Hoe om 'n sterk wagwoord te skep en te onthou

2024 Outeur: Malcolm Clapton | [email protected]. Laas verander: 2023-12-17 03:44

Die beste maniere om 'n wagwoord te skep wat niemand kan kraak nie.

Die meeste aanvallers steur hulle nie aan gesofistikeerde wagwoorddiefstalmetodes nie. Hulle neem maklik om te raai kombinasies. Ongeveer 1% van alle huidige bestaande wagwoorde kan brute-force wees met vier pogings.

Hoe is dit moontlik? Baie eenvoudig. Jy probeer die vier mees algemene kombinasies in die wêreld: wagwoord, 123456, 12345678, qwerty. Na so 'n deurgang word gemiddeld 1% van alle "kiste" oopgemaak.

Kom ons sê jy is onder daardie 99% gebruikers wie se wagwoord nie so eenvoudig is nie. Desondanks moet die werkverrigting van moderne inbraakprogrammatuur in ag geneem word.

Die gratis, vrylik beskikbare John the Ripper-program verifieer miljoene wagwoorde per sekonde. Sommige voorbeelde van gespesialiseerde kommersiële sagteware eis 'n kapasiteit van 2,8 miljard wagwoorde per sekonde.

Aanvanklik loop kraakprogramme deur 'n lys van die statisties mees algemene kombinasies, en verwys dan na die volledige woordeboek. Met verloop van tyd kan gebruikers se wagwoordneigings effens verander, en hierdie veranderinge word ingereken wanneer sulke lyste opgedateer word.

Met verloop van tyd het allerhande webdienste en toepassings besluit om wagwoorde wat deur gebruikers geskep is, met geweld te kompliseer. Vereistes is bygevoeg waarvolgens die wagwoord 'n sekere minimum lengte moet hê, syfers, hoofletters en spesiale karakters moet bevat. Sommige dienste het dit so ernstig opgeneem dat dit 'n baie lang en vervelige taak neem om met 'n wagwoord vorendag te kom wat die stelsel sal aanvaar.

Die sleutelprobleem is dat byna enige gebruiker nie 'n ware brute-force wagwoord genereer nie, maar net probeer om die stelsel se vereistes vir die samestelling van die wagwoord tot 'n minimum te voldoen.

Die resultaat is wagwoorde soos wagwoord1, wagwoord123, Wagwoord, WAGWOORD, wagwoord! en die ongelooflike onvoorspelbare p @ ssword.

Stel jou voor dat jy jou spiderman-wagwoord moet hermaak. Heel waarskynlik sal dit soos $ pider_Man1 lyk. Oorspronklik? Duisende mense sal dit verander deur dieselfde of baie soortgelyke algoritme te gebruik.

As die kraker hierdie minimum vereistes ken, dan word die situasie net erger. Dit is om hierdie rede dat die vereiste vereiste om die kompleksiteit van wagwoorde te verhoog nie altyd die beste sekuriteit bied nie, en dikwels 'n valse gevoel van verhoogde sekuriteit skep.

Hoe makliker die wagwoord is om te onthou, hoe groter is die kans dat dit in krakerwoordeboeke beland. As gevolg hiervan blyk dit dat 'n baie sterk wagwoord eenvoudig onmoontlik is om te onthou, wat beteken dat dit iewers reggemaak moet word.

Volgens kenners kan mense selfs in hierdie digitale era steeds staatmaak op 'n stuk papier met wagwoorde daarop geskryf. Dit is gerieflik om so 'n laken te hou op 'n plek wat weggesteek is vir gierige oë, byvoorbeeld in 'n beursie of beursie.

Die wagwoordblad los egter nie die probleem op nie. Lang wagwoorde is moeilik om nie net te onthou nie, maar ook om in te voer. Die situasie word vererger deur virtuele sleutelborde van mobiele toestelle.

In wisselwerking met dosyne dienste en werwe, laat baie gebruikers 'n string identiese wagwoorde agter. Hulle probeer om dieselfde wagwoord vir elke webwerf te gebruik, en ignoreer die risiko's heeltemal.

