İnsanların modern teknolojiyle ilişkilendirdiği bir şey varsa o da şifrelerdir. Her yerdeler ve çoğumuz onları her gün düzinelerce şey için kullanıyoruz. Ancak çoğu insan şifre güvenliği konusunda şaşırtıcı derecede kayıtsız. Çoğumuz muhtemelen aynı şifreyi kullanan birini tanıyoruzdur. her şey, bilgisayarlarından ve e-postalarından Facebook ve banka hesaplarına kadar - ve bu şifre, doğum günleri veya büyüdükleri sokağın adı kadar bariz bir şey olabilir. Ayrıca muhtemelen monitörün yanında "Şifreler" (in) yazan yapışkan bir not olan birini tanıyoruzdur. kırmızı, çift altı çizili) Twitter'dan Netflix'e kadar her şeyin listesi herkesin görebileceği şekilde ortada duruyor Okumak.
Bu uygulamalar büyükanne ve büyükbabalarımızın kuşağına aitmiş gibi gelebilir ama bu kesinlikle doğru değil: Geçen hafta bir film izledim. D kuşağının tam donanımlı üyesi, dizüstü bilgisayarını kullanarak Samsung Galaxy S'den (yani Fascinate) HTC Rezound'a geçmeye çalışıyor bilgisayar. Tüm şifrelerini nasıl taşıyordu? Cüzdanında "tüm şifrelerinin" bulunduğu bir kağıt parçası vardı - ve
Tümü demek istedi üç. Biri e-posta ve sosyal ağ için, biri büyük teyzesinin e-postası için ("Onun için kontrol ediyorum") ve diğeri de diğer her şey için. Omzunun üzerinden baktığında üçü de gündelik sözcüklerdi: el,mırıldanan, Ve Lillian. Bilin bakalım teyzesininki hangisiydi?Önerilen Videolar
Neyse ki şifreleri hem tahmin edilmesi zor hem de hatırlanması kolay hale getirmenin basit yolları var. Maalesef, teknoloji endüstrisi bazen bunların kullanılmasına engel oluyor. İşte yaygın şifre zayıflıklarının bir özeti ve şifrelerinizi ve çevrimiçi güvenliğinizi iyileştirmenin bazı yolları.
Belirsizlik ve karmaşıklık
Parolalarla ilgili yaygın bir gerçek şu ki, Asla tahmin edilmesi kolay olsun. Teknoloji meraklılarının çoğu, hiç kimsenin kendisiyle ilgili ayrıntıları şifre olarak kullanmaması gerektiği konusunda hemfikirdir: Buna şunlar da dahildir: doğum günleri, adresleri ve arkadaşlarınızın ve ailenizin adları (ebeveynler, kardeşler, eşler, çocuklar ve evcil hayvanlar bile). Benzer şekilde, şifre diğer tüm şifreler gibi son derece zayıf bir şifre oluşturur yaygın olarak kullanılan tek kullanımlık şifreler.
Bu her zaman geçerli tavsiye genellikle şifrelerin kullanılması gerektiği şeklinde yorumlanır. belirsiz, ya da bir milyon yılı olsa kimsenin seçeceğinizi düşünmeyeceği bir terim. Evet, belirsiz bir parola işe yarayabilir ve bu, bariz bir parola seçmekten daha iyi bir görüntüdür. Ancak belirsiz bir şifre sizi yalnızca hakkınızda bir şeyler bilen kişilerden korur. Muhtemelen çoğu kişi şifrelerinizi kırmaya çalışıyor yapma seni tanıyorum.
