Hogyan lehet erős jelszót létrehozni és megjegyezni

2024 Szerző: Malcolm Clapton | [email protected]. Utoljára módosítva: 2023-12-17 03:59

A legjobb módszerek olyan jelszó létrehozására, amelyet senki sem tud feltörni.

A legtöbb támadó nem törődik a kifinomult jelszólopási módszerekkel. Könnyen kitalálható kombinációkat vesznek fel. A jelenleg létező jelszavak körülbelül 1%-a nyers erejű négy próbálkozással.

Hogyan lehetséges ez? Nagyon egyszerű. Kipróbálja a világ négy leggyakoribb kombinációját: jelszó, 123456, 12345678, qwerty. Egy ilyen átjárás után átlagosan az összes "láda" 1% -a nyílik ki.

Tegyük fel, hogy Ön azon felhasználók 99%-a közé tartozik, akiknek a jelszava nem olyan egyszerű. Ennek ellenére figyelembe kell venni a modern hacker szoftverek teljesítményét.

Az ingyenes, ingyenesen elérhető John the Ripper program másodpercenként több millió jelszót ellenőriz. A speciális kereskedelmi szoftverek némelyike másodpercenként 2,8 milliárd jelszó kapacitását állítja be.

Kezdetben a feltörő programok végigfutják a statisztikailag leggyakrabban előforduló kombinációk listáját, majd hivatkoznak a teljes szótárra. Idővel a felhasználók jelszavai trendjei kissé változhatnak, és ezeket a változásokat figyelembe veszik az ilyen listák frissítésekor.

Idővel mindenféle webszolgáltatás és alkalmazás úgy döntött, hogy erőszakkal megbonyolítja a felhasználók által létrehozott jelszavakat. Követelmények kerültek be, amelyek szerint a jelszónak meghatározott minimális hosszúságúnak kell lennie, számokat, nagybetűket és speciális karaktereket kell tartalmaznia. Egyes szolgáltatók ezt annyira komolyan vették, hogy nagyon hosszú és fárasztó feladatba kerül egy olyan jelszó kidolgozása, amelyet a rendszer elfogad.

A fő probléma az, hogy szinte minden felhasználó nem generál igazán brute-force jelszót, hanem csak a jelszó összetételére vonatkozó rendszerkövetelményeket igyekszik minimálisra teljesíteni.

Az eredmény olyan jelszavak, mint a jelszó1, jelszó123, jelszó, jelszó, jelszó! és a hihetetlenül kiszámíthatatlan p @ ssword.

Képzelje el, hogy újra kell készítenie a Pókember jelszavát. Valószínűleg így fog kinézni: $ pider_Man1. Eredeti? Emberek ezrei fogják megváltoztatni ugyanazt vagy nagyon hasonló algoritmust használva.

Ha a cracker ismeri ezeket a minimális követelményeket, akkor a helyzet csak tovább romlik. Ez az oka annak, hogy a jelszavak összetettségének növelésére vonatkozó követelmény nem mindig biztosítja a legjobb biztonságot, és gyakran a fokozott biztonság hamis érzetét kelt.

Minél könnyebben megjegyezhető a jelszó, annál valószínűbb, hogy a cracker szótárakba kerül. Ennek eredményeként kiderül, hogy egy igazán erős jelszót egyszerűen lehetetlen megjegyezni, ami azt jelenti, hogy valahol javítani kell.

Szakértők szerint még ebben a digitális korszakban is bízhatnak az emberek egy papírdarabban, amelyre jelszavakat írnak. Kényelmes egy ilyen lapot a kíváncsi szemek elől rejtett helyen tartani, például egy pénztárcában vagy pénztárcában.

A jelszólap azonban nem oldja meg a problémát. A hosszú jelszavakat nemcsak megjegyezni, de beírni is nehéz. A helyzetet súlyosbítják a mobileszközök virtuális billentyűzetei.

Több tucat szolgáltatással és webhellyel együttműködve sok felhasználó egy sor azonos jelszót hagy maga után. Minden webhelyhez ugyanazt a jelszót próbálják használni, teljesen figyelmen kívül hagyva a kockázatokat.

