Share
Passordet ditt er basert på et ord, om lag åtte tegn langt. Du har erstattet noen tall for bokstaver ('3' for 'E' og '4' for 'a' osv.), Du har sørget for å kapitalisere et brev eller to, og du har sveiset et utropstegn til slutten, som om å understreke at du overholder den uforanderlige sjekklisten over passordstyrke. Du puster et lettelse sukk. Hver måned eller så, glemmer du dette passordet (eller du husker det fordi du bruker det overalt). Men det er sterkt ... ikke sant? La oss grave inn i temaet passord sikkerhet for å avdekke myter, matte og metoder som definerer dette viktige aspektet av databehandling.
Som denizens og explorers av det digitale rommet, kan vi ramme denne diskusjonen som en oppgave. Vi er på jakt etter den hellige gral av passord sikkerhet; et middel til å lage et passord som gir oss maksimal beskyttelse med maksimal minnesevne - vi er jo bare menneskelige.
Hvis formelen jeg beskrev i min introduksjon - den som står for det store flertallet av passordene som brukes i dag - virker som det ideelle, så kan du bli overrasket over at det ikke bare produserer vanskelige å huske passord (selvsagt), men det er også langt mindre sikkert enn du kanskje forventer. For å gjøre saken verre, har et sterkt passord kun halvparten av kampen.
For å forstå hvorfor dette er, må vi ta en kort omvei til den skummel verden av informasjonsteori for å utstyre oss med noen grunnleggende kunnskaper som gjør at vi kan forstå hvordan passordsikkerhet måles og sammenlignes.
Generelt diskuteres integriteten til et passord i form av biter av entropi, et interessant tiltak som brukes i informasjonsteori for å beskrive usikkerheten knyttet til en variants utfall. Jo mer usikkerhet, eller med andre ord, jo mer det er ukjent om hendelsen blir målt, desto høyere entropi.
Vi trenger bare huske at jo flere biter av entropi et passord har, desto vanskeligere er det å sprekke.
For eksempel vil vi vurdere en myntkast for å representere en enkelt entropi siden den usikre verdien er bare ett av to muligheter. Formelen som representerer entropiverdien av et passord, er skjult, og vi trenger ikke å forstå det for å få mening om entropi generelt.
Ta dette tilbake til vår søken, vi trenger bare huske at jo flere biter av entropi et passord har, desto vanskeligere er det å sprekke.
Nå som vi kjenner det grunnleggende prinsippet om hvordan passordstyrke måles, må vi undersøke motstanderne våre i denne innsatsen: hackere, passordkreker og andre digitale feilpersoner som søker tilgang til kontoene dine.
Password cracking er en hjørnestein i hacking verden, og har overraskende en av de mest omfattende utviklede arsenaler i hackerens repertoar. Generelt faller passordbruddsmetoder inn i en av to kategorier: mønsterspring og brute-force angrep.
Sprekk et passord er mindre vanskelig enn du kanskje tror i disse dager Hvis du har fulgt formelen fra introduksjonen, er passordet ditt sannsynligvis svært mottakelig for mønsterbaserte sprengningsmetoder. Disse kommer i forskjellige smaker, alt fra det grunnleggende ordbokangrepet til mer sofistikerte varianter som utnytter vanlige passordskapeteknikker.
Når de er anvendbare, foretrekkes mønsterbaserte sprengningsmetoder fordi de reduserer antall muligheter en hacker må prøve før de kommer over det egentlige passordet.
Hvis du har fulgt formelen fra introduksjonen, er passordet ditt sannsynligvis svært mottakelig for mønsterbaserte sprengningsmetoder.
At åtte tegn passordet du har som bruker tall, flere bokstaver og spesialtegn? Det vil nok ta en halv time å knekke.
Denne andre kategorien angrep representerer barbarisk tilnærming til passord hacking. I utgangspunktet betyr et brutalt kraftangrep at hackeren vil bruke en utrolig kraftig datamaskin (eller nettverk av datamaskiner) for systematisk å prøve ut alle mulige kombinasjoner av tegn for å avdekke passordet ditt.
Dette synes tydeligvis at hver ekstra karakter du legger til et passord, krever store mengder ekstra passordmuligheter. Dessverre, avhengig av ferdigheten og maskinvaren som er tilgjengelig for angriperen din, kan du forvente at en hacker vil kunne teste mellom flere hundre tusen og om en million mulige passordkombinasjoner per sekund.
At åtte tegn passordet du har som bruker tall, flere bokstaver og spesialtegn? Det har sannsynligvis en entropiverdi på mellom 30 og 50 biter. Det vil trolig ta så lite som en halv time å spre seg åpen.
Uansett tilnærming, krever et passord en evne til å prøve mange forskjellige passord for å finne en kamp. Det er her den andre halvdelen av passordets integritet kommer inn: kontoutbyderens sikkerhetsforanstaltninger.
Hvis du noen gang har møtt en CAPTCHA på et nettsted (de skjemaene som krever at du dechifrerer obskure siffer eller ord for å fortsette), kan du ha kommet til den konklusjonen at nettstedet hater deg, dine øyne og fritiden din. Dette er sannsynligvis ikke tilfelle.
