Kuidas luua ja meeles pidada tugevat parooli

2024 Autor: Malcolm Clapton | [email protected]. Viimati modifitseeritud: 2023-12-17 03:53

Parimad viisid parooli loomiseks, mida keegi ei saa murda.

Enamik ründajaid ei näe vaeva keerukate paroolivarguse meetoditega. Nad võtavad kergesti äraarvatavaid kombinatsioone. Umbes 1% kõigist praegu olemasolevatest paroolidest saab nelja katsega olla jõhkra jõuga.

Kuidas on see võimalik? Väga lihtne. Proovite nelja kõige levinumat kombinatsiooni maailmas: parool, 123456, 12345678, qwerty. Pärast sellist läbipääsu avatakse keskmiselt 1% kõigist "kirstudest".

Oletame, et kuulute nende 99% kasutajate hulka, kelle parool pole nii lihtne. Sellegipoolest tuleb arvestada kaasaegse häkkimistarkvara jõudlusega.

Tasuta, vabalt saadaolev John the Ripper programm kontrollib miljoneid paroole sekundis. Mõned näited spetsiaalsest kommertstarkvarast nõuavad 2,8 miljardit parooli sekundis.

Esialgu jooksevad krakkimisprogrammid läbi statistiliselt kõige levinumate kombinatsioonide loendi ja viitavad seejärel täielikule sõnastikku. Aja jooksul võivad kasutajate paroolitrendid veidi muutuda ja neid muudatusi võetakse selliste loendite värskendamisel arvesse.

Aja jooksul otsustasid kõikvõimalikud veebiteenused ja rakendused kasutajate loodud paroole sunniviisiliselt keerulisemaks muuta. Lisatud on nõuded, mille kohaselt peab parool olema teatud minimaalse pikkusega, sisaldama numbreid, suurtähti ja erimärke. Mõned teenused võtsid seda nii tõsiselt, et süsteem vastuvõetava parooli leidmiseks kulub väga pikk ja tüütu ülesanne.

Põhiprobleem seisneb selles, et peaaegu iga kasutaja ei genereeri tõeliselt jõhkrat jõulist parooli, vaid püüab ainult täita süsteemi nõudeid parooli koostise osas miinimumini.

Tulemuseks on paroolid nagu parool1, parool123, parool, parool, parool! ja uskumatult ettearvamatu p @ ssword.

Kujutage ette, et peate oma Spidermani parooli uuesti tegema. Tõenäoliselt näeb see välja nagu $ pider_Man1. Originaal? Tuhanded inimesed muudavad seda sama või väga sarnase algoritmi abil.

Kui kraakleja neid miinimumnõudeid teab, läheb olukord ainult hullemaks. Just sel põhjusel ei taga kehtestatud paroolide keerukuse suurendamise nõue alati parimat turvalisust ja tekitab sageli vale tunde suurenenud turvalisusest.

Mida lihtsam on parool meeles pidada, seda tõenäolisem on, et see satub krakkimissõnaraamatutesse. Selle tulemusena selgub, et tõeliselt tugevat parooli on lihtsalt võimatu meeles pidada, mis tähendab, et see tuleb kuskil parandada.

Ekspertide sõnul võivad inimesed isegi praegusel digiajastul toetuda paberile, millele on kirjutatud paroolid. Sellist lina on mugav hoida võõraste pilkude eest varjatud kohas, näiteks rahakotis või rahakotis.

Paroolileht aga probleemi ei lahenda. Pikki paroole on raske mitte ainult meeles pidada, vaid ka sisestada. Olukorda raskendavad mobiilseadmete virtuaalsed klaviatuurid.

Suheldes kümnete teenuste ja saitidega, jätavad paljud kasutajad endast maha rea identseid paroole. Nad püüavad kasutada iga saidi jaoks sama parooli, ignoreerides riske täielikult.

Sel juhul toimivad mõned saidid lapsehoidjana, sundides kombinatsiooni keeruliseks muutma. Selle tulemusena ei mäleta kasutaja lihtsalt, kuidas ta pidi selle saidi jaoks oma standardset ühtset parooli muutma.

Probleemi ulatus teadvustati täielikult 2009. aastal. Seejärel õnnestus häkkeril turvaaugu tõttu varastada Facebookis mänge avaldava ettevõtte RockYou.com sisselogimiste ja paroolide andmebaas. Ründaja tegi andmebaasi avalikult kättesaadavaks. Kokku sisaldas see 32,5 miljonit kirjet kasutajanimede ja kontode paroolidega. Lekkeid on juhtunud varemgi, kuid selle konkreetse sündmuse mastaap näitas tervikpilti.

RockYou.com-i populaarseim parool oli 123456, mida kasutas ligi 291 000 inimest. Alla 30-aastased mehed eelistasid sagedamini seksuaalseid teemasid ja vulgaarsust. Mõlemast soost vanemad inimesed pöördusid parooli valimisel sageli teatud kultuurivaldkonna poole. Näiteks Epsilon793 ei tundugi nii halb variant, ainult see kombinatsioon oli Star Trekis. Seitsmekohaline number 8675309 ilmus mitu korda, kuna see number esines ühes Tommy Tutone'i laulus.

Tegelikult on tugeva parooli loomine lihtne ülesanne, piisab juhuslike märkide kombinatsiooni koostamisest.

Te ei saa oma peas matemaatilises mõttes täiesti juhuslikku kombinatsiooni luua, kuid teilt seda ei nõuta. On eriteenuseid, mis loovad tõeliselt juhuslikke kombinatsioone. Näiteks võib see luua selliseid paroole:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

See on lihtne ja elegantne lahendus, eriti neile, kes kasutavad paroolide salvestamiseks haldurit.

