Jak stworzyć i zapamiętać bezpieczne hasło
Web Services Technologii / / December 19, 2019
Większość hakerów nie przeszkadza z wyrafinowanych metod kradzieży haseł. Biorą łatwe do odgadnięcia kombinacji. Około 1% wszystkich aktualnie istniejących hasła, można wybrać jeden z czterech prób.
Jak to jest możliwe? Bardzo proste. Spróbować cztery najbardziej popularne w świecie połączonym: hasło, 123456, 12345678, QWERTY. Po takim przejście otwiera się średnio o 1% „skrzynek”.
Powiedzieć, znaleźć się w tych 99% użytkowników, których hasła nie jest takie proste. Nawet w takim przypadku konieczne jest, aby liczyć się z realizacją nowoczesnego oprogramowania dla hakerów.
Darmowy program John the Ripper, który znajduje się w domenie publicznej, pozwala sprawdzić miliony haseł na sekundę. Pojedyncze próbki specjalistycznego oprogramowania komercyjnego zadeklarować moc 2,8 mld haseł na sekundę.
Początkowo program do łamania jazdy off listy statystycznie najczęstszych kombinacjach, a następnie zwrócić się do pełnego słownika. Z nich uwzględnione w aktualizacji wykazu trendów w czasie, osób decyduje haseł mogą się nieznacznie różnić, a te zmiany.
Z biegiem czasu, wszystkie rodzaje usług internetowych i aplikacji, które zdecydowały się na siłę komplikować haseł tworzone przez użytkowników. Dodano wymóg, że hasło musi mieć pewną minimalną długość, zawierać cyfry, duże litery i znaki specjalne. Niektóre usługi trwało to tak poważnie, że zbliża się z hasłem, że weźmie do systemu, mamy bardzo długie i żmudne.
Kluczowym problemem jest to, że niemal każdy użytkownik nie jest naprawdę odporny na wybór generowania haseł, a jedynie stara się spełniać minimalne wymagania systemowe do składu hasło.
Rezultatem jest hasło stylu hasło1, password123, hasło, hasło, hasło! i niezwykle nieprzewidywalna p @ sło.
Wyobraź sobie, że musisz zmienić swoje hasło Spiderman. Z dużym prawdopodobieństwem będzie to wyglądać jak $ pider_Man1. Oryginalna? Tysiące ludzi będzie go zmienić na taki sam lub bardzo podobny algorytm.
Jeśli atakujący zna te minimalne wymagania, sytuacja jest tylko coraz gorzej. To z tego powodu nie zawsze nakłada wymóg komplikuje haseł zapewnia lepsze bezpieczeństwoI często tworzy fałszywe poczucie zwiększonego bezpieczeństwa.
Tym łatwiej jest zapamiętać hasło, tym bardziej prawdopodobne jest to, aby dostać się do pękania programy słowniki. W końcu okazuje się, że jest naprawdę bezpieczne hasło jest po prostu niemożliwe do zapamiętania, a zatem powinno być gdzieś fix.
Zdaniem ekspertów, nawet w dobie cyfrowych technologii ludzie są jeszcze w stanie polegać na kawałku papieru z hasłami na niej. Taki arkusz, który jest przechowywany w miejscu ukrytym przed wzrokiem ciekawskich, na przykład w torebce lub portfelu.
Jednak lista haseł nie rozwiązuje problemu. Długi haseł nie tylko trudne do zapamiętania, ale także, aby wejść. Sytuację pogarsza urządzeń mobilnych wirtualnej klawiatury.
Interakcja z wielu innych usług i stron internetowych, wielu ludzi zostawić ślad identycznych haseł. Starają się używać tego samego hasła dla każdej strony, całkowicie ignorując ryzyko.
W tym przypadku, niektóre strony działają jako pielęgniarka, co prowadzi do kombinacji komplikować. W rezultacie, użytkownik po prostu nie mogę przywołanieJak musiał zmodyfikować swój standardowy jedno hasło dla tej witryny.
Skala problemu okazała się w pełni zrozumieć w 2009 roku. Następnie, z powodu dziur bezpieczeństwa hakerom udało się wykraść loginy i hasła bazy danych rockyou.com - spółka publikuje gry na Facebooku. Agresor umieścić bazę w otwartym dostępie. Wszystko to zawarte 32,5 mln rekordów z nazw użytkowników i haseł do kont. Przecieki miały miejsce w przeszłości, ale skala tego wydarzenia jest pokazany cały obraz.
Najbardziej popularne hasło było połączenie w rockyou.com 123456. Był on używany prawie 291 000 osób. Mężczyźni do 30 lat najkorzystniejszy tematy seksualne i wulgarność. Starsi ludzie obu płci często zwracali się do konkretnego obszaru hasło kultury wybór. Na przykład, Epsilon793 nie wydaje się taki zły opcję, tylko ta kombinacja była w Star Trek. 8675309 siedem cyfr spotkałem wiele razy, ponieważ liczba ta pojawiła się w jednej z piosenek Tommy Tutone.
