Share
Parola dvs. se bazează pe un cuvânt, de aproximativ opt caractere. Ați înlocuit numerele pentru litere ("3" pentru "E" și "4" pentru "a" etc.), ați reușit să capitalizați o literă sau două și ați sudat un semn de exclamare sfârșitul, ca și cum ați sublinia aderarea dvs. la lista imuabilă de verificare a puterii parolei. Voi respirați puțin. În fiecare lună, uitați această parolă (sau vă amintiți-o pentru că o folosiți peste tot). Dar e tare ... nu? Să ne ocupăm de subiectul securității parolei pentru a descoperi miturile, matematica și metodele care definesc acest aspect crucial al calculului.
Ca detectivi și exploratori ai spațiului digital, putem discuta această discuție ca o căutare. Căutăm sfatul sfânt al securității parolelor; un mijloc de construire a unei parole care ne oferă o protecție maximă, cu o memorie maximă - în cele din urmă suntem doar omeniții.
Dacă formula mea pe care am descris-o în introducerea mea - cea care explică marea majoritate a parolelor folosite astăzi - sună ca idealul, atunci este posibil să fiți surprins să aflați că nu numai că produce parole greșite în rechemare (evident), ci este, de asemenea, mult mai puțin sigur decât v-ați aștepta. Pentru a face lucrurile mai rău, având o parolă puternică este doar jumătate din bătălie.
Pentru a înțelege de ce este acest lucru, trebuie să facem un scurt ocol în lumea infricosatoare a teoriei informației pentru a ne pregăti niște cunoștințe de bază care ne vor permite să înțelegem cum se măsoară și se compară securitatea parolei.
În general, integritatea unei parole este discutată în termeni de biți de entropie, o măsură interesantă utilizată în teoria informațiilor pentru a descrie incertitudinea asociată rezultatului unei variabile. Mai multa incertitudine, sau cu alte cuvinte, cu cat mai mult este necunoscut despre evenimentul masurat, cu atat este mai mare entropia.
Nu trebuie decât să ne amintim că, cu cât mai multe biți de entropie o parolă are, cu atât este mai dificil să se spargă.
De exemplu, am considera ca o monedă aruncă să reprezinte un singur pic de entropie, deoarece valoarea incertă este doar una din cele două posibilități. Formula care reprezintă valoarea entropiei unei parole este hidoasă și nu avem nevoie să o înțelegem pentru a face sens entropiei în general.
Aducând acest lucru înapoi la căutarea noastră, trebuie doar să ne amintim că, cu cât mai multe biți de entropie o parolă, cu atât este mai dificil să se spargă.
Acum, când știm principiul de bază al modului în care se măsoară puterea parolei, trebuie să examinăm adversarii noștri în acest demers: hackerii, crackerii de parole și alți clienți digitali care caută accesul la conturile dvs..
Crăparea parolei este o piatră de temelie a lumii hacking și, fără îndoială, se mândrește cu unul dintre cele mai dezvoltate arsenale din repertoriul hackerilor. În general, metodele de cracare a parolelor se încadrează în una din cele două categorii: cracare model și atacuri de forță brute.
Spargerea unei parole este mai puțin dificilă decât ați putea crede în aceste zile Dacă ați urmat formula din introducerea mea, parola dvs. este probabil foarte susceptibilă la metode de cracare pe bază de modele. Acestea vin în diverse arome, de la atacul dicționarului de bază la variante mai sofisticate care exploatează tehnici comune de creare a parolelor.
Atunci când acestea sunt aplicabile, abordările bazate pe modelul de cracare sunt preferabile deoarece reduc foarte mult numărul de posibilități pe care un hacker trebuie să le încerce înainte de a trece peste parola reală.
Dacă ați urmat formula din introducerea mea, parola dvs. este probabil foarte susceptibilă la metode de cracare pe bază de modele.
Această parolă de opt caractere pe care o folosiți are numere, litere multiple și caractere speciale? S-ar putea să dureze o jumătate de oră pentru a crăpa.
