Jak stworzyć i zapamiętać silne hasło

2024 Autor: Malcolm Clapton | [email protected]. Ostatnio zmodyfikowany: 2023-12-17 04:07

Najlepsze sposoby na utworzenie hasła, którego nikt nie może złamać.

Większość atakujących nie przejmuje się wyrafinowanymi metodami kradzieży haseł. Biorą łatwe do odgadnięcia kombinacje. Około 1% wszystkich obecnie istniejących haseł może być metodą brute-force po czterech próbach.

Jak to jest możliwe? Bardzo prosta. Wypróbowujesz cztery najpopularniejsze kombinacje na świecie: hasło, 123456, 12345678, qwerty. Po takim przejściu otwiera się średnio 1% wszystkich „skrzyni”.

Załóżmy, że należysz do 99% użytkowników, których hasło nie jest takie proste. Mimo to należy wziąć pod uwagę wydajność nowoczesnego oprogramowania hakerskiego.

Darmowy, swobodnie dostępny program John the Ripper weryfikuje miliony haseł na sekundę. Niektóre przykłady specjalistycznego oprogramowania komercyjnego zapewniają wydajność 2,8 miliarda haseł na sekundę.

Początkowo programy do łamania zabezpieczeń przeglądają listę statystycznie najczęstszych kombinacji, a następnie odwołują się do pełnego słownika. Z biegiem czasu trendy dotyczące haseł użytkowników mogą się nieznacznie zmienić, a zmiany te są uwzględniane podczas aktualizacji takich list.

Z biegiem czasu wszelkiego rodzaju serwisy i aplikacje internetowe postanowiły na siłę komplikować hasła tworzone przez użytkowników. Dodano wymagania, zgodnie z którymi hasło musi mieć określoną minimalną długość, zawierać cyfry, wielkie litery i znaki specjalne. Niektóre serwisy potraktowały to tak poważnie, że wymyślenie hasła, które system zaakceptuje, wymaga naprawdę długiego i żmudnego zadania.

Kluczowym problemem jest to, że prawie każdy użytkownik nie generuje prawdziwie brute-force hasła, a jedynie stara się spełnić wymagania systemu dotyczące kompozycji hasła do minimum.

Rezultatem są hasła takie jak hasło1, hasło123, hasło, hasło, hasło! oraz niesamowicie nieprzewidywalny p@ssword.

Wyobraź sobie, że musisz przerobić hasło Spidermana. Najprawdopodobniej będzie to wyglądać jak $ pider_Man1. Oryginał? Tysiące ludzi zmieni to za pomocą tego samego lub bardzo podobnego algorytmu.

Jeśli cracker zna te minimalne wymagania, sytuacja tylko się pogarsza. Z tego powodu narzucony wymóg zwiększenia złożoności haseł nie zawsze zapewnia najlepsze zabezpieczenia i często stwarza fałszywe poczucie zwiększonego bezpieczeństwa.

Im łatwiejsze do zapamiętania hasło, tym większe prawdopodobieństwo, że trafi do słowników crackerów. W rezultacie okazuje się, że naprawdę silnego hasła po prostu nie da się zapamiętać, co oznacza, że trzeba je gdzieś naprawić.

Zdaniem ekspertów nawet w erze cyfrowej ludzie wciąż mogą polegać na kartce papieru z zapisanymi na niej hasłami. Wygodnie jest trzymać taki arkusz w miejscu ukrytym przed wzrokiem ciekawskich, na przykład w portfelu lub portfelu.

Jednak arkusz haseł nie rozwiązuje problemu. Długie hasła są trudne nie tylko do zapamiętania, ale także do wprowadzenia. Sytuację pogarszają wirtualne klawiatury urządzeń mobilnych.

Wchodząc w interakcję z dziesiątkami usług i witryn, wielu użytkowników pozostawia po sobie ciąg identycznych haseł. Próbują używać tego samego hasła dla każdej witryny, całkowicie ignorując ryzyko.

W tym przypadku niektóre witryny działają jak niania, wymuszając skomplikowanie kombinacji. W rezultacie użytkownik po prostu nie pamięta, jak musiał zmienić swoje standardowe pojedyncze hasło do tej witryny.

Skala problemu została w pełni uświadomiona w 2009 roku. Następnie, ze względu na lukę w zabezpieczeniach, hakerowi udało się ukraść bazę danych zawierającą loginy i hasła firmy RockYou.com, która publikuje gry na Facebooku. Atakujący publicznie udostępnił bazę danych. W sumie zawierało 32,5 mln wpisów z nazwami użytkowników i hasłami do kont. Przecieki zdarzały się już wcześniej, ale skala tego wydarzenia pokazała cały obraz.