In hierdie geval tree sommige webwerwe op as 'n oppasser, wat die kombinasie dwing om ingewikkeld te wees. Gevolglik kan die gebruiker eenvoudig nie onthou hoe hy sy standaard enkele wagwoord vir hierdie webwerf moes verander nie.

Die omvang van die probleem is in 2009 ten volle besef. Toe, as gevolg van 'n sekuriteitsgat, het die kuberkraker daarin geslaag om die databasis van aanmeldings en wagwoorde van RockYou.com, die maatskappy wat speletjies op Facebook publiseer, te steel. Die aanvaller het die databasis publiek beskikbaar gestel. In totaal het dit 32,5 miljoen inskrywings met gebruikersname en wagwoorde vir rekeninge bevat. Lekkasies het al voorheen gebeur, maar die omvang van hierdie spesifieke gebeurtenis het die hele prentjie gewys.

Die gewildste wagwoord op RockYou.com was 123456, wat deur byna 291 000 mense gebruik is. Mans onder 30 het meer dikwels seksuele temas en vulgariteite verkies. Ouer mense van beide geslagte het hulle dikwels na 'n spesifieke kultuurgebied gewend wanneer hulle 'n wagwoord kies. Byvoorbeeld, Epsilon793 lyk nie na so 'n slegte opsie nie, net hierdie kombinasie was in Star Trek. Die sewesyfer 8675309 het baie keer verskyn omdat hierdie nommer in een van die Tommy Tutone-liedjies verskyn het.

Trouens, die skep van 'n sterk wagwoord is 'n eenvoudige taak, dit is genoeg om 'n kombinasie van ewekansige karakters saam te stel.

Jy kan nie 'n perfek ewekansige kombinasie in wiskundige terme in jou kop skep nie, maar jy hoef nie. Daar is spesiale dienste wat werklik ewekansige kombinasies genereer. Dit kan byvoorbeeld wagwoorde soos volg skep:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Dit is 'n eenvoudige en elegante oplossing, veral vir diegene wat 'n bestuurder gebruik om wagwoorde te stoor.

Ongelukkig gaan die meeste gebruikers voort om eenvoudige, swak wagwoorde te gebruik, en ignoreer selfs die "verskillende wagwoorde vir elke webwerf"-reël. Vir hulle is gerief belangriker as veiligheid.

Situasies waarin wagwoordsekuriteit gekompromitteer kan word, kan in 3 breë kategorieë verdeel word:

• Willekeurig, waarin 'n persoon wat jy ken probeer om die wagwoord uit te vind, op grond van inligting wat hy van jou weet. Dikwels wil so 'n klapper net 'n toertjie speel, iets oor jou uitvind of 'n gemors maak.
• Massa aanvallewanneer absoluut enige gebruiker van sekere dienste 'n slagoffer kan word. In hierdie geval word gespesialiseerde sagteware gebruik. Vir die aanval word die minste veilige werwe gekies, wat jou toelaat om herhaaldelik wagwoordopsies binne 'n kort tydperk in te voer.
• Doelgerigwat die ontvangs van wenke kombineer (soos in die eerste geval) en die gebruik van gespesialiseerde sagteware (soos in 'n massa-aanval). Dit gaan daaroor om te probeer om werklik waardevolle inligting in die hande te kry. Slegs 'n voldoende lang ewekansige wagwoord sal help om jouself te beskerm, waarvan die keuse tyd sal neem wat vergelykbaar is met die duur van jou lewe.

Soos jy kan sien, kan absoluut enige iemand 'n slagoffer word. Stellings soos “my wagwoord sal nie gesteel word nie, want niemand het my nodig nie” is nie relevant nie, want jy kan heel per ongeluk, per toeval, sonder enige duidelike rede in’n soortgelyke situasie beland.

Dit is selfs ernstiger om wagwoordbeskerming op te neem vir diegene wat waardevolle inligting het, met 'n besigheid geassosieer word of op finansiële gronde met iemand in konflik is (byvoorbeeld verdeling van eiendom in die proses van egskeiding, mededinging in besigheid).

