Kā izveidot un atcerēties spēcīgu paroli

2024 Autors: Malcolm Clapton | [email protected]. Pēdējoreiz modificēts: 2023-12-17 04:04

Labākie veidi, kā izveidot paroli, kuru neviens nevar uzlauzt.

Lielākā daļa uzbrucēju neuztraucas ar sarežģītām paroļu zādzības metodēm. Viņiem ir viegli uzminēt kombinācijas. Apmēram 1% no visām pašlaik esošajām parolēm var būt brutāla spēka ar četriem mēģinājumiem.

Kā tas ir iespējams? Ļoti vienkārši. Jūs izmēģiniet četras pasaulē izplatītākās kombinācijas: parole, 123456, 12345678, qwerty. Pēc šādas ejas vidēji tiek atvērts 1% no visām "lādēm".

Pieņemsim, ka esat starp tiem 99% lietotāju, kuru parole nav tik vienkārša. Pat ja tā ir, jāņem vērā mūsdienu hakeru programmatūras veiktspēja.

Bezmaksas, brīvi pieejamā John the Ripper programma pārbauda miljoniem paroļu sekundē. Daži specializētas komerciālas programmatūras piemēri pieprasa 2,8 miljardus paroļu sekundē.

Sākotnēji krekinga programmas iet cauri statistiski visbiežāk sastopamo kombināciju sarakstam un pēc tam atsaucas uz pilno vārdnīcu. Laika gaitā lietotāju paroļu tendences var nedaudz mainīties, un šīs izmaiņas tiek ņemtas vērā, atjauninot šādus sarakstus.

Laika gaitā visa veida tīmekļa pakalpojumi un lietojumprogrammas nolēma piespiedu kārtā sarežģīt lietotāju izveidotās paroles. Ir pievienotas prasības, saskaņā ar kurām parolei jābūt ar noteiktu minimālo garumu, tajā jābūt cipariem, lielajiem burtiem un speciālajām rakstzīmēm. Daži pakalpojumi to uztvēra tik nopietni, ka ir nepieciešams patiešām ilgs un nogurdinošs uzdevums, lai izveidotu paroli, ko sistēma pieņemtu.

Galvenā problēma ir tā, ka gandrīz jebkurš lietotājs neģenerē patiesi brutālu spēku paroli, bet tikai mēģina izpildīt sistēmas prasības attiecībā uz paroles sastāvu līdz minimumam.

Rezultātā tiek iegūtas tādas paroles kā parole1, parole123, parole, parole, parole! un neticami neparedzamais p @ ssword.

Iedomājieties, ka jums ir jāpārveido sava Zirnekļcilvēka parole. Visticamāk, tas izskatīsies kā $ pider_Man1. Oriģināls? Tūkstošiem cilvēku to mainīs, izmantojot to pašu vai ļoti līdzīgu algoritmu.

Ja krekeris zina šīs minimālās prasības, tad situācija tikai pasliktinās. Šī iemesla dēļ uzliktā prasība palielināt paroļu sarežģītību ne vienmēr nodrošina vislabāko drošību un bieži vien rada maldīgu paaugstinātas drošības sajūtu.

Jo vieglāk ir atcerēties paroli, jo lielāka iespēja, ka tā nonāks vārdnīcās. Rezultātā izrādās, ka patiešām spēcīgu paroli vienkārši nav iespējams atcerēties, un tas nozīmē, ka tā kaut kur ir jālabo.

Pēc ekspertu domām, pat šajā digitālajā laikmetā cilvēki joprojām var paļauties uz papīra lapu, uz kuras ir uzrakstītas paroles. Šādu palagu ir ērti glabāt no svešiem skatieniem paslēptā vietā, piemēram, makā vai makā.

Tomēr paroles lapa problēmu neatrisina. Garās paroles ir grūti ne tikai atcerēties, bet arī ievadīt. Situāciju pasliktina mobilo ierīču virtuālās tastatūras.

Mijiedarbojoties ar desmitiem pakalpojumu un vietņu, daudzi lietotāji atstāj identisku paroļu virkni. Viņi cenšas izmantot vienu un to pašu paroli katrai vietnei, pilnībā ignorējot riskus.