Najpopularniejszym hasłem na RockYou.com było 123456, z którego korzystało prawie 291 000 osób. Mężczyźni poniżej 30 roku życia częściej preferowali motywy seksualne i wulgaryzmy. Starsi ludzie obojga płci często przy wyborze hasła zwracali się do określonego obszaru kultury. Na przykład Epsilon793 nie wydaje się taką złą opcją, tylko ta kombinacja była w Star Trek. Siedmiocyfrowy numer 8675309 pojawiał się wielokrotnie, ponieważ ten numer pojawił się w jednej z piosenek Tommy'ego Tutone.

W rzeczywistości stworzenie silnego hasła to proste zadanie, wystarczy skomponować kombinację losowych znaków.

Nie możesz w swojej głowie stworzyć idealnie losowej kombinacji w kategoriach matematycznych, ale nie musisz. Istnieją specjalne usługi, które generują naprawdę losowe kombinacje. Na przykład może tworzyć takie hasła:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

To proste i eleganckie rozwiązanie, szczególnie dla tych, którzy używają menedżera do przechowywania haseł.

Niestety większość użytkowników nadal używa prostych, słabych haseł, ignorując nawet zasadę „różne hasła dla każdej witryny”. Dla nich wygoda jest ważniejsza niż bezpieczeństwo.

Sytuacje, w których bezpieczeństwo hasła może zostać naruszone, można podzielić na 3 szerokie kategorie:

• Losowy, w którym osoba, którą znasz, próbuje znaleźć hasło, opierając się na informacjach, które zna o Tobie. Często taki cracker chce tylko oszukać, dowiedzieć się czegoś o tobie lub narobić bałaganu.
• Masowe atakikiedy absolutnie każdy użytkownik niektórych usług może stać się ofiarą. W takim przypadku wykorzystywane jest specjalistyczne oprogramowanie. Do ataku wybierane są najmniej bezpieczne strony, które pozwalają na wielokrotne wprowadzanie opcji haseł w krótkim czasie.
• Celowyktóre łączą otrzymanie podpowiedzi (jak w pierwszym przypadku) i użycie specjalistycznego oprogramowania (jak w masowym ataku). Chodzi o próbę zdobycia naprawdę cennych informacji. Tylko odpowiednio długie losowe hasło pomoże ci się zabezpieczyć, którego wybór zajmie czas porównywalny z długością twojego życia.

Jak widać, ofiarą może zostać absolutnie każdy. Stwierdzenia typu „moje hasło nie zostanie skradzione, bo nikt mnie nie potrzebuje” są nieistotne, ponieważ w podobną sytuację można znaleźć się zupełnie przypadkowo, przez przypadek, bez wyraźnego powodu.

Jeszcze poważniejsze jest zabezpieczenie hasłem osób, które posiadają cenne informacje, są związane z biznesem lub są w konflikcie finansowym (np. podział majątku w procesie rozwodu, konkurencja w biznesie).

W 2009 r. Twitter (w rozumieniu całego serwisu) został zhakowany tylko dlatego, że administrator użył słowa szczęście jako hasła. Haker podniósł go i umieścił na stronie Digital Gangster, co doprowadziło do przejęcia kont Obamy, Britney Spears, Facebooka i Fox News.

Akronimy

Jak w każdym innym aspekcie życia, zawsze musimy znaleźć kompromis między maksymalnym bezpieczeństwem a maksymalną wygodą. Jak znaleźć złoty środek? Jaka strategia generowania haseł pozwoli Ci tworzyć silne kombinacje, które można łatwo zapamiętać?

W tej chwili najlepszą kombinacją niezawodności i wygody jest przekształcenie frazy lub frazy w hasło.

Wybierany jest zestaw słów, które zawsze pamiętasz, a kombinacja pierwszych liter każdego słowa jest używana jako hasło. Na przykład Niech siła będzie z tobą zamienia się w Mtfbwy.

Ponieważ jednak te najbardziej znane będą używane jako początkowe frazy, programy w końcu otrzymają te akronimy na swoich listach. W rzeczywistości akronim zawiera tylko litery, a zatem jest obiektywnie mniej wiarygodny niż losowa kombinacja znaków.

Wybór odpowiedniej frazy pomoże Ci pozbyć się pierwszego problemu. Po co zamieniać znane na całym świecie wyrażenie w hasło akronimowe? Zapewne pamiętasz dowcipy i powiedzenia, które dotyczą tylko Twojego bliskiego kręgu. Załóżmy, że usłyszałeś bardzo chwytliwe zdanie od barmana w lokalnym lokalu. Użyj tego.

Mimo to, wygenerowane hasło akronimu prawdopodobnie nie będzie unikalne. Problem z akronimami polega na tym, że różne frazy mogą składać się ze słów zaczynających się od tych samych liter iw tej samej kolejności. Statystycznie w różnych językach wzrasta częstotliwość pojawiania się pewnych liter jako początku słowa. Programy uwzględnią te czynniki, a skuteczność akronimów w oryginalnej wersji zostanie zmniejszona.

