0\2 bir parola olarak, tahmin edin bir insan için hangisinin hatırlaması daha kolay? Şimdi hangisinin daha güvenli olduğunu tahmin edin.
Bazı sistemler, kullanıcıların kolayca kırılabilecek parolalar kullanmamasını sağlamak için parola gereksinimleri uygular. Yaygın bir yaklaşım, kullanıcı parolalarının en az bir büyük harf, bir sayı, bir sembol içermesini ve en az sekiz karakter uzunluğunda olmasını zorunlu kılmaktır. (Bazı sistemler gereksinimleri zorlamaz, ancak bir parolanın ne kadar etkili olduğunu düşündüğünün bir ölçüsü olarak bir "parola gücü" ölçüsü sunar. be.) Bazı sistemler ayrıca kullanıcıların parolalarını sık sık (örneğin her 30 veya 45 günde bir) değiştirmelerini gerektirir ve yeniden kullanmalarını engeller. şifreler.
Bu tür gereksinimler Yapmak parolaların güvenliğini artırır, ancak aynı zamanda parolaların insanların hatırlamasını çok daha zorlaştırır. Bu, kullanıcıların önemli bir kısmının, kendi kolaylıkları için sistemin güvenliğini alt üst etmenin yollarını hemen bulacağı anlamına gelir. Elbette, bazı insanlar aşağıdaki gibi şifrelerle başa çıkabilir: 9.3nDs(# ancak pek çok başka kişi, monitörlerin yan taraflarına parola yüklü yapışkan notlarla yanıt verecek. cüzdanları veya masaüstlerinde "Parolalar" olarak etiketlenmiş bir Microsoft Word belgesi, böylece istedikleri zaman kopyalayıp yapıştırabilirler. gerekli. Parola oluşturma gereklilikleri aynı zamanda üretkenliğe zarar verme ve destek maliyetlerini artırma eğilimindedir (hem çalışanlar hem de müşteriler), çünkü daha fazla kişi parolalarını unutacak veya hesaplarına erişimi engellenecek ve manuel işlem gerektirecektir. araya girmek.
Karmaşık parolalar oluşturma
Parolaların Kutsal Kâsesi, o zaman bir parola gibi görünür. karmaşık otomatik teknikler kullanarak kırmanın pratik olmamasına yetecek kadar, ancak kullanıcıların bunları güvenli olmayan bir şekilde depolayarak veya yöneterek güvenlikten taviz vermediklerini hatırlamak yeterince kolaydır.
Karmaşık, hatırlaması kolay şifreler oluşturmak için bazı ipuçları:
- Uzun şifreler kullanın. Sekiz karakterlik bir parolanın 1,6 katrilyon olası kombinasyonu olabilirse, 16 karakterlik bir parolanın kaç tane olabileceğini hayal edin? (Yaklaşık 2,8 milyon veya 2,830.) Bununla birlikte, belki daha da önemlisi, ortak terimler kullanan 16 karakterlik bir parola için değerler kümesi ve Varyasyonlar 1,2 kentilyonun hemen altında, sekiz karakterli bir milyarın biraz üzerindeydi. şifre. Daha uzun parolalar kullanmak, parolaları daha karmaşık ve daha güvenli hale getirmenin en kolay yoludur.
- Birleşik kelimeler kullanın. Hatırlaması kolay uzun şifreler nasıl yapılır? Yaygın bir teknik, üç ila beş basit bir dizi kullanmaktır, ilgisiz terimler. Bunların hatırlanması genellikle PIN numaraları kadar kolaydır; bilişsel olarak, insanlar tüm kelimeleri tek tek birimler olarak hatırlama eğilimindedir. Ancak bu parolalar, en azından parola kırma açısından çok karmaşık olabilir. Ve bu şifreleri sadece etrafa bakarak veya bir kitabı rastgele bir sayfaya çevirerek kolayca oluşturabilirsiniz. Penceremden dışarıya baktığımda oyuncak bir kurbağa, bir araba ve birinin mutfağının penceresini görüyorum. Yeni Şifre: KurbağaPoyra KapağıDolap — bu 18 karakter, ancak hatırlanması gereken yalnızca üç kelime. Sağa bakmak: KoşucuKameraTutkalDizesi — dört kısa kelime, 22 karakter. Kelimeleri ayırmak için yalnızca büyük harf kullandım. Daha fazla karakter veya ikame eklemek, karmaşıklığı artırabilir — zor parolaların zayıflıklarının kurbanı olacak kadar karmaşık olmayın.
- Cümleler veya şarkı sözleri kullanın. Uzun şifreler oluşturmanın başka bir yolu da cümle veya şarkı sözleri kullanmaktır. Sözler için, nispeten yaygın şarkılar sizin için özellikle önemli olanlardan belki daha iyidir: yine, istemezsiniz Sırf Michael Bolton'ın büyük bir hayranı olduğunuz için (ya da olmadığınızdan) parolalarınızı tahmin edebilecek kadar sizi iyi tanıyan kişiler. Aşamalardan veya şarkı sözlerinden oluşturulan şifre örnekleri şunlar olabilir: Sen JackKennedy değilsin (19 karakter), iShotaManinReno (15 karakter), impeepinandimcreepin (20 karakter).
