Cum să creați și să vă amintiți o parolă puternică

Cuprins:

Acronime
Mod invers
O bază de încredere
Intrebare secreta
PIN
Rezultat

Cum să creați și să vă amintiți o parolă puternică

2024 Autor: Malcolm Clapton | [email protected]. Modificat ultima dată: 2023-12-17 04:09

Cele mai bune modalități de a crea o parolă pe care nimeni nu o poate sparge.

Majoritatea atacatorilor nu se deranjează cu metode sofisticate de furt de parole. Ei iau combinații ușor de ghicit. Aproximativ 1% din toate parolele existente în prezent pot fi în forță brută cu patru încercări.

Cum este posibil acest lucru? Foarte simplu. Încercați cele mai comune patru combinații din lume: parolă, 123456, 12345678, qwerty. După o astfel de trecere, în medie, 1% din toate „cuferele” sunt deschise.

Să presupunem că te numeri printre acei 99% dintre utilizatori a căror parolă nu este atât de simplă. Chiar și așa, performanța software-ului modern de hacking trebuie luată în considerare.

Programul John the Ripper gratuit, disponibil gratuit, verifică milioane de parole pe secundă. Unele exemple de software comercial specializat pretind o capacitate de 2,8 miliarde de parole pe secundă.

Inițial, programele de cracare rulează o listă cu cele mai comune combinații din punct de vedere statistic și apoi se referă la dicționarul complet. În timp, tendințele privind parolele utilizatorilor se pot schimba ușor, iar aceste modificări sunt luate în considerare atunci când astfel de liste sunt actualizate.

De-a lungul timpului, tot felul de servicii și aplicații web au decis să complice forțat parolele create de utilizatori. Au fost adăugate cerințe, conform cărora parola trebuie să aibă o anumită lungime minimă, să conțină numere, majuscule și caractere speciale. Unele servicii au luat acest lucru atât de în serios încât este nevoie de o sarcină foarte lungă și plictisitoare pentru a găsi o parolă pe care sistemul ar accepta-o.

Problema cheie este că aproape orice utilizator nu generează o parolă cu adevărat brute-force, ci încearcă doar să îndeplinească cerințele sistemului pentru compoziția parolei la minimum.

Rezultatul sunt parole precum parola1, parola123, parola, parola, parola! și incredibil de imprevizibil p @ ssword.

Imaginați-vă că trebuie să vă refaceți parola Spiderman. Cel mai probabil va arăta ca $ pider_Man1. Original? Mii de oameni îl vor schimba folosind același algoritm sau foarte similar.

Dacă biscuitul cunoaște aceste cerințe minime, atunci situația doar se înrăutățește. Din acest motiv, cerința impusă de a crește complexitatea parolelor nu oferă întotdeauna cea mai bună securitate și adesea creează un fals sentiment de securitate sporită.

Cu cât parola este mai ușor de reținut, cu atât este mai probabil să ajungă în dicționare de cracker. Ca rezultat, se dovedește că o parolă cu adevărat puternică este pur și simplu imposibil de reținut, ceea ce înseamnă că trebuie reparată undeva.

Potrivit experților, chiar și în această eră digitală, oamenii încă se pot baza pe o bucată de hârtie cu parole scrise pe ea. Este convenabil să păstrați o astfel de foaie într-un loc ascuns de privirile indiscrete, de exemplu, într-un portofel sau un portofel.

Cu toate acestea, foaia de parole nu rezolvă problema. Parolele lungi sunt dificil nu numai de reținut, ci și de introdus. Situația este agravată de tastaturile virtuale ale dispozitivelor mobile.

Interacționând cu zeci de servicii și site-uri, mulți utilizatori lasă în urmă un șir de parole identice. Ei încearcă să folosească aceeași parolă pentru fiecare site, ignorând complet riscurile.

În acest caz, unele site-uri acționează ca o bonă, forțând combinația să fie complicată. Drept urmare, utilizatorul pur și simplu nu-și poate aminti cum a trebuit să-și modifice parola unică standard pentru acest site.

Amploarea problemei a fost realizată pe deplin în 2009. Apoi, din cauza unei gauri de securitate, hackerul a reusit sa fure baza de date de autentificari si parole a RockYou.com, compania care publica jocuri pe Facebook. Atacatorul a făcut baza de date disponibilă publicului. În total, conținea 32,5 milioane de intrări cu nume de utilizator și parole pentru conturi. S-au mai întâmplat scurgeri de informații, dar amploarea acestui eveniment a arătat întreaga imagine.

