Det virker som hver eneste dag, noen kommer til et forum som skriver om hvordan hans kontoer ble hacket, og han forstår ikke hvorfor. En av årsakene til at folk får kontoer kompromitteres så ofte, er fordi de ikke forstår akkurat hvordan det skjer. Når prosessen med å ta tak i en persons passord blir klart (det er enkelt, forresten), så kan vi forstå hvordan vi kan endre passordene våre for effektivt å forhindre at hackere kommer inn i våre kontoer. Et forslag som sikkerhetseksperter har gjort nylig var å bruke korte setninger som passord, i stedet for å bruke en kontinuerlig streng av tegn (som "blablabla"). Vi tar en titt på dette, og hvorfor det kan eller ikke er sikkert.

Forstå passordstyveri

Her på MTE, har jeg allerede dekket måtene som hackere kan få ahold av passordene dine. Imidlertid består denne listen hovedsakelig av metoder som brukes til å snuse ut og enkelt få tak i legitimasjonene dine. Øyeblikkelig, jeg vil dekke med deg metodene som hackere bruker til å sprekke, åpne kontoen din fra utsiden snarere enn å infiltrere pakketrafikken din. Disse metodene er litt enklere, men mer tidkrevende. La oss se:

  • Brute Force Attacks: Metoden til denne galskapen innebærer bare å gå gjennom massevis av permutasjoner av multi-karakterstrenger. Så, en hacker med et brute-force verktøy vil bare prøve tusenvis av permutasjoner, i håp om å treffe den rette etter en stund. Verktøyet vil tilfeldigvis gjette tegnkombinasjoner (som "jif2 $ F"). Siden passord er vanligvis mer enn seks bokstaver lang, vil denne metoden ta en stund! Imidlertid vil en bestemt hacker sitte gjennom en hel dags verdi av passordgassing bare for å komme inn på kontoen din.
  • Vanlige ordangrep: Hackeren vil bruke vanlige daglige ord (som "jordbær" eller "whisky") fra en liste, laste dem opp på et spesielt verktøy, og prøv hver enkelt ut. Det tar bare noen få minutter (mange ganger, enda noen få sekunder) å knekke en konto ved hjelp av et vanlig ord som et passord.
  • Ordbok angrep: Som navnet antyder, pisker hackeren en kopi av Oxford Dictionary og prøver hvert ord. Ved hjelp av et automatisert verktøy tar det litt lengre tid enn et vanlig ordangrep, men det vil få mange kontoer sprakk.

Sikkerhetseksperter har lenge kommet til den konklusjon at det sikreste passordet er ett med en kombinasjon av alfanumeriske tegn (inkludert store bokstaver) og spesialtegn (som "$ @ (% #"). Dette er ikke langt fra sannheten i dag. som "ff9jF # D" er mye tryggere enn "karamell". Ulempen er at det er veldig vanskelig å huske tilfeldige tegn. Hjernene våre er bare ikke koblet på den måten.

Og mens vi fortsatt er i dette emnet, la meg fortelle deg en hemmelighet: Hvis noen ekspert forteller deg at et tegn-strengpassord vil ta flere år å sprekke, snakker han sannsynligvis om brute-force med en CPU. Hackere gjør det ikke lenger. I stedet bruker de ting som nVidias CUDA-teknologi, som gjør det mulig for dem å få tak i den utrolig raskere GPUen til et grafikkort, slik at de kan gjøre hva en datamaskin gjør om en uke i løpet av timer ved å koble en haug med maskinvare sammen ( gjennom en SLI-bro).

Er setninger noe bedre?

Plassen ("") er en juridisk karakter i de fleste passordformene. Dette betyr at du kan skille ord fra hverandre. Bare å ha en setning som passord kan skape et mareritt for hackere, ifølge en rekke sikkerhetseksperter, en av dem er Thomas Baekdal. Fordelen med å bruke en setning er at det er mye lettere å huske enn 8fa @! * FaicC, og det er også sikrere når det brukes på riktig måte.

I 2007 skrev Baekdal at "dette er gøy" er 10 ganger sikrere enn "J4fS <2." Jeg er ikke sikker på hva hans mening om dette er akkurat nå, men jeg tror ikke at du bruker noe enkelt som " dette er moro "er så sikker at det ville ta en datamaskin, ifølge hans skriftlige brikke, 2.537 år å knekke det.

For en, la oss si at en hacker bruker en liste over de tusen vanligste ordene på engelsk til å sprekke "dette er morsomt." Siden passordet bruker tre forskjellige ord, må vi kjempe med 1000 * 1000 * 1000 mulige permutasjoner. Det gir oss en milliard permutasjoner å sykle. Det høres ut som mye, men for en datamaskin er dette veldig enkelt.

Jeg sier ikke at Thomas Baekdal har feil. Jeg sier bare at du må følge noen retningslinjer når du velger ditt valg. La meg vise deg noen ideer jeg har stekt opp mens jeg tenker på dette problemet i flere dager:

  • Bruk ikke-mellomrom separatorer, som bindestrek ("-"). Hvis du er litt mer dristig, prøv noe veldig vanskelig å finne ut, som varemerkesymbolet ("™", Alt + 0153).
  • Bruk ikke-konversasjonelle uvanlige ord, som " kvanteteori er en viktig utvikling. "Du kan også lage en setning på et annet språk, som latin (" repetitio est mater studiorum "). Dette er spesielt nyttig når engelsk ikke er ditt morsmål. De fleste hackere vil søke etter passord med engelske ord, men svært få av dem vil tenke på, si, rumensk eller tsjekkisk.
  • Lag setninger med tilfeldige ord. Et eksempel ville være " paraphernalia photon cephalopod ."

Å følge disse reglene kan resultere i et passord som i begynnelsen er vanskelig å huske. Men du bør vurdere det latinske ordtaket jeg brukte som et eksempel på et ikke-engelsk passord. Dens oversettelse: Repetisjon er studiemor. Hvis du fortsetter å bruke passordet ditt, husker du det i en jiffy. Å huske " faji2o # ($ FCCineF) 9f (# ", tror jeg, er mye vanskeligere enn å huske " Paraphernalia Photon Cephalopod " eller hva disse ordene kan være på ditt morsmål.

Husk at jo lenger du gjør setningen, desto sikrere blir det! Ved å bruke en kortere setning, kan du fortsatt ha et høyt sikkerhetsnivå, så lenge du ikke bruker noe som kan bli tatt i en vanlig ordliste. Ordbok angrep på passordet ditt er fortsatt mulig, men ikke sannsynlig å gi resultater på grunn av den enorme mengden tid det ville ta for hackers verktøy for å knekke passordet ditt åpent.

begrensning

Den eneste begrensningen for fremgangsmåten ovenfor er at enkelte nettsteder ikke tillater passord som er lengre enn 20 tegn. Noen tillater heller ikke mellomrom eller andre spesialtegn i passord, selv om dette blir sjeldnere. Jeg har selv møtt en nettbankplattform som bare tillot opptil 14 alfanumeriske tegn. På disse nettstedene vil setningskodeord ikke fungere overhodet.

Det er tid for deg å snakke!

Jeg diskuterte mye akkurat nå. Noen av det er litt i konflikt med konvensjonell kunnskap om passord, så det er normalt at du har meninger, spørsmål og tanker om saken. Det er på tide for deg å åpne opp. Bli med meg og andre lesere i en samtale som kan bidra til å avklare alt ved å legge igjen en kommentar nedenfor!