Якщо щось люди асоціюють із сучасними технологіями, то це паролі. Вони всюди, і більшість із нас щодня використовує їх для десятків речей. Проте більшість людей надзвичайно байдужі до безпеки своїх паролів. Більшість із нас, мабуть, знає когось, хто використовує той самий пароль для все, з комп’ютера та електронної пошти на їхні Facebook і банківські рахунки — і цей пароль може бути чимось таким же очевидним, як їхній день народження або назва вулиці, де вони виросли. І ми також, напевно, знаємо когось, у кого збоку на моніторі є наліпка з написом «Паролі» (у червоний, подвійне підкреслення) зі списком усього, від Twitter до Netflix, який просто відкритий для всіх читати.
Ці практики можуть звучати як щось із покоління наших бабусь і дідусів, але це не зовсім так: минулого тижня я дивився повноцінний представник покоління D намагається перейти від Samsung Galaxy S (е-е, Fascinate) до HTC Rezound через свій ноутбук комп'ютер. Як він переніс усі свої паролі? У його гаманці був аркуш паперу з «усіма його паролями» — і
все він мав на увазі три. Один для електронної пошти та соціальних мереж, один для електронної пошти його двоюрідної тітки («Я перевіряю це для неї»), а інший для всього іншого. Дивлячись через плече, усі три слова були щоденними: мофандл,бурмотун, і Ліліан. Вгадайте, який був у його тітки?Рекомендовані відео
На щастя, існують прості способи зробити паролі такими, які важко вгадати й легко запам’ятати. на жаль, індустрія технологій інколи стає на заваді їх використання. Ось перелік поширених недоліків паролів і деякі способи покращення паролів і безпеки в Інтернеті.
Невідомість проти складності
Загальна істина щодо паролів полягає в тому, що вони повинні ніколи легко здогадатися. Більшість технічно підкованих людей погоджуються, що нікому не слід використовувати інформацію про себе як пароль дні народження, адреси та імена друзів і родини (включаючи батьків, братів і сестер, подружжя, дітей та навіть домашні тварини). Так само пароль створює надзвичайно поганий пароль — як і всі інші часто використовувані одноразові паролі.
Цю вічнозелену пораду часто тлумачать так, що паролі повинні бути такими незрозумілий, або термін, який ніхто б не подумав, що ви вибрали б, якби у них був мільйон років. Так, незрозумілий пароль може спрацювати, і це краще, ніж вибрати очевидний пароль. Однак незрозумілий пароль захищає вас лише від людей, які щось про вас знають. Швидше за все, більшість людей намагаються зламати ваші паролі не робіть знаю, що ви.
Більшість зламів паролів відбувається не так, як це зображують у фільмах, де «Наш герой» (або Лиходій) сидить за клавіатурою, пробує одну-дві фрази, потирає підборіддя, а потім переглядає дитячу фотографію стіл. Ага! Введіть чарівне слово і заздалегідь, безпеку обійдено. У реальному світі переважна більшість злому паролів відбувається автоматично, буквально за допомогою комп’ютерів кидати кожне слово зі словника (а потім і деякі) у систему в надії натрапити на неї правильний термін. Цей підхід може спрацювати, оскільки комп’ютери можуть перевіряти паролі набагато швидше, ніж люди можуть їх вводити, і вони можуть працювати 24 години на добу, сім днів на тиждень, без перерв у туалеті. Автоматизовані зломщики паролів нічого не знають про користувачів, яких вони намагаються скомпрометувати: це підхід грубої сили.
Отже, виявляється, ключ до надійного пароля не в ньому невідомість але це складність — речі, які зменшують ймовірність того, що автоматичний зломщик паролів його вгадає. Однак створення хорошого складного пароля означає трішки знати, як паролі зламуються.
Злом паролів
У дуже загальних рисах зломщики паролів зазвичай мають два підходи. Перший – буквально спробувати заздалегідь складений список можливих паролів. Зазвичай вони починаються з дуже поширених паролів (наприклад пароль або qwerty) і переходять до менш поширених термінів, а згодом використовують список слів, складений з онлайн-словника та інших джерел. Цей підхід, швидше за все, знайде паролі, які містять дійсні слова або варіанти, навіть якщо вони незрозумілі.
Ще один підхід до злому паролів полягає в тому, щоб спробувати правильні послідовності літер, цифр і символів, незалежно від їх значення. Зломщик паролів, який використовує цей підхід, може початися з аааааааа пароль із восьми символів, а потім спробуйте аааааааб потім ааааааак і так далі по алфавіту, змішуючи верхній і нижній регістри, додаючи цифри та символи. Цей підхід, швидше за все, знайде паролі, які є «зручними для машини» або згенеровані випадковим чином. Такий пароль 4De78Hf1 знайти цей шлях не складніше, ніж підліток був би.
