Sådan oprettes og huske en sikker adgangskode
Webtjenester Af Teknologi / / December 19, 2019
De fleste hackere ikke gider med de sofistikerede metoder til at stjæle passwords. De tager det let at gætte kombinationer. Ca. 1% af alle de aktuelt eksisterende adgangskode, kan du vælge mellem fire forsøg.
Hvordan er dette muligt? Meget simpelt. Du prøver fire mest almindelige i verden kombineret: password, 123456, 12345678, qwerty. Efter en sådan passage åbner i gennemsnit 1% af "kister".
Sig du finde dig selv i dem, 99% af brugerne, hvis adgangskode er ikke så enkel. Selv i et sådant tilfælde er det nødvendigt at regne med udførelsen af moderne software til hacking.
Frit program John the Ripper, som er i det offentlige rum, kan du kontrollere millioner af passwords i sekundet. Individuelle prøver af specialiserede kommerciel software erklære magt på 2,8 milliarder passwords i sekundet.
I første omgang, at programmet for at bryde drevet fra en liste over statistisk de mest almindelige kombinationer, og drej til den fulde ordbogen. Med disse tages i betragtning ved at ajourføre listen over tendenser over tid, folk vælger passwords kan variere en smule, og disse ændringer.
Over tid, alle former for web services og applikationer, der har besluttet at tvinge komplicere adgangskoder oprettet af brugere. Lagt krav om, at adgangskoden skal have et vist minimum længde, indeholde tal, store bogstaver og specialtegn. Nogle tjenester tog dette så alvorligt, at der kommer op med en adgangskode, der ville tage systemet, vi har virkelig lang og kedelig.
Det centrale problem er, at næsten enhver bruger er egentlig ikke generere resistente adgangskode udvælgelse, men kun forsøger at opfylde minimum systemkravene til sammensætningen af adgangskode.
Resultatet er en password-stil password1, password123, adgangskode, adgangskode, adgangskode! og utrolig uforudsigelig p @ ssword.
Forestil dig, at du har brug for at ændre din adgangskode spiderman. Med stor sandsynlighed vil det ligne en $ pider_Man1. Original? Tusindvis af mennesker vil ændre det til den samme eller en meget lignende algoritme.
Hvis en hacker kender disse minimumskrav, er situationen kun blevet værre. Det er af denne grund ikke altid pålægges et krav komplicerer passwords giver bedre sikkerhedOg ofte skaber en falsk følelse af øget sikkerhed.
Jo lettere det er at huske adgangskoden, jo mere sandsynligt er det, at komme ind i revner programmer ordbøger. I sidste ende, viser det sig, er virkelig sikker adgangskode er simpelthen umuligt at huske, og derfor bør det være et eller andet sted fix.
Ifølge eksperter, selv i denne tid med digital teknologi mennesker er stadig i stand til at stole på et stykke papir med adgangskoder skrevet på det. En sådan plade, som er holdt i et skjult sted fra nysgerrige blikke, for eksempel i en pung eller tegnebog.
Men adgangskoder liste ikke løse problemet. Længe adgangskoder svært at ikke kun huske, men også at komme ind. Situationen forværres virtuelle tastatur mobile enheder.
Interaktion med dusinvis af tjenester og hjemmesider, mange mennesker efterlade et spor af identiske adgangskoder. De forsøger at bruge den samme adgangskode til alle steder, fuldstændig ignorerer risikoen.
I dette tilfælde, nogle steder fungere som en sygeplejerske, der fører til komplicere kombination. Som et resultat, kan brugeren simpelthen ikke tilbagekaldelseHvordan skulle han ændre sin standard enkelt adgangskode for det pågældende websted.
Omfanget af problemet viste sig at forstå fuldt ud i 2009. Så, på grund af sikkerhedshuller hackere formået at stjæle logins og database passwords rockyou.com - selskabet offentliggør spil på Facebook. Angriberen har sat foden i åben adgang. Alt det indeholdt 32,5 millioner plader med brugernavne og adgangskoder til regnskabet. Utætheder har fundet sted tidligere, men omfanget af denne begivenhed er vist hele billedet.
Den mest populære adgangskode var en kombination af RockYou.com 123456. Den blev brugt næsten 291 000 mennesker. Mænd op til 30 år mest foretrukne seksuelle temaer og vulgaritet. Ældre mennesker af begge køn ofte forvandlet til et bestemt område i udvælgelsen kultur adgangskode. For eksempel Epsilon793 synes ikke sådan en dårlig løsning, kun denne kombination var i Star Trek. 8675309 syv-cifret mødt mange gange, fordi dette nummer dukkede op i en af de sange af Tommy Tutone.
