Kaip sukurti ir atsiminti stiprų slaptažodį

2024 Autorius: Malcolm Clapton | [email protected]. Paskutinį kartą keistas: 2023-12-17 04:04

Geriausi būdai sukurti slaptažodį, kurio niekas negali nulaužti.

Dauguma užpuolikų nesivargina sudėtingais slaptažodžių vagystės metodais. Jie imasi lengvai atspėjamų derinių. Maždaug 1% visų šiuo metu esamų slaptažodžių gali būti žiaurios jėgos keturiais bandymais.

Kaip tai įmanoma? Labai paprasta. Išbandote keturis pasaulyje dažniausiai pasitaikančius derinius: slaptažodis, 123456, 12345678, qwerty. Po tokio praėjimo vidutiniškai atidaroma 1% visų „skrynių“.

Tarkime, kad esate tarp tų 99% vartotojų, kurių slaptažodis nėra toks paprastas. Nepaisant to, reikia atsižvelgti į šiuolaikinės įsilaužimo programinės įrangos našumą.

Nemokama, laisvai prieinama John the Ripper programa per sekundę patikrina milijonus slaptažodžių. Kai kurie specializuotos komercinės programinės įrangos pavyzdžiai reikalauja 2,8 milijardo slaptažodžių per sekundę.

Iš pradžių krekingo programos paleidžia statistiškai dažniausiai pasitaikančių derinių sąrašą, o tada pateikia visą žodyną. Laikui bėgant vartotojų slaptažodžių tendencijos gali šiek tiek pasikeisti, o šie pakeitimai atsižvelgiama į tokius sąrašus atnaujinant.

Laikui bėgant, įvairios interneto paslaugos ir programos nusprendė priverstinai apsunkinti vartotojų sukurtus slaptažodžius. Pridėta reikalavimų, pagal kuriuos slaptažodis turi būti tam tikro minimalaus ilgio, jame turi būti skaičiai, didžiosios raidės ir specialieji simboliai. Kai kurios tarnybos į tai žiūrėjo taip rimtai, kad sugalvoti slaptažodį, kurį sistema priimtų, užtrunka tikrai ilgai ir varginančiai.

Pagrindinė problema yra ta, kad beveik bet kuris vartotojas nesukuria tikrai žiaurios jėgos slaptažodžio, o tik bando iki minimumo atitikti sistemos reikalavimus dėl slaptažodžio sudėties.

Rezultatas yra slaptažodžiai, tokie kaip slaptažodis1, slaptažodis123, slaptažodis, slaptažodis, slaptažodis! ir neįtikėtinai nenuspėjamas p @ ssword.

Įsivaizduokite, kad jums reikia perdaryti savo „Spiderman“slaptažodį. Greičiausiai tai atrodys kaip $ pider_Man1. Originalus? Tūkstančiai žmonių jį pakeis naudodami tą patį arba labai panašų algoritmą.

Jei krekeris žino šiuos minimalius reikalavimus, situacija tik blogėja. Būtent dėl šios priežasties nustatytas reikalavimas sudėtinginti slaptažodžius ne visada užtikrina geriausią saugumą ir dažnai sukuria klaidingą padidinto saugumo jausmą.

Kuo lengviau atsiminti slaptažodį, tuo didesnė tikimybė, kad jis pateks į krekingo žodynus. Dėl to pasirodo, kad tikrai stipraus slaptažodžio atsiminti tiesiog neįmanoma, vadinasi, jį reikia kažkur pataisyti.

Ekspertų teigimu, net ir šiame skaitmeniniame amžiuje žmonės vis dar gali pasikliauti popieriumi, ant kurio užrašyti slaptažodžiai. Tokį paklodę patogu laikyti nuo pašalinių akių paslėptoje vietoje, pavyzdžiui, piniginėje ar piniginėje.

Tačiau slaptažodžių lapas problemos neišsprendžia. Ilgus slaptažodžius sunku ne tik įsiminti, bet ir įvesti. Situaciją apsunkina virtualios mobiliųjų įrenginių klaviatūros.

