Sådan opretter og husker du en stærk adgangskode

Indholdsfortegnelse:

Akronymer
Omvendt vej
Et pålideligt fundament
hemmeligt spørgsmål
PIN
Resultat

Sådan opretter og husker du en stærk adgangskode

2024 Forfatter: Malcolm Clapton | [email protected]. Sidst ændret: 2023-12-17 03:51

De bedste måder at oprette en adgangskode på, som ingen kan knække.

De fleste angribere gider ikke sofistikerede metoder til adgangskodetyveri. De tager let-at gætte kombinationer. Omkring 1 % af alle eksisterende adgangskoder kan være brute-force med fire forsøg.

Hvordan er det muligt? Meget simpelt. Du prøver de fire mest almindelige kombinationer i verden: password, 123456, 12345678, qwerty. Efter en sådan passage åbnes i gennemsnit 1% af alle "kister".

Lad os sige, at du er blandt de 99 % af brugerne, hvis adgangskode ikke er så simpelt. Alligevel skal ydeevnen af moderne hackingsoftware tages i betragtning.

Det gratis, frit tilgængelige John the Ripper-program verificerer millioner af adgangskoder i sekundet. Nogle eksempler på specialiseret kommerciel software hævder en kapacitet på 2,8 milliarder adgangskoder i sekundet.

I første omgang kører cracking-programmer gennem en liste over de statistisk mest almindelige kombinationer og henviser derefter til den komplette ordbog. Over tid kan brugernes adgangskodetendenser ændre sig lidt, og disse ændringer tages med i betragtning, når sådanne lister opdateres.

Over tid besluttede alle mulige webtjenester og applikationer at tvinge adgangskoder oprettet af brugere. Der er tilføjet krav, hvorefter adgangskoden skal have en vis minimumslængde, indeholde tal, store bogstaver og specialtegn. Nogle tjenester tog dette så seriøst, at det tager en rigtig lang og kedelig opgave at komme med en adgangskode, som systemet ville acceptere.

Det centrale problem er, at næsten enhver bruger ikke genererer en ægte brute-force adgangskode, men kun forsøger at opfylde systemets krav til sammensætningen af adgangskoden til et minimum.

Resultatet er adgangskoder som password1, password123, password, password, password! og det utroligt uforudsigelige p @ ssword.

Forestil dig, at du skal lave din spiderman-adgangskode om. Mest sandsynligt vil det se ud som $ pider_Man1. Original? Tusindvis af mennesker vil ændre det ved hjælp af den samme eller meget lignende algoritme.

Hvis kikseren kender disse minimumskrav, så bliver situationen kun værre. Det er af denne grund, at det pålagte krav om at øge kompleksiteten af adgangskoder ikke altid giver den bedste sikkerhed og ofte skaber en falsk følelse af øget sikkerhed.

Jo nemmere adgangskoden er at huske, jo større sandsynlighed er der for, at den ender i cracker-ordbøger. Som et resultat viser det sig, at en rigtig stærk adgangskode simpelthen er umulig at huske, hvilket betyder, at den skal rettes et sted.

Ifølge eksperter, selv i denne digitale tidsalder, kan folk stadig stole på et stykke papir med adgangskoder skrevet på det. Det er praktisk at opbevare et sådant ark på et sted skjult for nysgerrige øjne, for eksempel i en tegnebog eller tegnebog.

Adgangskodearket løser dog ikke problemet. Lange adgangskoder er svære ikke kun at huske, men også at indtaste. Situationen forværres af virtuelle tastaturer på mobile enheder.

Når de interagerer med snesevis af tjenester og websteder, efterlader mange brugere en række identiske adgangskoder. De forsøger at bruge den samme adgangskode til hvert websted og ignorerer fuldstændigt risiciene.

I dette tilfælde fungerer nogle websteder som en barnepige, hvilket tvinger kombinationen til at være kompliceret. Som et resultat kan brugeren simpelthen ikke huske, hvordan han skulle ændre sin standard-enkelt adgangskode til dette websted.

Omfanget af problemet blev fuldt ud realiseret i 2009. Derefter lykkedes det hackeren på grund af et sikkerhedshul at stjæle databasen med logins og adgangskoder til RockYou.com, firmaet der udgiver spil på Facebook. Angriberen gjorde databasen offentligt tilgængelig. I alt indeholdt den 32,5 millioner poster med brugernavne og adgangskoder til konti. Der er sket lækager før, men omfanget af denne særlige begivenhed viste hele billedet.