Faktisk, oprettelse af stærke adgangskoder - en enkel opgave, er det tilstrækkeligt at lave en kombination af tilfældige tegn.
Du kan ikke skabe en perfekt kombination af tilfældige i den matematiske mening i mit hoved, men af jer kræves det. Der er særlige tjenester, genererer ægte tilfældige kombinationer. For eksempel random.org kan skabe sådanne adgangskoder:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
Dette er en enkel og elegant løsning, især for dem, der bruger den leder til at gemme adgangskoder.
Desværre er de fleste brugere fortsætte med at bruge enkle passwords er upålidelige, selv ignorere reglen om "en anden adgangskode for hvert websted." For dem, bekvemmelighed er højere end sikkerheden værd.
Situationer, hvor sikkerhed kodeordet kan kompromitteres, kan det opdeles i 3 hovedkategorier:
- TilfældigI hvilke adgangskoden forsøger at finde en, du kender, baseret på kendte oplysninger om dig til ham. Ofte en sådan hacker ønsker kun at gøre grin, lære noget om dig eller spille en beskidt trick.
- massivt angrebNår offeret kunne være absolut enhver bruger af visse tjenester. I dette tilfælde brug specialiseret software. For angriberen vælger de mindst beskyttede steder der tillader flere muligheder for at indtaste en adgangskode for en kort periode.
- målrettetVed at kombinere modtagelse tyder hints (i det første tilfælde) og anvendelse af specialiserede software (som i massen angreb). Her taler vi om at forsøge at få virkelig værdifulde oplysninger. Kun beskytte en tilstrækkelig lang tilfældig adgangskode, udvælgelse af som vil tage tid, der kan sammenlignes med varigheden af din liv.
Som du kan se, kan offeret være absolut nogen. Udsagn som "password vil ikke stjæle, fordi jeg har ikke en jeg behov" er ikke relevant, fordi du Du kan komme ind i denne situation ved en tilfældighed, ved en tilfældighed, uden nogen synlig grunde.
Endnu mere alvorligt er at behandle beskyttelse af passwords til dem, der har værdifulde oplysninger relateret til erhvervslivet eller der er nogen i konflikten på grundlag af den finansielle (fx bodeling i skilsmisse, konkurrence virksomhed).
I 2009 Twitter (i forståelsen af hele tjeneste) er blevet kompromitteret, bare fordi administratoradgangskoden bruges som ordet lykke. Hacker tog den op og placeret på hjemmesiden Digital Gangster, som førte til kapringen af konti Obama, Britney Spears, Facebook, og Fox News.
akronymer
Som i alle andre aspekter af livet, vi altid nødt til at finde et kompromis mellem maksimal sikkerhed og maksimal komfort. Hvordan finder en mellemvej? Hvad er kodeordet generation strategi vil skabe en robust kombinationer, som du nemt kan huske?
I øjeblikket den bedste kombination af pålidelighed og bekvemmelighed er omdannelsen af en sætning eller sætninger i din adgangskode.
Udvalgt sæt af ord, som du altid vil huske, og fungerer som en adgangskode kombination af de første bogstaver i hvert ord. For eksempel, Må kraften være med dig omdannet til Mtfbwy.
Men da en original sætninger Den vil blive brugt af de mest berømte, i sidste ende vil programmet modtage disse akronymer i deres lister. Faktisk akronymet indeholder kun bogstaver, men fordi objektivt mindre pålidelige end en tilfældig kombination af tegn.
Slip af med det første spørgsmål vil hjælpe det rigtige valg sætninger. Hvorfor henvende sig til kodeordet-står den verdensberømte udtryk? Du kan måske huske nogle vittigheder og udsagn som er relevante kun blandt dine nære medarbejdere. Lad os sige, du hører en meget iørefaldende sætning fra en bartender på en lokal institution. Brug den.
Og dog næppe en password-genereret akronym du vil være unik. akronymer problem er, at forskellige sætninger kan bestå af ord, der begynder med det samme bogstav, og anbragt i den samme rækkefølge. Statistisk forskellige sprog der er en øget hyppighed af visse bogstaver i ord som begyndere. Programmet vil tage hensyn til disse faktorer og effektiviteten af akronymer i den oprindelige version vil falde.
vende måde
Opløsningen kan være en fremgangsmåde til generering af revers. Du opretter i Random.org helt tilfældig adgangskode, og derefter gøre det til meningsfulde tegn i en mindeværdig sætning.