W rzeczywistości, tworzenia silnych haseł - proste zadanie, wystarczy dokonać kombinacji losowych znaków.
Nie można stworzyć idealne połączenie przypadkowy w sensie matematycznym w mojej głowie, ale od was jest wymagane. Są to usługi specjalne, generujące prawdziwie losowych kombinacji. Na przykład, random.org mogą tworzyć takie hasła:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
Jest to proste i eleganckie rozwiązanie, zwłaszcza dla tych, którzy korzystają z kierownik do przechowywania haseł.
Niestety, większość użytkowników nadal korzystać z prostych haseł są niewiarygodne, nawet ignorując zasadę „innego hasła dla każdej z nich.” Dla nich, wygoda jest warte wyższy niż bezpieczeństwo.
Sytuacje, w których bezpieczeństwo hasło może być naruszona, może być podzielony na 3 szerokie kategorie:
- przypadkowyW których hasło stara się znaleźć kogoś, kogo znasz, oparty na znanej informacji o sobie do niego. Często taki atakujący chce tylko do zabawy, nauczyć się czegoś o tobie lub grać brudną sztuczkę.
- massive attackKiedy ofiara może być absolutnie każdy użytkownik z niektórych usług. W tym przypadku zastosowanie specjalistycznego oprogramowania. Dla atakującego wybiera najmniej chronionych witryn, które umożliwiają wiele opcji, aby wprowadzić hasło na krótki okres czasu.
- ukierunkowaneŁącząc odbioru sugestywnych podpowiedzi (w pierwszym przypadku) i użycia specjalistycznego oprogramowania (jak w ataku masowej). Tutaj mówimy o próbując dostać naprawdę cennych informacji. Tylko pomaga chronić wystarczająco długo, losowe hasło, z których wybór będzie wymagało czasu, porównywalny czas trwania życie.
Jak widać, ofiara może być absolutnie nikomu. Oznaczenia takie jak „hasło nie będą kraść, bo nie mam jedno muszę” nie ma znaczenia, bo Można dostać się do tej sytuacji przez przypadek, przez przypadek, bez żadnych widocznych powodów.
Jeszcze bardziej poważny jest traktowanie ochrony haseł do tych, którzy mają cenne informacje dotyczące biznesu lub jest ktoś w konflikcie na podstawie finansowej (np podziału majątku w rozwodzie, konkurencji biznes).
W 2009 roku, Twitter (w zrozumieniu całej usługi) została naruszona tylko dlatego, że hasło administratora jest używany jako wyraz szczęścia. Haker podniósł go i umieszczone na stronie internetowej cyfrowego gangster, który doprowadził do porwania rachunków Obamy, Britney Spears, Facebook i Fox News.
akronimy
Jak w każdym innym aspekcie życia, zawsze trzeba znaleźć kompromis między maksymalne bezpieczeństwo i maksymalną wygodę. Jak znaleźć złoty środek? Jaka jest strategia generacja hasło stworzy solidną kombinacji, które można łatwo zapamiętać?
W tej chwili najlepsze połączenie niezawodności i wygody jest konwersja do zwrotu lub zwrotów w Twoim hasłem.
Wybrany zestaw słów, które będą zawsze pamiętać, i działa jako połączenie hasłem pierwsze litery każdego słowa. Na przykład, niech moc będzie z wami przekształcony Mtfbwy.
Jednak od oryginału zwroty Będzie on używany przez najsłynniejszych, ostatecznie programu otrzymają te akronimy w swoich listach. W rzeczywistości, akronim zawiera tylko litery, ale ponieważ obiektywnie mniej wiarygodne niż losowej kombinacji znaków.
Pozbyć się pierwszego wydania pomogą odpowiednich fraz wyboru. Dlatego zwracamy się do hasła, oznacza wyrażenie światowej sławy? Może pamiętacie jakiś dowcipy i oświadczenia, które są istotne tylko wśród swoich bliskich współpracowników. Powiedzmy słychać bardzo chwytliwego z barmanem w lokalnej instytucji. Użyj go.
A jednak trudno hasło generowane akronim będzie wyjątkowy. akronimy problemem jest to, że różne Zestawy mogą składać się ze słów zaczynających się od tej samej litery, i ułożone w tej samej kolejności. Statystycznie różne języki występuje zwiększona częstość występowania niektórych liter w słowach jak początkujących. Program będzie uwzględniać te czynniki i skuteczności akronimów w oryginalnej wersji będzie spadać.
zmienić kierunek
Roztwór może być sposobem wytwarzania odwrotnie. Utworzyć w random.org całkowicie losowe hasło, a następnie przekształcić go w znaczących znaków w pamiętnym zdaniu.
