כיצד ליצור ולזכור סיסמה מאובטחת
שירותי אינטרנט של טכנולוגיה / / December 19, 2019
רוב האקרים לא טורחים עם שיטות מתוחכמות של גניבת סיסמאות. הם לוקחים את קל לנחש שילובים. אודות 1% מכלל הסיסמה הקיימת כיום, אתה יכול לבחור מתוך ארבעה ניסיונות.
איך זה אפשרי? פשוט מאוד. אתה מנסה ארבעה הנפוץ ביותר בעולם בשילוב: סיסמה, 123,456, 12,345,678, QWERTY. לאחר מעבר כזה פותח על 1% בממוצע "ארונות".
תגיד אתה מוצא את עצמך באותם 99% ממשתמשי הסיסמה שלו הוא לא כל כך פשוט. גם במקרה כזה יש צורך להביא בחשבון את הביצועים של תוכנה מודרנית עבור פריצה.
ג'ון תוכנית חינם המרטש, אשר נמצא ברשות הציבור, מאפשר לכם לבדוק מיליוני סיסמאות בשנייה. דגימות בודדות של תוכנה מסחרית מתמחה להכריז על כוחה של 2.8 מיליארד סיסמאות בשנייה.
בתחילה, התכנית עבור שבירה כוננה את רשימת סטטיסטית השילובים הנפוצים ביותר, ולאחר מכן לפנות למילון המלא. עם נטל אותן בחשבון בעדכון רשימת מגמות לאורך זמן, אנשים בוחרים סיסמאות עשוי להשתנות מעט, ושינויים אלה.
במשך הזמן, כל מיני שירותי אינטרנט ויישומים החליטו סיסמאות לסבך בכוח שנוצרו על ידי המשתמשים. נוסף דרישה כי הסיסמה חייבת להיות באורך מינימאלי מסוים, כולל מספרים, אותיות גדולות ותווים מיוחדים. חלק משירותי לקח זה כל כך ברצינות כי מתקרב עם סיסמא שתיקח את המערכת, יש לנו באמת ארוך ומייגע.
הבעיה המרכזית היא כי כמעט כל משתמש הוא לא באמת ליצור מבחר הסיסמה עמיד, אבל רק מנסה לעמוד בדרישות המערכת המינימליות כדי בהרכב של הסיסמה.
התוצאה היא סיסמה בסגנון password1, password123, סיסמה, סיסמה, סיסמה! ו להפליא p צפוי @ ssword.
תאר לעצמך שאתה צריך לשנות ספיידרמן הסיסמה. עם סבירות גבוהה שזה ייראה כמו pider_Man1 $. מקורי? אלפי אנשים ישתנו אותו לאותו או אלגוריתם דומה מאוד.
אם תוקף יודע דרישות מינימום אלה, המצב רק הולך ומחמיר. מסיבה זו הם תמיד לא קבעה דרישה מסבך את הסיסמאות מספק יותר בטיחותולעתים קרובות יוצר תחושה מזויפת של ביטחון של גדילה.
כך קל יותר לזכור את הסיסמה, כך סביר יותר הוא להיכנס פיצוח מילוני תוכניות. בסופו של דבר, מתברר כי הוא באמת סיסמה מאובטחת הוא פשוט בלתי אפשרי לזכור, ולכן, זה צריך להיות איפשהו לתקן.
לדברי מומחים, אפילו בעידן זה של אנשי טכנולוגיה דיגיטליים עדיין יכולים להסתמך על פיסת נייר עם סיסמות שנכתבו עליו. סדין כזו אשר נשמר במקום מוסתר מעיניים חטטניות, למשל בתוך תיק או ארנק.
עם זאת, ברשימת הסיסמאות אינה פותרת את הבעיה. לונג סיסמאות קשה לא רק לזכור, אלא גם להיכנס. המצב אף מחמיר התקנים ניידים מקלדת וירטואלית.
אינטראקציה עם עשרות שירותים ואתרים, הרבה אנשים משאירים אחריהם שובל של סיסמות זהות. הם מנסים להשתמש באותה סיסמה עבור כל אתר, תוך התעלמות סיכונים לחלוטין.