Отже, яка ймовірність того, що пароль буде вгадано? Більшість сучасних систем дозволяють користувачам створювати паролі за допомогою літер (верхнього та нижнього регістру), цифр і набору символів. Дозволені символи часто відрізняються між системами (деякі дозволяють майже будь-що, інші – лише кілька), але для наших цілей давайте припустимо, що це означає, що кожен символ у паролі може бути одним із приблизно 80 значень — двох алфавітів по 26 букв кожен, десяти цифр і 18 символи. (Теоретично для кожного символу має бути принаймні 127 значень, але на практиці це менше.)
Використовуючи підхід виключно грубої сили, це означає, що знадобиться максимум 80 вгадувань, щоб випадково визначити пароль з одного символу. Пароль із чотирьох символів може прийняти понад 40 мільйонів вгадувань (80 × 80 × 80 × 80 = 40 960 000), а пароль із восьми символів може прийняти понад 1,6 квадрильйона вгадувань (1 677 721 600 000 000).
Якби зломщик паролів міг зробити 1000 вгадок за секунду, йому знадобилося б близько місяця, щоб виконати всі комбінації пароля з чотирьох символів і понад 53 000 років щоб запустити всі комбінації пароля з 8 символів. Це здається досить безпечним, чи не так?
Ну не дуже. Чисто статистично кажучи, зломщик має 50/50 шансів знайти пароль у половина той час. Більше тривоги те, що люди, які створюють зломщики паролів, мають інші способи покращити свої шанси. Згадайте як пароль був одним із найгірших паролів для використання? Здогадайтеся, що також є дуже поганим паролем? пароль0rd, заміна букви О цифрою нуль. У той час як зломщики паролів запускають загальні слова зі словника, вони також пробують загальні варіанти цих слів. слова, замінюючи нулі замість O, знак @ і 4 замість A, 3 замість E, 1 і! замість I, 7 замість T, 5 замість S та так далі. Так само 0qww294e це жахливий пароль — це просто пароль на стандартній англійській клавіатурі зсувається на один рядок вгору. Ці методи ґрунтуються на перевагах користувачів паролів, які легко запам’ятати. На жаль, замінюючи (або використовуючи великі літери) один або два символи в терміні, який легко запам’ятати, люди здебільшого роблять свої паролі незрозумілішими, але не набагато безпечнішими. Насправді типові восьмисимвольні паролі із змішаним регістром, цифрами та символами, які обирає користувач, зазвичай мають лише близько 30 біт ентропії або трохи більше мільярда можливих комбінацій. чому Оскільки список термінів, на основі яких люди створюють свої паролі, набагато менший, ніж загальна кількість можливих комбінацій літер, цифр і символів.
Як швидко можна зламати паролі? Спробувати 1000 паролів за секунду може здатися неможливим — зрештою, більшість служб, як правило, блокують наші облікові записи, якщо ми неправильно ввести пароль три-чотири рази, часто скидаючи пароль і вимагаючи від нас відповідей на секретні запитання, щоб створити новий один. Ці методи «шлюзу». робити підвищують безпеку облікового запису, і, до речі, також є чудовим надзвичайно простим способом дратувати людей. (Я не можу сказати вам, скільки разів мене блокували з мого облікового запису iTunes через атаки на пароль, але це, мабуть, більше ста.)
Однак зловмисники, які мають намір зламати паролі, не стукають у передні двері служби й не намагаються (буквально) мільйони разів увійти в той самий обліковий запис. Вони або використовують менш загальнодоступні методи автентифікації, які не підлягають блокуванню (наприклад, приватний API для партнерів або програм), поширюючи свої атаки на широкий спектр облікових записів, щоб уникнути періодів блокування, або (в найкращому випадку) застосування методів злому паролів до вкраденого пароля даних. Більшість систем шифрують дані паролів, які вони зберігають, але ці зашифровані файли настільки ж безпечні, як і сама система. Якщо зловмисникам вдасться отримати зашифрований файл паролів (через дірку в безпеці, скомпрометовано машина, або соціальна інженерія, для початку), вони можуть атакувати її дуже швидко, коли вона сама по собі системи. Ось чому історії про те, як зловмисники отримують інформацію про облікові записи (наприклад Stratfor, Епсилон, Sony, і Zappos) викликають занепокоєння. Після того, як зашифровані дані було вилучено, зловмисники можуть застосувати набагато потужніші інструменти, щоб зламати їх.