Çoğu şifre kırma işlemi, Our Hero'nun (ya da The Hero'nun) filmlerde tasvir edildiği şekilde gerçekleşmez. Kötü adam) klavyenin başına oturur, bir veya iki cümleyi dener, çenesini ovuşturur ve ardından bir çocukluk fotoğrafını gözetler. masa. Aha! Sihirli kelimeyi yazın ve presto, güvenlik atlatıldı. Gerçek dünyada, şifre kırmanın büyük çoğunluğu bilgisayarlarla otomatik olarak gerçekleştirilir. Sözlükteki her kelimeyi (ve daha sonra bazılarını) bir sisteme atıp, rastlamak umuduyla doğru terim. Bu yaklaşım işe yarayabilir çünkü bilgisayarlar, parolaları insanların yazabileceğinden çok daha hızlı deneyebilir ve tuvalete ara vermeden, haftanın yedi günü, günde 24 saat çalışabilirler. Otomatik şifre kırıcılar, tehlikeye atmaya çalıştıkları kullanıcılar hakkında hiçbir şey bilmezler: Bu bir kaba kuvvet yaklaşımıdır.
Yani, güçlü bir parolanın anahtarının o olmadığı ortaya çıktı belirsizlik ama o karmaşıklık — otomatik bir şifre kırıcı tarafından tahmin edilme olasılığını azaltan şeyler. Ancak iyi ve karmaşık bir şifre oluşturmak, şifrelerin nasıl kırıldığı hakkında biraz bilgi sahibi olmak anlamına gelir.
Şifreleri kırma
Çok genel anlamda, şifre kırıcıların genellikle iki yaklaşımı vardır. Bunlardan biri, kelimenin tam anlamıyla önceden derlenmiş olası şifrelerin listesini denemektir. Bunlar genellikle çok yaygın şifrelerden başlar (örneğin şifre veya Qwerty) ve daha az yaygın olan terimlere doğru ilerleyin ve sonunda çevrimiçi bir sözlükten ve diğer kaynaklardan derlenen bir kelime listesi kullanın. Bu yaklaşımın, belirsiz olsalar bile, geçerli kelimeler veya bunların türevleri olan şifreleri bulma olasılığı daha yüksektir.
Başka bir şifre kırma yaklaşımı, anlamlarından bağımsız olarak geçerli harf, sayı ve sembol dizilerini denemektir. Bu yaklaşımı kullanan bir şifre kırıcı şu şekilde başlayabilir: aaaaaaa sekiz karakterlik bir şifre için şunu deneyin: aaaaaaa Daha sonra aaaaac ve bu şekilde alfabeyi yukarı doğru, büyük ve küçük harf karışımlarını kullanarak, sayılar ve semboller ekleyerek devam ediyoruz. Bu yaklaşımın "makine dostu" veya rastgele oluşturulmuş şifreleri bulma olasılığı daha yüksektir. Şöyle bir şifre 4De78Hf1 bu yolu bulmak bundan daha zor değil genç muhtemel.
Peki bir şifrenin tahmin edilme ihtimali nedir? Günümüzde çoğu sistem, kullanıcıların harfler (büyük ve küçük harfler), sayılar ve çeşitli semboller kullanarak şifre oluşturmasına olanak tanıyor. İzin verilen semboller genellikle sistemler arasında farklılık gösterir (bazıları hemen hemen her şeye izin verir, bazıları ise yalnızca bir avuç dolusuna izin verir), ancak bizim amaçlarımız açısından Bunun, paroladaki her karakterin yaklaşık 80 değerden biri olabileceği anlamına geldiğini varsayalım; her biri 26 harften oluşan iki alfabe, on rakam ve 18 semboller. (Teoride her karakter için en az 127 değer bulunmalıdır, ancak pratikte bu daha küçük bir sayıdır.)
Tamamen kaba kuvvet yaklaşımını kullanmak, tek karakterli bir şifreyi rastgele bulmanın en fazla 80 tahmin gerektireceği anlamına gelir. Dört karakterli bir şifre 40 milyondan fazla tahmin (80 × 80 × 80 × 80 = 40.960.000) ve sekiz karakterli bir şifre 1,6 katrilyon tahminden (1.677.721.600.000.000) fazla olabilir.
Eğer bir şifre kırıcı saniyede 1.000 tahmin yapabilseydi, dört karakterli bir şifrenin tüm kombinasyonlarını çalıştırması yaklaşık bir ay sürerdi ve 53.000'in üzerinde tahminde bulunulması gerekirdi. yıllar 8 karakterli bir şifrenin tüm kombinasyonlarını çalıştırmak için. Oldukça güvenli görünüyor, değil mi?
