Paano lumikha at matandaan ang isang malakas na password

2024 May -akda: Malcolm Clapton | [email protected]. Huling binago: 2023-12-17 04:13

Ang pinakamahusay na mga paraan upang lumikha ng isang password na walang sinuman ang maaaring basagin.

Karamihan sa mga umaatake ay hindi nag-abala sa mga sopistikadong paraan ng pagnanakaw ng password. Kumuha sila ng mga kumbinasyong madaling hulaan. Humigit-kumulang 1% ng lahat ng kasalukuyang umiiral na mga password ay maaaring maging malupit na may apat na pagtatangka.

Paano ito posible? Napakasimple. Subukan mo ang apat na pinakakaraniwang kumbinasyon sa mundo: password, 123456, 12345678, qwerty. Pagkatapos ng gayong sipi, sa karaniwan, 1% ng lahat ng "dibdib" ay binuksan.

Sabihin nating kabilang ka sa 99% ng mga user na ang password ay hindi gaanong simple. Gayunpaman, ang pagganap ng modernong software sa pag-hack ay dapat isaalang-alang.

Ang libre, malayang magagamit na John the Ripper na programa ay nagbe-verify ng milyun-milyong password bawat segundo. Ang ilang mga halimbawa ng espesyal na komersyal na software ay naghahabol ng kapasidad na 2.8 bilyong password bawat segundo.

Sa una, ang mga programa sa pag-crack ay tumatakbo sa isang listahan ng mga pinakakaraniwang kumbinasyon ayon sa istatistika, at pagkatapos ay sumangguni sa kumpletong diksyunaryo. Sa paglipas ng panahon, ang mga uso sa password ng mga user ay maaaring bahagyang magbago, at ang mga pagbabagong ito ay isinasali kapag ang mga naturang listahan ay na-update.

Sa paglipas ng panahon, nagpasya ang lahat ng uri ng mga serbisyo sa web at application na piliting gawing kumplikado ang mga password na ginawa ng mga user. Ang mga kinakailangan ay naidagdag, ayon sa kung saan ang password ay dapat magkaroon ng isang tiyak na minimum na haba, naglalaman ng mga numero, upper case at mga espesyal na character. Ang ilang mga serbisyo ay sineseryoso ito na nangangailangan ng isang talagang mahaba at nakakapagod na gawain upang makabuo ng isang password na tatanggapin ng system.

Ang pangunahing problema ay halos kahit sinong user ay hindi gumagawa ng isang tunay na brute-force na password, ngunit sinusubukan lamang na matugunan ang mga kinakailangan ng system para sa komposisyon ng password sa pinakamababa.

Ang resulta ay mga password tulad ng password1, password123, Password, PassWoRd, password! at ang hindi kapani-paniwalang unpredictable p @ ssword.

Isipin na kailangan mong gawing muli ang iyong password sa spiderman. Malamang na ito ay magmumukhang $ pider_Man1. Orihinal? Libu-libong tao ang babaguhin ito gamit ang pareho o halos kaparehong algorithm.

Kung alam ng cracker ang mga minimum na kinakailangan na ito, lalo lamang lumalala ang sitwasyon. Ito ay para sa kadahilanang ito na ang ipinataw na kinakailangan upang taasan ang pagiging kumplikado ng mga password ay hindi palaging nagbibigay ng pinakamahusay na seguridad, at madalas na lumilikha ng isang maling kahulugan ng tumaas na seguridad.

Kung mas madaling matandaan ang password, mas malamang na mauwi ito sa mga diksyunaryo ng cracker. Bilang isang resulta, lumalabas na ang isang talagang malakas na password ay imposibleng matandaan, na nangangahulugang kailangan itong ayusin sa isang lugar.

Ayon sa mga eksperto, kahit na sa digital age na ito, maaari pa ring umasa ang mga tao sa isang pirasong papel na may nakasulat na password. Ito ay maginhawa upang itago ang naturang sheet sa isang lugar na nakatago mula sa prying mata, halimbawa, sa isang pitaka o pitaka.

Gayunpaman, hindi malulutas ng password sheet ang problema. Ang mga mahabang password ay mahirap hindi lamang matandaan, kundi pati na rin ipasok. Ang sitwasyon ay pinalala ng mga virtual na keyboard ng mga mobile device.

Sa pakikipag-ugnayan sa dose-dosenang mga serbisyo at site, maraming user ang nag-iiwan ng isang string ng magkaparehong password. Sinusubukan nilang gamitin ang parehong password para sa bawat site, ganap na binabalewala ang mga panganib.