Odwrotny sposób

Wyjściem może być odwrotna droga generacji. Tworzysz całkowicie losowe hasło na random.org, a następnie zamieniasz jego znaki w zrozumiałą, zapadającą w pamięć frazę.

Często usługi i witryny udostępniają użytkownikom hasła tymczasowe, które są tymi samymi idealnie przypadkowymi kombinacjami. Będziesz chciał je zmienić, ponieważ nie będziesz w stanie zapamiętać, ale po prostu przyjrzyj się bliżej, a stanie się oczywiste: nie musisz pamiętać hasła. Weźmy na przykład inną opcję z random.org - RPM8t4ka.

Chociaż wydaje się to bez znaczenia, nasz mózg jest w stanie znaleźć pewne wzorce i odpowiedniki nawet w takim chaosie. Na początek możesz zauważyć, że pierwsze trzy litery to wielkie, a następne trzy to małe. 8 to dwa razy (po angielsku dwa razy - t) 4. Spójrz trochę na to hasło, a na pewno znajdziesz własne skojarzenia z proponowanym zestawem liter i cyfr.

Jeśli potrafisz zapamiętać bezsensowne zestawy słów, użyj tego. Niech hasło zmieni się w obroty na minutę 8 track 4 katty. Każda konwersja, w której twój mózg jest lepszy, zrobi.

Losowe hasło to złoty standard w bezpieczeństwie informacji. Z definicji jest lepsze niż jakiekolwiek hasło stworzone przez człowieka.

Wadą akronimów jest to, że z biegiem czasu rozpowszechnienie takiej techniki zmniejszy jej skuteczność, a metoda odwrotna pozostanie równie niezawodna, nawet jeśli wszyscy ludzie na ziemi będą jej używać przez tysiąc lat.

Losowe hasło nie znajdzie się na liście popularnych kombinacji, a atakujący stosujący metodę masowego ataku będzie tylko brute force takie hasło.

Weźmy proste losowe hasło, które uwzględnia wielkie litery i cyfry - to 62 możliwe znaki dla każdej pozycji. Jeśli zrobimy hasło tylko 8 cyfr, otrzymamy 62 ^ 8 = 218 bilionów opcji.

Nawet jeśli liczba prób w określonym przedziale czasu nie jest ograniczona, najbardziej komercyjne specjalistyczne oprogramowanie o przepustowości 2,8 miliarda haseł na sekundę spędzi średnio 22 godziny na szukaniu właściwej kombinacji. Dla pewności do takiego hasła dodajemy tylko 1 dodatkowy znak - a złamanie go zajmie wiele lat.

Losowe hasło nie jest niezniszczalne, ponieważ można je ukraść. Dostępnych jest wiele opcji, od odczytywania danych wprowadzanych z klawiatury po noszenie aparatu na ramieniu.

Haker może uderzyć w samą usługę i uzyskać dane bezpośrednio z jej serwerów. W tej sytuacji nic nie zależy od użytkownika.

Jeden niezawodny fundament

Więc dotarliśmy do głównej rzeczy. Jakie są taktyki losowego hasła do wykorzystania w prawdziwym życiu? Z punktu widzenia równowagi niezawodności i wygody dobrze sprawdzi się „filozofia jednego silnego hasła”.

Zasada jest taka, że używasz tej samej podstawy - super silnego hasła (jego odmian) w najważniejszych dla Ciebie usługach i witrynach.

Zapamiętaj jedną długą i trudną kombinację dla każdego.

Nick Berry, konsultant ds. bezpieczeństwa informacji, pozwala na stosowanie tej zasady, pod warunkiem, że hasło jest bardzo dobrze chronione.

Obecność złośliwego oprogramowania na komputerze, z którego wprowadzasz hasło, jest niedozwolona. Nie wolno używać tego samego hasła w przypadku mniej ważnych i rozrywkowych witryn - wystarczy im prostsze hasła, ponieważ włamanie się na konto tutaj nie pociągnie za sobą żadnych fatalnych konsekwencji.

Oczywiste jest, że wiarygodna baza musi zostać jakoś zmieniona dla każdej witryny. W prosty sposób możesz dodać pojedynczą literę na początku, która kończy nazwę strony lub usługi. Jeśli wrócimy do tego losowego hasła RPM8t4ka, zmieni się ono w kRPM8t4ka do autoryzacji na Facebooku.

Atakujący, widząc takie hasło, nie będzie w stanie zrozumieć, w jaki sposób generowane jest hasło do Twojego konta bankowego. Problemy zaczną się, gdy ktoś uzyska dostęp do dwóch lub więcej wygenerowanych w ten sposób haseł.