Często, usługi i strony dać użytkownikowi hasło tymczasowe, które są te najdoskonalej losowe kombinacje. Możesz go zmienić, ponieważ nie będzie w stanie zapamiętać, ale warto trochę bliżej wygląd i staje się oczywiste: hasło do zapamiętania i nie potrzebują. Na przykład, należy przyjąć następną wersję z random.org - RPM8t4ka.
Mimo, że nie ma sensu, ale nasz mózg jest w stanie znaleźć jakąś prawidłowość i spójność nawet w takim bałaganie. Na początek można zauważyć, że pierwsze trzy litery w nim wielkie litery, a następne trzy - małe. 8 - podwójny (j dwukrotnie - T) 4. Wyglądają trochę na hasło, a jesteś pewny, aby znaleźć swoje własne skojarzenia z proponowanego zestawu liter i cyfr.
Jeśli można zapamiętać bezsensowny zbiór wyrazów, a następnie użyć go. Niech hasło kolej do obrotów na minutę 8 Track 4 Katty. Dopasować żadnej konwersji, który jest lepszy „Locked up” swój mózg.
hasło przypadkowy - jest to złoty standard w informacji bezpieczeństwo. On jest z definicji lepsze niż jakiekolwiek hasło wymyślone przez człowieka.
akronimy minusem jest to, że w miarę upływu czasu, rozprzestrzenianie się tej techniki zmniejsza jej skuteczność i sposób powrotu będzie tak niezawodny, nawet jeśli wszyscy ludzie na świecie będzie używać go na tysiąc lat.
hasło losowe nie wpaść na liście popularnych kombinacji, a atakujący stosując metodę ataku masowej, podnieś hasło tylko brutalnej siły.
Weźmy prosty losowe hasło, biorąc pod uwagę wielkie i postacie - to 62 możliwych znaków dla każdej pozycji. Jeśli się hasło jest tylko 8-cyfrowy, otrzymujemy 62 ^ 8 = 218000000000000 opcje.
Nawet jeśli ilość razy w ciągu pewnego okresu czasu nie ogranicza się do najbardziej komercyjnych specjalistyczne oprogramowanie o mocy 2,8 mld haseł na sekundę, spędzają średnio 22 godzin na wybór żądanego kombinacja. Aby upewnić się, że dodatek w haśle tylko 1 dodatkowy znak - i jego hacking potrzeba wielu lat.
Losowe hasło nie jest niezniszczalny, ponieważ może być skradziony. Możliwości jest wiele, począwszy od czytania klawiatury i kończąc na kamery ramieniu.
Haker może trafić samą usługę i uzyskać dane bezpośrednio z serwerów. W tym scenariuszu użytkownik nie zależy na niczym.
Wielka wiarygodną podstawą
Tak, zrobiliśmy go głównym. Co taktyka wykorzystujące losowe hasło do wykorzystania w prawdziwym życiu? Z punktu widzenia bilansu niezawodność i wygoda dobra pokazać się „filozofią silnych haseł.”
Zasadą jest, że używasz tej samej podstawy - Super hasło stabilny (jego odmiany) do Ciebie najważniejsze usług i stron.
Pamiętaj długą i złożoną kombinację sił dla każdego.
Nick Berry, Information Security Consultant, pozwala na stosowanie takiej zasady A, pod warunkiem, że hasło jest bardzo dobrze chroniony.
Nie dopuszcza obecność złośliwego oprogramowania na komputerze, z którego po wprowadzeniu hasła. Nie używaj tego samego hasła dla mniej ważnych miejsc i rozrywki - są one dość wystarczy na więcej niż prostych haseł jak hacking konto tutaj nie będzie powodować żadnych śmiertelne konsekwencje.
Zrozumiałe jest, że solidny fundament musimy jakoś zmienić na każdym miejscu. Jako prosty opcji można dodać do szczytu jednego listu, który kończy z nazwą witryny lub usługi. Jeśli wrócisz do losowego hasła RPM8t4ka, a następnie zalogować się do serwisu Facebook, będzie on przekształcić się w kRPM8t4ka.
Osoba atakująca, której zobaczyliśmy hasło nie będzie w stanie zrozumieć, jak wygenerowane hasło do listy bankowy konto. Problemy zaczynają się, gdy ktoś uzyska dostęp do dwóch lub większej liczby hasła generowane w ten sposób.
kwestia bezpieczeństwa
Niektóre porywacze generalnie ignoruje haseł. Działają one w imieniu posiadacza rachunku i symulowania sytuacji, gdy nie pamiętasz hasła i chcesz przywrócić Jego sekret pytanie. W takim scenariuszu, może on zmienić hasło na własną rękę, ale prawdziwy właściciel utracą dostęp do swojego konta.