במקרה זה, חלק מהאתרים לשמש אחות, שמוביל שילוב לסבך. כתוצאה מכך, המשתמש יכול פשוט לא תזכיראיך הוא היה צריך לשנות את הסיסמה ליחיד שלה עבור אתר זה.
היקף הבעיה התברר להבין באופן מלא 2009. ואז, בגלל חורי אבטחה האקרים הצליחו לגנוב שמות משתמש וסיסמאות מסד RockYou.com - החברה מפרסמת משחקים בפייסבוק. התוקף יש לשים את הבסיס בגישה פתוחה. כל זה הכיל 32.5 מיליון רשומות עם שמות משתמש וסיסמאות לחשבונות. הדלפות התרחשו בעבר, אך בקנה המידה של אירוע זה מוצג בתמונה כולה.
הסיסמה הפופולרית ביותר הייתה שילוב של ב RockYou.com 123,456. הוא שימש כמעט 291 000 אנשים. גברים עד 30 שנים רוב מעדיפות נושאים מיניים וולגרי. אנשים מבוגרים משני המינים פנו פעמים רבות באזור מסוים את סיסמא תרבות בחירה. לדוגמא, Epsilon793 נראה לא אופציה רעה כזאת, רק השילוב הזה היה מסע בין כוכבים. 8675309 שבע ספרות נפגשו פעמים רבות, כי מספר זה הופיע באחד השירים של טומי Tutone.
למעשה, יצירת סיסמאות חזקות - משימה פשוטה, זה מספיק כדי לעשות שילוב של תווים אקראיים.
אתה לא יכול ליצור שילוב מושלם של אקראיות במובן המתמטי בראשי, אך מכם הוא נדרש. ישנם שירותים מיוחדים, יצירת צירופים אקראיים באמת. לדוגמה, random.org ניתן ליצור סיסמאות כגון:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
זהו פתרון פשוט ואלגנטי, במיוחד למי להשתמש מנהל לאחסן סיסמאות.
למרבה הצער, רוב המשתמשים ממשיכים להשתמש בסיסמאות פשוטות אינן אמינות, אפילו התעלמות שלטון "סיסמה שונה לכל אתר." מבחינתם, את הנוחות שווה יותר מאשר בטיחות.
מצבים שבהם בטיחות אפשר להתפשר את הסיסמה, זה יכול להיות מחולק 3 קטגוריות רחבות:
- Randomבאילו הסיסמה מנסה למצוא מישהו שאתה מכיר, המבוסס על מידע המצוי בידיעה עלייך אליו. לעתים קרובות, כגון תוקף רוצה רק כיף לעשות, ללמוד משהו על ידך או לשחק טריק מלוכלך.
- התקפה מסיביתכאשר הקורבן יכול להיות בהחלט לכל משתמש של שירותים מסוימים. במקרה זה, שימוש תוכנה יעודית. עבור התוקף בוחר את האתרים המוגנים לפחות המאפשרים אפשרויות מרובות להזין סיסמה לתקופה קצרה של זמן.
- ממוקדשילוב רמזים מרמזים קבלה (במקרה הראשון) ואת השימוש בתוכנות מיוחדות (כמו בפיגוע ההמוני). כאן אנחנו מדברים על מנסים להשיג מידע רב ערך באמת. רק לעזור להגן בסיסמה מספיק זמן אקראי, הבחירה של אשר ייקח זמן, להשוות את משך שלך חיים.
כפי שאתה יכול לראות, הקורבן יכול להיות בהחלט מישהו. אמירות כגון "סיסמה לא לגנוב, כי אין לי אחד שאני צורך" אינו רלוונטי, כי אתה אתה יכול להיכנס למצב הזה במקרה, על ידי צירוף מקרים, בלי שום גלוי סיבות.
חמור עוד יותר לטפל בהגנה על סיסמאות לאלה שיש להם מידע בעל ערך הקשור לעסק או יש מישהו בסכסוך על בסיס של הנכס (למשל, חלוקת כספי גירושין, תחרות עסקים).
בשנת 2009, טוויטר (בהבנה של השירות כולו) נפרץ רק בגלל את סיסמת המנהל משמש אושר מילה. ההאקר הרים אותו להציב באתר גנגסטר דיגיטלי, אשר הוביל חטיפת חשבונות אובמה, בריטני ספירס, פייסבוק, ופוקס ניוז.
