Ako vytvoriť a zapamätať si silné heslo

2024 Autor: Malcolm Clapton | [email protected]. Naposledy zmenené: 2023-12-17 04:09

Najlepšie spôsoby, ako vytvoriť heslo, ktoré nikto nedokáže prelomiť.

Väčšina útočníkov sa neobťažuje sofistikovanými metódami krádeže hesiel. Berú ľahko uhádnuteľné kombinácie. Približne 1 % všetkých v súčasnosti existujúcich hesiel možno použiť hrubou silou na štyri pokusy.

Ako je to možné? Veľmi jednoduché. Vyskúšate štyri najbežnejšie kombinácie na svete: heslo, 123456, 12345678, qwerty. Po takomto prechode sa v priemere otvorí 1% všetkých "prúd".

Povedzme, že patríte medzi tých 99 % používateľov, ktorých heslo nie je také jednoduché. Aj tak treba brať do úvahy výkon moderného hackerského softvéru.

Bezplatný, voľne dostupný program John the Ripper overí milióny hesiel za sekundu. Niektoré príklady špecializovaného komerčného softvéru uvádzajú kapacitu 2,8 miliardy hesiel za sekundu.

Spočiatku crackovacie programy prechádzajú zoznamom štatisticky najbežnejších kombinácií a potom odkazujú na úplný slovník. V priebehu času sa trendy hesiel používateľov môžu mierne zmeniť a tieto zmeny sa zohľadňujú pri aktualizácii takýchto zoznamov.

Postupom času sa všemožné webové služby a aplikácie rozhodli násilne skomplikovať heslá vytvárané používateľmi. Pribudli požiadavky, podľa ktorých musí mať heslo určitú minimálnu dĺžku, obsahovať čísla, veľké písmená a špeciálne znaky. Niektoré služby to brali tak vážne, že vymyslieť heslo, ktoré by systém akceptoval, trvá naozaj dlho a namáhavo.

Kľúčovým problémom je, že takmer každý používateľ nevygeneruje heslo skutočne hrubou silou, ale snaží sa len minimálne splniť požiadavky systému na zloženie hesla.

Výsledkom sú heslá ako heslo1, heslo123, heslo, heslo, heslo! a neuveriteľne nepredvídateľný meč p @.

Predstavte si, že potrebujete prerobiť heslo spidermana. S najväčšou pravdepodobnosťou to bude vyzerať ako $ pider_Man1. Originál? Tisíce ľudí to zmenia pomocou rovnakého alebo veľmi podobného algoritmu.

Ak cracker pozná tieto minimálne požiadavky, potom sa situácia len zhorší. Z tohto dôvodu uložená požiadavka na zvýšenie zložitosti hesiel neposkytuje vždy najlepšiu bezpečnosť a často vytvára falošný pocit zvýšenej bezpečnosti.

Čím je heslo ľahšie zapamätateľné, tým je pravdepodobnejšie, že skončí v crackerských slovníkoch. V dôsledku toho sa ukazuje, že skutočne silné heslo je jednoducho nemožné si zapamätať, čo znamená, že ho treba niekde opraviť.

Podľa odborníkov sa aj v tejto digitálnej dobe môžu ľudia stále spoľahnúť na papierik s napísanými heslami. Je vhodné uchovávať takúto plachtu na mieste skrytom pred zvedavými očami, napríklad v peňaženke alebo peňaženke.

Hárok s heslom však problém nerieši. Dlhé heslá sa ťažko nielen zapamätajú, ale aj zadajú. Situáciu sťažujú virtuálne klávesnice mobilných zariadení.

Mnoho používateľov pri interakcii s desiatkami služieb a stránok zanecháva reťazec rovnakých hesiel. Snažia sa používať rovnaké heslo pre každú stránku, pričom úplne ignorujú riziká.

V tomto prípade niektoré stránky fungujú ako opatrovateľka, čo núti kombináciu komplikovať. V dôsledku toho si používateľ jednoducho nemôže spomenúť, ako musel zmeniť svoje štandardné jednotné heslo pre túto stránku.

Rozsah problému sa naplno prejavil v roku 2009. Potom sa hackerovi kvôli bezpečnostnej diere podarilo ukradnúť databázu prihlasovacích údajov a hesiel spoločnosti RockYou.com, ktorá vydáva hry na Facebooku. Útočník sprístupnil databázu verejnosti. Celkovo obsahoval 32,5 milióna záznamov s používateľskými menami a heslami k účtom. K únikom došlo už predtým, ale rozsah tejto konkrétnej udalosti ukázal celý obraz.