Faktisk tjener disse forverrende CAPTCHAene et avgjørende formål i kontosikkerhetsverdenen: Ikke bare forhindrer de automatiserte bots fra å fullføre påloggingsskjemaene, de legger også til et ekstra hinder som reduserer hackers evne til å teste ut tusenvis av passord per andre nødvendig for å utføre en vellykket sprekk. De er selvsagt ikke ufeilbare, men de er et ekstra lag av beskyttelse.
Sammen med andre server-side sikkerhetstiltak som for eksempel automatiske innloggingstider etter for mange mislykkede forsøk, representerer CAPTCHAs den andre siden av passordbeskyttelsesmynten.
Det er ofte verdt å undersøke hva slags sikkerhetstiltak en tjeneste har på plass før du forplikter for mye av dine private data til omsorg, fordi uansett hvor sterkt passordet ditt er, spiller det ingen rolle om bakdøren er åpen.
For det meste tilbyr vår innledende formel for passordopprettelse svært kunnskapsrike råd. Flere saker, spesialtegn, tall; Dette er alle lydteknikker som kan brukes som en del av passordet ditt.
Det finnes andre teknikker som du sannsynligvis har anbefalt til deg som bare suger på å holde kontoen din trygg.
Men det er noen retningslinjer som påvirker deres effektivitet, og det finnes andre teknikker som du sannsynligvis har anbefalt til deg som bare suger på å holde kontoen din trygg. La oss undersøke noen av disse retningslinjene og identifisere eksempler på dårlige passordteknikker.
Dekket kan virke stablet mot deg, men det er verdt å huske at de fleste av oss ikke skal være målene for dedikerte hackere. Vårt prioritet er å ta informerte valg om de tjenestene vi velger å stole på med våre data, og for å sikre at vår regnskapene er så sikre som mulig uten å forårsake unødvendig hodepine som prøver å huske obskure tegnstrenger.
Det finnes en rekke smarte måter å opprette sikre passord som samsvarer med disse kriteriene, men vi skal fokusere på to primære som ikke bare er populære, men også ekstremt effektive og fleksible nok til å brukes overalt.
Vår prioritet er å ta informerte valg om de tjenestene vi velger å stole på med våre data, og for å sikre at våre kontoer blir så sikre som mulig.
Et av de mest fascinerende paradoksene av passordsikkerhet er det faktum at mens ett ord er lette å kompromittere som et passord, er bruken av flere ord i rekkefølge faktisk et av de sikreste mulige passordskapene som også gir oss fordelene å være mye enklere å huske enn en ekvivalent lang streng av tilfeldige tegn.
En av de primære metodene for å generere en slik ordliste kalles "Diceware", så oppkalt fordi du bruker et sett med terninger for å generere passordet fra en ordliste, som dette engelske eksempelet.
For hvert ord i passordet (eller passordfrase, i dette tilfellet), ville du rulle en dør fem ganger. De resulterende tallene vil bli strammet sammen - la oss si 61345 - og deretter er det tilsvarende ordet fra listen valgt, i mitt tilfelle 'paddestang'.
Nå, for eksempel, la oss ta et typisk "sterkt" passord: 7YmP @ ni5 (timpanis, for ikke-musikalske folk). Det passordet gir oss omtrent 50 bits entropi. Det er ikke dårlig, men det er heller ikke veldig minneverdig - hvilket brev ble erstattet med hvilket spesialtegn eller nummer? Hvilke bokstaver ble kapitalisert?
Ferdiggjøring av en 5-ords passord med Diceware-ordlisten, jeg kom opp med 'toadloafsteamwhackethos'. Det gir oss en basislinje på ca 65 bit entropi - en mye mer skremmende utfordring for hackere (hver ekstra bit av entropi betyr dobbelt så mange muligheter som må løpes gjennom).
Normalt anses fem ord som den minste levedyktige lengden for en Diceware-passordfrase, og systemets skjønnhet er at entropiverdien er beregnet ut fra antakelsen om at hackeren din ikke bare vet at du bruker en Diceware-ordliste, men at de selv vet hvilken du har brukt og hvor mange ord er i passordet ditt. Med andre ord, hvis de vet noe mindre enn det, eller kommer helt blind, er entropien av passordet ditt enda høyere!
Og fordi det er en enkel liste over vanlige ord, er det langt lettere å huske, spesielt hvis du genererer (eller oppdager) et uttrykk som er humoristisk eller jogger minnet ditt på en annen måte - 'Hei, hør!' er en enkel for Zelda fans. 70 biter av nostalgisk entropi rett der.
En utfordrende og svært effektiv metode for å generere sterke passord innebærer bruk av setninger på en litt ukonvensjonell måte som skjer ved å krysse av mange av avmerkingsboksene med sterk passordoppretting - å samle de første bokstavene og alle tegnsettingene inn i et passord.
