Crack this: How to pick strong passwords and keep them so way

uživatelské jméno a heslo shutterstock

Pokud existuje něco, co si lidé spojují s moderní technologií, jsou to hesla. Jsou všude a většina z nás je každý den používá pro desítky věcí. Přesto je většině lidí šokující lhostejnost ohledně zabezpečení heslem. Většina z nás pravděpodobně zná někoho, kdo používá stejné heslo všechno, ze svého počítače a e-mailu na své Facebook a bankovní účty - a toto heslo může být něco tak zřejmého, jako jsou jejich narozeniny nebo název ulice, kde vyrostly. A také pravděpodobně známe někoho, kdo má na boku monitoru lepicí poznámku označenou „Hesla“ (červeně, dvojitě podtrženo) se seznamem všeho od Twitteru až po Netflix, jen sedí na otevřeném místě, aby si ho kdokoli mohl přečíst.

Tyto praktiky mohou znít jako něco z generace našich prarodičů, ale není to tak úplně pravda: Minulý týden jsem sledoval plnohodnotného člena generace D, který se prostřednictvím svého notebooku snažil přesunout ze Samsung Galaxy S (ehm, Fascinate) na HTC Rezound počítač. Jak přesunul všechna svá hesla? V peněžence měl kousek papíru se „všemi svými hesly“ - a kolem Všechno myslel tři. Jeden pro e-mail a sociální sítě, jeden pro e-mail jeho pratety („Zkontroluji to pro ni“) a druhý pro všechno ostatní. Při pohledu přes rameno byla všechna tři každodenní slova: mophandle,tlumočník, a Lillian. Hádejte, která byla jeho teta?

Naštěstí existují jednoduché způsoby, jak učinit hesla těžko uhodnutelnými a snadno zapamatovatelnými. Technologický průmysl je bohužel někdy v cestě jejich používání. Zde je přehled běžných slabých míst v heslech a některé způsoby, jak můžete vylepšit svá hesla a online bezpečnost.

Nejasnost versus složitost

Obyčejná pravdivost hesel je, že by měla nikdy je snadné uhodnout. Většina technicky zdatných lidí souhlasí s tím, že by nikdo neměl používat jako heslo podrobnosti o sobě: to zahrnuje narozeniny, adresy a jména přátel a rodiny (včetně rodičů, sourozenců, manželů, dětí a dokonce i domácích mazlíčků). Podobně, Heslo dělá mimořádně špatné heslo - stejně jako všechny ostatní běžně používaná jednorázová hesla.

Tato vždyzelená rada se často interpretuje tak, že hesla by měla být obskurní, nebo výraz, o kterém by si nikdo nemyslel, že by si vybral, kdyby měl milion let. Ano, temný může fungovat - a je to zatraceně lepší pohled, než vybrat zjevné heslo. Nejasné heslo vás však chrání pouze před lidmi, kteří o vás něco vědí. Kurzy jsou, většina lidí se snaží prolomit vaše hesla ne znám tě.

K prolomení většiny hesel nedochází tak, jak je zobrazen ve filmech, kde Náš hrdina (nebo Darebák) sedí za klávesnicí, zkouší frázi nebo dvě, třese si bradu a poté špehuje fotografii z dětství na stole. Aha! Zadejte kouzelné slovo a rychle, bezpečnost obcházena. Ve skutečném světě je drtivá většina prolomení hesel automatizovaná, přičemž počítače doslova hází každé slovo ve slovníku (a pak i některé) na systém v naději, že narazí na správný termín. Tento přístup může fungovat, protože počítače si mohou hesla vyzkoušet mnohem rychleji, než je dokáže zadávat člověk, a mohou běžet 24 hodin denně, sedm dní v týdnu, bez přestávky v koupelně. Automatizované crackery hesel nevědí nic o uživatelích, které se snaží kompromitovat: jedná se o přístup hrubou silou.

Ukázalo se tedy, že klíč k silnému heslu není nejasnost ale jeho složitost- věci, díky nimž je méně pravděpodobné, že bude uhodnut automatickým crackerem hesel. Vytvoření dobrého komplexního hesla však znamená trochu vědět o tom, jak se hesla porušují.

klíč hesla ShutterstockLámání hesel

Obecně řečeno, crackery hesel mají obvykle dva přístupy. Jedním z nich je doslova vyzkoušet předem sestavený seznam možných hesel. Obvykle vycházejí z velmi běžných hesel (jako Heslo nebo qwerty) a propracovat se k méně obvyklým termínům a nakonec použít seznam slov sestavený z online slovníku a dalších zdrojů. Tento přístup pravděpodobně najde hesla, která jsou platnými slovy nebo variantami, i když jsou nejasná.