Den mest populære adgangskode på RockYou.com var 123456, som blev brugt af næsten 291.000 mennesker. Mænd under 30 foretrak oftere seksuelle temaer og vulgariteter. Ældre mennesker af begge køn henvendte sig ofte til et bestemt kulturområde, når de valgte et kodeord. For eksempel virker Epsilon793 ikke som en så dårlig mulighed, kun denne kombination var i Star Trek. Det syvcifrede 8675309 dukkede op mange gange, fordi dette nummer optrådte i en af Tommy Tutone-sangene.

Faktisk er det en simpel opgave at skabe en stærk adgangskode, det er nok at komponere en kombination af tilfældige tegn.

Du kan ikke skabe en helt tilfældig kombination i matematiske termer i dit hoved, men du er ikke forpligtet til det. Der er specielle tjenester, der genererer virkelig tilfældige kombinationer. For eksempel kan den oprette adgangskoder som dette:

mvAWzbvf;
83cpzBgA;
tn6kDB4T;
2T9UPPd4;
BLJbsf6r.

Dette er en enkel og elegant løsning, især for dem, der bruger en manager til at gemme adgangskoder.

Desværre fortsætter de fleste brugere med at bruge simple, svage adgangskoder, selv ignorerer reglen om "forskellige adgangskoder til hvert websted". For dem er bekvemmelighed vigtigere end sikkerhed.

Situationer, hvor adgangskodesikkerheden kan kompromitteres, kan opdeles i 3 brede kategorier:

Tilfældig, hvor en person, du kender, forsøger at finde ud af adgangskoden, idet han stoler på oplysninger, han kender om dig. Ofte vil sådan en kiks kun spille et puds, finde ud af noget om dig eller lave noget rod.
Masseangrebnår absolut enhver bruger af visse tjenester kan blive et offer. I dette tilfælde bruges specialiseret software. Til angrebet vælges de mindst sikre websteder, som giver dig mulighed for gentagne gange at indtaste adgangskodeindstillinger på kort tid.
Målbevidstder kombinerer modtagelse af hints (som i det første tilfælde) og brugen af specialiseret software (som i et masseangreb). Det handler om at forsøge at få fat i virkelig værdifuld information. Kun en tilstrækkelig lang tilfældig adgangskode hjælper med at beskytte dig selv, hvis valg vil tage tid, der kan sammenlignes med varigheden af dit liv.

Som du kan se, kan absolut enhver blive et offer. Udsagn som "min adgangskode bliver ikke stjålet, fordi ingen har brug for mig" er ikke relevante, fordi du kan komme i en lignende situation helt tilfældigt, ved en tilfældighed, uden nogen åbenbar grund.

Det er endnu mere alvorligt at tage adgangskodebeskyttelse for dem, der har værdifulde oplysninger, er tilknyttet en virksomhed eller er i konflikt med nogen af økonomiske årsager (for eksempel bodeling i forbindelse med skilsmisse, konkurrence i erhvervslivet).

I 2009 blev Twitter (i forståelsen af hele tjenesten) kun hacket, fordi administratoren brugte ordet lykke som adgangskode. Hackeren samlede det op og lagde det ud på Digital Gangster-webstedet, hvilket førte til kapringen af Obamas, Britney Spears, Facebooks og Fox News' konti.

Akronymer

Som i ethvert andet aspekt af livet skal vi altid finde et kompromis mellem maksimal sikkerhed og maksimal bekvemmelighed. Hvordan finder man en mellemvej? Hvilken strategi for generering af adgangskoder giver dig mulighed for at skabe stærke kombinationer, der let kan huskes?

I øjeblikket er den bedste kombination af pålidelighed og bekvemmelighed at konvertere en sætning eller sætning til en adgangskode.

Der vælges et sæt ord, som du altid husker, og en kombination af de første bogstaver fra hvert ord bruges som adgangskode. For eksempel bliver May the force be with you til Mtfbwy.

Men da de mest berømte vil blive brugt som de indledende sætninger, vil programmer i sidste ende modtage disse akronymer i deres lister. Faktisk indeholder akronymet kun bogstaver og er derfor objektivt set mindre pålideligt end en tilfældig kombination af tegn.

At vælge den rigtige sætning hjælper dig med at slippe af med det første problem. Hvorfor forvandle et verdensberømt udtryk til et akronym password? Du husker sikkert nogle vittigheder og ordsprog, der kun er relevante i din nære kreds. Lad os sige, at du hørte en meget fængende sætning fra en bartender på en lokal virksomhed. Brug det.