In 2009 is Twitter (in die verstaan van die hele diens) gekap net omdat die administrateur die woord geluk as wagwoord gebruik het. Die kuberkraker het dit opgetel en op die Digital Gangster-webwerf geplaas, wat gelei het tot die kaping van die rekeninge van Obama, Britney Spears, Facebook en Fox News.

Akronieme

Soos in enige ander aspek van die lewe, moet ons altyd 'n kompromie vind tussen maksimum veiligheid en maksimum gerief. Hoe om 'n middeweg te vind? Watter strategie vir die generering van wagwoorde sal jou toelaat om sterk kombinasies te skep wat maklik onthou kan word?

Op die oomblik is die beste kombinasie van betroubaarheid en gerief om 'n frase of frase in 'n wagwoord om te skakel.

'n Stel woorde wat jy altyd onthou word gekies, en 'n kombinasie van die eerste letters van elke woord word as 'n wagwoord gebruik. Byvoorbeeld, May the force be with you verander in Mtfbwy.

Aangesien die bekendstes egter as die aanvanklike frases gebruik sal word, sal programme uiteindelik hierdie akronieme in hul lyste ontvang. Trouens, die akroniem bevat slegs letters, en is dus objektief minder betroubaar as 'n ewekansige kombinasie van karakters.

Die keuse van die regte frase sal jou help om van die eerste probleem ontslae te raak. Waarom 'n wêreldbekende uitdrukking in 'n akroniem wagwoord verander? Jy onthou waarskynlik 'n paar grappies en gesegdes wat net in jou nabye kring relevant is. Kom ons sê jy het 'n baie pakkende frase van 'n kroegman by 'n plaaslike onderneming gehoor. Gebruik dit.

Tog is dit onwaarskynlik dat die akroniem wagwoord wat jy gegenereer het uniek sal wees. Die probleem met akronieme is dat verskillende frases saamgestel kan word uit woorde wat met dieselfde letters en in dieselfde volgorde begin. Statisties, in verskeie tale, is daar 'n verhoogde frekwensie van die voorkoms van sekere letters as die begin van 'n woord. Die programme sal hierdie faktore in ag neem, en die doeltreffendheid van die akronieme in die oorspronklike weergawe sal verminder word.

Omgekeerde manier

Die uitweg kan die teenoorgestelde manier van generasie wees. Jy skep 'n heeltemal ewekansige wagwoord by random.org, en verander dan sy karakters in 'n betekenisvolle onvergeetlike frase.

Dikwels bied dienste en werwe gebruikers tydelike wagwoorde, wat dieselfde perfek ewekansige kombinasies is. Jy sal hulle wil verander, want jy sal nie kan onthou nie, maar kyk net van nader, en dit word duidelik: jy hoef nie die wagwoord te onthou nie. Byvoorbeeld, kom ons neem 'n ander opsie van random.org - RPM8t4ka.

Alhoewel dit betekenisloos lyk, is ons brein in staat om sekere patrone en ooreenkomste te vind selfs in sulke chaos. Om mee te begin, kan jy sien dat die eerste drie letters daarin hoofletters is en die volgende drie kleinletters. 8 is twee keer (in Engels twee keer - t) 4. Kyk bietjie na hierdie wagwoord, en jy sal sekerlik jou eie assosiasies met die voorgestelde stel letters en syfers vind.

As jy onsin stelle woorde kan memoriseer, gebruik dit dan. Laat die wagwoord verander in revolusies per minuut 8 snit 4 katty. Enige omskakeling waarmee jou brein beter is, sal doen.

’n Ewekansige wagwoord is die goue standaard in inligtingsekuriteit. Dit is per definisie beter as enige mensgemaakte wagwoord.

Die nadeel van akronieme is dat die verspreiding van so 'n tegniek mettertyd die doeltreffendheid daarvan sal verminder, en die omgekeerde metode sal net so betroubaar bly, selfs al sal alle mense op aarde dit vir 'n duisend jaar gebruik.