Această a doua categorie de atacuri reprezintă abordarea barbară a hacking-ului pentru parole. În esență, un atac de forță brute înseamnă că hackerul va folosi un computer incredibil de puternic (sau o rețea de computere) pentru a încerca în mod sistematic orice combinație posibilă de caractere pentru a vă descoperi parola.
În mod evident, acest lucru pare a fi descurajant, deoarece fiecare caracter suplimentar pe care îl adăugați la o parolă va necesita o cantitate vastă de posibilități suplimentare de parolă. Din păcate, în funcție de priceperea și hardware-ul disponibil pentru atacatorul dvs., vă puteți aștepta ca un hacker să poată testa între câteva sute de mii și aproximativ un milion de combinații posibile de parole pe secunda.
Această parolă de opt caractere pe care o folosiți are numere, litere multiple și caractere speciale? Probabil are o valoare de entropie între 30 și 50 de biți. Asta ar dura cel puțin o jumătate de oră să se deschidă.
Indiferent de abordare, spargerea unei parole necesită o abilitate de a încerca mai multe parole diferite pentru a găsi un meci. Aici vine cealaltă jumătate a integrității parolei: măsurile de securitate ale furnizorului contului.
Dacă ați întâlnit vreodată o CAPTCHA pe un site web (acele formulare care vă cer să descifrați cifre sau cuvinte obscure pentru a continua), atunci ați ajuns la concluzia că site-ul dvs. vă urăște ochii și timpul liber. Acest lucru nu este cel mai probabil cazul.
De fapt, aceste CAPTCHA-uri agravante servesc unui scop crucial în lumea securității contului: nu numai că împiedică boturile automate să completeze formularele de autentificare, ci și un impediment suplimentar care încetinește capacitatea hackerilor de a testa mii de parole pe în al doilea rând necesare pentru a efectua o fisură de succes. Desigur, acestea nu sunt infailibile, dar sunt un strat suplimentar de protecție.
Împreună cu alte măsuri de securitate de la server, cum ar fi limitele automate de conectare după prea multe încercări eșuate, CAPTCHA reprezintă cealaltă parte a monedei de protecție cu parolă.
De multe ori merită să examinați ce fel de măsuri de securitate are un serviciu înainte de a vă angaja prea mult din datele dvs. private, deoarece, indiferent cât de puternic este parola dvs., nu va contează dacă ușa din spate este deschisă.
În cea mai mare parte, formula noastră introductivă pentru crearea de parole oferă sfaturi foarte savuroase. Cazuri multiple, caractere speciale, numere; acestea sunt toate tehnici de sunet pentru a face uz ca parte a parolei.
Există și alte tehnici pe care le-ați recomandat probabil pentru dvs., care pur și simplu suge la păstrarea contului dvs. în condiții de siguranță.
Dar există câteva linii directoare care influențează eficacitatea acestora și există și alte tehnici pe care le-ați recomandat probabil pentru dvs., care pur și simplu suge la păstrarea contului în siguranță. Să examinăm câteva dintre aceste linii directoare și să identificăm exemple de tehnici de parola slabă.
Pachetul poate părea să fie însoțit de dvs., dar merită să ne amintim că majoritatea dintre noi nu vor fi ținta hackerilor dedicați - prioritatea noastră este de a face alegeri în cunoștință de cauză cu privire la serviciile pe care alegem să le încredem în datele noastre și pentru a ne asigura că conturile cât mai sigure posibil, fără a ne provoca dureri de cap inutile, încercând să ne amintim cuvintele obscure ale personajelor.
Există o serie de modalități inteligente de a crea parole securizate care să fie conforme cu aceste criterii, dar ne vom concentra pe două teme primare care nu sunt doar populare, ci și extrem de eficiente și suficient de flexibile pentru a fi utilizate peste tot.
Prioritatea noastră este de a face alegeri în cunoștință de cauză cu privire la serviciile pe care alegem să le încredem în datele noastre și pentru a ne asigura că conturile noastre sunt cât se poate de sigure.
Unul dintre cele mai fascinante paradoxuri de securitate a parolei este faptul că, deși un singur cuvânt este ușor de compromis ca parolă, utilizarea mai multor cuvinte în succesiune constituie, de fapt, una dintre cele mai sigure metode posibile de creare de parole care ne oferă, de asemenea, de a fi mult mai simplu de reținut decât de un șir de caractere aleatoare.