Aslında değil. Tamamen istatistiksel açıdan bakıldığında, bir korsanın şifreyi bulma şansı 50/50'dir. yarım o zaman. Daha da kötüsü, şifre kırıcı yapan kişilerin şanslarını artırmanın başka yolları da var. Nasıl olduğunu hatırla şifre Kullanılacak en kötü şifrelerden biri miydi? Bil bakalım aynı zamanda çok kötü bir şifre nedir? Şifre, O harfi yerine sıfır sayısını kullanmak. Şifre kırıcılar bir sözlükteki ortak kelimeleri çalıştırırken aynı zamanda bu kelimelerin ortak varyantlarını da deniyorlar. O'lar yerine sıfırlar, A'lar için @ işaretleri ve 4'ler, E'ler için 3'ler, I'ler için 1'ler ve !'ler, T'ler için 7'ler, S'ler için 5'ler ve yakında. Benzer şekilde, 0qww294e berbat bir şifre — bu sadece şifre standart İngilizce klavyede bir satır yukarı kaydırıldı. Bu teknikler, kullanıcıların hatırlanması kolay şifre tercihlerini hedef alıyor. Ne yazık ki, hatırlanması kolay bir terimde bir veya iki karakteri değiştirerek (veya büyük harfle yazarak) insanlar çoğunlukla şifrelerini daha belirsiz hale getiriyorlar, ancak çok daha güvenli değiller. Aslında, karışık harf, rakam ve simgelerden oluşan, kullanıcı tarafından seçilen tipik sekiz karakterli şifreler genellikle yalnızca yaklaşık 30 bitlik entropiye veya bir milyarın biraz üzerinde olası kombinasyona sahiptir. Neden? Çünkü insanların şifrelerini temel aldıkları terimlerin listesi, olası toplam harf, rakam ve sembol kombinasyonlarından çok daha küçüktür.
Şifreler ne kadar hızlı kırılabilir? Saniyede 1000 şifreyi denemek imkansız gibi görünebilir; sonuçta çoğu hizmet, eğer biz bunu yaparsak kendi hesaplarımıza erişimimizi engelleme eğilimindedir. bir şifreyi üç veya dört kez yanlış yazmak, sıklıkla şifreyi sıfırlamak ve yeni bir şifre oluşturmak için güvenlik sorularını yanıtlamamızı gerektirmek bir. Bu “ağ geçidi” teknikleri Yapmak hesap güvenliğini artırmak ve tesadüfen, aynı zamanda insanları rahatsız etmenin çok kolay bir yoludur. (Şifre saldırıları nedeniyle iTunes hesabımın kaç kez kilitlendiğini size söyleyemem, ancak muhtemelen yüzün üzerindedir.)
Ancak şifreleri kırmayı amaçlayan saldırganlar, bir hizmetin ön kapısını çalıp aynı hesaba (kelimenin tam anlamıyla) milyonlarca kez giriş yapmayı denemez. Ya kilitlenmeye tabi olmayan, daha az kamuya açık kimlik doğrulama yöntemleri kullanıyorlar (iş ortakları veya uygulamalar için özel bir API gibi), Kilitlenme sürelerini önlemek için çok çeşitli hesaplara yönelik saldırılar veya (en iyi senaryo) çalınan parolaya parola kırma tekniklerinin uygulanması veri. Çoğu sistem, depoladıkları parola verilerini şifreler, ancak bu şifrelenmiş dosyalar yalnızca sistemin kendisi kadar güvenlidir. Saldırganlar şifrelenmiş parola dosyasını ele geçirebilirse (bir güvenlik açığından, güvenliği ihlal edilmiş yeni başlayanlar için makine veya sosyal mühendislik) kendi başlarına kaldıklarında çok hızlı bir şekilde saldırabilirler sistemler. Saldırganların hesap bilgilerini ele geçirmesiyle ilgili hikayelerin (ör. Strafor, Epsilon, sony, Ve Zappo'lar) rahatsız edicidir. Şifrelenmiş veriler bir kez ele geçirildiğinde, saldırganlar bu verileri kırmak için çok daha güçlü araçlar uygulayabilir.