Najpopulárnejšie heslo na RockYou.com bolo 123456, ktoré použilo takmer 291-tisíc ľudí. Muži do 30 rokov častejšie preferovali sexuálne témy a vulgarizmy. Starší ľudia oboch pohlaví sa pri výbere hesla často obracali na určitú oblasť kultúry. Napríklad Epsilon793 sa mi nezdá až taká zlá možnosť, len táto kombinácia bola v Star Treku. Sedemmiestne číslo 8675309 sa objavilo mnohokrát, pretože toto číslo sa objavilo v jednej z piesní Tommy Tutone.

V skutočnosti je vytvorenie silného hesla jednoduchá úloha, stačí poskladať kombináciu náhodných znakov.

Nemôžete vytvoriť dokonale náhodnú kombináciu z matematického hľadiska vo svojej hlave, ale nie je to od vás povinné. Existujú špeciálne služby, ktoré generujú skutočne náhodné kombinácie. Môže napríklad vytvárať heslá takto:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ide o jednoduché a elegantné riešenie najmä pre tých, ktorí na ukladanie hesiel používajú správcu.

Bohužiaľ, väčšina používateľov naďalej používa jednoduché, slabé heslá, dokonca ignoruje pravidlo „iné heslá pre každú stránku“. Pohodlie je pre nich dôležitejšie ako bezpečnosť.

Situácie, v ktorých môže byť ohrozená bezpečnosť hesla, možno rozdeliť do 3 širokých kategórií:

• Náhodný, v ktorej sa osoba, ktorú poznáte, snaží zistiť heslo, pričom sa spolieha na informácie, ktoré o vás vie. Často sa taký suchár chce iba zahrať, niečo o vás zistiť alebo urobiť neporiadok.
• Hromadné útokykedy sa obeťou môže stať úplne každý užívateľ určitých služieb. V tomto prípade sa používa špecializovaný softvér. Pre útok sa vyberajú najmenej zabezpečené stránky, ktoré umožňujú opakovane zadávať možnosti hesla v krátkom časovom úseku.
• Cieľavedomýktoré kombinujú prijímanie rád (ako v prvom prípade) a používanie špecializovaného softvéru (ako pri hromadnom útoku). Ide o snahu získať skutočne cenné informácie. K ochrane pomôže len dostatočne dlhé náhodné heslo, ktorého výber zaberie čas porovnateľný s dĺžkou vášho života.

Ako vidíte, obeťou sa môže stať úplne každý. Výroky typu „moje heslo vám neukradnú, pretože ma nikto nepotrebuje“nie sú relevantné, pretože do podobnej situácie sa môžete dostať úplne náhodou, zhodou okolností, bez zjavnej príčiny.

Ešte vážnejšia je ochrana heslom pre tých, ktorí majú cenné informácie, sú spojení s podnikaním alebo sú s niekým v konflikte z finančných dôvodov (napríklad rozdelenie majetku v procese rozvodu, konkurencia v podnikaní).

V roku 2009 bol Twitter (v ponímaní celej služby) hacknutý len preto, že administrátor použil ako heslo slovo šťastie. Hacker to zobral a zverejnil na webovej stránke Digital Gangster, čo viedlo k únosu účtov Obamu, Britney Spears, Facebooku a Fox News.

Skratky

Ako v každom inom aspekte života, vždy musíme nájsť kompromis medzi maximálnou bezpečnosťou a maximálnym pohodlím. Ako nájsť strednú cestu? Aká stratégia generovania hesiel vám umožní vytvárať silné kombinácie, ktoré sa dajú ľahko zapamätať?

V súčasnosti je najlepšou kombináciou spoľahlivosti a pohodlia previesť frázu alebo frázu na heslo.

Vyberie sa skupina slov, ktoré si vždy zapamätáte, a ako heslo sa použije kombinácia prvých písmen z každého slova. Napríklad May the force be with you sa zmení na Mtfbwy.

Keďže sa však ako počiatočné frázy použijú tie najznámejšie, programy nakoniec dostanú tieto skratky do svojich zoznamov. V skutočnosti skratka obsahuje iba písmená, a preto je objektívne menej spoľahlivá ako náhodná kombinácia znakov.

Výber správnej frázy vám pomôže zbaviť sa prvého problému. Prečo zmeniť svetoznámy výraz na skratkové heslo? Pravdepodobne si pamätáte niektoré vtipy a výroky, ktoré sú relevantné iba vo vašom blízkom kruhu. Povedzme, že ste počuli veľmi chytľavú frázu od barmana v miestnom podniku. Použi to.

Je však nepravdepodobné, že by vami vygenerovaná skratka hesla bola jedinečná. Problém skratiek je, že rôzne frázy môžu byť zložené zo slov začínajúcich na rovnaké písmená a v rovnakom poradí. Štatisticky je v rôznych jazykoch zvýšená frekvencia výskytu určitých písmen ako začiatku slova. Programy tieto faktory zohľadnia a účinnosť skratiek v pôvodnej verzii sa zníži.