Una dintre metodele principale de generare a unei astfel de liste de cuvinte este numită "Diceware", numită astfel deoarece folosiți un set de zaruri pentru a genera parola dintr-o listă de cuvinte, cum ar fi acest exemplu de limba engleză.
Pentru fiecare cuvânt din parolă (sau frază de acces, în acest caz), ați răsturna un mor de cinci ori. Numerele rezultate vor fi strânse împreună - să zicem 61345 - și apoi se va alege cuvântul corespunzător din listă, în cazul meu "toad".
Acum, ca un exemplu, să luăm o parolă tipică "puternică": 7YmP @ ni5 (timpanis, pentru tine non-musical folk). Această parolă ne oferă aproximativ 50 de biți de entropie. Nu este rău, dar nu este deloc memorabil - care scrisoare a fost substituită cu care caracter sau număr special? Ce litere au fost capitalizate?
Finalizând o expresie de acces cu 5 cuvinte folosind lista de cuvinte Diceware, am venit cu 'toadloafsteamwhackethos'. Acest lucru ne oferă o linie de referință de aproximativ 65 de biți de entropie - o provocare mult mai descurajantă pentru hackeri (fiecare bit suplimentar de entropie înseamnă de două ori mai multe posibilități care trebuie să treacă prin).
În mod normal, cinci cuvinte sunt considerate lungimea minimă viabilă pentru o expresie de acces Diceware, iar frumusețea sistemului este că valoarea entropiei se calculează presupunând că hackerul nu știe numai că utilizați o listă de cuvinte Diceware, dar că ei chiar știți pe care dintre le-ați folosit și câte cuvinte sunt în fraza de acces. Cu alte cuvinte, dacă știu ceva mai puțin sau dacă se apropie de ea complet orb, entropia frazei de acces este chiar mai mare!
Și pentru că este o listă simplă de cuvinte obișnuite, este mult mai ușor să vă amintiți, mai ales dacă generați (sau inventați) o frază care este plină de umor sau joghează memoria dvs. într-un alt mod - "Hei, ascultă!" este unul simplu pentru fanii Zelda. 70 de biți de entropie nostalgică chiar acolo.
O metodă frauduloasă și foarte eficientă de generare a parolelor puternice implică utilizarea unor fraze într-un mod ușor neconvențional care se întâmplă să bifeze mai multe casete de selectare a parolei puternice - asamblarea primelor litere și a întregii semne de punctuație într-o parolă.
Să luăm, de exemplu, un poem ca The Jabberwocky, de Lewis Carroll. Din prima stanză, vom lua primele două linii, care sunt:
- Da, biblică, și zâmbește
A venit și a intrat în vânt;
Apoi, aplicând această metodă, am ajunge la "Tb, atstDgagitw". Această piesă minunată de inginerie a parolei reprezintă un entropiu de 100 de biți uluitori.
Să ne uităm la avantaje: apare, la suprafață, complet aleatoriu și astfel este impermeabil la atacurile bazate pe modele; folosește atât litere multiple, cât și caractere speciale; are mai mult de 12 caractere (o orientare comună); și în ciuda obscurității sale aparente, este imposibil de uitat pentru că derivă dintr-o literatură care este inerent ușor de reținut - o poezie!
Presupunând că nu vă place poezia, puteți folosi, bineînțeles, o linie din discursul dvs. preferat sau un citat dintr-o carte sau orice altă expresie pe care este puțin probabil să o uitați vreodată.
Eu personal recomand poezia din două motive: unul, tinde să fie bogat în punctuație și capitalizări, și două, este aproape întotdeauna foarte ușor de memorat (gândiți-vă câte cântece populare poți să cânți).
Ultima piesă din puzzle-ul cu parolă puternică este variabilă: nu folosiți aceeași parolă peste tot, este cea mai mare greșeală pe care o puteți face. Zece pași slabi sunt mai siguri decât unul mai puternic, deoarece, dacă este compromis, fiecare cont pe care îl aveți este, de asemenea, compromis imediat.