Gerçek dünyada bu, saniyede 1000 şifre rakamının son derece muhafazakar olduğu anlamına gelir. Günümüzde tipik masaüstü bilgi işlem donanımı test edilebilir milyonlarca Yaygın şifreleme teknolojilerine karşı bir saniyede şifre sayısı. Benzer şekilde, artık grafik işlemcilerden yararlanan şifre kırma araçları var ve suçlu botnet operatörleri de şifre kırma işinde. İş yükünü binlerce bilgisayara dağıtabilirler. Bu ham gücü gelişmiş buluşsal yöntemlerle birleştirin (sayı ve harf çeşitlerini denemek gibi) yaygın kelimeler) ve sekiz karakterli tipik bir kullanıcı şifresini yarım saatten daha kısa bir sürede kırmak olağandışı bir durum değildir. saat.
Kendi ayağımıza kurşun sıkmak
Yukarıda, büyük harf, küçük harf, sayı ve simgelerden oluşan sekiz karakterli bir parolanın nasıl çok daha fazla anlam içerebileceğini belirtmiştik. katrilyon olası kombinasyon, ancak bugün kullanımda olan sekiz karakterli şifrelerin çoğu yalnızca yaklaşık bir milyarlık bir havuza giriyor kombinasyonlar. Çünkü insanlar makine değildir. Bir bilgisayarın her ikisini de kullanmaktan memnun olduğu durumlarda tosbağa veya Y&4nS0\2 Parola olarak, tahmin edin bir insanın hangisini hatırlaması daha kolaydır? Şimdi hangisinin daha güvenli olduğunu tahmin edin.
Bazı sistemler, kullanıcıların kolayca kırılabilen parolalar kullanmamasını sağlamak amacıyla parola gereksinimleri uygular. Yaygın bir yaklaşım, kullanıcı şifrelerinin en az bir büyük harf, bir rakam, bir sembol içermesini ve en az sekiz karakter uzunluğunda olmasını zorunlu kılmaktır. (Bazı sistemler gereksinimleri zorunlu kılmaz ancak bir parolanın ne kadar etkili olabileceğini düşündüğünün bir ölçüsü olarak bir "parola gücü" göstergesi sunar. be.) Bazı sistemler ayrıca kullanıcıların şifrelerini sık sık (mesela 30 veya 45 günde bir) değiştirmesini gerektirir ve şifrelerin tekrar kullanılmasını engeller. şifreler.
Bu tür gereksinimler Yapmak şifrelerin güvenliğini artırır, ancak aynı zamanda şifrelerin insanların hatırlamasını da çok daha zorlaştırır. Bu, kullanıcıların önemli bir kısmının, kendi kolaylıkları için sistemin güvenliğini altüst edecek yolları hemen bulacağı anlamına geliyor. Elbette bazı kişiler aşağıdaki gibi şifrelerle başa çıkabilir: 9.3nD'ler(# ancak pek çok kişi monitörlerin yanlarına şifre yüklü yapışkan notlar yazarak yanıt verecek. veya masaüstündeki bir Microsoft Word belgesinde yararlı bir şekilde "Şifreler" etiketi bulunur, böylece istedikleri zaman kopyalayıp yapıştırabilirler. gerekli. Şifre oluşturma gereklilikleri aynı zamanda üretkenliğe zarar verme ve destek maliyetlerini artırma eğilimindedir (hem çalışanlar hem de çalışanlar için). Müşteriler), çünkü daha fazla kişi şifrelerini unutacak veya hesapları kilitlenecek ve bu da manuel işlem gerektirecektir. araya girmek.
Karmaşık şifreler oluşturma
Parolaların Kutsal Kasesi o zaman bir parola gibi görünebilir. karmaşık Otomatik teknikleri kullanarak kırmanın pratik olmayacağı kadar, ancak kullanıcıların bunları güvenli olmayan bir şekilde saklayarak veya yöneterek güvenliği tehlikeye atmayacaklarını hatırlayacak kadar kolaydır.