Cea mai populară parolă de pe RockYou.com a fost 123456, care a fost folosită de aproape 291.000 de persoane. Bărbații sub 30 de ani au preferat mai des temele sexuale și vulgaritățile. Persoanele în vârstă de ambele sexe au apelat adesea la o anumită zonă a culturii atunci când alegeau o parolă. De exemplu, Epsilon793 nu pare o opțiune atât de proastă, doar că această combinație a fost în Star Trek. 8675309 din șapte cifre a apărut de multe ori deoarece acest număr a apărut într-una dintre melodiile Tommy Tutone.

De fapt, crearea unei parole puternice este o sarcină simplă, este suficient să compuneți o combinație de caractere aleatorii.

Nu poți crea o combinație perfect aleatorie în termeni matematici în capul tău, dar nu ți se cere. Există servicii speciale care generează combinații cu adevărat aleatorii. De exemplu, poate crea parole ca aceasta:

mvAWzbvf;
83cpzBgA;
tn6kDB4T;
2T9UPPd4;
BLJbsf6r.

Aceasta este o soluție simplă și elegantă, mai ales pentru cei care folosesc un manager pentru a stoca parolele.

Din păcate, majoritatea utilizatorilor continuă să folosească parole simple, slabe, ignorând chiar regula „parole diferite pentru fiecare site”. Pentru ei, confortul este mai important decât siguranța.

Situațiile în care securitatea parolei poate fi compromisă pot fi împărțite în 3 categorii mari:

Aleatoriu, în care o persoană pe care o cunoști încearcă să afle parola, bazându-se pe informațiile pe care le cunoaște despre tine. Adesea, un astfel de cracker vrea doar să joace un truc, să afle ceva despre tine sau să facă mizerie.
Atacurile în masăcând absolut orice utilizator al anumitor servicii poate deveni victimă. În acest caz, se utilizează software specializat. Pentru atac sunt selectate cele mai puțin sigure site-uri, care vă permit să introduceți în mod repetat opțiuni de parolă într-o perioadă scurtă de timp.
Intenționatcare combină primirea de indicii (ca în primul caz) și utilizarea de software specializat (ca într-un atac în masă). Este vorba despre încercarea de a obține informații cu adevărat valoroase. Doar o parolă aleatorie suficient de lungă vă va ajuta să vă protejați, a cărei selecție va dura timp comparabil cu durata vieții tale.

După cum puteți vedea, absolut oricine poate deveni o victimă. Declarațiile de genul „nu îmi va fi furată parola, pentru că nimeni nu are nevoie de mine” nu sunt relevante, pentru că poți ajunge într-o situație similară destul de întâmplător, întâmplător, fără un motiv aparent.

Este și mai grav să luați protecția prin parolă pentru cei care au informații valoroase, sunt asociați cu o afacere sau sunt în conflict cu cineva din motive financiare (de exemplu, împărțirea proprietății în procesul de divorț, concurență în afaceri).

În 2009, Twitter (în sensul întregului serviciu) a fost spart doar pentru că administratorul a folosit cuvântul fericire ca parolă. Hackerul a ridicat-o și a postat-o pe site-ul Digital Gangster, ceea ce a dus la deturnarea conturilor lui Obama, Britney Spears, Facebook și Fox News.

Acronime

Ca în orice alt aspect al vieții, trebuie întotdeauna să găsim un compromis între siguranță maximă și confort maxim. Cum să găsești o cale de mijloc? Ce strategie de generare a parolelor vă va permite să creați combinații puternice care pot fi reținute cu ușurință?

În prezent, cea mai bună combinație de fiabilitate și comoditate este să convertiți o frază sau o expresie într-o parolă.

Este selectat un set de cuvinte de care vă amintiți întotdeauna și o combinație a primelor litere din fiecare cuvânt este folosită ca parolă. De exemplu, Fie ca forța să fie cu tine se transformă în Mtfbwy.

Cu toate acestea, deoarece cele mai faimoase vor fi folosite ca fraze inițiale, programele vor primi în cele din urmă aceste acronime în listele lor. De fapt, acronimul conține doar litere și, prin urmare, este obiectiv mai puțin fiabil decât o combinație aleatorie de caractere.

Alegerea expresiei potrivite te va ajuta să scapi de prima problemă. De ce să transformi o expresie de renume mondial într-o parolă acronim? Probabil că îți amintești niște glume și vorbe care sunt relevante doar în cercul tău apropiat. Să presupunem că ai auzit o frază foarte captivantă de la un barman la un local local. Foloseste-l.