Nu utilizați aceeași parolă peste tot, este cea mai mare greșeală pe care o puteți face.
Folosind cele două metode descrise mai sus, puteți găsi cu ușurință modalități de păstrare a lucrurilor consecvente și au în continuare parole diferite pentru diferite servicii. Modificați ultimul cuvânt din lista Diceware sau folosiți versuri diferite de la versurile aceluiași cântec, de exemplu.
Ar trebui să vorbim pe scurt despre problema scrierii parolelor pentru a le aminti. Acesta este un risc de securitate pe care mulți îl iau, punându-și parolele cruciale într-un notebook sau într-un buzunar de hârtie în portofel.
În timp ce este convenabil, deschide și o cale nouă de pericol - dacă cineva ți-a furat portofelul, ei ar scăpa în mod normal cu niște bani și cu identitatea ta. Acum, ei pot accesa, de asemenea, orice cont pentru care ați scris o parolă pentru. Vă amintiți să mergeți și să le schimbați în timp?
Atunci când propunem soluția noastră ideală de parolă, subliniem că ar trebui să producă ceva memorabil tocmai pentru a nu fi nevoie să recurgeți la scrierea unor lucruri în jos pentru a le aminti.
Alternativ, dacă formula pe care o utilizați este ceva pe care îl puteți reaminti cu ușurință, atunci este posibil să fie necesar doar să scrieți mementouri obscure care vor fi inutile pentru oricine încearcă să vă spargă parola. Dacă ați folosit metoda acronimului de poezie, puteți păstra o notă care indică pur și simplu ce versuri ați folosit pentru fiecare serviciu - un hoț nu știa despre ce vorbești.
Cine este mai probabil un hacker să vizeze: o persoană aleatoare sau o companie care se mândrește cu oferirea unei protecții puternice prin parolă pentru milioane de utilizatori?
În acest moment, s-ar putea să te întrebi de ce nu ar trebui să folosești un serviciu de parolă dedicat, precum LastPass, atât pentru a gestiona și pentru a genera parolele securizate.
Deoarece acestea sunt instrumente atât de reputate și flexibile, trebuie să vă gândiți să le folosiți. Motivul pentru care se cuvine să vă puteți genera propriile parole puternice este că, pentru că și acestea sunt servicii conduse de companii, acestea sunt vulnerabile la atacul propriu - și sunt mult mai probabil ținte de atac de parolă decât un individ singuratic. La urma urmei, cine este un hacker mai probabil să vizeze: o persoană aleatorie sau o companie care se mândrește despre asigurarea unei protecții puternice prin parolă pentru milioane de utilizatori?
Din moment ce le-a făcut afacerea de a face acest lucru, multe dintre aceste servicii merită să aibă încredere, dar dacă sunteți mai precaut sau nu doriți să aveți totul stocat într-o aplicație sau pur și simplu doriți un mijloc de a creați o parolă puternică pentru acele alte soluții, se cuvine să știți cum să faceți una - și acum faceți!
Este de la sine înțeles că cele mai puternice parole sunt cele de 20 de caractere randomizate, pe care le puteți găsi cu ușurință pe un generator pentru web. Acestea sunt categoric mai puternice decât oricare altul pe care îl puteți formula. Dar ele sunt, de asemenea, utile doar pentru mașini și oameni cu o îndemânare ridicolă de memorare a șirurilor complicate de caractere - pur și simplu nu sunt practice pentru uzul cotidian.
Noțiunea de parolă ideală pe care am explorat-o în acest tutorial a fost cea care găsește un echilibru fericit între integritate și memorabilitate. Acum sunteți pregătit să identificați capcanele cele mai grave de creare a parolei și să creați parole puternice, memorabile și variabile pentru dvs. Deci, du-te și trageți în jos trapele de pe valorile tale digitale valoroase.
În timp ce sunteți la ea, nu uitați să le schimbați din când în când - este mai greu să atingi o țintă în mișcare, la urma urmei.
Aveți o metodă mai bună? Vrem să auzim despre asta! Parolele sunt importante, așa că răspundeți la comentarii și împărtășiți-vă gândurile.
Accentsconagua