Ebben az esetben egyes oldalak dadaként működnek, ami bonyolulttá kényszeríti a kombinációt. Ennek eredményeként a felhasználó egyszerűen nem emlékszik, hogyan kellett módosítania a webhely szabványos egyetlen jelszavát.

A probléma mértékét 2009-ben teljes mértékben felismerték. Aztán egy biztonsági rés miatt a hackernek sikerült ellopnia a Facebookon játékokat publikáló RockYou.com cég bejelentkezési adatait és jelszavait tartalmazó adatbázisát. A támadó nyilvánosan elérhetővé tette az adatbázist. Összesen 32,5 millió bejegyzést tartalmazott a fiókokhoz tartozó felhasználónévvel és jelszóval. Korábban is előfordultak kiszivárogtatások, de ennek a konkrét eseménynek a mértéke megmutatta a teljes képet.

A RockYou.com legnépszerűbb jelszava a 123456 volt, amelyet csaknem 291 000-en használtak. A 30 év alatti férfiak gyakrabban részesítették előnyben a szexuális témákat és a vulgaritást. Mindkét nemhez tartozó idősebbek gyakran a kultúra egy-egy területéhez fordultak a jelszó kiválasztásakor. Például az Epsilon793 nem tűnik olyan rossz lehetőségnek, csak ez a kombináció volt a Star Trekben. A hét számjegyű 8675309 sokszor megjelent, mert ez a szám szerepelt az egyik Tommy Tutone dalban.

Valójában egy erős jelszó létrehozása egyszerű feladat, elegendő véletlenszerű karakterek kombinációját összeállítani.

Nem tudsz matematikai értelemben tökéletesen véletlenszerű kombinációt létrehozni a fejedben, de nem is kötelező. Vannak speciális szolgáltatások, amelyek valóban véletlenszerű kombinációkat generálnak. Például ilyen jelszavakat hozhat létre:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ez egy egyszerű és elegáns megoldás, különösen azok számára, akik kezelőt használnak a jelszavak tárolására.

Sajnos a legtöbb felhasználó továbbra is egyszerű, gyenge jelszavakat használ, még akkor is figyelmen kívül hagyva a „minden webhelyhez eltérő jelszavak” szabályt. Számukra a kényelem fontosabb, mint a biztonság.

Azok a helyzetek, amelyekben a jelszavas biztonság veszélybe kerülhet, három nagy kategóriába sorolhatók:

• Véletlen, amelyben egy Ön által ismert személy megpróbálja kideríteni a jelszót, az Önről ismert információkra támaszkodva. Az ilyen ropogtatnivalók gyakran csak trükközni akarnak, megtudnak valamit rólad, vagy rendetlenséget akarnak csinálni.
• Tömeges támadásokamikor bizonyos szolgáltatások abszolút bármely felhasználója áldozattá válhat. Ebben az esetben speciális szoftvert használnak. A támadáshoz a legkevésbé biztonságos oldalakat választják ki, amelyek lehetővé teszik, hogy rövid időn belül ismételten beírja a jelszóbeállításokat.
• Tervszerűamelyek egyesítik a tippek fogadását (mint az első esetben) és a speciális szoftverek használatát (mint tömeges támadás esetén). Ez arról szól, hogy megpróbálunk igazán értékes információkat szerezni. Csak egy kellően hosszú véletlenszerű jelszó segít megvédeni magát, amelynek kiválasztása az élete időtartamához mérhető időt vesz igénybe.

Amint látja, abszolút bárki válhat áldozattá. Az olyan kijelentések, hogy „nem lopják el a jelszavamat, mert senkinek nem kellek”, nem relevánsak, mert teljesen véletlenül, véletlenül, minden látható ok nélkül kerülhet hasonló helyzetbe.

Ennél is komolyabb a jelszavas védelmet vállalni azok számára, akik értékes információkkal rendelkeznek, üzleti kapcsolatban állnak vagy anyagi okokból összeütközésbe kerülnek valakivel (például válás közbeni vagyonmegosztás, üzleti verseny).

