Hur man skapar och kommer ihåg ett starkt lösenord

2024 Författare: Malcolm Clapton | [email protected]. Senast ändrad: 2023-12-17 04:11

De bästa sätten att skapa ett lösenord som ingen kan knäcka.

De flesta angripare stör sig inte på sofistikerade metoder för lösenordsstöld. De tar lätta att gissa kombinationer. Ungefär 1 % av alla befintliga lösenord kan vara brute-force med fyra försök.

Hur är detta möjligt? Väldigt enkelt. Du provar de fyra vanligaste kombinationerna i världen: lösenord, 123456, 12345678, qwerty. Efter en sådan passage öppnas i genomsnitt 1% av alla "kistor".

Låt oss säga att du är bland de 99 % av användarna vars lösenord inte är så enkelt. Trots det måste prestandan hos modern hackingmjukvara beaktas.

Det kostnadsfria, fritt tillgängliga programmet John the Ripper verifierar miljontals lösenord per sekund. Några exempel på specialiserad kommersiell programvara hävdar en kapacitet på 2,8 miljarder lösenord per sekund.

Inledningsvis körs crack-program genom en lista över de statistiskt vanligaste kombinationerna och hänvisar sedan till den fullständiga ordboken. Med tiden kan användarnas lösenordstrender ändras något, och dessa förändringar beaktas när sådana listor uppdateras.

Med tiden bestämde sig alla typer av webbtjänster och applikationer för att med tvång komplicera lösenord skapade av användare. Det har lagts till krav enligt vilka lösenordet ska ha en viss minimilängd, innehålla siffror, versaler och specialtecken. Vissa tjänster tog detta så allvarligt att det tar en riktigt lång och tråkig uppgift att komma på ett lösenord som systemet skulle acceptera.

Nyckelproblemet är att nästan alla användare inte genererar ett riktigt brute-force-lösenord, utan försöker bara uppfylla systemets krav på sammansättningen av lösenordet till ett minimum.

Resultatet är lösenord som lösenord1, lösenord123, Lösenord, Lösenord, lösenord! och det otroligt oförutsägbara p @ ssword.

Föreställ dig att du behöver göra om ditt spiderman-lösenord. Mest troligt kommer det att se ut som $ pider_Man1. Original? Tusentals människor kommer att ändra det med samma eller mycket liknande algoritm.

Om knäckaren känner till dessa minimikrav blir situationen bara värre. Det är av denna anledning som det pålagda kravet att öka lösenordens komplexitet inte alltid ger den bästa säkerheten, och skapar ofta en falsk känsla av ökad säkerhet.

Ju lättare lösenordet är att komma ihåg, desto mer sannolikt är det att det hamnar i cracker-ordböcker. Som ett resultat visar det sig att ett riktigt starkt lösenord helt enkelt är omöjligt att komma ihåg, vilket betyder att det måste fixas någonstans.

Enligt experter, även i denna digitala tidsålder, kan människor fortfarande lita på ett papper med lösenord skrivna på. Det är bekvämt att förvara ett sådant ark på en plats gömd från nyfikna ögon, till exempel i en plånbok eller plånbok.

Lösenordsarket löser dock inte problemet. Långa lösenord är svåra inte bara att komma ihåg utan också att ange. Situationen förvärras av virtuella tangentbord på mobila enheter.

Genom att interagera med dussintals tjänster och webbplatser lämnar många användare efter sig en rad identiska lösenord. De försöker använda samma lösenord för varje webbplats, utan att helt ignorera riskerna.

I det här fallet fungerar vissa webbplatser som en barnflicka, vilket tvingar kombinationen att bli komplicerad. Som ett resultat kan användaren helt enkelt inte komma ihåg hur han var tvungen att ändra sitt standardlösenord för denna webbplats.

Omfattningen av problemet insågs fullt ut 2009. Sedan, på grund av ett säkerhetshål, lyckades hackaren stjäla databasen med inloggningar och lösenord från RockYou.com, företaget som publicerar spel på Facebook. Angriparen gjorde databasen allmänt tillgänglig. Totalt innehöll den 32,5 miljoner poster med användarnamn och lösenord till konton. Läckor har inträffat tidigare, men omfattningen av just denna händelse visade hela bilden.