ראשי תיבות
כמו בכל היבט אחר של החיים, אנחנו תמיד צריכים למצוא פשרה בין אבטחה מקסימלית ונוחות מקסימלית. איך למצוא את שביל הזהב? מהי אסטרטגית דור הסיסמה תיצור שילובי עצמה שניתן לזכור בקלות?
כרגע, השילוב של אמינות ונוחות הטובה ביותר היא הסבת ביטוי או ביטויים הסיסמה.
נבחרי קבוצת מילות שאתה תמיד תזכור, ומהווה שילוב סיסמא של האותיות הראשונות של כל מילה. לדוגמה, מי ייתן כוח להיות איתך להמרה Mtfbwy.
עם זאת, מאז מקורי ביטויים סכום זה ישמש בידי המפורסם ביותר, בסופו של דבר התוכנית יקבלו ראשי תיבות אלה ברשימות שלהם. למעשה, ראשי התיבות מכילות אותיות בלבד, אלא משום אובייקטיבי פחות אמינות מאשר צירוף אקראי של תווים.
היפטר הנושא הראשון יעזור ביטויי הבחירה הנכונים. למה לפנות את הסיסמה-ניצב הביטוי המפורסם בעולם? אתה אולי זוכר כמה בדיחות וההצהרות אשר רלוונטיות רק בקרב המקורבים שלך. נניח שאתה שומע ביטוי מאוד קליט מ הברמן במוסד מקומי. השתמש בו.
ובכל זאת בקושי ראשי תיבות הסיסמה שלך שנוצר יהיה ייחודי. ראשי תיבות הבעיה הוא ביטויים שונים עשויים להיות מורכבים מילות המתחילות באותה האות, ו מסודרים באותו הרצף. סטטיסטית בשפות שונות יש שכיחות מוגברת של התרחשות של אותיות מסוימות במילים כמו למתחילים. תוכנית ייקח בחשבון גורמים אלה לבין האפקטיביות של ראשי תיבות בגרסה המקורית יירד.
להפוך את הדרך
הפתרון עשוי להיות שיטה להפקה הפוכה. אתה יוצר ב random.org סיסמא אקראית לחלוטין, ולאחר מכן להפוך אותו תווים משמעותיים ביטוי בלתי נשכח.
לעתים קרובות, בשירותים ובאתרי לתת למשתמשים את הסיסמה הזמנית, אשר רוב אלה צירופים אקראיים לחלוטין. אולי כדאי לשנות את זה, כי זה לא יהיה מסוגל לזכור, אבל זה שווה קצת יותר קרוב מבט, וזה הופך להיות ברור: את הסיסמה לזכור לא צריך. לדוגמה, לקחת את הגירסה הבאה עם random.org - RPM8t4ka.
למרות שהוא לא הגיוני, אבל המוח שלנו הוא מסוגל למצוא כמה סדירה ועקבי אפילו בכזה בלגן. כדי להתחיל עם יבחין כי שלוש האותיות הראשונות בה לאותיות רישיות, ושלושה הבא - גדולות וקטנות. 8 - כפול (באנגלית פעמיים - t) 4. תסתכל קצת על הסיסמה, ואתה בטוח כדי למצוא עמותות משלהם עם הסט של אותיות ומספרים המוצעים.
אם אתה יכול לשנן סט משמעות של מילים, אז להשתמש בו. בואו בתורו סיסמא לתוך סיבובים לדקה 8 מסלול 4 Katty. שיתאים לכל מרה, אשר "נעול" טוב למוח שלך.
סיסמה אקראית - זהו תקן הזהב במידע אבטחה. הוא מעצם הגדרתו טוב יותר מכל סיסמא שהמציאה אדם.
ראשי תיבות החיסרון הוא כי לאורך זמן, התפשטות טכניקה זו תפחית את יעילותו ואת שיטת ההחזר יהיה כפי אמין, גם אם כל האנשים בעולם ישתמשו בו במשך אלף שנים.
סיסמה אקראית אינו נופל לתוך רשימת השילובים פופולרי, ואת התוקף בשיטת מתקפה רבתי, להרים את הסיסמה רק בכוח הזרוע.