Dalším přístupem k prolomení hesla je vyzkoušet platné posloupnosti písmen, čísel a symbolů bez ohledu na jejich význam. Cracker hesel využívající tento přístup by mohl začít s aaaaaaaa pro osmimístné heslo, zkuste to aaaaaaab pak aaaaaaac a tak dále až po abecedu, skrze kombinace malých a velkých písmen a házení čísly a symboly. Tento přístup pravděpodobně najde hesla, která jsou „strojově přátelská“ nebo náhodně vygenerovaná. Heslo jako 4De78Hf1 není o nic těžší najít tento způsob než teenager bylo by.

Jaké jsou tedy šance na uhádnutí hesla? Většina systémů v dnešní době umožňuje uživatelům vytvářet hesla pomocí písmen (velkých a malých písmen), čísel a výběru symbolů. Povolené symboly se mezi systémy často liší (některé umožňují téměř cokoli, jiné jen hrstku), ale pro naše účely předpokládejme, že každý znak v hesle může mít jednu z přibližně 80 hodnot - dvě abecedy po 26 písmenech, deset číslic, a 18 symbolů. (Teoreticky by pro každou postavu mělo být k dispozici alespoň 127 hodnot, ale v praxi je to menší počet.)

Při použití čistě hrubé síly to znamená, že by náhodně zjistit jednoznakové heslo trvalo maximálně 80 odhadů. Čtyřmístné heslo může převzít více než 40 milionů odhadů (80 × 80 × 80 × 80 = 40 960 000) a osmimístné heslo může převzít 1,6 kvadrillionu (1 677 721 600 000 000).

Pokud by cracker hesel dokázal provést 1 000 odhadů za sekundu, potřeboval by asi měsíc ke spuštění všech kombinací čtyřmístného hesla a přes 53 000 let spustit všechny kombinace 8místného hesla. To se zdá docela bezpečné, že?

No ne tak úplně. Z čistě statistického hlediska má cracker 50/50 šanci najít heslo polovina ten čas. Ještě znepokojivější je, že lidé, kteří vyrábějí crackery hesel, mají jiné způsoby, jak zlepšit své šance. Pamatuj jak Heslo bylo jedno z nejhorších hesel, které bylo možné použít? Hádejte, co je také velmi špatné heslo? Passw0rd, dosazením čísla nula za písmeno O. Zatímco crackery hesel spouštějí svá běžná slova ze slovníku, zkoušejí také běžné varianty těchto slov, nahrazují nuly za O, znaky @ a 4 za A, 3 za E, 1 a ! je pro já, 7 pro T je 5 pro S atd. Podobně, 0qww294e je hrozné heslo - to je spravedlivé Heslo posunul o jednu řadu nahoru na standardní anglické klávesnici. Tyto techniky se zaměřují na preference uživatelů pro snadno zapamatovatelná hesla. Bohužel nahrazením (nebo velkým písmem) znaku nebo dvou ve snadno zapamatovatelném termínu lidé většinou dělají svá hesla temnější, ale ne mnohem bezpečnější. Typická osmimístná hesla vybraná uživatelem se smíšenými malými a velkými písmeny, čísly a symboly mají obvykle jen asi 30 bitů entropie nebo něco málo přes miliardu možných kombinací. Proč? Protože seznam výrazů, na nichž lidé zakládají svá hesla, je mnohem menší než celková možná kombinace písmen, čísel a symbolů.

Jak rychle lze hesla prolomit? Vyzkoušet 1 000 hesel za sekundu se může zdát nemožné - koneckonců, většina služeb má tendenci blokovat nás z našich vlastních účtů, pokud napíšeme heslo třikrát nebo čtyřikrát, často heslo resetujeme a vyžadujeme, abychom odpověděli na bezpečnostní otázky a vytvořili nové. Tyto techniky „brány“ dělat zlepšit zabezpečení účtu, a mimochodem, jsou také skvělým oslepujícím způsobem snadné otravovat lidi. (Nemohu vám říci, kolikrát jsem byl uzamčen z mého účtu iTunes útoky pomocí hesla, ale je to pravděpodobně více než sto.)

Útočníci, kteří chtějí prolomit hesla, však neklepou na přední dveře služby a nesnaží se (doslova) milionkrát se přihlásit ke stejnému účtu. Buď používají méně veřejné metody ověřování, které nepodléhají výlukám (jako soukromé API pro partnery nebo aplikace), šíří své útoky napříč širokou škálou účtů, aby se vyhnuly obdobím výluky, nebo (v nejlepším případě) používají heslo krakovací techniky ke krádeži dat hesla. Většina systémů šifruje data o heslech, která ukládají, ale tyto šifrované soubory jsou pouze tak bezpečné jako samotný systém. Pokud se útočníkům podaří získat zašifrovaný soubor hesla (pro začátek bezpečnostní dírou, napadeným strojem nebo sociálním inženýrstvím), mohou na něj zaútočit velmi rychle, jakmile je na jejich vlastních systémech. Proto jsou příběhy o útočnících, kteří získávají informace o účtu (jako Stratfor, Epsilon, Sony a Zappos) znepokojivé. Jakmile jsou šifrovaná data uvolněna, mohou útočníci použít mnohem výkonnější nástroje k jejich rozbití.