Bendraudami su daugybe paslaugų ir svetainių, daugelis vartotojų palieka identiškų slaptažodžių eilutę. Jie bando naudoti tą patį slaptažodį kiekvienai svetainei, visiškai nepaisydami rizikos.

Šiuo atveju kai kurios svetainės veikia kaip auklė, todėl derinys tampa sudėtingas. Dėl to vartotojas tiesiog neprisimena, kaip jis turėjo pakeisti savo standartinį vieną šios svetainės slaptažodį.

Problemos mastas buvo visiškai suvoktas 2009 m. Tada dėl saugumo spragos įsilaužėliui pavyko pavogti žaidimus feisbuke skelbiančios bendrovės RockYou.com prisijungimų ir slaptažodžių duomenų bazę. Užpuolikas padarė duomenų bazę viešai prieinamą. Iš viso jame buvo 32,5 mln. įrašų su paskyrų naudotojų vardais ir slaptažodžiais. Nutekėjimų būta ir anksčiau, tačiau šio konkretaus įvykio mastas parodė visą vaizdą.

Populiariausias RockYou.com slaptažodis buvo 123456, kurį naudojo beveik 291 000 žmonių. Vyrai iki 30 metų dažniau pirmenybę teikė seksualinėms temoms ir vulgarumui. Vyresni abiejų lyčių žmonės, rinkdamiesi slaptažodį, dažnai kreipdavosi į tam tikrą kultūros sritį. Pavyzdžiui, Epsilon793 neatrodo toks blogas variantas, tik toks derinys buvo Star Trek. Septynženklis 8675309 pasirodė daugybę kartų, nes šis skaičius buvo vienoje iš Tommy Tutone dainų.

Tiesą sakant, sukurti tvirtą slaptažodį yra paprasta užduotis, užtenka sudaryti atsitiktinių simbolių derinį.

Jūs negalite sukurti visiškai atsitiktinio derinio matematiniais terminais savo galvoje, bet iš jūsų to nereikia. Yra specialių paslaugų, kurios generuoja tikrai atsitiktinius derinius. Pavyzdžiui, jis gali sukurti tokius slaptažodžius:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Tai paprastas ir elegantiškas sprendimas, ypač tiems, kurie slaptažodžiams saugoti naudoja tvarkyklę.

Deja, dauguma vartotojų ir toliau naudoja paprastus, silpnus slaptažodžius, net nepaisydami taisyklės „kiekvienai svetainei skirtingi slaptažodžiai“. Jiems patogumas svarbiau nei saugumas.

Situacijos, kai gali būti pažeistos slaptažodžio saugumas, gali būti suskirstytos į 3 dideles kategorijas:

• Atsitiktinis, kuriame jūsų pažįstamas asmuo bando sužinoti slaptažodį, remdamasis informacija, kurią žino apie jus. Dažnai tokiam krekeriui norisi tik apgauti, ką nors apie tave sužinoti ar padaryti netvarką.
• Masinės atakoskai auka gali tapti absoliučiai bet kuris tam tikrų paslaugų vartotojas. Šiuo atveju naudojama specializuota programinė įranga. Atakai parenkamos mažiausiai saugios svetainės, kurios leidžia pakartotinai įvesti slaptažodžio parinktis per trumpą laiką.
• Tikslingakurie sujungia užuominų gavimą (kaip ir pirmuoju atveju) ir specializuotos programinės įrangos naudojimą (kaip masinės atakos metu). Tai yra bandymas gauti tikrai vertingą informaciją. Apsisaugoti padės tik pakankamai ilgas atsitiktinis slaptažodis, kurio parinkimas užtruks prilygstančią jūsų gyvenimo trukmei.

Kaip matote, auka gali tapti absoliučiai bet kas. Tokie teiginiai kaip „mano slaptažodis nebus pavogtas, nes aš niekam nereikalingas“nėra aktualūs, nes į panašią situaciją galite patekti visai atsitiktinai, atsitiktinai, be jokios aiškios priežasties.

Dar rimčiau apsaugoti slaptažodžius yra tiems, kurie turi vertingos informacijos, yra susiję su verslu ar konfliktuoja su kuo nors dėl finansinių priežasčių (pavyzdžiui, turto dalybos skyrybų procese, konkurencija versle).