Det mest populära lösenordet på RockYou.com var 123456, som användes av nästan 291 000 personer. Män under 30 föredrog oftare sexuella teman och vulgariteter. Äldre människor av båda könen vände sig ofta till ett visst kulturområde när de väljer lösenord. Till exempel verkar Epsilon793 inte vara ett så dåligt alternativ, bara denna kombination fanns i Star Trek. Det sjusiffriga 8675309 dök upp många gånger eftersom detta nummer förekom i en av Tommy Tutone-låtarna.

Faktum är att skapa ett starkt lösenord är en enkel uppgift, det räcker med att komponera en kombination av slumpmässiga tecken.

Du kan inte skapa en helt slumpmässig kombination i matematiska termer i ditt huvud, men du är inte skyldig att göra det. Det finns speciella tjänster som genererar verkligt slumpmässiga kombinationer. Till exempel kan den skapa lösenord så här:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Detta är en enkel och elegant lösning, speciellt för dem som använder en chef för att lagra lösenord.

Tyvärr fortsätter de flesta användare att använda enkla, svaga lösenord, till och med ignorerar regeln "olika lösenord för varje webbplats". För dem är bekvämlighet viktigare än säkerhet.

Situationer där lösenordssäkerheten kan äventyras kan delas in i tre breda kategorier:

• Slumpmässig, där en person du känner försöker ta reda på lösenordet och förlitar sig på information han känner till om dig. Ofta vill en sådan smällare bara spela ett spratt, ta reda på något om dig eller göra en enda röra.
• Massattackernär absolut alla användare av vissa tjänster kan bli ett offer. I det här fallet används specialiserad programvara. För attacken väljs de minst säkra platserna ut, som låter dig ange lösenordsalternativ upprepade gånger under en kort tidsperiod.
• Meningsfulltsom kombinerar mottagandet av tips (som i det första fallet) och användningen av specialiserad programvara (som i en massattack). Det här handlar om att försöka få tag på riktigt värdefull information. Endast ett tillräckligt långt slumpmässigt lösenord hjälper till att skydda dig själv, vars val kommer att ta tid jämförbar med varaktigheten av ditt liv.

Som du kan se kan absolut vem som helst bli ett offer. Påståenden som "mitt lösenord kommer inte att bli stulet, eftersom ingen behöver mig" är inte relevanta, eftersom du kan hamna i en liknande situation helt av en slump, av en slump, utan någon uppenbar anledning.

Ännu allvarligare är det att ta lösenordsskydd för den som har värdefull information, är knuten till ett företag eller är i konflikt med någon på ekonomiska grunder (till exempel bodelning i samband med skilsmässa, konkurrens i näringslivet).

2009 hackades Twitter (i förståelsen av hela tjänsten) bara för att administratören använde ordet lycka som lösenord. Hackaren plockade upp den och lade upp den på Digital Gangster-webbplatsen, vilket ledde till kapningen av kontona för Obama, Britney Spears, Facebook och Fox News.

Akronymer

Som i alla andra aspekter av livet måste vi alltid hitta en kompromiss mellan maximal säkerhet och maximal bekvämlighet. Hur hittar man en medelväg? Vilken strategi för att generera lösenord gör att du kan skapa starka kombinationer som lätt kan komma ihåg?

För tillfället är den bästa kombinationen av tillförlitlighet och bekvämlighet att konvertera en fras eller en fras till ett lösenord.

En uppsättning ord som du alltid kommer ihåg väljs och en kombination av de första bokstäverna från varje ord används som lösenord. Till exempel, May the force be with you förvandlas till Mtfbwy.

Men eftersom de mest kända kommer att användas som de första fraserna, kommer program så småningom att få dessa förkortningar i sina listor. Faktum är att akronymen bara innehåller bokstäver och är därför objektivt sett mindre tillförlitlig än en slumpmässig kombination av tecken.

Att välja rätt fras hjälper dig att bli av med det första problemet. Varför förvandla ett världsberömt uttryck till ett akronymlösenord? Du kommer säkert ihåg några skämt och talesätt som bara är relevanta i din nära krets. Låt oss säga att du hörde en mycket catchy fras från en bartender på en lokal anläggning. Använd den.

Ändå är det osannolikt att akronymlösenordet du genererade är unikt. Problemet med akronymer är att olika fraser kan vara sammansatta av ord som börjar med samma bokstäver och i samma sekvens. Statistiskt sett är det på olika språk en ökad frekvens av att vissa bokstäver uppträder som början på ett ord. Programmen kommer att ta hänsyn till dessa faktorer, och effektiviteten av akronymerna i originalversionen kommer att minska.