Šajā gadījumā dažas vietnes darbojas kā aukle, liekot kombinācijai būt sarežģītai. Rezultātā lietotājs vienkārši nevar atcerēties, kā viņam bija jāmaina sava standarta vienotā parole šai vietnei.

Problēmas mērogs tika pilnībā realizēts 2009. gadā. Pēc tam drošības roba dēļ hakeram izdevās nozagt spēles Facebook Facebook publicējošā uzņēmuma RockYou.com pieteikumvārdu un paroļu datubāzi. Uzbrucējs datubāzi padarīja publiski pieejamu. Kopumā tajā bija 32,5 miljoni ierakstu ar lietotājvārdiem un kontu parolēm. Noplūdes ir bijušas arī iepriekš, taču šī konkrētā notikuma mērogs parādīja visu ainu.

Populārākā parole vietnē RockYou.com bija 123456, ko izmantoja gandrīz 291 000 cilvēku. Vīrieši, kas jaunāki par 30 gadiem, biežāk deva priekšroku seksuālām tēmām un vulgaritātēm. Abu dzimumu vecāki cilvēki, izvēloties paroli, bieži pievērsās noteiktai kultūras jomai. Piemēram, Epsilon793 nešķiet tik slikts variants, tikai šī kombinācija bija Star Trek. Septiņciparu numurs 8675309 parādījās daudzas reizes, jo šis skaitlis parādījās vienā no Tommy Tutone dziesmām.

Faktiski spēcīgas paroles izveidošana ir vienkāršs uzdevums, pietiek ar nejaušu rakstzīmju kombinācijas izveidi.

Jūs nevarat savā galvā izveidot perfekti nejaušu kombināciju matemātiskā izteiksmē, bet jums tas nav jādara. Ir īpaši pakalpojumi, kas ģenerē patiesi nejaušas kombinācijas. Piemēram, tas var izveidot šādas paroles:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Šis ir vienkāršs un elegants risinājums, īpaši tiem, kuri paroļu glabāšanai izmanto pārvaldnieku.

Diemžēl lielākā daļa lietotāju turpina izmantot vienkāršas, vājas paroles, pat ignorējot noteikumu “katrai vietnei dažādas paroles”. Viņiem ērtības ir svarīgākas par drošību.

Situācijas, kurās var tikt apdraudēta paroles drošība, var iedalīt 3 plašās kategorijās:

• Nejauši, kurā jums pazīstama persona mēģina noskaidrot paroli, paļaujoties uz informāciju, ko viņš zina par jums. Bieži vien šāds krekeris vēlas tikai izspēlēt viltību, kaut ko uzzināt par jums vai sarīkot putru.
• Masu uzbrukumikad par upuri var kļūt pilnīgi jebkurš noteiktu pakalpojumu lietotājs. Šajā gadījumā tiek izmantota specializēta programmatūra. Uzbrukumam tiek atlasītas vismazāk drošas vietnes, kas ļauj īsā laika periodā atkārtoti ievadīt paroles opcijas.
• Mērķtiecīgskas apvieno mājienu saņemšanu (kā pirmajā gadījumā) un specializētas programmatūras izmantošanu (kā masveida uzbrukumā). Tas ir par mēģinājumu iegūt patiešām vērtīgu informāciju. Aizsargāt sevi palīdzēs tikai pietiekami gara nejauša parole, kuras izvēle prasīs jūsu dzīves ilgumam pielīdzināmu laiku.

Kā redzat, par upuri var kļūt pilnīgi ikviens. Tādi apgalvojumi kā “mana parole netiks nozagta, jo es nevienam neesmu vajadzīgs” nav aktuāli, jo līdzīgā situācijā var nonākt gluži nejauši, nejaušības dēļ, bez redzama iemesla.

Ar paroles aizsardzību vēl nopietnāk ir ķerties tiem, kuriem ir vērtīga informācija, kas saistīti ar kādu biznesu vai konfliktē ar kādu finansiālu apsvērumu dēļ (piemēram, mantas dalīšana šķiršanās procesā, konkurence biznesā).