Obrátený spôsob

Cesta von môže byť opačná cesta generácie. Na random.org vytvoríte úplne náhodné heslo a jeho znaky potom zmeníte na zmysluplnú zapamätateľnú frázu.

Služby a stránky často poskytujú používateľom dočasné heslá, čo sú úplne rovnaké dokonale náhodné kombinácie. Budete ich chcieť zmeniť, pretože si ich nebudete môcť zapamätať, stačí sa pozrieť bližšie a bude zrejmé: heslo si nemusíte pamätať. Zoberme si napríklad inú možnosť z random.org – RPM8t4ka.

Hoci sa to zdá nezmyselné, náš mozog je aj v takomto chaose schopný nájsť isté vzorce a korešpondencie. Na začiatok si môžete všimnúť, že prvé tri písmená sú veľké a ďalšie tri sú malé. 8 je dvakrát (v angličtine dvakrát - t) 4. Pozrite sa trochu na toto heslo a určite nájdete svoje vlastné asociácie s navrhovanou sadou písmen a číslic.

Ak si viete zapamätať nezmyselné sady slov, potom to použite. Nechajte heslo zmeniť na otáčky za minútu 8 stop 4 katty. Urobí každú konverziu, v ktorej je váš mozog lepší.

Náhodné heslo je zlatým štandardom v informačnej bezpečnosti. Podľa definície je lepšie ako akékoľvek heslo vytvorené ľuďmi.

Nevýhodou skratiek je, že časom rozšírenie takejto techniky zníži jej účinnosť a reverzná metóda zostane rovnako spoľahlivá, aj keď ju budú všetci ľudia na zemi používať tisíc rokov.

Náhodné heslo nebude zaradené do zoznamu obľúbených kombinácií a útočník, ktorý použije metódu hromadného útoku, si takéto heslo vynúti iba hrubou silou.

Zoberme si jednoduché náhodné heslo, ktoré berie do úvahy veľké písmená a čísla – to je 62 možných znakov pre každú pozíciu. Ak spravíme heslo len 8-miestne, dostaneme 62 ^ 8 = 218 biliónov možností.

Aj keď počet pokusov v určitom časovom intervale nie je obmedzený, najkomerčnejší špecializovaný softvér s kapacitou 2,8 miliardy hesiel za sekundu strávi hľadaním správnej kombinácie v priemere 22 hodín. Pre istotu k takémuto heslu pridávame iba 1 znak navyše – a jeho prelomenie bude trvať mnoho rokov.

Náhodné heslo nie je nezraniteľné, pretože môže byť ukradnuté. Možností je veľa, od čítania vstupu z klávesnice až po kameru cez rameno.

Hacker môže zasiahnuť samotnú službu a získať údaje priamo z jej serverov. V tejto situácii nič nezávisí od používateľa.

Jeden spoľahlivý základ

Tak sme sa dostali k tomu hlavnému. Aké sú taktiky náhodných hesiel na použitie v reálnom živote? Z pohľadu vyváženosti spoľahlivosti a pohodlia sa dobre ukáže „filozofia jedného silného hesla“.

Princíp spočíva v tom, že používate rovnaký základ – supersilné heslo (jeho variácie) na služby a stránky, ktoré sú pre vás najdôležitejšie.

Zapamätajte si jednu dlhú a ťažkú kombináciu pre každého.

Nick Berry, poradca pre informačnú bezpečnosť, umožňuje aplikovať tento princíp za predpokladu, že heslo je veľmi dobre chránené.

Prítomnosť škodlivého softvéru v počítači, z ktorého zadávate heslo, nie je povolená. Nie je dovolené používať rovnaké heslo pre menej dôležité a zábavné stránky - stačia im jednoduchšie heslá, pretože hacknutie účtu tu nebude mať žiadne fatálne následky.

Je jasné, že spoľahlivú základňu treba pre každú lokalitu nejako zmeniť. Jednoduchou možnosťou môžete na začiatok pridať jedno písmeno, ktoré končí názov stránky alebo služby. Ak sa vrátime k tomu náhodnému heslu RPM8t4ka, zmení sa na kRPM8t4ka na autorizáciu Facebooku.

Útočník, ktorý uvidí takéto heslo, nebude schopný pochopiť, ako sa generuje heslo k vášmu bankovému účtu. Problémy začnú, ak niekto získa prístup k dvom alebo viacerým vašim heslám vygenerovaným týmto spôsobom.

tajná otázka

Niektorí únoscovia heslá úplne ignorujú. Konajú v mene majiteľa účtu a simulujú situáciu, keď ste zabudli svoje heslo a chcete ho obnoviť tajnou otázkou. V tomto scenári si môže heslo ľubovoľne zmeniť a skutočný vlastník stratí prístup k svojmu účtu.