heslo cracking shutterstock

Ve skutečném světě to znamená, že hodnota 1 000 hesel za sekundu je extrémně konzervativní. Typický hardware pro stolní počítače v dnešní době lze otestovat miliony hesel za sekundu proti běžným šifrovacím technologiím. Podobně nyní existují nástroje pro prolomení hesla, které využívají grafické procesory, a operátoři zločinných botnetů jsou také v oboru prolomení hesla. Mohou rozložit pracovní zátěž na tisíce počítačů. Zkombinujte tuto surovou sílu se sofistikovanou heuristikou (jako je zkoušení variant čísel a písmen na běžných slovech) a není neobvyklé prolomit typické osmimístné uživatelské heslo za méně než půl hodiny.

Střílejme si do nohy

Výše jsme si všimli, jak může mít osmimístné heslo s velkými, malými písmeny, čísly a symboly dobře přes kvadrillion možných kombinací, ale většina dnes používaných osmimístných hesel spadá do skupiny pouze asi miliardy kombinací. Je to proto, že lidé nejsou stroje. Kde je počítač obsah k použití želva nebo Y & 4nS0 \ 2 jako heslo, hádejte, které je pro člověka snadnější zapamatovat si? Nyní hádejte, který z nich je bezpečnější.

Některé systémy implementují požadavky na heslo, jejichž cílem je zajistit, aby uživatelé nepoužívali snadno prolomitelná hesla. Běžným přístupem je vyžadovat, aby uživatelská hesla měla alespoň jedno velké písmeno, jedno číslo, jeden symbol a měla alespoň osm znaků. (Některé systémy nevynucují požadavky, ale nabízejí měřítko „síly hesla“ jako měřítko toho, jak efektivní si myslí, že by mohlo být heslo.) Některé systémy také vyžadují, aby uživatelé hesla tak často měnili (řekněme každých 30 nebo 45 dní) a zabránit jim v opakovaném používání hesel.

Tyto druhy požadavků dělat zvyšují bezpečnost hesel, ale také je pro lidi mnohem obtížnější zapamatovat si hesla. To znamená, že významná část uživatelů okamžitě přijde s způsoby, jak narušit zabezpečení systému pro své vlastní pohodlí. Někteří lidé si jistě poradí s hesly typu 9,3 nDs (# ale spousta dalších lidí odpoví lepicími poznámkami po stranách monitorů, poznámkami v peněženkách nebo dokumentem aplikace Microsoft Word na ploše s užitečným štítkem „Hesla“, aby mohli v případě potřeby kopírovat a vkládat . Požadavky na vytváření hesel mají také tendenci poškozovat produktivitu a zvyšovat náklady na podporu (jak pro zaměstnance, tak pro zákazníky), protože více lidí zapomene svá hesla nebo bude uzamčeno ze svých účtů, což vyžaduje manuální zásah.

Vytváření složitých hesel

Svatý grál hesel by pak vypadal jako heslo komplex natolik, že je nepraktické prolomit jej pomocí automatizovaných technik, a přitom dostatečně snadno zapamatovat, že uživatelé neohrožují bezpečnost jejich bezpečným ukládáním nebo správou.

Tady je několik tipů pro vytváření složitých a snadno zapamatovatelných hesel:

  • Používejte dlouhá hesla. Pokud osmimístné heslo může obsahovat 1,6 kvadrillion možných kombinací, představte si, kolik může mít 16místné heslo? (Asi 2,8 neillionu, nebo 2,830.) Avšak možná ještě důležitější je, že sada hodnot pro 16místné heslo používající běžné termíny a variace je těsně pod 1,2 kvintilionu, kde to bylo něco přes miliardu s osmimístným heslem. Používání delších hesel je nejjednodušší způsob, jak hesla složitější a bezpečnější.
  • Používejte kombinovaná slova. Jak vyrobit snadno zapamatovatelná dlouhá hesla? Jednou běžnou technikou je použití řady tří až pěti jednoduchých, nesouvisející podmínky. Obecně jsou snadno zapamatovatelné jako čísla PIN; kognitivně mají lidé tendenci pamatovat si celá slova jako jednotlivé jednotky. Tato hesla však mohou být velmi složitá, přinejmenším z hlediska prolomení hesla. A tato hesla se snadno vytvářejí pouhým rozhlížením nebo převrácením knihy na náhodnou stránku. Když jsem se podíval z okna, uviděl jsem žábu, auto a okno něčí kuchyňky. Nové heslo: FrogHubcapCupboard- to je 18 znaků, ale jen tři slova k zapamatování. Při pohledu správně: RunnerCameraGlueString- čtyři krátká slova, 22 znaků. Jako velká slova jsem použil pouze velká písmena. Přidání dalších znaků nebo náhrad může zvýšit složitost - prostě se nestaňte tak složitými, abyste propadli slabostem náročných hesel.
  • Používejte fráze nebo texty. Dalším způsobem, jak vytvořit dlouhá hesla, je použít části frází nebo textů. U textů jsou relativně běžné písně možná lepší než ty, které jsou pro vás zvlášť důležité: opět nechcete, aby lidé, kteří vás dobře znají, mohli odhadnout vaše hesla jen proto, že jste velkým fanouškem Michaela Boltona (nebo ne) . Příklady hesel vytvořených z fází nebo textů mohou být You'NoJackKennedy (19 znaků), iShotaManinReno (15 znaků), impeepinandimcreepin (20 znaků).
  • Používejte mnemotechnické pomůcky. Nevýhodou dlouhých hesel je, že je obtížné je psát, zejména na mobilním zařízení. Další trik, který někteří lidé považují za užitečný pro generování složitějších kratších hesel, je použití prvního znaku každého slova ve frázi nebo textu. "Kolik cest musí člověk projít?" HmrmamwD—Jen osm znaků, ale z hlediska programu na prolomení hesel poměrně složitý. Podobně by se mohlo stát „Protřepejte, protřepejte jako polaroidní obrázek“ SiSiLapp- možná ne skvělý, ale lepší než želva. Tento trik může také pomoci vygenerovat dobrá hesla pro systémy, které stále mají limit na délku hesel.

Tyto pokyny vám obecně pomohou vymyslet snadno zapamatovatelná a složitá hesla. Samozřejmě, když se budete zabývat systémy hesel s požadavky na složení (to znamená, že očekávají smíšená velká a malá písmena, čísla nebo symboly), budete muset přijít s funky zvraty hesel, abyste tyto požadavky splnili. Jen si pamatujte, že s delšími hesly můžete své náhrady a změny provádět na zjevných místech - tato dlouhá hesla jsou obvykle snadněji zapamatovatelná i při požadavcích než krátká nesmyslná hesla.

Několik dalších rad

Při výběru hesel byste měli myslet na další věci:

  • Pro oddělené služby používejte samostatná hesla. Nepoužívejte své heslo pro sociální sítě pro online bankovnictví. Pokud je u jedné služby prolomeno heslo, ostatní by měli být v bezpečí.
  • Pečlivě vybírejte důležitá hesla. Systémy jednotného přihlášení mohou být nesmírně pohodlné, ale také vytvářejí jediný bod selhání pro více služeb. Příkladem mohou být hesla k účtům ve službách Google, Yahoo a Microsoft, kde jediné prolomené heslo může někomu poskytnout přístup k e-mailu, dokumentům, obrázkům, sociálním sítím, blogům, knihovnám fotografií, seznamům kontaktů, adresářům a dalším. Podobně, když tolik webů (dokonce i Digital Trends) přijímá přihlášení na Facebooku a Twitteru, může mít kompromitované heslo sociální sítě dalekosáhlé důsledky.
  • Změňte svá hesla. Je lákavé si myslet, že pokud se jedno z vašich hesel prolomí, hned budete vědět: váš e-mail zmizí, váš blog se stane sadou lulz grafiky, váš dárkový seznam Amazon může být naplněn trapnými možnostmi, váš účet PayPal může být být vyklizen. To však neplatí vždy: Pokud někdo prolomí vaše heslo, nemusí to být zjevné znamení, alespoň ne hned. Pravidelnou změnou hesla zajistíte, že i když někdo vnikne, jeho možnosti zneužít vás jsou omezené. Četnost, s jakou byste měli měnit hesla, se liší podle toho, jak používáte služby online. U všeho, co zahrnuje skutečné peníze, obecně doporučuji uživatelům měnit si hesla každých 30 až 90 dní - čím více peněz, tím častěji.

Žádné heslo není bezpečné

Snad nejdůležitější věcí, kterou si o heslech pamatujete, je to žádný heslo lze prolomit: je to jen otázka, kolik času a úsilí je někdo ochoten do toho dát. Tipy zde pomohou snížit pravděpodobnost, že vaše hesla budou vykořeněna náhodnými útočníky nebo dokonce přáteli a rodinou, ale žádné heslo není zcela bezpečné. Pokud je pro vás zabezpečený přístup ke službě velmi důležitý, zvažte prozkoumání různých forem vícefaktorového ověřování, abyste dále snížili pravděpodobnost neoprávněného přístupu.

Obrazový kredit: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa

Poslední příspěvky