Alligevel er det usandsynligt, at den akronymadgangskode, du genererede, er unik. Problemet med akronymer er, at forskellige sætninger kan være sammensat af ord, der starter med de samme bogstaver og i samme rækkefølge. Statistisk set er der på forskellige sprog en øget hyppighed af forekomsten af visse bogstaver som begyndelsen af et ord. Programmerne vil tage højde for disse faktorer, og effektiviteten af akronymerne i den originale version vil blive reduceret.

Omvendt vej

Vejen ud kan være den modsatte vej til generation. Du opretter en fuldstændig tilfældig adgangskode på random.org og forvandler derefter dens tegn til en meningsfuld mindeværdig sætning.

Tjenester og websteder giver ofte brugere midlertidige adgangskoder, som er de samme helt tilfældige kombinationer. Du vil gerne ændre dem, for du vil ikke være i stand til at huske det, men bare se nærmere, og det bliver tydeligt: du behøver ikke at huske adgangskoden. Lad os for eksempel tage en anden mulighed fra random.org - RPM8t4ka.

Selvom det virker meningsløst, er vores hjerne i stand til at finde visse mønstre og overensstemmelser selv i sådan et kaos. Til at begynde med kan du bemærke, at de første tre bogstaver i det er store bogstaver, og de næste tre er små. 8 er to gange (på engelsk to gange - t) 4. Kig lidt på denne adgangskode, og du vil helt sikkert finde dine egne associationer til det foreslåede sæt af bogstaver og tal.

Hvis du kan huske nonsens-sæt af ord, så brug det. Lad adgangskoden blive til omdrejninger i minuttet 8 spor 4 katty. Enhver konvertering, som din hjerne er bedre til, vil udføre.

Et tilfældigt kodeord er guldstandarden inden for informationssikkerhed. Det er per definition bedre end nogen menneskeskabt adgangskode.

Ulempen ved akronymer er, at spredningen af en sådan teknik over tid vil reducere dens effektivitet, og den omvendte metode vil forblive lige så pålidelig, selvom alle mennesker på jorden vil bruge den i tusind år.

En tilfældig adgangskode vil ikke blive inkluderet på listen over populære kombinationer, og en angriber, der bruger en masseangrebsmetode, vil kun brute force en sådan adgangskode.

Lad os tage en simpel tilfældig adgangskode, der tager højde for store bogstaver og tal - det er 62 mulige tegn for hver position. Hvis vi kun gør adgangskoden til 8 cifre, får vi 62 ^ 8 = 218 billioner muligheder.

Selvom antallet af forsøg inden for et bestemt tidsinterval ikke er begrænset, vil den mest kommercielle specialiserede software med en kapacitet på 2,8 milliarder adgangskoder i sekundet i gennemsnit bruge 22 timer på at finde den rigtige kombination. For at være sikker tilføjer vi kun 1 ekstra tegn til sådan en adgangskode - og det vil tage mange år at knække den.

Et tilfældigt kodeord er ikke usårligt, da det kan blive stjålet. Mulighederne er rigelige, lige fra at læse tastaturinput til at have et kamera over skulderen.

En hacker kan ramme selve tjenesten og få data direkte fra dens servere. I denne situation afhænger intet af brugeren.

Et pålideligt fundament

Så kom vi til det vigtigste. Hvad er den tilfældige adgangskode-taktik at bruge i det virkelige liv? Fra et synspunkt om balancen mellem pålidelighed og bekvemmelighed vil "filosofien om et stærkt kodeord" vise sig godt.

Princippet er, at du bruger det samme grundlag - et superstærkt kodeord (dets variationer) på de tjenester og websteder, der er vigtigst for dig.

Husk én lang og svær kombination for alle.

Nick Berry, en informationssikkerhedskonsulent, tillader, at dette princip anvendes, forudsat at adgangskoden er meget godt beskyttet.

Tilstedeværelsen af malware på den computer, hvorfra du indtaster adgangskoden, er ikke tilladt. Det er ikke tilladt at bruge den samme adgangskode til mindre vigtige og underholdende sider - enklere adgangskoder er ganske nok for dem, da hacking af en konto her ikke vil have fatale konsekvenser.

Det er klart, at den pålidelige base skal ændres på en eller anden måde for hvert websted. Som en simpel mulighed kan du tilføje et enkelt bogstav til begyndelsen, som afslutter navnet på webstedet eller tjenesten. Hvis vi går tilbage til den tilfældige RPM8t4ka-adgangskode, bliver den til kRPM8t4ka for Facebook-autorisation.