2009-ben a Twittert (a teljes szolgáltatás értelmezésében) csak azért törték fel, mert a rendszergazda a boldogság szót használta jelszóként. A hacker felkapta és feltette a Digital Gangster weboldalra, ami Obama, Britney Spears, a Facebook és a Fox News fiókjainak eltérítéséhez vezetett.

Betűszavak

Mint az élet bármely más területén, mindig meg kell találnunk a kompromisszumot a maximális biztonság és a maximális kényelem között. Hogyan lehet középutat találni? Milyen jelszógenerálási stratégia teszi lehetővé, hogy erős, könnyen megjegyezhető kombinációkat hozzon létre?

Jelenleg a megbízhatóság és a kényelem legjobb kombinációja egy kifejezés vagy kifejezés jelszóvá alakítása.

A rendszer kiválaszt egy olyan szókészletet, amelyre mindig emlékszik, és az egyes szavak első betűinek kombinációját használja jelszóként. Például a Legyen veled az erő Mtfbwy-vé változik.

Mivel azonban a leghíresebbek lesznek a kezdeti kifejezések, a programok végül ezeket a rövidítéseket kapják a listájukban. Valójában a betűszó csak betűket tartalmaz, ezért objektíve kevésbé megbízható, mint a karakterek véletlenszerű kombinációja.

A megfelelő kifejezés kiválasztása segít megszabadulni az első problémától. Miért kell egy világhírű kifejezést jelszavas betűszóvá alakítani? Valószínűleg emlékszel néhány viccre és mondásra, amelyek csak az Ön szűk köre körében relevánsak. Tegyük fel, hogy hallott egy nagyon fülbemászó mondatot egy helyi intézmény csaposától. Használd.

Ennek ellenére az Ön által generált mozaikszó valószínűleg nem egyedi. A mozaikszavakkal az a probléma, hogy a különböző kifejezések azonos betűkkel kezdődő szavakból is összeállíthatók ugyanabban a sorrendben. Statisztikailag a különböző nyelvekben megnövekedett gyakorisággal fordulnak elő bizonyos betűk egy szó elején. A programok figyelembe veszik ezeket a tényezőket, és az eredeti változatban a rövidítések hatékonysága csökken.

Fordított út

A kiút a nemzedék ellenkezője is lehet. Létrehoz egy teljesen véletlenszerű jelszót a random.org oldalon, majd a karaktereit értelmes, emlékezetes kifejezéssé alakítja.

A szolgáltatások és webhelyek gyakran ideiglenes jelszavakat biztosítanak a felhasználóknak, amelyek ugyanazok a tökéletesen véletlenszerű kombinációk. Meg akarja változtatni őket, mert nem fog tudni emlékezni, csak nézze meg közelebbről, és nyilvánvalóvá válik: nem kell emlékeznie a jelszóra. Például vegyünk egy másik lehetőséget a random.org oldalról – RPM8t4ka.

Bár értelmetlennek tűnik, agyunk még ilyen káoszban is képes megtalálni bizonyos mintákat, megfeleléseket. Először is észreveheti, hogy az első három betű nagybetű, a következő három pedig kisbetű. A 8 kétszeres (angolul kétszer - t) 4. Nézze meg egy kicsit ezt a jelszót, és biztosan megtalálja a maga asszociációit a javasolt betű- és számkészlettel.

Ha meg tud memorizálni értelmetlen szókészleteket, akkor használja azt. Hagyja, hogy a jelszó fordulatszámra változzon percenként 8 track 4 katty. Bármilyen átalakítás, amiben az agyad jobb, megteszi.

A véletlenszerű jelszó az információbiztonság arany szabványa. Értelemszerűen jobb, mint bármely ember által létrehozott jelszó.

A rövidítések hátránya, hogy idővel egy ilyen technika elterjedése csökkenti a hatékonyságát, és a fordított módszer is ugyanolyan megbízható marad, még akkor is, ha a földön ezer évig minden ember használni fogja.