2009 metais „Twitter“(visos paslaugos supratimu) buvo nulaužtas tik todėl, kad administratorius kaip slaptažodį panaudojo žodį laimė. Įsilaužėlis jį paėmė ir paskelbė „Digital Gangster“svetainėje, dėl ko buvo užgrobtos Obamos, Britney Spears, „Facebook“ir „Fox News“paskyros.

Akronimai

Kaip ir bet kuriuo kitu gyvenimo aspektu, visada turime rasti kompromisą tarp maksimalaus saugumo ir maksimalaus patogumo. Kaip rasti vidurį? Kokia slaptažodžių generavimo strategija leis sukurti stiprius derinius, kuriuos galima lengvai įsiminti?

Šiuo metu geriausias patikimumo ir patogumo derinys – frazę ar frazę paversti slaptažodžiu.

Pasirinktas žodžių rinkinys, kurį visada atsimenate, o kaip slaptažodis naudojamas kiekvieno žodžio pirmųjų raidžių derinys. Pavyzdžiui, Tegul jėga būna su jumis virsta Mtfbwy.

Tačiau kadangi garsiausios bus naudojamos kaip pradinės frazės, programos galiausiai gaus šiuos akronimus savo sąrašuose. Tiesą sakant, akronimas susideda tik iš raidžių, todėl objektyviai yra mažiau patikimas nei atsitiktinis simbolių derinys.

Tinkamos frazės pasirinkimas padės atsikratyti pirmosios problemos. Kodėl visame pasaulyje žinomą posakį paversti slaptažodžio santrumpa? Tikriausiai prisimenate kai kuriuos pokštus ir posakius, kurie aktualūs tik jūsų artimam ratui. Tarkime, išgirdote labai patrauklią frazę iš vietinės įstaigos barmeno. Panaudok tai.

Vis dėlto vargu ar jūsų sukurtas slaptažodžio santrumpas bus unikalus. Akronimų problema yra ta, kad skirtingos frazės gali būti sudarytos iš žodžių, prasidedančių tomis pačiomis raidėmis ir ta pačia seka. Statistiškai įvairiose kalbose tam tikros raidės dažniau pasirodo kaip žodžio pradžia. Programos atsižvelgs į šiuos veiksnius, todėl pradinės versijos akronimų veiksmingumas bus sumažintas.

Atvirkštinis būdas

Išeitis gali būti priešingas kartos būdas. Random.org sukuriate visiškai atsitiktinį slaptažodį, o tada jo simbolius paverčiate prasminga įsimintina fraze.

Dažnai paslaugos ir svetainės suteikia vartotojams laikinus slaptažodžius, kurie yra tie patys visiškai atsitiktiniai deriniai. Norėsis juos pakeisti, nes atsiminti nepavyks, o tik atidžiau pažiūrėjus, ir tampa akivaizdu: slaptažodžio atsiminti nereikia. Pavyzdžiui, paimkime kitą variantą iš random.org – RPM8t4ka.

Nors tai atrodo beprasmiška, mūsų smegenys net ir tokiame chaose sugeba rasti tam tikrus šablonus ir atitikmenis. Pirmiausia galite pastebėti, kad pirmosios trys raidės yra didžiosios, o kitos trys – mažosios. 8 yra du kartus (anglų kalba du kartus – t) 4. Šiek tiek pažiūrėkite į šį slaptažodį ir tikrai rasite savo asociacijų su siūlomu raidžių ir skaičių rinkiniu.

Jei galite įsiminti nesąmoningus žodžių rinkinius, naudokite juos. Tegul slaptažodis virsta apsisukimais per minutę 8 takelis 4 katty. Tiks bet kokia konversija, kurią jūsų smegenys išmano geriau.

Atsitiktinis slaptažodis yra auksinis informacijos saugumo standartas. Pagal apibrėžimą jis yra geresnis nei bet koks žmogaus sukurtas slaptažodis.

Akronimų trūkumas yra tas, kad laikui bėgant tokios technikos plitimas sumažins jos efektyvumą, o atvirkštinis metodas išliks toks pat patikimas, net jei visi žmonės žemėje juo naudosis tūkstantį metų.