V roku 2008 sa niekto dostal k emailu Sarah Palin, guvernérky Aljašky a v tom čase aj prezidentskej kandidátky. Vlamač odpovedal na tajnú otázku, ktorá znela takto: "Kde ste sa zoznámili so svojím manželom?"

Po 4 rokoch prišiel Mitt Romney, ktorý bol v tom čase aj kandidátom na amerického prezidenta, o niekoľko účtov v rôznych službách. Niekto odpovedal na tajnú otázku o mene domáceho maznáčika Mitta Romneyho.

Pointu ste už uhádli.

Verejné a ľahko uhádnuteľné údaje nemôžete použiť ako tajnú otázku a odpoveď.

Otázkou nie je ani to, že tieto informácie možno opatrne vyloviť na internete alebo od blízkych spolupracovníkov danej osoby. Odpovede na otázky v štýle „meno zvieraťa“, „obľúbený hokejový tím“a tak ďalej sú dokonale vybrané zo zodpovedajúcich slovníkov obľúbených možností.

Ako dočasnú možnosť môžete použiť taktiku absurdnosti odpovede. Zjednodušene povedané, odpoveď by nemala mať nič spoločné s tajnou otázkou. Meno matky zaslobodna? difenhydramín. Meno domáceho zvieraťa? 1991.

Ak sa však takáto technika nájde rozšírená, bude sa brať do úvahy v príslušných programoch. Absurdné odpovede sú často stereotypné, to znamená, že s niektorými frázami sa stretnete oveľa častejšie ako s inými.

V skutočnosti nie je nič zlé na použití skutočných odpovedí, len treba múdro vyberať otázku. Ak je otázka neštandardná a odpoveď na ňu poznáte iba vy a nemožno ju uhádnuť po troch pokusoch, potom je všetko v poriadku. Výhoda pravdovravnosti je, že na to časom nezabudnete.

PIN

Osobné identifikačné číslo (PIN) je lacný zámok, ktorému sú zverené naše peniaze. Nikto sa neobťažuje vytvoriť spoľahlivejšiu kombináciu aspoň týchto štyroch čísel.

Teraz prestaň. Práve teraz. Práve teraz, bez čítania nasledujúceho odseku, skúste uhádnuť najobľúbenejší PIN. pripravený?

Nick Berry odhaduje, že 11 % obyvateľov USA používa číslo 1234 ako svoj PIN (kde si ho môžu sami zmeniť).

Hackeri si nevšímajú PIN kódy, pretože bez fyzickej prítomnosti karty je kód zbytočný (to môže čiastočne ospravedlniť malú dĺžku kódu).

Berry vzal zoznamy štvorciferných hesiel, ktoré sa objavili po únikoch na sieti. Osoba používajúca heslo z roku 1967 si ho pravdepodobne zvolila z nejakého dôvodu. Druhý najpopulárnejší PIN je 1111 a tento kód preferuje 6 % ľudí. Na treťom mieste je 0000 (2 %).

Predpokladajme, že osoba, ktorá pozná tieto informácie, má v rukách bankovú kartu. Tri pokusy o zablokovanie karty. Jednoduchá matematika ukazuje, že táto osoba má 19% šancu uhádnuť svoj PIN, ak zadá postupne 1234, 1111 a 0000.

Zrejme aj z tohto dôvodu si prevažná väčšina bánk prideľuje PIN-kódy vydaným plastovým kartám sama.

Mnoho ľudí si však smartfóny chráni PIN kódom a tu platí nasledovné hodnotenie obľúbenosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333,66, 86,86, 4321, 2001, 1010.

PIN často predstavuje rok (rok narodenia alebo historický dátum).

Mnoho ľudí si s obľubou vyrába PINy vo forme opakujúcich sa dvojíc čísel (navyše obľúbené sú najmä dvojice, kde sa prvé a druhé číslo líši jednou).

Číselné klávesnice mobilných zariadení zobrazujú kombinácie ako 2580 v hornej časti - na napísanie stačí urobiť priamy prechod zhora nadol v strede.

V Kórei je číslo 1004 v súlade so slovom „anjel“, vďaka čomu je tam táto kombinácia veľmi populárna.

Výsledok

1. Choďte na random.org a vytvorte si tam 5-10 kandidátskych hesiel.
2. Vyberte si heslo, ktoré môžete zmeniť na nezabudnuteľnú frázu.
3. Túto frázu použite na zapamätanie hesla.