Omvänt sätt

Vägen ut kan vara den motsatta generationens väg. Du skapar ett helt slumpmässigt lösenord på random.org och förvandlar sedan dess tecken till en meningsfull minnesvärd fras.

Ofta förser tjänster och webbplatser användare med tillfälliga lösenord, som är exakt samma helt slumpmässiga kombinationer. Du kommer att vilja ändra dem, eftersom du inte kommer att kunna komma ihåg, utan bara titta närmare, och det blir uppenbart: du behöver inte komma ihåg lösenordet. Till exempel, låt oss ta ett annat alternativ från random.org - RPM8t4ka.

Även om det verkar meningslöst, kan vår hjärna hitta vissa mönster och motsvarigheter även i sådant kaos. Till att börja med kan du märka att de tre första bokstäverna i den är versaler och de nästa tre är gemener. 8 är två gånger (på engelska två gånger - t) 4. Titta lite på detta lösenord, och du kommer säkert att hitta dina egna associationer med den föreslagna uppsättningen bokstäver och siffror.

Om du kan memorera nonsens uppsättningar av ord, använd det då. Låt lösenordet förvandlas till varv per minut 8 spår 4 katty. Varje omvandling som din hjärna är bättre på kommer att göra.

Ett slumpmässigt lösenord är guldstandarden inom informationssäkerhet. Det är per definition bättre än något mänskligt skapat lösenord.

Nackdelen med akronymer är att spridningen av en sådan teknik med tiden kommer att minska dess effektivitet, och den omvända metoden kommer att förbli lika tillförlitlig, även om alla människor på jorden kommer att använda den i tusen år.

Ett slumpmässigt lösenord kommer inte att inkluderas i listan över populära kombinationer, och en angripare som använder en massattackmetod kommer bara att bruteforce ett sådant lösenord.

Låt oss ta ett enkelt slumpmässigt lösenord som tar hänsyn till versaler och siffror - det är 62 möjliga tecken för varje position. Om vi gör lösenordet till endast 8 siffror, får vi 62 ^ 8 = 218 biljoner alternativ.

Även om antalet försök inom ett visst tidsintervall inte är begränsat, kommer den mest kommersiella specialiserade programvaran med en kapacitet på 2,8 miljarder lösenord per sekund att lägga i genomsnitt 22 timmar på att försöka hitta rätt kombination. För att vara säker lägger vi bara till 1 extra tecken till ett sådant lösenord - och det kommer att ta många år att knäcka det.

Ett slumpmässigt lösenord är inte osårbart, eftersom det kan bli stulet. Alternativen är rikliga, från att läsa tangentbordsinmatning till att ha en kamera över axeln.

En hacker kan träffa själva tjänsten och få data direkt från sina servrar. I den här situationen beror ingenting på användaren.

En pålitlig grund

Så, vi kom till huvudsaken. Vilka är de slumpmässiga lösenordstaktikerna att använda i verkligheten? Ur synvinkeln av balansen mellan tillförlitlighet och bekvämlighet kommer "filosofin om ett starkt lösenord" att visa sig väl.

Principen är att du använder samma grund - ett superstarkt lösenord (dess varianter) på de tjänster och sajter som är viktigast för dig.

Kom ihåg en lång och svår kombination för alla.

Nick Berry, en informationssäkerhetskonsult, tillåter att denna princip tillämpas, förutsatt att lösenordet är mycket väl skyddat.

Förekomsten av skadlig programvara på datorn där du anger lösenordet är inte tillåten. Det är inte tillåtet att använda samma lösenord för mindre viktiga och underhållande sajter - enklare lösenord räcker för dem, eftersom att hacka ett konto här inte kommer att få några ödesdigra konsekvenser.

Det är tydligt att den pålitliga basen måste ändras på något sätt för varje webbplats. Som ett enkelt alternativ kan du lägga till en enda bokstav i början, som avslutar namnet på webbplatsen eller tjänsten. Om vi går tillbaka till det slumpmässiga RPM8t4ka-lösenordet kommer det att förvandlas till kRPM8t4ka för Facebook-auktorisering.