W 2008 roku ktoś uzyskał dostęp do poczty elektronicznej Sarah Palin, gubernator Alaski, a co jeszcze tego punktu, a kandydat na prezydenta USA. Osoba atakująca odpowiedział na pytanie bezpieczeństwa, które brzmiało: „Gdzie spotkałeś swojego męża”.
Po 4 latach, Mitt Romney, jest także kandydatem na prezydenta Stanów Zjednoczonych w czasie, stracił część swoich kont na różnych usług. Ktoś odpowiedział na pytanie zabezpieczające o tym, jak nazwa Mitt Romney domowych.
Zgadłeś istotę.
To nie może być stosowany jako pytanie bezpieczeństwa i odpowiedź i danych publicznych, łatwego do odgadnięcia.
Problemem nie jest to, że ta informacja może dokładnie wyodrębnić Internet lub osobiście w przybliżeniu. Odpowiedzi na pytania w stylu „nickiem zwierzęcia”, „ulubionej drużyny hokeja,” i tak dalej idealnie dopasowane z odpowiednich słowników popularnych opcji.
Jako opcja tymczasowej można używać strategię odpowiedzi absurdu. Jeśli po prostu, odpowiedź nie powinna mieć nic wspólnego z tajnymi pytanie. nazwisko panieńskie matki? Difenhydramina. Nazwa Twojego zwierzaka? 1991.
Jednak podobna technika, jeżeli stwierdzi powszechne, będą brane pod uwagę w odpowiednich programach. Absurd odpowiedzi są często stereotypowe, czyli niektóre zwroty będą występować znacznie częściej niż inni.
W rzeczywistości nie ma nic złego w użyciu prawdziwych odpowiedzi, trzeba tylko wybrać mądrze pytanie. Jeśli sprawa jest niezwykłe, a odpowiedź jest znana tylko do Ciebie, a nie do odgadnięcia z trzech prób, to wszystko jest w porządku. Plus odpowiedź prawdą jest, że nie zapomni go w czasie.
PIN
Osobisty numer identyfikacyjny (PIN) - tani zamek że zaufanie naszych pieniądze. Nikt nie martwi się o tym, jak stworzyć bardziej niezawodne połączenie co najmniej czterech z tych liczb.
Teraz zatrzymać. Teraz. Teraz, bez czytania następny akapit, zgadnij najpopularniejszą kod PIN. Gotowy?
Według szacunków Nick Berry, 11% populacji USA zastosowań jak kod PIN kombinacji 1234 (gdzie można go zmienić).
Hakerzy nie zwracają uwagi na PIN-kodów, ponieważ bez fizycznej obecności kodu karty jest bezużyteczny (częściowo może to być uzasadnione i niewielka długość kodu).
Berry wziął list pojawiające się w sieci po wycieku haseł, które są kombinacje czterech cyfr. Jest prawdopodobne, że osoba korzystająca hasło 1967 wybrał go bez powodu. Drugi PIN popularność - jest 1111, a 6% osób wybiera ten kod. W trzeciej lokalizacji 0000 (2%).
powiedzmy Powiedzmy, że znając te informacje w rękach osoby kimś karta bankowa. Trzy próbuje zablokować kartę. Prosta matematyka pozwala obliczyć, że ta osoba ma 19% szansę odgadnąć PIN, jeśli konsekwentnie wprowadzi w 1234, 1111 i 0000.
Prawdopodobnie z tego względu, zdecydowana większość banków ustawić kod PIN do wydawania kart plastikowych siebie.
Jednak wielu chroniony kodem PIN smartfony, a następnie działa rating popularność 1234 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
Często PIN jest dowolny lat (rok urodzenia lub data historycznej).
Wiele osób, aby PIN wielokrotnych par liczb (i bardzo popularne pary, przy czym pierwszy i drugi różnią się cyfry jeden).
Cyfrowe wyjście klawiatura mobilna w górę jak narysować 2580 - aby ustawić jej na tyle, aby bezpośrednie przejście od góry do dołu w środku.
W Korei, liczba 1004 jest zgodne ze słowem „anioł”, co sprawia, że ta kombinacja jest dość popularne.
spowodować
- Idź do random.org i sprawiają, że 5-10 kandydatów haseł.
- Wybierz hasło, które można włączyć do pamiętnego zdania.
- Używać tego wyrażenia do zapamiętania hasło.
Zobacz także:
- Jak umieścić hasło do BIOS-u, aby chronić komputer →
- Jak umieścić hasło na folder w Windows lub MacOS →
- 5 programów, które pomogą umieścić hasło na wybranych aplikacji w Android →
- Usługa ta pozwoli Ci wiedzieć, jak bezpiecznie nowe hasło →
- Co trzeba zrobić teraz, aby chronić dane osobowe w internecie →