'n Ewekansige wagwoord sal nie by die lys van gewilde kombinasies ingesluit word nie, en 'n aanvaller wat 'n massa-aanvalmetode gebruik, sal so 'n wagwoord slegs brutaal dwing.

Kom ons neem 'n eenvoudige ewekansige wagwoord wat hoofletters en syfers in ag neem - dit is 62 moontlike karakters vir elke posisie. As ons die wagwoord slegs 8 syfers maak, kry ons 62 ^ 8 = 218 triljoen opsies.

Selfs al is die aantal pogings binne 'n sekere tydsinterval nie beperk nie, sal die mees kommersiële gespesialiseerde sagteware met 'n kapasiteit van 2,8 miljard wagwoorde per sekonde gemiddeld 22 uur spandeer om die regte kombinasie te probeer vind. Om seker te maak, ons voeg net 1 bykomende karakter by so 'n wagwoord - en dit sal baie jare neem om dit te kraak.

'n Ewekansige wagwoord is nie onkwesbaar nie, aangesien dit gesteel kan word. Die opsies is volop, van die lees van sleutelbordinvoer tot om 'n kamera oor jou skouer te hê.

'n Hacker kan die diens self tref en data direk vanaf sy bedieners kry. In hierdie situasie hang niks van die gebruiker af nie.

Een betroubare fondament

So, ons het by die belangrikste ding gekom. Wat is die ewekansige wagwoordtaktieke om in die werklike lewe te gebruik? Uit die oogpunt van die balans van betroubaarheid en gerief, sal die "filosofie van een sterk wagwoord" homself goed vertoon.

Die beginsel is dat jy dieselfde basis gebruik - 'n supersterk wagwoord (sy variasies) op die dienste en werwe wat vir jou die belangrikste is.

Onthou een lang en moeilike kombinasie vir almal.

Nick Berry, 'n inligtingsekuriteitskonsultant, laat toe dat hierdie beginsel toegepas word, mits die wagwoord baie goed beskerm word.

Die teenwoordigheid van wanware op die rekenaar waarvandaan jy die wagwoord invoer, word nie toegelaat nie. Dit word nie toegelaat om dieselfde wagwoord vir minder belangrike en vermaaklike webwerwe te gebruik nie - eenvoudiger wagwoorde is genoeg vir hulle, aangesien die inbraak van 'n rekening hier geen noodlottige gevolge sal inhou nie.

Dit is duidelik dat die betroubare basis op een of ander manier vir elke webwerf verander moet word. As 'n eenvoudige opsie kan u 'n enkele letter aan die begin byvoeg, wat die naam van die webwerf of diens beëindig. As ons teruggaan na daardie ewekansige RPM8t4ka-wagwoord, sal dit verander in kRPM8t4ka vir Facebook-magtiging.

'n Aanvaller wat so 'n wagwoord sien, sal nie kan verstaan hoe die wagwoord vir jou bankrekening gegenereer word nie. Probleme sal begin as iemand toegang kry tot twee of meer van jou wagwoorde wat op hierdie manier gegenereer word.

geheime vraag

Sommige kapers ignoreer wagwoorde heeltemal. Hulle tree op namens die rekeningeienaar en simuleer 'n situasie wanneer jy jou wagwoord vergeet het en dit met 'n geheime vraag wil herstel. In hierdie scenario kan hy die wagwoord na goeddunke verander, en die ware eienaar sal toegang tot sy rekening verloor.

In 2008 het iemand toegang gekry tot die e-pos van Sarah Palin, die goewerneur van Alaska, en op daardie stadium ook 'n presidensiële kandidaat. Die inbreker het die geheime vraag beantwoord, wat soos volg geklink het: "Waar het jy jou man ontmoet?"

Na 4 jaar het Mitt Romney, wat destyds ook 'n Amerikaanse presidentskandidaat was, verskeie van sy rekeninge op verskeie dienste verloor. Iemand het 'n geheime vraag oor die naam van Mitt Romney se troeteldier beantwoord.