Sa kasong ito, ang ilang mga site ay kumikilos bilang isang nanny, na pinipilit na maging kumplikado ang kumbinasyon. Bilang resulta, hindi lang maalala ng user kung paano niya kailangang baguhin ang kanyang karaniwang solong password para sa site na ito.

Ang laki ng problema ay ganap na natanto noong 2009. Pagkatapos, dahil sa isang butas sa seguridad, nagawang nakawin ng hacker ang database ng mga login at password ng RockYou.com, ang kumpanyang nag-publish ng mga laro sa Facebook. Ginawa ng attacker na available sa publiko ang database. Sa kabuuan, naglalaman ito ng 32.5 milyong mga entry na may mga username at password sa mga account. Ang mga pagtagas ay nangyari na dati, ngunit ang sukat ng partikular na kaganapang ito ay nagpakita ng buong larawan.

Ang pinakasikat na password sa RockYou.com ay 123456, na ginamit ng halos 291,000 katao. Mas madalas na ginusto ng mga lalaking wala pang 30 taong gulang ang mga sekswal na tema at kahalayan. Ang mga matatandang tao ng parehong kasarian ay madalas na bumaling sa isang partikular na lugar ng kultura kapag pumipili ng isang password. Halimbawa, ang Epsilon793 ay hindi mukhang isang masamang opsyon, tanging ang kumbinasyong ito ay nasa Star Trek. Ang pitong-digit na 8675309 ay lumitaw nang maraming beses dahil ang numerong ito ay lumabas sa isa sa mga kanta ni Tommy Tutone.

Sa katunayan, ang paglikha ng isang malakas na password ay isang simpleng gawain, ito ay sapat na upang bumuo ng isang kumbinasyon ng mga random na character.

Hindi ka makakagawa ng perpektong random na kumbinasyon sa mga terminong pangmatematika sa iyong ulo, ngunit hindi ka kinakailangan. May mga espesyal na serbisyo na bumubuo ng tunay na random na mga kumbinasyon. Halimbawa, maaari itong lumikha ng mga password tulad nito:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ito ay isang simple at eleganteng solusyon, lalo na para sa mga gumagamit ng manager upang mag-imbak ng mga password.

Sa kasamaang palad, ang karamihan sa mga gumagamit ay patuloy na gumagamit ng simple, mahinang mga password, kahit na binabalewala ang "iba't ibang mga password para sa bawat site" na panuntunan. Para sa kanila, ang kaginhawahan ay mas mahalaga kaysa sa kaligtasan.

Ang mga sitwasyon kung saan maaaring makompromiso ang seguridad ng password ay maaaring nahahati sa 3 malawak na kategorya:

• Random, kung saan sinusubukan ng isang taong kilala mo na alamin ang password, umaasa sa impormasyong alam niya tungkol sa iyo. Kadalasan, ang gayong cracker ay nais lamang maglaro ng isang lansihin, malaman ang tungkol sa iyo, o gumawa ng gulo.
• Mass attackskapag ang sinumang gumagamit ng ilang partikular na serbisyo ay maaaring maging biktima. Sa kasong ito, ginagamit ang espesyal na software. Para sa pag-atake, pinipili ang hindi bababa sa ligtas na mga site, na nagbibigay-daan sa iyong paulit-ulit na magpasok ng mga pagpipilian sa password sa maikling panahon.
• May layuninna pinagsasama ang pagtanggap ng mga pahiwatig (tulad ng sa unang kaso) at ang paggamit ng espesyal na software (tulad ng sa isang mass attack). Ito ay tungkol sa pagsisikap na makakuha ng talagang mahalagang impormasyon. Ang isang sapat na mahabang random na password lamang ang makakatulong upang maprotektahan ang iyong sarili, ang pagpili nito ay magtatagal ng oras na maihahambing sa tagal ng iyong buhay.

Tulad ng nakikita mo, ganap na kahit sino ay maaaring maging biktima. Ang mga pahayag tulad ng "ang aking password ay hindi mananakaw, dahil walang nangangailangan sa akin" ay hindi nauugnay, dahil maaari kang makarating sa isang katulad na sitwasyon nang hindi sinasadya, nagkataon, nang walang maliwanag na dahilan.

Mas seryosong kumuha ng proteksyon ng password para sa mga may mahalagang impormasyon, nauugnay sa isang negosyo o salungat sa isang tao sa mga pinansiyal na batayan (halimbawa, paghahati ng ari-arian sa proseso ng diborsyo, kumpetisyon sa negosyo).