Cu toate acestea, parola acronimului pe care ați generat-o este puțin probabil să fie unică. Problema cu acronimele este că diferite fraze pot fi compuse din cuvinte care încep cu aceleași litere și în aceeași succesiune. Statistic, în diferite limbi, există o frecvență crescută a apariției anumitor litere ca început de cuvânt. Programele vor ține cont de acești factori, iar eficiența acronimelor din versiunea originală va fi redusă.

Mod invers

Calea de ieșire poate fi calea opusă a generației. Creați o parolă complet aleatorie la random.org și apoi transformați caracterele acesteia într-o frază memorabilă cu sens.

Adesea, serviciile și site-urile oferă utilizatorilor parole temporare, care sunt exact aceleași combinații perfect aleatorii. Veți dori să le schimbați, pentru că nu vă veți putea aminti, ci doar aruncați o privire mai atentă și devine evident: nu trebuie să vă amintiți parola. De exemplu, să luăm o altă opțiune de la random.org - RPM8t4ka.

Deși pare lipsit de sens, creierul nostru este capabil să găsească anumite modele și corespondențe chiar și într-un astfel de haos. Pentru început, puteți observa că primele trei litere din el sunt majuscule, iar următoarele trei sunt litere mici. 8 este de două ori (în engleză de două ori - t) 4. Uită-te puțin la această parolă și cu siguranță vei găsi propriile asocieri cu setul de litere și numere propus.

Dacă poți memora seturi de cuvinte prostii, atunci folosește asta. Lasă parola să se transforme în rotații pe minut 8 piesa 4 katty. Orice conversie la care creierul tău este mai bun va face.

O parolă aleatorie este standardul de aur în securitatea informațiilor. Este, prin definiție, mai bună decât orice parolă creată de om.

Dezavantajul acronimelor este că, în timp, răspândirea unei astfel de tehnici își va reduce eficacitatea, iar metoda inversă va rămâne la fel de fiabilă, chiar dacă toți oamenii de pe pământ o vor folosi timp de o mie de ani.

O parolă aleatorie nu va fi inclusă în lista de combinații populare, iar un atacator care folosește o metodă de atac în masă va face doar o astfel de parolă cu forță brută.

Să luăm o parolă aleatorie simplă care ia în considerare litere mari și numere - adică 62 de caractere posibile pentru fiecare poziție. Dacă facem parola doar 8 cifre, atunci obținem 62 ^ 8 = 218 trilioane de opțiuni.

Chiar dacă numărul de încercări într-un anumit interval de timp nu este limitat, cel mai comercial software specializat, cu o capacitate de 2,8 miliarde de parole pe secundă, va petrece în medie 22 de ore încercând să găsească combinația potrivită. Pentru a fi sigur, adăugăm doar 1 caracter suplimentar la o astfel de parolă - și va dura mulți ani pentru ao sparge.

O parolă aleatorie nu este invulnerabilă, deoarece poate fi furată. Opțiunile sunt numeroase, de la citirea intrărilor de la tastatură până la a avea o cameră pe umăr.

Un hacker poate accesa serviciul în sine și poate obține date direct de pe serverele sale. În această situație, nimic nu depinde de utilizator.

O bază de încredere

Deci, am ajuns la lucrul principal. Care sunt tacticile aleatorii ale parolei de folosit în viața reală? Din punctul de vedere al echilibrului dintre fiabilitate și comoditate, „filozofia unei parole puternice” se va arăta bine.

Principiul este că utilizați aceeași bază - o parolă super-puternică (variațiile sale) pentru serviciile și site-urile care sunt cele mai importante pentru dvs.

Amintiți-vă de o combinație lungă și dificilă pentru toată lumea.

Nick Berry, consultant în securitatea informațiilor, permite aplicarea acestui principiu, cu condiția ca parola să fie foarte bine protejată.

Prezența malware-ului pe computerul de pe care introduceți parola nu este permisă. Nu este permisă utilizarea aceleiași parole pentru site-uri mai puțin importante și distractive - parolele mai simple sunt destul de suficiente pentru ei, deoarece piratarea unui cont aici nu va atrage consecințe fatale.

Este clar că baza de încredere trebuie schimbată cumva pentru fiecare site. Ca o opțiune simplă, puteți adăuga o singură literă la început, care încheie numele site-ului sau serviciului. Dacă ne întoarcem la acea parolă aleatoare RPM8t4ka, se va transforma în kRPM8t4ka pentru autorizarea Facebook.