Ofte tjenester og websteder giver brugere den midlertidige adgangskode, som er de fleste helt tilfældige kombinationer. Du ønsker måske at ændre det, fordi det ikke vil være i stand til at huske, men det er værd at lidt nærmere, og det bliver indlysende: adgangskoden for at huske og ikke har brug for. For eksempel tager den næste version med random.org - RPM8t4ka.
Selv om han ikke giver mening, men vores hjerne er i stand til at finde en vis regelmæssighed og konsistens, selv i sådan et rod. Til at begynde med vil du bemærke, at de tre første bogstaver i det store bogstaver, og de næste tre - små bogstaver. 8 - en dobbelt (på engelsk to gange - t) 4. Kig lidt på den adgangskode, og du er sikker på at finde deres egne foreninger med den foreslåede sæt af bogstaver og tal.
Hvis du kan huske en meningsløs sæt af ord, så brug det. Lad adgangskode bliver til omdrejninger i minuttet 8 spor 4 katty. Monter nogen konvertering, der er bedre "låst op" din hjerne.
Tilfældig adgangskode - det er den gyldne standard i de oplysninger sikkerhed. Han er per definition bedre end nogen adgangskode opfundet af mennesket.
akronymer Ulempen er, at over tid, vil udbredelsen af denne teknik reducere dets effektivitet og afkastet metode vil være så pålidelig, selv om alle mennesker i verden vil bruge det i tusind år.
Tilfældig adgangskode ikke falder ind på listen over populære kombinationer og angriberen ved anvendelse af fremgangsmåden masse angreb, afhente en adgangskode kun brute force.
Tag en simpel tilfældig adgangskode, overvejer store og tal - det er 62 mulige tegn for hver position. Hvis du laver en adgangskode er kun en 8-cifret, vi får 62 ^ 8 = 218 billioner muligheder.
Selv hvis det antal gange inden for en bestemt tidsperiode ikke er begrænset til, den mest kommercielle specialiseret software med en produktion på 2,8 milliarder passwords i sekundet i gennemsnit tilbringer 22 timer om valg af det ønskede kombination. For at sikre, at vi tilføjer en adgangskode kun 1 ekstra karakter - og hans hacking nødvendig i mange år.
Tilfældig adgangskode er ikke usårlig, da det kan være stjålet. Mulighederne er mange, lige fra at læse tastatur input og slutter med kameraet i din skulder.
En hacker kan ramme selve tjenesten og for at få data direkte fra sine servere. I dette scenarie har brugeren ikke afhænge af noget.
United pålideligt grundlag
Så vi gjorde det til det vigtigste. Hvad taktik ved hjælp af en tilfældig adgangskode for at bruge i det virkelige liv? Fra synspunkt af balancen Pålidelighed og bekvemmeligheden ved en god vise sig "filosofi stærke adgangskoder."
Princippet er, at du bruger samme grundlag - super stabil adgangskode (dens variationer) til vigtigst for dig tjenester og websteder.
Husk en lang og kompleks kombination af kræfter til alle.
Nick Berry, Information Security Consultant, tillader brugen af et sådant princip, forudsat at kodeordet er meget godt beskyttet.
Det er ikke tilladt tilstedeværelsen af ondsindet software på den computer, hvorfra du indtaster adgangskoden. Brug ikke den samme adgangskode til mindre vigtige steder og underholdning - de er ganske nok til mere end simpel passwords som hacking din konto her, vil ikke forårsage nogen fatal konsekvenser.
Det er underforstået, at det solide fundament, vi er nødt til at en eller anden måde ændre sig for hver lokalitet. Som en simpel mulighed kan du tilføje til toppen af et bogstav, der slutter med navnet på det websted eller tjeneste. Hvis du går tilbage til en tilfældig adgangskode RPM8t4ka, derefter logge ind på Facebook, vil han blive til en kRPM8t4ka.
En hacker, der så en adgangskode, vil ikke være i stand til at forstå, hvordan den genererede adgangskode til din bank -konto. Problemer begynder når nogen får adgang til to eller flere af din adgangskode genereret på denne måde.
sikkerhedsspørgsmål
Nogle flykaprere generelt ignorere adgangskoder. De handler på vegne af kontohaveren og simulere en situation, hvor du har glemt din adgangskode og ønsker at Genetabler hans hemmelige spørgsmål. I et sådant scenario, kan han ændre password på egen hånd, men den sande ejer mister adgangen til din konto.