У реальному світі це означає, що цифра в 1000 паролів на секунду є надзвичайно консервативною. Звичайне апаратне забезпечення настільних комп’ютерів сьогодні може перевірити мільйони паролів за секунду проти звичайних технологій шифрування. Подібним чином зараз існують інструменти для злому паролів, які використовують графічні процесори, а злочинні оператори ботнетів також займаються зломом паролів. Вони можуть розподілити навантаження на тисячі комп’ютерів. Поєднайте цю сиру потужність із складною евристикою (наприклад, спробуйте варіанти цифр і літер на загальні слова), і типовий восьмизначний пароль користувача можна зламати менш ніж за півчасу година.
Стріляємо собі в ногу
Вище ми зазначали, що восьмисимвольний пароль із великими та малими літерами, цифрами та символами може мати значно більше квадрильйон можливих комбінацій, але більшість восьмисимвольних паролів, які використовуються сьогодні, належать до пулу лише близько мільярда комбінації. Це тому, що люди не машини. Де комп’ютер задоволений використанням черепаха або Y&4nS0\2 як пароль, вгадайте, який з них легше запам'ятати людині? А тепер вгадайте, який з них безпечніший.
У деяких системах застосовуються вимоги до паролів, щоб користувачі не використовували паролі, які легко зламати. Загальний підхід полягає в тому, щоб паролі користувачів мали принаймні одну літеру верхнього регістру, одну цифру, один символ і мали довжину не менше восьми символів. (Деякі системи не встановлюють вимоги, але пропонують показник «надійності пароля» як міру ефективності пароля, бути.) Деякі системи також вимагають від користувачів періодично змінювати свої паролі (скажімо, кожні 30 або 45 днів) і запобігають їх повторному використанню. паролі.
Такі вимоги робити підвищують безпеку паролів, але вони також ускладнюють запам'ятовування паролів. Це означає, що значна частина користувачів негайно придумає способи підірвати безпеку системи для власної зручності. Звичайно, деякі люди можуть впоратися з такими паролями, як 9,3nDs(# але багато інших людей збираються відповісти наклейками з паролями на боках моніторів, нотатками в своїх гаманці або документ Microsoft Word на робочому столі з позначкою «Паролі», щоб вони могли копіювати та вставляти, коли необхідно. Вимоги до створення паролів також мають тенденцію погіршувати продуктивність і збільшувати витрати на підтримку (як для співробітників, так і для клієнтів), оскільки більше людей забудуть свої паролі або заблокують доступ до своїх облікових записів, вимагаючи вручну втручання.
Складання складних паролів
Святий Грааль паролів тоді здавався б паролем, який є складні настільки, що непрактично зламати за допомогою автоматизованих методів, але досить легко пам’ятати, що користувачі не ставлять під загрозу безпеку, зберігаючи їх або керуючи ними небезпечно.
Ось кілька порад щодо створення складних паролів, які легко запам’ятати:
- Використовуйте довгі паролі. Якщо пароль із восьми символів може мати 1,6 квадрильйона можливих комбінацій, уявіть, скільки може містити пароль із 16 символів? (Приблизно 2,8 нонільйона, або 2,830.) Однак, що, мабуть, важливіше, набір значень для 16-значного пароля з використанням загальних термінів і варіацій трохи менше 1,2 квінтильйона, де це було трохи більше мільярда з восьми символів пароль. Використання довших паролів є найпростішим способом зробити паролі складнішими та безпечнішими.
- Використовуйте збірні слова. Як зробити довгі паролі, які легко запам'ятовуються? Однією з поширених технік є використання серії з трьох-п’яти простих, не пов'язані умови. Зазвичай їх так само легко запам’ятати, як і PIN-коди; когнітивно люди схильні запам'ятовувати цілі слова як окремі одиниці. Однак ці паролі можуть бути дуже складними, принаймні з точки зору злому паролів. І ці паролі легко створити, просто озирнувшись або перегорнувши книгу на випадкову сторінку. Глянувши вліво у вікно, я бачу іграшкову жабу, машину та вікно чиєїсь кухні. Новий пароль: FrogHubcapCupboard — це 18 символів, але лише три слова для запам’ятовування. Дивлячись праворуч: RunnerCameraGlueString — чотири короткі слова, 22 символи. Я використовував лише великі літери, щоб допомогти розрізнити слова. Додавання більшої кількості символів або замін може збільшити складність — просто не робіть такої складності, щоб стати жертвою слабких місць складних паролів.