2009. gadā Twitter (visa servisa izpratnē) tika uzlauzts tikai tāpēc, ka administrators kā paroli izmantoja vārdu laime. Hakeris to pacēla un ievietoja vietnē Digital Gangster, kā rezultātā tika nolaupīti Obamas, Britnijas Spīrsas, Facebook un Fox News konti.

Akronīmi

Tāpat kā jebkurā citā dzīves jomā, mums vienmēr ir jāatrod kompromiss starp maksimālu drošību un maksimālu ērtības. Kā atrast vidusceļu? Kāda paroļu ģenerēšanas stratēģija ļaus jums izveidot spēcīgas kombinācijas, kuras var viegli atcerēties?

Šobrīd labākā uzticamības un ērtības kombinācija ir frāzes vai frāzes pārvēršana parolē.

Tiek atlasīta vārdu kopa, kuru vienmēr atceraties, un kā parole tiek izmantota katra vārda pirmo burtu kombinācija. Piemēram, Lai spēks ir ar jums, pārvēršas par Mtfbwy.

Tomēr, tā kā slavenākās tiks izmantotas kā sākotnējās frāzes, programmas galu galā saņems šos akronīmus savos sarakstos. Faktiski akronīmā ir tikai burti, un tāpēc tas ir objektīvi mazāk ticams nekā nejauša rakstzīmju kombinācija.

Pareiza frāzes izvēle palīdzēs atbrīvoties no pirmās problēmas. Kāpēc pasaulslavenu izteicienu pārvērst par akronīma paroli? Droši vien atceries dažus jokus un teicienus, kas aktuāli tikai tavā tuvākajā lokā. Pieņemsim, ka esat dzirdējis ļoti āķīgu frāzi no vietējās iestādes bārmeņa. Lieto to.

Tomēr jūsu ģenerētā akronīma parole, visticamāk, nebūs unikāla. Problēma ar akronīmiem ir tāda, ka dažādas frāzes var veidot no vārdiem, kas sākas ar tiem pašiem burtiem un vienā secībā. Statistiski dažādās valodās daži burti biežāk parādās kā vārda sākums. Programmas ņems vērā šos faktorus, un sākotnējās versijas akronīmu efektivitāte tiks samazināta.

Apgrieztā veidā

Izeja var būt pretējs paaudzes ceļš. Vietnē random.org izveidojat pilnīgi nejaušu paroli un pēc tam pārvēršat tās rakstzīmes jēgpilnā, neaizmirstamā frāzē.

Bieži vien pakalpojumi un vietnes nodrošina lietotājiem pagaidu paroles, kas ir tās pašas pilnīgi nejaušas kombinācijas. Gribēsies tos nomainīt, jo nevarēsi atcerēties, bet tikai ieskaties tuvāk, un kļūst skaidrs: parole nav jāatceras. Piemēram, ņemsim citu iespēju no random.org - RPM8t4ka.

Lai gan tas šķiet bezjēdzīgi, mūsu smadzenes pat šādā haosā spēj atrast noteiktus modeļus un atbilstības. Sākumā varat pamanīt, ka pirmie trīs burti tajā ir lielie, bet nākamie trīs ir mazie. 8 ir divreiz (angļu valodā divreiz - t) 4. Paskatieties nedaudz uz šo paroli, un jūs noteikti atradīsit savas asociācijas ar piedāvāto burtu un ciparu kopu.

Ja varat iegaumēt muļķīgas vārdu kopas, izmantojiet to. Ļaujiet parolei pārvērsties apgriezienos minūtē 8 celiņš 4 katty. Derēs jebkura konversija, kurā jūsu smadzenes ir labākas.

Nejauši izvēlēta parole ir zelta standarts informācijas drošībā. Pēc definīcijas tā ir labāka par jebkuru cilvēka radītu paroli.

Akronīmu trūkums ir tāds, ka laika gaitā šādas tehnikas izplatība samazinās tās efektivitāti, un apgrieztā metode paliks tikpat uzticama, pat ja visi cilvēki uz zemes to izmantos tūkstoš gadus.