I 2008 nogen fik adgang til e-mail af Sarah Palin, Alaska guvernør, og på det tidspunkt endnu, og amerikanske præsidentkandidat. En hacker besvaret sikkerhedsspørgsmålet, som var: "Hvor mødte du din mand".
Efter 4 år, Mitt Romney, er også en kandidat til amerikansk præsident på det tidspunkt, mistet nogle af deres konti på forskellige tjenester. Nogen besvaret et sikkerhedsspørgsmål om, hvordan Mitt Romney kælenavn.
Du gættede essensen.
Det kan ikke bruges som et sikkerhedsspørgsmål og svar og offentlige data nemt at gætte.
Spørgsmålet er ikke, at disse oplysninger præcist kan udtrække internettet eller personligt tilnærme. Svar på spørgsmålene i stil med "kaldenavnet på dyret", "favorit hockey hold," og så videre perfekt afstemt fra de tilsvarende ordbøger populære muligheder.
Som en midlertidig løsning kan bruge en strategi absurditet respons. Hvis du blot skal svaret ikke har noget at gøre med det hemmelige spørgsmål. Mors pigenavn? Diphenhydramin. Dit kæledyrs navn? 1991.
Men en lignende teknik, hvis den finder udbredt, vil blive taget i betragtning i de relevante programmer. Absurd svar er ofte stereotype, det vil sige nogle sætninger vil forekomme langt hyppigere end andre.
I virkeligheden er der ikke noget forkert at bruge de reelle svar, behøver du kun at vælge klogt spørgsmålet. Hvis sagen er usædvanlig, og svaret er kun kendt til dig og ikke til at gætte fra tre forsøg, så er alt i orden. Plus sandfærdig svar er, at du ikke glemmer det over tid.
PIN
Personligt identifikationsnummer (PIN) - en billig lås, der stoler på vores penge. Ingen er bekymrede for, hvordan man kan skabe en mere pålidelig kombination af mindst fire af disse numre.
Nu stopper. Lige nu. Nu, uden at læse det næste afsnit, forsøge at gætte den mest populære PIN-kode. Klar?
Ifølge estimater af Nick Berry, 11% af den amerikanske befolkning anvendelser som en PIN-kode (hvor du kan ændre den til) en kombination af 1234.
Hackere ikke er opmærksomme på PIN-koder for uden den fysiske tilstedeværelse af kortet koden er ubrugelig (delvis dette kan være berettiget, og en lille kode længde).
Berry tog lister vises på nettet efter lækage af adgangskoder, der er kombinationer af fire cifre. Det er sandsynligt, at den person, der bruger adgangskoden 1967 valgte det for en grund. Anden PIN popularitet - er 1111, og 6% af mennesker vælger denne kode. Ved det tredje sted 0000 (2%).
Lad os sige, at vide disse oplysninger i hænderne på en person nogen bankkort. Tre forsøg på at spærre kortet. Simple matematik gør det muligt at beregne, at denne person har en 19% chance for at gætte PIN-koden, hvis det konsekvent vil indføre i 1234, 1111 og 0000.
Formentlig af denne grund, at langt størstedelen af bankerne indstille PIN-kode til selv at udstede plastickort.
Men mange beskyttet PIN-kode smartphones, og derefter driver en popularitet rating på 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
Ofte PIN er noget år (fødselsår eller historisk dato).
Mange mennesker kan lide at gøre PIN i gentagne par numre (og meget populære par, hvor den første og anden cifre afviger en).
Digitalt tastatur mobil udgang i toppen tegne som 2580 - for at indstille sin nok til at gøre en direkte passage fra top til bund i midten.
I Korea er antallet af 1004 er i overensstemmelse med ordet "engel", hvilket gør denne kombination der er meget populært.
resultere
- Gå til random.org og gøre det 5-10 kandidater passwords.
- Vælg en adgangskode, som du kan blive til en mindeværdig sætning.
- Brug denne sætning til at huske adgangskoden.
Se også:
- Hvordan at sætte en adgangskode til BIOS, for at beskytte computeren →
- Hvordan at sætte en adgangskode på en mappe i Windows eller MacOS →
- 5 programmer, der vil hjælpe til at sætte en adgangskode på de udvalgte applikationer i Android →
- Denne service vil lade dig vide, hvor sikker din nye adgangskode →
- Hvad du skal gøre lige nu for at beskytte personoplysninger på internettet →