Noong 2009, ang Twitter (sa pag-unawa sa buong serbisyo) ay na-hack lamang dahil ginamit ng administrator ang salitang kaligayahan bilang isang password. Kinuha ito ng hacker at ipinost sa website ng Digital Gangster, na humantong sa pag-hijack sa mga account nina Obama, Britney Spears, Facebook at Fox News.

Mga acronym

Tulad ng sa anumang iba pang aspeto ng buhay, palagi tayong kailangang makahanap ng kompromiso sa pagitan ng maximum na kaligtasan at maximum na kaginhawahan. Paano makahanap ng gitnang lupa? Anong diskarte para sa pagbuo ng mga password ang magbibigay-daan sa iyong lumikha ng malalakas na kumbinasyon na madaling maalala?

Sa ngayon, ang pinakamahusay na kumbinasyon ng pagiging maaasahan at kaginhawahan ay ang pag-convert ng isang parirala o parirala sa isang password.

Ang isang hanay ng mga salita na palagi mong natatandaan ay pinili, at isang kumbinasyon ng mga unang titik mula sa bawat salita ay ginagamit bilang isang password. Halimbawa, Nawa'y maging Mtfbwy ang puwersa sa iyo.

Gayunpaman, dahil ang mga pinakasikat ay gagamitin bilang mga paunang parirala, sa kalaunan ay matatanggap ng mga programa ang mga acronym na ito sa kanilang mga listahan. Sa katunayan, ang acronym ay naglalaman lamang ng mga titik, at samakatuwid ay hindi gaanong maaasahan kaysa sa isang random na kumbinasyon ng mga character.

Ang pagpili ng tamang parirala ay makakatulong sa iyo na mapupuksa ang unang problema. Bakit gawing acronym password ang isang sikat na expression sa mundo? Marahil ay naaalala mo ang ilang mga biro at kasabihan na may kaugnayan lamang sa iyong malapit na bilog. Sabihin nating narinig mo ang isang napaka-kaakit-akit na parirala mula sa isang bartender sa isang lokal na establisimyento. Gamitin ito.

Gayunpaman, ang acronym na password na iyong nabuo ay malamang na hindi natatangi. Ang problema sa mga acronym ay ang iba't ibang mga parirala ay maaaring binubuo ng mga salita na nagsisimula sa parehong mga titik at sa parehong pagkakasunud-sunod. Ayon sa istatistika, sa iba't ibang wika, mayroong tumaas na dalas ng paglitaw ng ilang mga titik bilang simula ng isang salita. Isasaalang-alang ng mga programa ang mga salik na ito, at mababawasan ang bisa ng mga acronym sa orihinal na bersyon.

Baliktad na paraan

Ang daan palabas ay maaaring ang kabaligtaran na paraan ng henerasyon. Lumilikha ka ng ganap na random na password sa random.org, at pagkatapos ay gagawing makabuluhang di-malilimutang parirala ang mga character nito.

Kadalasan, ang mga serbisyo at site ay nagbibigay sa mga user ng mga pansamantalang password, na parehong perpektong random na kumbinasyon. Gusto mong baguhin ang mga ito, dahil hindi mo na matandaan, ngunit tingnan mo lang nang mas malapitan, at magiging halata: hindi mo kailangang tandaan ang password. Halimbawa, kumuha tayo ng isa pang opsyon mula sa random.org - RPM8t4ka.

Bagama't tila walang kabuluhan, ang ating utak ay nakakahanap ng ilang mga pattern at mga sulat kahit na sa gayong kaguluhan. Upang magsimula, maaari mong mapansin na ang unang tatlong titik dito ay uppercase, at ang susunod na tatlo ay lowercase. Ang 8 ay dalawang beses (sa Ingles dalawang beses - t) 4. Tumingin ng kaunti sa password na ito, at tiyak na mahahanap mo ang iyong sariling mga asosasyon sa iminungkahing hanay ng mga titik at numero.

Kung maaari mong kabisaduhin ang mga walang kapararakan na hanay ng mga salita, pagkatapos ay gamitin iyon. Hayaang maging revolutions ang password kada minuto 8 track 4 katty. Ang anumang conversion na mas mahusay sa iyong utak ay gagawin.

Ang isang random na password ay ang gintong pamantayan sa seguridad ng impormasyon. Ito ay, sa pamamagitan ng kahulugan, mas mahusay kaysa sa anumang password na ginawa ng tao.

Ang kawalan ng mga acronym ay na sa paglipas ng panahon, ang pagkalat ng naturang pamamaraan ay magbabawas ng pagiging epektibo nito, at ang reverse na pamamaraan ay mananatiling maaasahan, kahit na ang lahat ng tao sa mundo ay gagamitin ito sa loob ng isang libong taon.