קח סיסמה אקראית פשוטה, בהתחשב רישיות דמויות - זה 62 תווים אפשריים עבור כל עמדה. אם אתם עושים סיסמא היא רק 8 ספרות, נקבל 62 ^ 8 = 218 טריליון אפשרויות.
גם אם מספר הפעמים בתוך פרק זמן מסוים אינו מוגבל, הכי מסחרי תוכנה מיוחדת בהספק של 2.8 מיליארד סיסמאות לשנייה בממוצע, לבלות 22 שעות על הבחירה של הרצויה שילוב. כדי לוודא שאנו להוסיף סיסמא רק 1 תווים נוספים - ואת שלו פריצת צורך במשך שנים רבות.
סיסמא אקראית אינה פגיעה, כפי שהוא יכול להיות גנוב. האפשרויות הן רבות, החל לקרוא קלט מקלדת וכלה המצלמה של הכתף שלך.
האקר יכול להכות את השירות עצמו ועל מנת לקבל נתונים ישירות מהשרתים שלה. בתרחיש זה, המשתמש אינו תלוי בשום דבר.
בסיס אמין ארצות
אז, עשינו אותו העיקרי. מה טקטיקות באמצעות סיסמה אקראית להשתמש בחיים האמיתיים? מנקודת מבט של האיזון אמין ואת הנוחות של טוב להראות את עצמו "הפילוסופיה של סיסמאות חזקות."
העיקרון הוא שאתה משתמש באותו בסיס - סיסמא יציבה סופר (הווריאציות שלה) כדי החשוב ביותר עבורך שירותים ואתרים.
זכור שילוב ארוך ומורכב של כוחות לכולם.
ניק בר, יועץ אבטחת מידע, מתיר את שימוש עיקרון כזה, ובלבד הסיסמה מוגנת היטב.
זה אסור הנוכחות של תוכנות זדוניות במחשב שממנו אתה מזין את הסיסמה. אין להשתמש באותה הסיסמה עבור פחות חשובים באתרים ובידור - הם די מספיק ליותר מ סיסמאות פשוטות כמו פריצה לחשבון שלך כאן לא יגרמו קטלנית השלכות.
מובן כי הבסיס האיתן שיש לנו איכשהו לשנות עבור כל אתר. כאופציה פשוט שאפשר להוסיף לחלק העליון של אות אחת, אשר מסתיימת עם שם האתר או השירות. אם לחזור סיסמה אקראית RPM8t4ka, אז להתחבר לפייסבוק, הוא יהפוך kRPM8t4ka.
תוקף שראה סיסמא לא תוכל להבין איך את הסיסמה שנוצרה שלך בנקאות חשבון. הבעיות מתחילות כאשר רווחי מישהו לגשת לשני או יותר של הסיסמה שנוצר בדרך זו.
שאלת אבטחה
חלק החוטפים כלל להתעלם סיסמאות. הם פועלים מטעם בעל החשבון ו לדמות מצב שבו שכחת את הסיסמה ורוצה מחדש השאלה הסודית שלו. בתרחיש כזה, הוא יכול לשנות את הסיסמה שלהם, אבל הבעלים האמיתי תאבד גישה לחשבון שלך.
בשנת 2008, מישהו קיבל גישה לדואר האלקטרוני של שרה פיילין, המושל באלסקה, ובשלב זה עדיין, והמועמד לנשיאות ארה"ב. תוקף ענה על שאלת האבטחה, אשר הייתה: "איפה פגשת את בעלך".
אחרי 4 שנים, מיט רומני, הוא גם מועמד לנשיאות ארה"ב דאז, איבד חלק חשבונותיהם על שירותים שונים. מישהו ענה שאלת אבטחה על איך מיט רומני המחמד שם.
ניחשת את המהות.
זה לא יכול לשמש שאלת אבטחה ותשובה ונתונים ציבוריים קלה לנחש.
הבעיה היא לא כי מידע זה יכול במדויק לחלץ באינטרנט או אדם בקירוב. תשובות לשאלות בסגנון של "הכינוי של החיה", "נבחרת הוקי אהובה," וכן הלאה להתאמה מושלמת מן המילונים המתאימים אפשרויות פופולריות.