Atsitiktinis slaptažodis nebus įtrauktas į populiarių derinių sąrašą, o užpuolikas, naudodamas masinės atakos metodą, tokį slaptažodį naudos tik grubia jėga.

Paimkime paprastą atsitiktinį slaptažodį, kuriame atsižvelgiama į didžiąsias raides ir skaičius – tai yra 62 galimi simboliai kiekvienai pozicijai. Jei slaptažodį padarysime tik 8 skaitmenimis, gausime 62 ^ 8 = 218 trilijonų parinkčių.

Net jei bandymų skaičius per tam tikrą laiko intervalą nėra ribojamas, labiausiai komerciškai specializuota programinė įranga, kurios talpa yra 2,8 milijardo slaptažodžių per sekundę, vidutiniškai sugais 22 valandas, ieškodama tinkamo derinio. Be abejo, prie tokio slaptažodžio pridedame tik 1 papildomą simbolį – ir jį nulaužti prireiks daug metų.

Atsitiktinis slaptažodis nėra nepažeidžiamas, nes jis gali būti pavogtas. Parinkčių gausu – nuo skaitymo klaviatūros įvesties iki fotoaparato ant peties.

Įsilaužėlis gali patekti į pačią paslaugą ir gauti duomenis tiesiai iš savo serverių. Šioje situacijoje niekas nepriklauso nuo vartotojo.

Vienas patikimas pagrindas

Taigi, mes priėjome prie pagrindinio dalyko. Kokią atsitiktinio slaptažodžio taktiką naudoti realiame gyvenime? Patikimumo ir patogumo balanso požiūriu „vieno stipraus slaptažodžio filosofija“puikiai pasireikš.

Principas yra tas, kad jūs naudojate tą patį pagrindą – itin stiprų slaptažodį (jo variantus) jums svarbiausiose paslaugose ir svetainėse.

Prisiminkite vieną ilgą ir sunkų derinį visiems.

Informacijos saugumo konsultantas Nickas Berry leidžia taikyti šį principą, jei slaptažodis yra labai gerai apsaugotas.

Kompiuteryje, iš kurio įvedate slaptažodį, kenkėjiškų programų buvimas neleidžiamas. Neleidžiama naudoti to paties slaptažodžio mažiau svarbioms ir linksmoms svetainėms - joms visiškai užtenka paprastesnių slaptažodžių, nes įsilaužimas į paskyrą čia nesukels jokių mirtinų pasekmių.

Aišku, kad patikimą bazę reikia kažkaip keisti kiekvienai svetainei. Paprasta parinktis – prie pradžios galite pridėti vieną raidę, kuri baigia svetainės ar paslaugos pavadinimą. Jei grįšime prie to atsitiktinio RPM8t4ka slaptažodžio, jis pavirs į kRPM8t4ka Facebook autorizacijai.

Užpuolikas, pamatęs tokį slaptažodį, negalės suprasti, kaip generuojamas jūsų banko sąskaitos slaptažodis. Problemos prasidės, jei kas nors gaus prieigą prie dviejų ar daugiau tokiu būdu sugeneruotų slaptažodžių.

slaptas klausimas

Kai kurie užgrobėjai visiškai nepaiso slaptažodžių. Jie veikia paskyros savininko vardu ir imituoja situaciją, kai pamiršote slaptažodį ir norite jį atkurti slaptu klausimu. Pagal šį scenarijų jis gali savo nuožiūra pakeisti slaptažodį, o tikrasis savininkas neteks prieigos prie savo paskyros.

2008 m. kažkas gavo prieigą prie Aliaskos gubernatoriaus ir tuo metu kandidatės į prezidentus Saros Palin el. Į slaptą klausimą, kuris skambėjo taip, įsilaužėlis atsakė: „Kur susipažinote su savo vyru?

Po 4 metų Mittas Romney, kuris tuo metu taip pat buvo kandidatas į JAV prezidentus, prarado keletą sąskaitų įvairiose tarnybose. Kažkas atsakė į slaptą klausimą apie Mitto Romney augintinio vardą.

Jūs jau atspėjote esmę.