Ang isang random na password ay hindi isasama sa listahan ng mga sikat na kumbinasyon, at ang isang umaatake na gumagamit ng isang mass attack na paraan ay pipilitin lamang ang gayong password.

Isaalang-alang natin ang isang simpleng random na password na isinasaalang-alang ang malalaking titik at mga numero - iyon ay 62 posibleng mga character para sa bawat posisyon. Kung gagawin nating 8 digit lang ang password, makakakuha tayo ng 62 ^ 8 = 218 trilyon na opsyon.

Kahit na ang bilang ng mga pagtatangka sa loob ng isang tiyak na agwat ng oras ay hindi limitado, ang pinaka-komersyal na espesyal na software na may kapasidad na 2.8 bilyong mga password bawat segundo ay gumugugol ng average na 22 oras sa pagsubok na hanapin ang tamang kumbinasyon. Para makasigurado, nagdaragdag lang kami ng 1 karagdagang character sa naturang password - at aabutin ng maraming taon para ma-crack ito.

Ang isang random na password ay hindi invulnerable, dahil maaari itong manakaw. Napakarami ng mga opsyon, mula sa pagbabasa ng keyboard input hanggang sa pagkakaroon ng camera sa iyong balikat.

Maaaring pindutin ng isang hacker ang serbisyo mismo at direktang makakuha ng data mula sa mga server nito. Sa sitwasyong ito, walang nakasalalay sa gumagamit.

Isang maaasahang pundasyon

Kaya, nakarating kami sa pangunahing bagay. Ano ang mga random na taktika ng password na gagamitin sa totoong buhay? Mula sa punto ng view ng balanse ng pagiging maaasahan at kaginhawahan, ang "pilosopiya ng isang malakas na password" ay magpapakita ng maayos.

Ang prinsipyo ay ginagamit mo ang parehong batayan - isang napakalakas na password (mga variation nito) sa mga serbisyo at site na pinakamahalaga sa iyo.

Tandaan ang isang mahaba at mahirap na kumbinasyon para sa lahat.

Si Nick Berry, isang consultant sa seguridad ng impormasyon, ay nagpapahintulot sa prinsipyong ito na mailapat, kung ang password ay napakahusay na protektado.

Ang pagkakaroon ng malware sa computer kung saan mo ipinasok ang password ay hindi pinapayagan. Hindi pinapayagan na gumamit ng parehong password para sa hindi gaanong mahalaga at nakakaaliw na mga site - ang mga mas simpleng password ay sapat na para sa kanila, dahil ang pag-hack ng isang account dito ay hindi magkakaroon ng anumang nakamamatay na kahihinatnan.

Malinaw na ang maaasahang base ay kailangang baguhin kahit papaano para sa bawat site. Bilang isang simpleng opsyon, maaari kang magdagdag ng isang titik sa simula, na nagtatapos sa pangalan ng site o serbisyo. Kung babalikan natin ang random na RPM8t4ka na password, ito ay magiging kRPM8t4ka para sa awtorisasyon sa Facebook.

Ang isang umaatake, na nakakakita ng ganoong password, ay hindi mauunawaan kung paano nabuo ang password para sa iyong bank account. Magsisimula ang mga problema kung magkakaroon ng access ang isang tao sa dalawa o higit pa sa iyong mga password na nabuo sa ganitong paraan.

Lihim na Katanungan

Ang ilang mga hijacker ay ganap na binabalewala ang mga password. Kumikilos sila sa ngalan ng may-ari ng account at ginagaya ang isang sitwasyon kapag nakalimutan mo ang iyong password at gusto mong ibalik ito gamit ang isang lihim na tanong. Sa sitwasyong ito, maaari niyang baguhin ang password sa kanyang kalooban, at mawawalan ng access ang tunay na may-ari sa kanyang account.

Noong 2008, may nakakuha ng access sa email ni Sarah Palin, ang gobernador ng Alaska, at sa oras na iyon ay kandidato rin sa pagkapangulo. Sinagot ng magnanakaw ang lihim na tanong, na parang ganito: "Saan mo nakilala ang iyong asawa?"

Pagkalipas ng 4 na taon, nawala si Mitt Romney, na isa ring kandidato sa pagkapangulo ng US noong panahong iyon, ang ilan sa kanyang mga account sa iba't ibang serbisyo. May sumagot ng lihim na tanong tungkol sa pangalan ng alaga ni Mitt Romney.

Nahulaan mo na ang punto.