Nejauši izvēlēta parole netiks iekļauta populāro kombināciju sarakstā, un uzbrucējs, izmantojot masveida uzbrukuma metodi, šādu paroli izmantos tikai brutāli.

Ņemsim vienkāršu nejaušu paroli, kurā ņemti vērā lielie burti un cipari - tas ir 62 iespējamās rakstzīmes katrā pozīcijā. Ja parolei izveidojam tikai 8 ciparus, mēs iegūstam 62 ^ 8 = 218 triljonus iespēju.

Pat ja mēģinājumu skaits noteiktā laika intervālā nav ierobežots, komerciālākā specializētā programmatūra ar jaudu 2,8 miljardi paroļu sekundē pavadīs vidēji 22 stundas, cenšoties atrast pareizo kombināciju. Protams, šādai parolei mēs pievienojam tikai 1 papildu rakstzīmi - un tās uzlaušana prasīs daudzus gadus.

Nejauši izvēlēta parole nav neaizskarama, jo to var nozagt. Iespējas ir daudz, sākot no lasīšanas tastatūras ievades līdz kamerai pār plecu.

Hakeris var trāpīt pašam pakalpojumam un iegūt datus tieši no tā serveriem. Šajā situācijā nekas nav atkarīgs no lietotāja.

Viens uzticams pamats

Tātad, mēs nonācām pie galvenā. Kāda ir nejaušā paroles taktika, ko izmantot reālajā dzīvē? No uzticamības un ērtības līdzsvara viedokļa "vienas spēcīgas paroles filozofija" sevi labi parādīs.

Princips ir tāds, ka jūs izmantojat vienu un to pašu pamatu - īpaši spēcīgu paroli (tās variācijas) pakalpojumiem un vietnēm, kas jums ir vissvarīgākie.

Atcerieties vienu ilgu un grūtu kombināciju visiem.

Informācijas drošības konsultants Niks Berijs pieļauj šo principu piemērot, ja parole ir ļoti labi aizsargāta.

Ļaunprātīgas programmatūras klātbūtne datorā, no kura ievadāt paroli, nav atļauta. Nav atļauts izmantot vienu un to pašu paroli mazāk svarīgām un izklaidējošām vietnēm - tām pilnīgi pietiek ar vienkāršākām parolēm, jo konta uzlaušana šeit neradīs letālas sekas.

Skaidrs, ka katrai vietnei kaut kā jāmaina uzticamā bāze. Kā vienkāršu iespēju sākumā varat pievienot vienu burtu, kas beidzas vietnes vai pakalpojuma nosaukums. Ja atgriezīsimies pie šīs nejaušās RPM8t4ka paroles, tā Facebook autorizācijai pārvērtīsies par kRPM8t4ka.

Uzbrucējs, redzot šādu paroli, nevarēs saprast, kā tiek ģenerēta jūsu bankas konta parole. Problēmas sāksies, ja kāds iegūs piekļuvi divām vai vairākām šādā veidā ģenerētajām jūsu parolēm.

Slepenais Jautājums

Daži nolaupītāji paroles ignorē pavisam. Viņi darbojas konta īpašnieka vārdā un simulē situāciju, kad esat aizmirsis savu paroli un vēlaties to atjaunot ar slepenu jautājumu. Šādā gadījumā viņš var mainīt paroli pēc vēlēšanās, un patiesais īpašnieks zaudēs piekļuvi savam kontam.

2008. gadā kāds ieguva Aļaskas gubernatores un tobrīd arī prezidenta amata kandidātes Sāras Peilinas e-pastu. Uz slepeno jautājumu, kas skanēja šādi, zaglis atbildēja: "Kur jūs satikāt savu vīru?"

Pēc 4 gadiem Mits Romnijs, kurš tajā laikā bija arī ASV prezidenta kandidāts, zaudēja vairākus savus kontus dažādos dienestos. Kāds atbildēja uz slepenu jautājumu par Mita Romnija mīluļa vārdu.

Jūs jau uzminējāt būtību.

Publiskus un viegli uzminamus datus nevar izmantot kā slepenu jautājumu un atbildi.