Sekretne pytanie

Niektórzy porywacze całkowicie ignorują hasła. Działają w imieniu właściciela konta i symulują sytuację, w której zapomniałeś hasła i chcesz je odzyskać za pomocą tajnego pytania. W tym scenariuszu może dowolnie zmieniać hasło, a prawdziwy właściciel straci dostęp do swojego konta.

W 2008 roku ktoś uzyskał dostęp do e-maila Sarah Palin, gubernatora Alaski, a w tym czasie również kandydatki na prezydenta. Włamywacz odpowiedział na tajne pytanie, które brzmiało tak: „Gdzie poznałaś swojego męża?”

Po 4 latach Mitt Romney, który był wówczas również kandydatem na prezydenta USA, stracił kilka kont w różnych służbach. Ktoś odpowiedział na tajne pytanie dotyczące imienia zwierzaka Mitta Romneya.

Już zgadłeś, o co chodzi.

Nie możesz używać publicznych i łatwych do odgadnięcia danych jako tajnych pytań i odpowiedzi.

Nie chodzi nawet o to, że informacje te można dokładnie wyłowić w Internecie lub od bliskich współpracowników danej osoby. Odpowiedzi na pytania w stylu „imię zwierząt”, „ulubiona drużyna hokejowa” i tak dalej są doskonale dobrane z odpowiednich słowników popularnych opcji.

Jako opcję tymczasową możesz zastosować taktykę absurdalności odpowiedzi. Mówiąc prościej, odpowiedź nie powinna mieć nic wspólnego z tajnym pytaniem. Nazwisko panieńskie matki? Difenhydramina. Nazwa zwierzaka? 1991.

Jednak taka technika, jeśli zostanie uznana za powszechną, zostanie uwzględniona w odpowiednich programach. Absurdalne odpowiedzi są często stereotypowe, to znaczy, że niektóre zwroty będą spotykane znacznie częściej niż inne.

W rzeczywistości nie ma nic złego w używaniu prawdziwych odpowiedzi, wystarczy tylko mądrze wybrać pytanie. Jeśli pytanie jest niestandardowe, a odpowiedź na nie jest znana tylko Tobie i nie można jej odgadnąć po trzech próbach, wszystko jest w porządku. Zaletą bycia prawdomównym jest to, że z czasem tego nie zapomnisz.

SZPILKA

Osobisty Numer Identyfikacyjny (PIN) to tani zamek, który powierzamy naszym pieniądzom. Nikt nie zadaje sobie trudu, aby stworzyć bardziej wiarygodną kombinację przynajmniej tych czterech liczb.

Teraz stój. Teraz. Teraz, bez czytania następnego akapitu, spróbuj odgadnąć najpopularniejszy PIN. Gotowy?

Nick Berry szacuje, że 11% populacji Stanów Zjednoczonych używa 1234 jako swojego kodu PIN (gdzie mogą sami go zmienić).

Hakerzy nie zwracają uwagi na kody PIN, ponieważ bez fizycznej obecności karty kod jest bezużyteczny (może to częściowo uzasadniać niewielką długość kodu).

Berry wziął listy czterocyfrowych haseł, które pojawiły się po przeciekach w sieci. Osoba używająca hasła 1967 prawdopodobnie wybrała je z jakiegoś powodu. Drugim najpopularniejszym kodem PIN jest 1111, a 6% osób preferuje ten kod. Na trzecim miejscu jest 0000 (2%).

Załóżmy, że osoba, która zna te informacje, ma w ręku kartę bankową. Trzy próby zablokowania karty. Prosta matematyka pokazuje, że ta osoba ma 19% szans na odgadnięcie kodu PIN, jeśli wpisze kolejno 1234, 1111 i 0000.

Zapewne z tego powodu zdecydowana większość banków sama przypisuje kody PIN do wydanych kart plastikowych.

Jednak wiele osób zabezpiecza smartfony kodem PIN i tutaj obowiązuje następujący ranking popularności: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Często kod PIN reprezentuje rok (rok urodzenia lub datę historyczną).

Wiele osób lubi tworzyć PIN-y w formie powtarzających się par liczb (ponadto szczególnie popularne są pary, w których pierwsza i druga liczba różnią się o jeden).

Klawiatury numeryczne urządzeń mobilnych wyświetlają na górze kombinacje typu 2580 - aby ją wpisać wystarczy wykonać bezpośrednie przejście z góry na dół na środku.

W Korei liczba 1004 jest zgodna ze słowem „anioł”, co sprawia, że ta kombinacja jest tam dość popularna.

Wynik

1. Wejdź na random.org i utwórz tam 5-10 haseł kandydatów.
2. Wybierz hasło, które możesz zamienić w niezapomnianą frazę.
3. Użyj tego wyrażenia, aby zapamiętać swoje hasło.