Hindi mo maaaring gamitin ang publiko at madaling mahulaan na data bilang isang lihim na tanong at sagot.

Ang tanong ay hindi kahit na ang impormasyong ito ay maaaring maingat na makuha sa Internet o mula sa mga malapit na kasama ng tao. Ang mga sagot sa mga tanong sa estilo ng "pangalan ng hayop", "paboritong koponan ng hockey" at iba pa ay perpektong napili mula sa kaukulang mga diksyunaryo ng mga tanyag na pagpipilian.

Bilang pansamantalang opsyon, maaari mong gamitin ang taktika ng kahangalan ng sagot. Sa madaling salita, ang sagot ay dapat walang kinalaman sa lihim na tanong. Pangalan ng dalaga? Diphenhydramine. Pangalan ng alaga? 1991.

Gayunpaman, ang gayong pamamaraan, kung makikitang laganap, ay isasaalang-alang sa kaukulang mga programa. Ang mga walang katotohanan na sagot ay madalas na stereotype, ibig sabihin, ang ilang mga parirala ay mas madalas na makakatagpo kaysa sa iba.

Sa katunayan, walang masama sa paggamit ng tunay na mga sagot, kailangan mo lamang piliin ang tanong nang matalino. Kung ang tanong ay hindi pamantayan, at ang sagot dito ay kilala lamang sa iyo at hindi mahulaan pagkatapos ng tatlong pagtatangka, kung gayon ang lahat ay nasa ayos. Ang bentahe ng pagiging totoo ay hindi mo ito makakalimutan sa paglipas ng panahon.

PIN

Ang Personal Identification Number (PIN) ay isang murang lock na ipinagkatiwala sa ating pera. Walang sinuman ang nag-abala na lumikha ng isang mas maaasahang kumbinasyon ng hindi bababa sa apat na numerong ito.

Ngayon huminto. Ngayon na. Sa ngayon, nang hindi binabasa ang susunod na talata, subukang hulaan ang pinakasikat na PIN. handa na?

Tinatantya ni Nick Berry na 11% ng populasyon ng US ay gumagamit ng 1234 bilang kanilang PIN (kung saan maaari nilang baguhin ito mismo).

Ang mga hacker ay hindi binibigyang pansin ang mga PIN code dahil ang code ay walang silbi nang walang pisikal na presensya ng card (ito ay maaaring bahagyang bigyang-katwiran ang maliit na haba ng code).

Kinuha ni Berry ang mga listahan ng apat na digit na password na lumitaw pagkatapos ng mga pagtagas sa network. Ang taong gumagamit ng 1967 password ay malamang na pinili ito para sa isang dahilan. Ang pangalawang pinakasikat na PIN ay 1111, at 6% ng mga tao ang mas gusto ang code na ito. Sa ikatlong puwesto ay 0000 (2%).

Ipagpalagay na ang isang taong nakakaalam ng impormasyong ito ay may bank card sa kanyang mga kamay. Tatlong pagtatangka na harangan ang card. Ipinapakita ng simpleng matematika na ang taong ito ay may 19% na pagkakataong mahulaan ang kanilang PIN kung ipinasok nila ang 1234, 1111, at 0000 nang magkakasunod.

Marahil sa kadahilanang ito, ang karamihan sa mga bangko ay nagtatalaga ng mga PIN-code sa mga ibinigay na plastic card mismo.

Gayunpaman, maraming tao ang nagpoprotekta sa mga smartphone gamit ang isang PIN code, at dito nalalapat ang sumusunod na rating ng katanyagan: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33533, 33533, 685,, 4321, 2001, 1010.

Kadalasan, ang PIN ay kumakatawan sa isang taon (taon ng kapanganakan o makasaysayang petsa).

Maraming mga tao ang gustong gumawa ng mga PIN sa anyo ng mga paulit-ulit na pares ng mga numero (bukod dito, ang mga pares kung saan ang una at pangalawang numero ay nag-iiba ng isa ay lalong sikat).

Ang mga numerong keypad ng mga mobile device ay nagpapakita ng mga kumbinasyon tulad ng 2580 sa itaas - upang i-type ito, sapat na upang makagawa ng direktang daanan mula sa itaas hanggang sa ibaba sa gitna.

Sa Korea, ang bilang na 1004 ay kaayon ng salitang "anghel", na ginagawang medyo popular ang kumbinasyong ito doon.

kinalabasan

1. Pumunta sa random.org at lumikha ng 5-10 password ng kandidato doon.
2. Pumili ng password na maaari mong gawing di-malilimutang parirala.
3. Gamitin ang pariralang ito upang matandaan ang iyong password.