En angriber, der ser en sådan adgangskode, vil ikke være i stand til at forstå, hvordan adgangskoden til din bankkonto genereres. Problemer vil begynde, hvis nogen får adgang til to eller flere af dine adgangskoder genereret på denne måde.

hemmeligt spørgsmål

Nogle flykaprere ignorerer adgangskoder helt. De handler på vegne af kontoejeren og simulerer en situation, hvor du har glemt din adgangskode og ønsker at gendanne den med et hemmeligt spørgsmål. I dette scenarie kan han ændre adgangskoden efter eget ønske, og den sande ejer mister adgangen til sin konto.

I 2008 fik nogen adgang til e-mailen fra Sarah Palin, Alaskas guvernør, og på det tidspunkt også en præsidentkandidat. Indbrudstyven svarede på det hemmelige spørgsmål, som lød således: "Hvor mødte du din mand?"

Efter 4 år mistede Mitt Romney, som også var amerikansk præsidentkandidat på det tidspunkt, flere af sine konti på forskellige tjenester. Nogen besvarede et hemmeligt spørgsmål om navnet på Mitt Romneys kæledyr.

Du har allerede gættet pointen.

Du kan ikke bruge offentlige og let gættede data som et hemmeligt spørgsmål og svar.

Spørgsmålet er ikke engang, at disse oplysninger omhyggeligt kan fiskes ud på internettet eller fra personens nære medarbejdere. Svar på spørgsmål i stil med "dyrenavn", "favorit hockeyhold" og så videre er perfekt udvalgt fra de tilsvarende ordbøger over populære muligheder.

Som en midlertidig mulighed kan du bruge taktikken med det absurde i svaret. For at sige det enkelt, burde svaret ikke have noget at gøre med det hemmelige spørgsmål. Mors pigenavn? Diphenhydramin. Kælenavn? 1991.

Imidlertid vil en sådan teknik, hvis den findes udbredt, blive taget i betragtning i de tilsvarende programmer. Absurde svar er ofte stereotype, det vil sige, at nogle sætninger vil blive stødt på meget oftere end andre.

Faktisk er der intet galt i at bruge rigtige svar, du skal bare vælge spørgsmålet med omhu. Hvis spørgsmålet ikke er standard, og svaret på det kun er kendt for dig og ikke kan gættes efter tre forsøg, så er alt i orden. Fordelen ved at være sandfærdig er, at du ikke glemmer det med tiden.

Personal Identification Number (PIN) er en billig lås, som vores penge er betroet. Ingen gider at skabe en mere pålidelig kombination af mindst disse fire tal.

Stop nu. Lige nu. Lige nu, uden at læse det næste afsnit, prøv at gætte den mest populære PIN-kode. Parat?

Nick Berry anslår, at 11% af den amerikanske befolkning bruger 1234 som deres PIN-kode (hvor de selv kan ændre det).

Hackere er ikke opmærksomme på pinkoder, fordi koden er ubrugelig uden kortets fysiske tilstedeværelse (dette kan til dels retfærdiggøre den lille længde af koden).

Berry tog listerne over firecifrede adgangskoder, der dukkede op efter lækagen på netværket. Den person, der bruger 1967-adgangskoden, har sandsynligvis valgt det af en grund. Den næstmest populære pinkode er 1111, og 6 % af befolkningen foretrækker denne kode. På tredjepladsen er 0000 (2%).

Antag, at en person, der kender disse oplysninger, har et bankkort i hænderne. Tre forsøg på at spærre kortet. Simpel matematik viser, at denne person har en chance på 19 % for at gætte deres pinkode, hvis de indtaster 1234, 1111 og 0000 i rækkefølge.

Sandsynligvis af denne grund tildeler langt de fleste banker pin-koder til udstedte plastikkort.

Mange beskytter dog smartphones med en PIN-kode, og her gælder følgende popularitetsvurdering: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 8,6565, 8, 6555, 8, 6555, 8,, 4321, 2001, 1010.

Ofte repræsenterer PIN-koden et år (fødselsår eller historisk dato).

Mange mennesker kan lide at lave pinkoder i form af gentagelse af talpar (desuden er par, hvor det første og det andet tal adskiller sig med ét, særligt populære).

Numeriske tastaturer på mobile enheder viser kombinationer som 2580 i toppen - for at skrive det er det nok at lave en direkte passage fra top til bund i midten.

I Korea er tallet 1004 konsonant med ordet "engel", hvilket gør denne kombination ret populær der.