A véletlenszerű jelszó nem fog szerepelni a népszerű kombinációk listáján, és a tömeges támadási módszert használó támadó csak brutálisan erőszakolja meg az ilyen jelszót.

Vegyünk egy egyszerű véletlenszerű jelszót, amely figyelembe veszi a nagybetűket és a számokat – ez 62 lehetséges karakter minden pozícióhoz. Ha a jelszót csak 8 számjegyűvé tesszük, akkor 62 ^ 8 = 218 billió opciót kapunk.

Még ha a próbálkozások száma egy bizonyos időintervallumon belül nincs is korlátozva, a legkeresettebb, 2,8 milliárd jelszó/másodperc kapacitású szoftver átlagosan 22 órát tölt a megfelelő kombináció megtalálásával. Az biztos, hogy csak 1 további karaktert adunk egy ilyen jelszóhoz - és sok évbe telhet a feltörés.

A véletlenszerű jelszó nem sérthetetlen, mivel ellopható. A lehetőségek bőségesek, az olvasási billentyűzettől a kamera vállra helyezéséig.

A hacker megütheti magát a szolgáltatást, és közvetlenül a szervereiről kaphat adatokat. Ebben a helyzetben semmi sem múlik a felhasználón.

Egy megbízható alapozó

Szóval elérkeztünk a lényeghez. Milyen véletlenszerű jelszó-taktikákat kell használni a való életben? A megbízhatóság és a kényelem egyensúlya szempontjából az "egy erős jelszó filozófiája" jól megmutatkozik majd.

Az alapelv az, hogy ugyanazt az alapot használjon – egy szupererős jelszót (annak változatait) az Ön számára legfontosabb szolgáltatásokhoz és webhelyekhez.

Emlékezzen egy hosszú és nehéz kombinációra mindenki számára.

Nick Berry információbiztonsági tanácsadó megengedi ennek az elvnek az alkalmazását, feltéve, hogy a jelszó nagyon jól védett.

A rosszindulatú programok jelenléte azon a számítógépen, amelyről a jelszót megadja, nem megengedett. Nem szabad ugyanazt a jelszót használni kevésbé fontos és szórakoztató webhelyeken - az egyszerűbb jelszavak is elegendőek számukra, mivel a fiók feltörése itt nem jár végzetes következményekkel.

Egyértelmű, hogy a megbízható alapot minden oldalon változtatni kell valahogy. Egyszerű lehetőségként egyetlen betűt is hozzáadhat az elejéhez, amely az oldal vagy a szolgáltatás nevének végén van. Ha visszatérünk ehhez a véletlenszerű RPM8t4ka jelszóhoz, az kRPM8t4ka lesz a Facebook-engedélyezéshez.

A támadó egy ilyen jelszót látva nem fogja tudni megérteni, hogyan jön létre az Ön bankszámlájához tartozó jelszó. A problémák akkor kezdődnek, ha valaki hozzáfér két vagy több ilyen módon generált jelszavához.

titkos kérdés

Egyes gépeltérítők teljesen figyelmen kívül hagyják a jelszavakat. A fióktulajdonos nevében járnak el, és olyan helyzetet szimulálnak, amikor elfelejtette jelszavát, és egy titkos kérdéssel vissza szeretné állítani. Ebben a forgatókönyvben tetszés szerint megváltoztathatja a jelszót, és a valódi tulajdonos elveszíti hozzáférését a fiókjához.

2008-ban valaki hozzájutott Sarah Palin, Alaszka kormányzójának, és akkoriban egy elnökjelöltnek az emailjéhez. A betörő válaszolt a titkos kérdésre, ami így hangzott: "Hol találkoztál a férjeddel?"

Mitt Romney, aki akkor még amerikai elnökjelölt volt, 4 év után több számláját is elveszítette különböző szolgáltatásoknál. Valaki válaszolt egy titkos kérdésre Mitt Romney kedvencének nevével kapcsolatban.

A lényeget már kitaláltad.