כאופצית ביניים יכול להשתמש באסטרטגיה של תגובת אבסורד. אם אתה פשוט, התשובה לא צריכה שום דבר לעשות עם השאלה הסודית. שם הנעורים של אמא? Diphenhydramine. שם חיית המחמד שלך? 1991.
עם זאת, טכניקה דומה, אם היא מוצאת נפוצה, תילקח בחשבון בתוכניות הרלוונטיות. תשובות אבסורד קרובות הן סטריאוטיפיות, כלומר, ביטויים מסוימים יתרחשו הרבה יותר קרובות מאשר לאחרים.
למעשה, יש רע לא אמורה להשתמש התשובות האמיתיות, אתה צריך רק לבחור את השאלה בחוכמה. אם העניין הוא יוצא דופן, ואת התשובה ידועה רק לך ולא לנחש משלושה ניסיונות, אז הכל בסדר. פלוס התשובה האמיתית היא שאתה לא שוכח את זה לאורך זמן.
PIN
מספר זיהוי אישי (PIN) - מנעול זול כי מבטחנו כסף. אף אחד לא מודאג לגבי איך ליצור שילוב אמין יותר של לפחות ארבעה מספרים אלה.
עכשיו להפסיק. כרגע. עכשיו, מבלי לקרוא את הפסקה הבאה, לנסות לנחש את PIN קוד הפופולרי ביותר. מוכנים?
על פי ערכות של ניק בר, 11% משימושי האוכלוסייה בארה"ב כמו-קוד PIN (שבו אתה יכול לשנות את זה) שילוב של 1234.
האקרים לא לשים לב PIN קודים כי ללא נוכחות פיזית של קוד הכרטיס הוא חסר תועלת (בחלק זה יכול להיות מוצדק ובאורך קוד קטן).
ברים לקחו רשימות שמופיעות ברשת לאחר הדליפה של סיסמות, אשר הם שילובים של ארבע ספרות. סביר להניח שהאדם משתמש בסיסמא 1967 בחר בו מסיבה. הפופולריות שנית PIN - היא 1111, ו 6% מהאנשים בוחרים את הקוד הזה. במיקום השלישי 0000 (2%).
נניח בואו נראה להם לדעת את המידע הזה בידי מישהו אדם כרטיס אשראי. שלושה ניסיונות לחסום את הכרטיס. מתמטיקה פשוטה מאפשרת לחשב שהאדם הזה יש סיכוי 19% לנחש את PIN, אם זה עקבי יציג ב 1234, 1111 ו 0000.
כנראה מסיבה זו, הרוב המכריע של הבנקים להגדיר את קוד PIN כדי להנפיק כרטיסי פלסטיק עצמם.
עם זאת, רבים מוגנים טלפונים PIN קוד חכמים, ולאחר מכן מפעיל דירוג פופולריות של 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
לעתים קרובות PIN הוא כל שנה (שנת לידה או תאריך היסטורי).
אנשים רבים אוהבים לעשות PIN בזוגות חוזרים ונשנים של מספרים (זוג פופולארי מאוד, שבה הספרות הראשונה והשני שונה על ידי אחד).
פלט מקלדת ניידת דיגיטלית העליון לצייר כמו 2580 - להגדיר מספיק על מנת לבצע מעבר ישיר מלמעלה למטה באמצע.
בקוריאה, מספר 1004 עולה בקנה אחד עם המילה "מלאך", מה שהופך את השילוב הזה יש די פופולרי.
לגרום
- עבור אל random.org ולהפוך אותו 5-10 סיסמאות המועמדים.
- בחר סיסמה שתוכל להפוך ביטוי בלתי נשכח.
- שימוש בביטוי זה כדי לזכור את הסיסמה.
ראה גם:
- איך לשים סיסמה ל- BIOS, כדי להגן על המחשב שלך →
- איך לשים סיסמא על תיקייה ב- Windows או MacOS →
- 5 תוכניות שיסייעו לשים סיסמה על יישומים נבחרים אנדרואיד →
- שירות זה יאפשר לך לדעת איך בטוח הסיסמה החדשה →
- מה שאתה צריך לעשות עכשיו כדי להגן על נתונים אישיים באינטרנט →