La oss for eksempel ta et dikt som The Jabberwocky, av Lewis Carroll. Fra den første stanza skal vi ta de to første linjene, som er:
"Twas brillig, og slithy toves
Gjorde og gimble i wabe;
Da, ved å bruke denne metoden, ville vi ende opp med "'Tb, atstDgagitw;". Det fantastiske stykke passordteknikk representerer en svimlende 100 bit entropi.
La oss se på fordelene: det ser ut til å være helt tilfeldig på overflaten, og det er ugjennomtrengelig for mønsterbaserte angrep. den bruker både flere bokstaver og spesialtegn; Det er mer enn 12 tegn langt (en felles retningslinje); og til tross for den tilsynelatende uklarheten, er det umulig å glemme fordi det er avledet av et litteratur som iboende er lett å huske - et dikt!
Forutsatt at du ikke liker poesi, kan du selvfølgelig gjøre bruk av en linje fra favoritttalen din, eller et sitat fra en bok eller en annen frase som du sannsynligvis ikke vil glemme.
Jeg personlig anbefale poesi av to grunner: den har en tendens til å være rik på tegnsetting og kapitaliseringer, og to, det er nesten alltid veldig lett å huske (bare tenk på hvor mange populære sanger du kan synge med).
Det siste stykket i det sterke passordspillet er variabilitet: Ikke bruk det samme passordet overalt, det er den eneste største feilen du kan lage. Ti svake passord er sikrere enn en sterkere en brukt ti ganger, fordi hvis det blir kompromittert, har hver eneste konto du har, også umiddelbart kompromittert.
Ikke bruk det samme passordet overalt, det er den eneste største feilen du kan gjøre.
Ved hjelp av de to metodene vi skisserte over, kan du enkelt finne måter å holde ting konsistent og fortsatt ha forskjellige passord for forskjellige tjenester. Endre det siste ordet i Diceware-listen, eller bruk forskjellige vers fra samme sangens tekst, for eksempel.
Vi bør kort snakke om problemet med å skrive passord ned for å huske dem. Dette er en sikkerhetsrisiko som mange mennesker tar, og legger viktige passord i en notatbok eller papirskuff i lommeboken.
Mens det er praktisk, åpner det også opp en helt ny farefare - hvis noen stjeler lommeboken, vil de normalt flykte med litt penger og din ID. Nå kan de også få tilgang til hver konto som du har skrevet ned et passord for. Kan du huske å gå og endre dem alt i tide?
Når vi foreslår vår ideelle passordløsning, legger vi vekt på at den skal produsere noe minneverdig akkurat slik at du ikke trenger å ty til å skrive ting ned for å huske det.
Alternativt, hvis formelen du bruker er noe du lett kan huske, må du bare skrive ned obskure påminnelser som vil være ubrukelig for alle som prøver å knekke passordet ditt. Hvis du brukte poetriakronymmetoden, kan du holde et notat som bare angir hvilket vers du brukte for hver tjeneste - en tyv ville ikke vite hva du snakker om.
Hvem er en hacker som er mer sannsynlig å målrette mot: En tilfeldig person eller et selskap som kan skryte om å gi sterk passordbeskyttelse for millioner av brukere?
På dette tidspunktet kan du lure på hvorfor du ikke bør bruke en dedikert passordtjeneste som LastPass til å administrere og generere dine sikre passord.
Som de er både anerkjente og fleksible verktøy, bør du absolutt vurdere å bruke dem. Grunnen til at det lønner seg å kunne generere egne sterke passord er at fordi de også er tjenester som drives av selskaper, er de sårbare for å angripe seg selv - og de er langt mer sannsynlige mål for et passordanfall enn en ensom person er. Tross alt, hvem er en hacker som er mer sannsynlig å målrette mot: En tilfeldig person eller et selskap som kan skryte om å gi sterk passordbeskyttelse for millioner av brukere?
Siden de har gjort det til å gjøre det, er mange av disse tjenestene verdt å stole på, men hvis du er mer forsiktig, eller du ikke vil ha alt som er lagret i en app, eller du bare vil ha et middel til å skape et sterkt masterpassord for de andre løsningene, det lønner seg å vite hvordan man lager en - og nå gjør du det!
Det står selvsagt at de sterkeste passordene er de 20 tegnene som er randomiserte, som du enkelt kan finne en generator for på nettet. Disse er kategorisk sterkere enn noe annet du sannsynligvis vil formulere. Men de er også bare nyttige for maskiner og folk med en latterlig ferdighet for å huske kompliserte tegnstrenger - de er bare ikke praktiske for daglig bruk..
Begrepet et ideelt passord som vi har utforsket i denne opplæringen har vært en som finner en god balanse mellom integritet og memorabilitet. Du er nå rustet til å oppdage de mest ekstreme passordskapene og gi sterke, minneverdige og variable passord for deg selv. Så gå ut og slå ned lukkene på dine verdifulle digitale eiendeler.
Mens du er i det, ikke glem å endre dem nå og igjen - det er vanskeligere å treffe et flyttemål, tross alt.
Har en bedre metode? Vi vil høre om det! Passord er viktige, så hopp inn i kommentarene og del dine tanker.
Accentsconagua