Un atacator, văzând o astfel de parolă, nu va putea înțelege cum este generată parola pentru contul dvs. bancar. Problemele vor începe dacă cineva obține acces la două sau mai multe dintre parolele tale generate în acest mod.

Intrebare secreta

Unii piratatori ignoră parolele cu totul. Aceștia acționează în numele proprietarului contului și simulează o situație în care ați uitat parola și doriți să o restaurați cu o întrebare secretă. În acest scenariu, el poate schimba parola după bunul plac, iar adevăratul proprietar va pierde accesul la contul său.

În 2008, cineva a avut acces la e-mailul lui Sarah Palin, guvernatorul Alaska, și la acel moment, de asemenea, un candidat la președinție. Hoțul a răspuns la întrebarea secretă, care suna așa: „Unde l-ai cunoscut pe soțul tău?”

După 4 ani, Mitt Romney, care la vremea respectivă era și candidat la președinția SUA, și-a pierdut mai multe conturi la diverse servicii. Cineva a răspuns la o întrebare secretă despre numele animalului de companie al lui Mitt Romney.

Ai ghicit deja ideea.

Nu puteți utiliza date publice și ușor de ghicit ca întrebare și răspuns secret.

Întrebarea nu este nici măcar că aceste informații pot fi pescuite cu atenție pe internet sau de la apropiații persoanei. Răspunsurile la întrebări în stilul „nume animal”, „echipă de hochei preferată” și așa mai departe sunt perfect selectate din dicționarele corespunzătoare de opțiuni populare.

Ca opțiune temporară, puteți folosi tactica absurdității răspunsului. Pentru a spune simplu, răspunsul nu ar trebui să aibă nimic de-a face cu întrebarea secretă. Numele mamei lui Maiden? Difenhidramină. Numele animalului de companie? 1991.

Cu toate acestea, o astfel de tehnică, dacă este găsită pe scară largă, va fi luată în considerare în programele corespunzătoare. Răspunsurile absurde sunt adesea stereotipe, adică unele fraze vor fi întâlnite mult mai des decât altele.

De fapt, nu este nimic greșit în a folosi răspunsuri reale, trebuie doar să alegi întrebarea cu înțelepciune. Dacă întrebarea nu este standard, iar răspunsul la ea este cunoscut doar de tine și nu poate fi ghicit după trei încercări, atunci totul este în ordine. Avantajul de a fi sincer este că nu o vei uita în timp.

Numărul de identificare personală (PIN) este un lacăt ieftin cu care ne sunt încredințați banii. Nimeni nu se deranjează să creeze o combinație mai fiabilă a cel puțin acestor patru numere.

Acum oprește-te. Chiar acum. Chiar acum, fără a citi următorul paragraf, încercați să ghiciți cel mai popular PIN. Gata?

Nick Berry estimează că 11% din populația SUA folosește 1234 ca PIN (unde îl pot schimba ei înșiși).

Hackerii nu acordă atenție codurilor PIN, deoarece codul este inutil fără prezența fizică a cardului (acest lucru poate justifica parțial lungimea mică a codului).

Berry a luat listele de parole din patru cifre care au apărut după scurgerile din rețea. Persoana care folosește parola din 1967 este probabil să fi ales-o dintr-un motiv. Al doilea cod PIN cel mai popular este 1111, iar 6% dintre oameni preferă acest cod. Pe locul trei se află 0000 (2%).

Să presupunem că o persoană care cunoaște aceste informații are un card bancar în mâini. Trei încercări de a bloca cardul. Matematica simplă arată că această persoană are șanse de 19% să-și ghicească PIN-ul dacă introduce 1234, 1111 și 0000 în secvență.

Probabil din acest motiv, marea majoritate a băncilor atribuie coduri PIN cardurilor de plastic emise.

Cu toate acestea, mulți oameni protejează smartphone-urile cu un cod PIN și aici se aplică următorul rating de popularitate: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 8333, 8656, 863, 863, 4321, 2001, 1010.

Adesea, PIN-ul reprezintă un an (anul nașterii sau data istorică).

Mulți oameni le place să facă PIN-uri sub formă de perechi repetate de numere (mai mult, perechile în care primul și al doilea număr diferă cu unul sunt deosebit de populare).

Tastaturile numerice ale dispozitivelor mobile afișează combinații precum 2580 în partea de sus - pentru a o tasta, este suficient să faci o trecere directă de sus în jos în centru.

În Coreea, numărul 1004 este în consonanță cu cuvântul „înger”, ceea ce face ca această combinație să fie destul de populară acolo.