Nem használhat nyilvános és könnyen kitalálható adatokat titkos kérdésként és válaszként.

Nem is az a kérdés, hogy ezeket az információkat gondosan ki lehet-e halászni az interneten vagy az illető közeli munkatársaitól. Az „állatnév”, „kedvenc jégkorongcsapat” stb. stílusában feltett kérdésekre adott válaszok tökéletesen kiválasztottak a népszerű lehetőségek megfelelő szótáraiból.

Ideiglenes lehetőségként használhatja a válasz abszurditásának taktikáját. Egyszerűen fogalmazva, a válasznak semmi köze nem lehet a titkos kérdéshez. Anyja leánykori neve? Difenhidramin. Kisállat név? 1991.

Az ilyen technikát azonban, ha széles körben elterjedtnek találják, figyelembe veszik a megfelelő programokban. Az abszurd válaszok gyakran sztereotípiák, vagyis egyes kifejezésekkel sokkal gyakrabban találkozhatunk, mint másokkal.

Valójában nincs semmi baj, ha valódi válaszokat adsz, csak okosan kell megválasztani a kérdést. Ha a kérdés nem szabványos, és a választ csak Ön tudja, és három próbálkozás után nem lehet kitalálni, akkor minden rendben van. Az őszinteség előnye, hogy idővel nem felejti el.

PIN kódot

A személyes azonosító szám (PIN) egy olcsó lakat, amellyel a pénzünket bízzák. Senki sem törődik azzal, hogy legalább e négy szám megbízhatóbb kombinációját hozza létre.

Most állj meg. Épp most. Most, a következő bekezdés elolvasása nélkül próbálja meg kitalálni a legnépszerűbb PIN kódot. Kész?

Nick Berry becslése szerint az Egyesült Államok lakosságának 11%-a használja az 1234-et PIN-kódként (ahol saját maga módosíthatja).

A hackerek nem figyelnek a PIN kódokra, mert a kód a kártya fizikai jelenléte nélkül használhatatlan (ez részben indokolhatja a kód kis hosszát).

Berry átvette a négy számjegyű jelszavak listáját, amelyek a hálózaton történt kiszivárogtatás után jelentek meg. Az 1967-es jelszót használó személy valószínűleg okkal választotta azt. A második legnépszerűbb PIN az 1111, és az emberek 6%-a ezt a kódot részesíti előnyben. A harmadik helyen 0000 (2%) áll.

Tegyük fel, hogy egy személy, aki ismeri ezt az információt, bankkártyát tart a kezében. Három kísérlet a kártya letiltására. Az egyszerű matematika azt mutatja, hogy ennek a személynek 19% az esélye, hogy kitalálja a PIN-kódját, ha egymás után beírja az 1234, 1111 és 0000 számokat.

Valószínűleg ezért a bankok túlnyomó többsége saját maga rendel PIN-kódot a kibocsátott plasztikkártyákhoz.

Sokan azonban PIN-kóddal védik az okostelefonokat, és itt a következő népszerűségi besorolás érvényes: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 9999, 3333, 636,8, 565,8, 4321, 2001, 1010.

A PIN-kód gyakran egy évet jelöl (születési év vagy történelmi dátum).

Sokan szeretnek ismétlődő számpárok formájában PIN-kódokat készíteni (sőt, különösen népszerűek azok a párok, ahol az első és a második szám eggyel különbözik).

A mobilkészülékek numerikus billentyűzete felül olyan kombinációkat jelenít meg, mint a 2580 - a beírásához elegendő, ha közvetlenül felülről lefelé halad át középen.

Koreában az 1004-es szám egybecseng az "angyal" szóval, ami miatt ez a kombináció igen népszerűvé teszi ott.

Eredmény

1. Nyissa meg a random.org webhelyet, és hozzon létre ott 5-10 jelölt jelszót.
2. Válassz egy jelszót, amelyet emlékezetes kifejezéssé alakíthatsz.
3. Használja ezt a kifejezést, hogy megjegyezze jelszavát.