- Anımsatıcıları kullanın. Uzun şifrelerin dezavantajı, özellikle bir mobil cihazda yazmanın zor olabilmesidir. Bazı kişilerin karmaşık daha kısa parolalar oluşturmak için yararlı bulduğu başka bir numara, bir cümle veya şarkı sözündeki her kelimenin ilk karakterini kullanmaktır. "Bir adam kaç yol yürümeli" olabilir HmmmwD— yalnızca sekiz karakter, ancak bir parola kırma programı açısından nispeten karmaşık. Benzer şekilde, "Salla, salla bir polaroid resim gibi" olabilir SiSiLapp - belki harika değil, ama daha iyi tosbağa. Bu numara, parolaların ne kadar uzun olabileceği konusunda hala bir sınırı olan sistemler için iyi parolalar oluşturmaya da yardımcı olabilir.
Bu yönergeler genellikle hatırlaması kolay, karmaşık parolalar bulmanıza yardımcı olacaktır. Tabii ki, kompozisyon gereksinimleri olan şifre sistemleriyle uğraşırken (yani, karışık durum beklerler, sayılar veya semboller) bunları yerine getirmek için yine de şifreler üzerinde garip bükülmeler bulmanız gerekecek. Gereksinimler. Daha uzun parolalarla, yer değiştirmelerinizi ve değişikliklerinizi bariz yerlerde yapabileceğinizi unutmayın — genellikle, bu uzun parolaların hatırlanması, gereksinimlerle bile kısa, saçma sapan parolalardan daha kolaydır şifreler.
Diğer birkaç ipucu
Parolalarınızı seçerken düşünmeniz gereken diğer şeyler:
- Ayrı hizmetler için ayrı parolalar kullanın. Çevrimiçi bankacılık için sosyal ağ parolanızı kullanmayın. Bir hizmette bir parola ele geçirilirse, diğerleri güvende olmalıdır.
- Önemli şifreleri dikkatlice seçin. Tek oturum açma sistemleri son derece uygun olabilir, ancak aynı zamanda birden fazla hizmet için tek bir arıza noktası oluşturabilir. Google, Yahoo ve Microsoft hizmetlerindeki hesapların şifreleri örnek olarak verilebilir; burada tek bir kırılmış şifre, birisinin e-postaya, belgelere, resimlere, sosyal ağlara, bloglara, fotoğraf kitaplıklarına, kişi listelerine, adres defterlerine ve Daha. Benzer şekilde, pek çok siteyle (hatta Dijital Trendler) Facebook ve Twitter girişlerini kabul ederken, tehlikeye atılmış bir sosyal ağ şifresinin çok çeşitli sonuçları olabilir.
- Şifrelerinizi değiştirin. Parolalarınızdan biri kırılırsa hemen anlayacağınızı düşünmek cazip gelebilir: e-postanız kaybolacak, blogunuz kaybolacak. bir dizi lulz grafiğine dönüşebilir, Amazon hediye listeniz utanç verici seçeneklerle dolu olabilir, PayPal hesabınız silinebilir dışarı. Ancak, durum her zaman böyle değildir: Birisi parolanızı kırarsa, en azından hemen açık bir işaret olmayabilir. Parolanızı düzenli olarak değiştirerek, birisi izinsiz girse bile sizi istismar etme fırsat penceresinin sınırlı olmasını sağlarsınız. Parolaları değiştirmeniz gereken sıklık, çevrimiçi hizmetleri nasıl kullandığınıza göre değişir. Gerçek para içeren herhangi bir şey için, kullanıcılara genellikle her 30 ila 90 günde bir şifrelerini değiştirmelerini öneririm - ne kadar çok para o kadar sık.
Hiçbir şifre güvenli değildir
Parolalar hakkında hatırlanması gereken belki de en önemli şey, herhangi şifre kırılabilir: Bu sadece birisinin buna ne kadar zaman ve çaba harcamaya istekli olduğu meselesidir. Buradaki ipuçları, şifrelerinizin rastgele saldırganlar ve hatta arkadaşlarınız ve aileniz tarafından ele geçirilme olasılığını azaltmaya yardımcı olacaktır, ancak hiçbir şifre tamamen güvenli değildir. Bir hizmete güvenli erişim sizin için çok önemliyse, yetkisiz erişim olasılığını daha da azaltmak için çok faktörlü kimlik doğrulamanın çeşitli biçimlerini araştırmayı düşünün.
Resim kredisi: Doğrulanmış / jamdesign / Tatyana Popova / Pedro Miguel Sousa
Editörlerin Önerileri
- Bu utanç verici şifreler ünlülerin hacklenmesine neden oldu
- Hayır, 1Password saldırıya uğramadı - işte gerçekte olanlar
- Windows ve macOS'ta bir klasör nasıl parola ile korunur?
- LastPass nasıl saldırıya uğradığını açıklıyor - ve bu iyi bir haber değil
- Reddit saldırıya uğradı - hesabınızı korumak için 2FA'yı nasıl kuracağınız aşağıda açıklanmıştır