Jy het reeds die punt geraai.

Jy kan nie publieke en maklik raai data as 'n geheime vraag en antwoord gebruik nie.

Die vraag is nie eers dat hierdie inligting noukeurig op die internet of by die persoon se naaste medewerkers uitgevis kan word nie. Antwoorde op vrae in die styl van "diernaam", "gunsteling hokkiespan" ensovoorts word perfek gekies uit die ooreenstemmende woordeboeke van gewilde opsies.

As 'n tydelike opsie kan jy die taktiek van die absurditeit van die antwoord gebruik. Om dit eenvoudig te stel, moet die antwoord niks met die geheime vraag te doen hê nie. Moeder se nooiens van? Difenhidramien. Troeteldiername? 1991.

So 'n tegniek, as dit wydverspreid gevind word, sal egter in die ooreenstemmende programme in ag geneem word. Absurde antwoorde word dikwels gestereotipeer, dit wil sê, sommige frases sal baie meer gereeld as ander teëgekom word.

Om die waarheid te sê, daar is niks verkeerd om regte antwoorde te gebruik nie, jy moet net die vraag wys kies. As die vraag nie-standaard is, en die antwoord daarop is net aan jou bekend en kan nie na drie pogings geraai word nie, dan is alles in orde. Die voordeel daarvan om eerlik te wees, is dat jy dit nie mettertyd sal vergeet nie.

SPELD

Persoonlike Identifikasienommer (PIN) is 'n goedkoop slot waarmee ons geld toevertrou is. Niemand doen die moeite om 'n meer betroubare kombinasie van ten minste hierdie vier nommers te skep nie.

Nou stop. Nou dadelik. Op die oomblik, sonder om die volgende paragraaf te lees, probeer om die gewildste PIN te raai. Klaar?

Nick Berry skat dat 11% van die Amerikaanse bevolking 1234 as hul PIN gebruik (waar hulle dit self kan verander).

Kuberkrakers gee nie aandag aan PIN-kodes nie, want die kode is nutteloos sonder die fisiese teenwoordigheid van die kaart (dit kan deels die klein lengte van die kode regverdig).

Berry het die lyste van viersyfer-wagwoorde geneem wat ná die lekkasies op die netwerk verskyn het. Die persoon wat die 1967-wagwoord gebruik, het dit waarskynlik om 'n rede gekies. Die tweede gewildste PIN is 1111, en 6% van mense verkies hierdie kode. In die derde plek is 0000 (2%).

Gestel 'n persoon wat hierdie inligting ken, het 'n bankkaart in sy hande. Drie pogings om die kaart te blokkeer. Eenvoudige wiskunde wys dat hierdie persoon 'n 19% kans het om hul PIN te raai as hulle 1234, 1111 en 0000 in volgorde invoer.

Waarskynlik om hierdie rede ken die oorgrote meerderheid banke self PIN-kodes toe aan uitgereikte plastiekkaarte.

Baie mense beskerm egter slimfone met 'n PIN-kode, en hier geld die volgende gewildheidgradering: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 6365, 8, 6565, 8, 6555, 8, 6555, 8, 655, 4321, 2001, 1010.

Dikwels verteenwoordig die PIN 'n jaar (geboortejaar of historiese datum).

Baie mense hou daarvan om PIN's te maak in die vorm van herhalende pare nommers (buitendien is pare waar die eerste en tweede nommers met een verskil, veral gewild).

Numeriese sleutelborde van mobiele toestelle vertoon kombinasies soos 2580 in die bokant - om dit te tik, is dit genoeg om 'n direkte gang van bo na onder in die middel te maak.

In Korea stem die nommer 1004 ooreen met die woord "engel", wat hierdie kombinasie baie gewild maak daar.

Uitkoms

1. Gaan na random.org en skep 5-10 kandidaatwagwoorde daar.
2. Kies 'n wagwoord wat jy in 'n onvergeetlike frase kan verander.
3. Gebruik hierdie frase om jou wagwoord te onthou.