- Використовуйте фрази чи слова. Іншим способом створення довгих паролів є використання частин фраз або текстів пісень. Що стосується текстів, відносно звичайні пісні, мабуть, кращі, ніж ті, що особливо важливі для вас: знову ж таки, ви не хочете людей, які добре вас знають, щоб мати можливість вгадати ваші паролі лише тому, що ви великий шанувальник Майкла Болтона (чи ні). Приклади паролів, створених із фаз або текстів, можуть бути Ви не ДжекКеннеді (19 символів), iShotaManinReno (15 символів), імпіпінандімповзати (20 символів).
- Використовуйте мнемотехніку. Недоліком довгих паролів є те, що їх важко ввести, особливо на мобільному пристрої. Ще один трюк, який деякі люди вважають корисним для створення складних коротких паролів, полягає в використанні першого символу кожного слова у фразі чи вірші. «Скільки доріг має пройти людина» може стати HmrmamwD— лише вісім символів, але відносно складний з точки зору програми злому паролів. Подібним чином може статися «потрясти, потрясти, як поляроїдну фотографію». SiSiLapp — можливо, не чудово, але краще ніж черепаха. Цей прийом також може допомогти створити хороші паролі для систем, які все ще мають обмеження на довжину паролів.
Ці вказівки загалом допоможуть вам придумати складні паролі, які легко запам’ятати. Звичайно, коли мова йде про системи паролів із вимогами до композиції (це означає, що вони очікують змішаного регістру, чисел або символів), вам все одно доведеться придумати дивовижні повороти паролів, щоб виконати їх вимоги. Просто пам’ятайте, що з довшими паролями ви можете робити заміни та зміни в очевидних місцях — зазвичай ці довгі паролі легше запам'ятати навіть із вимогами, ніж короткі безглузді паролі паролі.
Ще кілька підказок
Інші речі, про які варто подумати, вибираючи паролі:
- Використовуйте окремі паролі для окремих служб. Не використовуйте свій пароль від соціальної мережі для онлайн-банкінгу. Якщо пароль зламано на одній службі, інші повинні бути в безпеці.
- Ретельно вибирайте важливі паролі. Системи єдиного входу можуть бути надзвичайно зручними, але також створюють єдину точку збою для кількох служб. Прикладами можуть бути паролі до облікових записів у службах Google, Yahoo та Microsoft, де один зламаний пароль може дати комусь доступ до електронної пошти, документів, зображень, соціальних мереж, блогів, бібліотек фотографій, списків контактів, адресних книг і більше. Так само з такою кількістю сайтів (навіть Цифрові тенденції) під час входу в Facebook і Twitter, зламаний пароль соціальної мережі може мати далекосяжні наслідки.
- Змініть свої паролі. Спокусливо думати, що якщо один із ваших паролів буде зламано, ви відразу дізнаєтеся: ваша електронна пошта зникне, ваш блог зникне стати набором графіки lulz, ваш список подарунків Amazon може бути наповнений незручними варіантами, ваш обліковий запис PayPal може бути очищено поза. Однак це не завжди так: якщо хтось зламає ваш пароль, явних ознак може не бути, принаймні не відразу. Регулярно змінюючи свій пароль, ви гарантуєте, що навіть якщо хтось зламається, його вікно можливостей використовувати вас обмежене. Частота, з якою вам слід змінювати паролі, залежить від того, як ви використовуєте онлайн-сервіси. Для всього, що стосується реальних грошей, я зазвичай рекомендую користувачам змінювати свої паролі кожні 30-90 днів — чим більше грошей, тим частіше.
Жоден пароль не є безпечним
Мабуть, найголовніше, що потрібно пам’ятати про паролі будь-який пароль можна зламати: це лише питання того, скільки часу та зусиль хтось готовий витратити на це. Наведені тут поради допоможуть зменшити ймовірність того, що ваші паролі будуть викорінені випадковими зловмисниками та навіть друзями та родиною, але жоден пароль не є повністю безпечним. Якщо для вас дуже важливий безпечний доступ до служби, подумайте про різні форми багатофакторної автентифікації, щоб ще більше зменшити ймовірність несанкціонованого доступу.
Кредит зображення: Shutterstock / jamdesign / Тетяна Попова / Педро Мігель Соуза
Рекомендації редакції
- Ці незручні паролі змусили знаменитостей зламати
- Ні, 1Password не було зламано – ось що насправді сталося
- Як захистити паролем папку в Windows і macOS
- LastPass розкриває, як його зламали — і це не дуже гарна новина
- Reddit зламали — ось як налаштувати 2FA для захисту свого облікового запису