Karmaşık, hatırlanması kolay şifreler oluşturmaya yönelik bazı ipuçları:
- Uzun şifreler kullanın. Sekiz karakterlik bir şifrenin 1,6 katrilyon olası kombinasyonu olabiliyorsa, 16 karakterlik bir şifrenin kaç tane olabileceğini hayal edin? (Yaklaşık 2,8 nonilyon veya 2,830.) Bununla birlikte, belki de daha önemlisi, ortak terimleri kullanan 16 karakterlik bir şifre için değerler kümesi ve varyasyonlar 1,2 kentilyonun biraz altında, sekiz karakterli bir milyarın biraz üzerindeydi şifre. Daha uzun şifreler kullanmak, şifreleri daha karmaşık ve daha güvenli hale getirmenin en kolay yoludur.
- Birleşik sözcükler kullanın. Hatırlanması kolay uzun şifreler nasıl oluşturulur? Yaygın bir teknik, üç ila beş basit bir dizi kullanmaktır. ilgisiz şartlar. Bunların hatırlanması genellikle PIN numaraları kadar kolaydır; bilişsel olarak insanlar tüm kelimeleri tek birimler halinde hatırlama eğilimindedir. Ancak bu şifreler, en azından şifre kırma açısından çok karmaşık olabilir. Ve bu şifreleri yalnızca etrafa bakarak veya bir kitabın rastgele bir sayfasını çevirerek oluşturmak kolaydır. Penceremden dışarıya baktığımda oyuncak bir kurbağa, bir araba ve birinin mutfağının penceresini görüyorum. Yeni Şifre: KurbağaJant KapağıDolap — bu 18 karakter, ancak hatırlanması gereken yalnızca üç kelime. Sağa bakıyorum: KoşucuKameraGlueString — dört kısa kelime, 22 karakter. Kelimeleri ayırmaya yardımcı olmak için yalnızca büyük harf kullandım. Daha fazla karakter veya değişiklik eklemek karmaşıklığı artırabilir; ancak zorlu şifrelerin zayıf noktalarına düşecek kadar karmaşık hale gelmeyin.
- İfadeler veya şarkı sözleri kullanın. Uzun şifreler oluşturmanın başka bir yolu da cümlelerin veya şarkı sözlerinin bölümlerini kullanmaktır. Şarkı sözleri açısından, nispeten yaygın şarkılar belki de sizin için özellikle önemli olanlardan daha iyidir: yine, şarkı sözlerini Sırf Michael Bolton'un büyük bir hayranı olduğunuz (veya olmadığınız) için sizi iyi tanıyan kişilerin şifrelerinizi tahmin edebilmesi. Aşamalardan veya şarkı sözlerinden oluşturulan şifre örnekleri şunlar olabilir: Sen YoksunJackKennedy (19 karakter), iShotaManinReno (15 karakter), impeepinandimcreepin (20 karakter).
- Anımsatıcıları kullanın. Uzun şifrelerin dezavantajı, özellikle mobil cihazlarda yazılmasının zor olabilmesidir. Bazı kişilerin karmaşık, daha kısa şifreler oluşturmak için yararlı bulduğu bir başka numara da bir cümle veya şarkı sözündeki her kelimenin ilk karakterini kullanmaktır. "Bir adamın kaç yoldan yürümesi gerekir" haline gelebilir HmmamwD— yalnızca sekiz karakter, ancak bir parola kırma programı açısından nispeten karmaşıktır. Benzer şekilde, "Sallayın, polaroid resim gibi sallayın" ifadesi haline gelebilir SiSiLapp - belki harika değil ama daha iyi tosbağa. Bu numara aynı zamanda şifrelerin ne kadar uzun olabileceğine ilişkin hâlâ bir sınırlama bulunan sistemler için iyi şifreler oluşturulmasına da yardımcı olabilir.