En angripare som ser ett sådant lösenord kommer inte att kunna förstå hur lösenordet för ditt bankkonto genereras. Problem kommer att börja om någon får tillgång till två eller flera av dina lösenord genererade på detta sätt.

Hemlig fråga

Vissa kapare ignorerar lösenord helt och hållet. De agerar på uppdrag av kontoägaren och simulerar en situation när du har glömt ditt lösenord och vill återställa det med en hemlig fråga. I det här scenariot kan han ändra lösenordet efter behag och den sanna ägaren kommer att förlora åtkomsten till sitt konto.

2008 fick någon tillgång till e-postmeddelandet från Sarah Palin, guvernören i Alaska, och på den tiden även en presidentkandidat. Inbrottstjuven svarade på den hemliga frågan, som lät så här: "Var träffade du din man?"

Efter 4 år förlorade Mitt Romney, som också var en amerikansk presidentkandidat vid den tiden, flera av sina konton på olika tjänster. Någon svarade på en hemlig fråga om namnet på Mitt Romneys husdjur.

Du har redan gissat poängen.

Du kan inte använda offentliga och lätt gissa uppgifter som en hemlig fråga och svar.

Frågan är inte ens att denna information noggrant kan fiskas fram på Internet eller från personens närstående. Svar på frågor i stil med "djurets namn", "favorithockeylag" och så vidare är perfekt valda från motsvarande ordböcker över populära alternativ.

Som ett tillfälligt alternativ kan du använda taktiken med det absurda i svaret. För att uttrycka det enkelt borde svaret inte ha något att göra med den hemliga frågan. Mammas flicknamn? Difenhydramin. Husdjursnamn? 1991.

En sådan teknik kommer dock att beaktas i motsvarande program, om den finns utbredd. Absurda svar är ofta stereotypa, det vill säga vissa fraser kommer att mötas mycket oftare än andra.

Det är faktiskt inget fel med att använda riktiga svar, du behöver bara välja frågan med omtanke. Om frågan är icke-standard, och svaret på den bara är känt för dig och inte kan gissas efter tre försök, är allt i sin ordning. Fördelen med att vara sanningsenlig är att du inte kommer att glömma det med tiden.

STIFT

Personal Identification Number (PIN) är ett billigt lås som våra pengar är anförtrodda med. Ingen bryr sig om att skapa en mer tillförlitlig kombination av åtminstone dessa fyra siffror.

Sluta nu. Just nu. Just nu, utan att läsa nästa stycke, försök gissa den mest populära PIN-koden. Redo?

Nick Berry uppskattar att 11 % av USA:s befolkning använder 1234 som sin PIN-kod (där de kan ändra det själva).

Hackare uppmärksammar inte PIN-koder eftersom koden är värdelös utan kortets fysiska närvaro (detta kan delvis motivera kodens ringa längd).

Berry tog listorna över fyrsiffriga lösenord som dök upp efter läckorna på nätverket. Personen som använder lösenordet från 1967 har troligen valt det av en anledning. Den näst mest populära PIN-koden är 1111, och 6 % av människorna föredrar den här koden. På tredje plats kommer 0000 (2%).

Antag att en person som känner till denna information har ett bankkort i sina händer. Tre försök att spärra kortet. Enkel matematik visar att den här personen har 19 % chans att gissa sin PIN-kod om de anger 1234, 1111 och 0000 i följd.

Förmodligen av denna anledning tilldelar de allra flesta banker PIN-koder till utfärdade plastkort själva.

Många skyddar dock smartphones med en PIN-kod och här gäller följande popularitetsklassning: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 6555, 8, 6555, 8, 6555, 8, 6555, 8,, 4321, 2001, 1010.

Ofta representerar PIN-koden ett år (födelseår eller historiskt datum).

Många gillar att göra PIN-koder i form av upprepade siffror (desutom är par där det första och andra numret skiljer sig åt med ett särskilt populära).

Numeriska knappsatser på mobila enheter visar kombinationer som 2580 i toppen - för att skriva det räcker det att göra en direkt passage från topp till botten i mitten.

I Korea är siffran 1004 konsonant med ordet "ängel", vilket gör denna kombination ganska populär där.

Resultat

1. Gå till random.org och skapa 5-10 kandidatlösenord där.
2. Välj ett lösenord som du kan förvandla till en minnesvärd fras.
3. Använd denna fras för att komma ihåg ditt lösenord.