Jautājums pat nav par to, ka šo informāciju var rūpīgi izmakšķerēt internetā vai no personas tuviem kolēģiem. Atbildes uz jautājumiem stilā "dzīvnieka vārds", "mīļākā hokeja komanda" un tā tālāk ir lieliski atlasītas no atbilstošajām populāro opciju vārdnīcām.

Kā pagaidu iespēju varat izmantot atbildes absurduma taktiku. Vienkārši sakot, atbildei nevajadzētu būt nekāda sakara ar slepeno jautājumu. Mātes pirmslaulību uzvārds? Difenhidramīns. Mājdzīvnieka vārds? 1991. gads.

Tomēr šāds paņēmiens, ja tas būs plaši izplatīts, tiks ņemts vērā attiecīgajās programmās. Absurdas atbildes bieži ir stereotipiskas, tas ir, dažas frāzes tiks sastaptas daudz biežāk nekā citas.

Patiesībā nav nekas slikts, izmantojot patiesas atbildes, jums vienkārši ir saprātīgi jāizvēlas jautājums. Ja jautājums ir nestandarta un atbilde uz to ir zināma tikai jums un nav uzminēta pēc trim mēģinājumiem, tad viss ir kārtībā. Patiesības priekšrocība ir tā, ka jūs to neaizmirsīsit laika gaitā.

PIN

Personīgais identifikācijas numurs (PIN) ir lēta slēdzene, kas ir uzticēta mūsu naudai. Neviens neuztraucas izveidot uzticamāku vismaz šo četru skaitļu kombināciju.

Tagad apstājieties. Tieši tagad. Šobrīd, neizlasot nākamo rindkopu, mēģiniet uzminēt vispopulārāko PIN. Vai esat gatavs?

Niks Berijs lēš, ka 11% ASV iedzīvotāju izmanto 1234 kā savu PIN (kur viņi paši var to nomainīt).

Hakeri nepievērš uzmanību PIN kodiem, jo bez kartes fiziskas klātbūtnes kods ir bezjēdzīgs (tas daļēji var attaisnot mazo koda garumu).

Berijs paņēma četrciparu paroļu sarakstus, kas parādījās pēc informācijas noplūdēm tīklā. Persona, kas izmanto 1967. gada paroli, visticamāk, to izvēlējās kāda iemesla dēļ. Otrs populārākais PIN ir 1111, un 6% cilvēku dod priekšroku šim kodam. Trešajā vietā ir 0000 (2%).

Pieņemsim, ka cilvēkam, kurš zina šo informāciju, rokās ir bankas karte. Trīs mēģinājumi bloķēt karti. Vienkārša matemātika parāda, ka šai personai ir 19% iespēja uzminēt savu PIN, ja viņš secīgi ievada 1234, 1111 un 0000.

Iespējams, šī iemesla dēļ lielākā daļa banku pašas piešķir PIN kodus izsniegtajām plastikāta kartēm.

Tomēr daudzi cilvēki aizsargā viedtālruņus ar PIN kodu, un šeit ir spēkā šāds popularitātes vērtējums: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 9999, 3333, 656,8, 4321, 2001, 1010.

Bieži vien PIN apzīmē gadu (dzimšanas gadu vai vēsturisko datumu).

Daudziem cilvēkiem patīk veidot PIN kodus atkārtotu skaitļu pāru veidā (turklāt īpaši populāri ir pāri, kur pirmais un otrais cipars atšķiras ar vienu).

Mobilo ierīču ciparu tastatūras augšpusē parāda tādas kombinācijas kā 2580 - lai to ierakstītu, pietiek ar tiešu pāreju no augšas uz leju centrā.

Korejā skaitlis 1004 sasaucas ar vārdu "eņģelis", kas padara šo kombināciju tur diezgan populāru.

Rezultāts

1. Dodieties uz vietni random.org un izveidojiet tur 5–10 kandidātu paroles.
2. Izvēlieties paroli, kuru varat pārvērst par neaizmirstamu frāzi.
3. Izmantojiet šo frāzi, lai atcerētos savu paroli.