Negalite naudoti viešų ir lengvai atspėjamų duomenų kaip slapto klausimo ir atsakymo.

Kyla klausimas net ne tai, kad šią informaciją galima kruopščiai išgauti internete ar iš artimų asmens bendražygių. Atsakymai į klausimus „gyvūno vardo“, „mėgstamiausios ledo ritulio komandos“ir pan. stiliumi puikiai parinkti iš atitinkamų populiarių variantų žodynų.

Kaip laikiną variantą galite naudoti atsakymo absurdiškumo taktiką. Paprasčiau tariant, atsakymas neturėtų turėti nieko bendra su slaptu klausimu. Motinos mergautinė pavardė? Difenhidraminas. Augintinio vardas? 1991 m.

Tačiau į tokią techniką, jei ji bus plačiai paplitusi, bus atsižvelgta atitinkamose programose. Absurdiški atsakymai dažnai būna stereotipiniai, tai yra, su kai kuriomis frazėmis susidursite daug dažniau nei su kitomis.

Tiesą sakant, nėra nieko blogo naudojant tikrus atsakymus, tereikia protingai pasirinkti klausimą. Jei klausimas nestandartinis, o atsakymą į jį žinote tik jūs ir po trijų bandymų neatspėsite, vadinasi, viskas tvarkoje. Tiesos pranašumas yra tas, kad laikui bėgant to nepamiršite.

PIN kodas

Asmens identifikavimo numeris (PIN) yra pigus užraktas, kuriam patikėti mūsų pinigai. Niekas nesivargina sukurti patikimesnės bent šių keturių skaičių kombinacijos.

Dabar sustok. Dabar. Šiuo metu, neskaitydami kitos pastraipos, pabandykite atspėti populiariausią PIN kodą. Pasiruošę?

Nickas Berry apskaičiavo, kad 11% JAV gyventojų naudoja 1234 kaip PIN kodą (kur jie gali patys jį pakeisti).

Piratai nekreipia dėmesio į PIN kodus, nes be fizinio kortelės buvimo kodas yra nenaudingas (tai iš dalies gali pateisinti mažą kodo ilgį).

Berry paėmė keturių skaitmenų slaptažodžių sąrašus, kurie pasirodė po nutekėjimo tinkle. Tikėtina, kad asmuo, naudojantis 1967 m. slaptažodį, jį pasirinko dėl priežasties. Antras pagal populiarumą PIN kodas yra 1111, o 6% žmonių teikia pirmenybę šiam kodui. Trečioje vietoje yra 0000 (2%).

Tarkime, kad žmogus, žinantis šią informaciją, rankose turi banko kortelę. Trys bandymai užblokuoti kortelę. Paprasta matematika rodo, kad šis asmuo turi 19 % tikimybę atspėti savo PIN kodą, jei iš eilės įveda 1234, 1111 ir 0000.

Tikriausiai dėl šios priežasties didžioji dauguma bankų patys priskiria PIN kodus išduodamoms plastikinėms kortelėms.

Tačiau daugelis žmonių išmaniuosius telefonus saugo PIN kodu ir čia galioja toks populiarumo įvertinimas: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 9999, 3333, 656,8, 563,8, 4321, 2001, 1010.

Dažnai PIN nurodo metus (gimimo metus arba istorinę datą).

Daugelis žmonių mėgsta PIN kodus daryti pasikartojančių skaičių porų pavidalu (be to, ypač populiarios poros, kuriose pirmasis ir antrasis skaičiai skiriasi vienu).

Mobiliųjų įrenginių skaitinės klaviatūros viršuje rodo tokias kombinacijas kaip 2580 – norint ją įvesti, pakanka atlikti tiesioginį perėjimą iš viršaus į apačią centre.

Korėjoje skaičius 1004 dera su žodžiu „angelas“, todėl šis derinys ten gana populiarus.

Rezultatas

1. Eikite į random.org ir sukurkite ten 5–10 kandidatų slaptažodžių.
2. Pasirinkite slaptažodį, kurį galite paversti įsimintina fraze.
3. Naudokite šią frazę, kad prisimintumėte slaptažodį.