Bu yönergeler genellikle hatırlanması kolay, karmaşık şifreler oluşturmanıza yardımcı olacaktır. Elbette, bileşim gereksinimleri olan şifre sistemleriyle uğraşırken (yani, karışık durum beklerler, sayılar veya semboller) bunları gerçekleştirmek için yine de şifrelerde ilginç değişiklikler bulmanız gerekecek Gereksinimler. Daha uzun şifrelerle değişikliklerinizi ve değişikliklerinizi bariz yerlerde yapabileceğinizi unutmayın. genellikle bu uzun şifrelerin hatırlanması, gereksinimler olsa bile kısa, anlamsız şifrelerden daha kolaydır şifreler.
Birkaç ipucu daha
Şifrelerinizi seçerken düşünmeniz gereken diğer hususlar:
- Ayrı hizmetler için ayrı şifreler kullanın. Çevrimiçi bankacılık için sosyal ağ şifrenizi kullanmayın. Bir hizmette parola ele geçirilirse diğerleri güvende olmalıdır.
- Önemli şifreleri dikkatlice seçin. Tek oturum açma sistemleri son derece kullanışlı olabilir ancak aynı zamanda birden fazla hizmet için tek bir hata noktası da oluşturabilir. Örnek olarak Google, Yahoo ve Microsoft hizmetlerindeki hesapların şifreleri verilebilir; tek bir kırılmış şifre bu bilgileri açığa çıkarabilir. birisinin e-postaya, belgelere, resimlere, sosyal ağlara, bloglara, fotoğraf kitaplıklarına, kişi listelerine, adres defterlerine ve Daha. Benzer şekilde, pek çok sitede (hatta Dijital TrendlerFacebook ve Twitter oturum açma işlemlerinin kabul edilmesi durumunda, güvenliği ihlal edilmiş bir sosyal ağ şifresi çok geniş kapsamlı sonuçlara yol açabilir.
- Şifrelerinizi değiştirin. Şifrelerinizden biri kırılırsa hemen bileceğinizi düşünmek cazip geliyor: e-postanız kaybolacak, blogunuz kaybolacak bir dizi lulz grafiğine dönüşebilir, Amazon hediye listeniz utanç verici seçeneklerle dolu olabilir, PayPal hesabınız temizlenebilir dışarı. Ancak durum her zaman böyle değildir: Birisi şifrenizi kırarsa, en azından hemen hiçbir belirti görülmeyebilir. Parolanızı düzenli olarak değiştirerek, birileri izinsiz girse bile sizi istismar etme fırsat penceresinin sınırlı olmasını sağlarsınız. Parolaları değiştirme sıklığı, çevrimiçi hizmetleri nasıl kullandığınıza göre değişir. Gerçek para içeren herhangi bir şey için, kullanıcılara genellikle şifrelerini her 30 ila 90 günde bir değiştirmelerini öneriyorum; ne kadar çok para o kadar sık.
Hiçbir şifre güvenli değildir
Belki de şifreler hakkında hatırlanması gereken en önemli şey şudur: herhangi şifre kırılabilir: Bu sadece birisinin şifreye ne kadar zaman ve çaba harcamaya istekli olduğu meselesidir. Buradaki ipuçları, şifrelerinizin rastgele saldırganlar ve hatta arkadaşlarınız ve aileniz tarafından kökünün kazınması olasılığını azaltmanıza yardımcı olacaktır, ancak hiçbir şifre tamamen güvenli değildir. Bir hizmete güvenli erişim sizin için çok önemliyse, yetkisiz erişim olasılığını daha da azaltmak için çok faktörlü kimlik doğrulamanın çeşitli biçimlerini incelemeyi düşünün.
Resim kredisi: Shutterstock / reçel tasarımı / Tatiana Popova / Pedro Miguel Sousa
Editörlerin Önerileri
- Bu utanç verici şifreler ünlülerin hacklenmesine neden oldu
- Hayır, 1Password saldırıya uğramadı; işte gerçekte olanlar
- Windows ve macOS'ta bir klasör nasıl parolayla korunur?
- LastPass nasıl saldırıya uğradığını açıklıyor – ve bu iyi bir haber değil
- Reddit saldırıya uğradı - hesabınızı korumak için 2FA'yı nasıl kuracağınız aşağıda açıklanmıştır