Kahjuks kasutab enamik kasutajaid jätkuvalt lihtsaid ja nõrku paroole, isegi ignoreerides reeglit "iga saidi jaoks erinevad paroolid". Nende jaoks on mugavus olulisem kui turvalisus.

Olukorrad, kus parooli turvalisus võib ohtu sattuda, võib jagada kolme suurde kategooriasse:

• Juhuslik, milles teie tuttav inimene püüab parooli teada saada, tuginedes teabele, mida ta teie kohta teab. Tihti tahab selline kräkker ainult vingerpussi mängida, sinu kohta midagi teada saada või segadusse ajada.
• Massirünnakudkui ohvriks võib saada absoluutselt iga teatud teenuste kasutaja. Sel juhul kasutatakse spetsiaalset tarkvara. Rünnakuks valitakse kõige vähem turvalised saidid, mis võimaldavad lühikese aja jooksul korduvalt paroolivalikuid sisestada.
• Eesmärgipäranemis ühendavad vihjete vastuvõtmise (nagu esimesel juhul) ja spetsiaalse tarkvara kasutamise (nagu massirünnaku korral). See on püüd saada kätte tõeliselt väärtuslikku teavet. Ennast aitab kaitsta vaid piisavalt pikk juhuslik parool, mille valimine võtab teie eluea pikkusega võrreldavalt aega.

Nagu näete, võib ohvriks saada absoluutselt igaüks. Sellised väited nagu “minu parooli ei varastata, sest mind pole kellelegi vaja” ei ole asjassepuutuvad, sest sarnasesse olukorda võid sattuda täiesti juhuslikult, juhuse läbi, ilma nähtava põhjuseta.

Veelgi tõsisem on paroolikaitse alla võtta neil, kel on väärtuslikku infot, kes on äriga seotud või kellegagi rahalistel põhjustel konfliktis (näiteks vara jagamine lahutuse käigus, konkurents ettevõtluses).

2009. aastal häkiti Twitterisse (kogu teenuse mõistes) ainult seetõttu, et administraator kasutas paroolina sõna õnn. Häkker võttis selle üles ja postitas selle Digital Gangsteri veebisaidile, mis viis Obama, Britney Spearsi, Facebooki ja Fox Newsi kontode kaaperdamiseni.

Akronüümid

Nagu igas teiseski eluvaldkonnas, peame alati leidma kompromissi maksimaalse ohutuse ja maksimaalse mugavuse vahel. Kuidas leida kesktee? Milline paroolide genereerimise strateegia võimaldab teil luua tugevaid kombinatsioone, mis jäävad kergesti meelde?

Hetkel on töökindluse ja mugavuse parim kombinatsioon fraasi või fraasi parooliks teisendamine.

Valitakse sõnade komplekt, mida te alati mäletate, ja paroolina kasutatakse iga sõna esimeste tähtede kombinatsiooni. Näiteks võib jõud olla teiega muutub Mtfbwyks.

Kuna aga algusfraasidena kasutatakse kõige kuulsamaid, saavad programmid need akronüümid lõpuks oma loendisse. Tegelikult sisaldab akronüüm ainult tähti ja on seetõttu objektiivselt vähem usaldusväärne kui juhuslik tähemärkide kombinatsioon.

Õige fraasi valimine aitab teil esimesest probleemist lahti saada. Miks muuta maailmakuulus väljend akronüümi parooliks? Tõenäoliselt mäletate mõnda nalja ja ütlust, mis on asjakohased ainult teie lähiringkonnas. Oletame, et kuulsite kohaliku asutuse baarmenilt väga tabavat fraasi. Kasuta seda.

Sellegipoolest pole teie loodud akronüümi parool tõenäoliselt ainulaadne. Akronüümide probleem seisneb selles, et erinevad fraasid võivad koosneda sõnadest, mis algavad samade tähtedega ja samas järjestuses. Statistiliselt esineb erinevates keeltes teatud tähtede sagedasem esinemine sõna alguses. Programmid võtavad neid tegureid arvesse ja akronüümide tõhusus algses versioonis väheneb.

Tagurpidi tee

Väljapääs võib olla vastupidine genereerimise viis. Loote saidil random.org täiesti juhusliku parooli ja muudate selle märgid tähendusrikkaks meeldejäävaks fraasiks.

Sageli pakuvad teenused ja saidid kasutajatele ajutisi paroole, mis on samad täiesti juhuslikud kombinatsioonid. Soovite neid muuta, sest te ei saa seda meeles pidada, vaid vaadake lihtsalt lähemalt ja selgub: te ei pea parooli meeles pidama. Näiteks võtame random.org-ist teise võimaluse – RPM8t4ka.

Kuigi see tundub mõttetu, suudab meie aju ka sellises kaoses leida teatud mustreid ja vastavusi. Alustuseks võite märgata, et kolm esimest tähte selles on suurtähed ja järgmised kolm väiketähte. 8 on kaks korda (inglise keeles kaks korda - t) 4. Vaadake seda parooli veidi ja leiate kindlasti oma seosed pakutud tähtede ja numbrite komplektiga.

Kui suudate mõttetuid sõnu pähe jätta, siis kasutage seda. Laske paroolil muutuda pöörete arvuks minutis 8 rada 4 katty. Iga konversioon, milles teie aju on parem, sobib.

Juhuslik parool on infoturbe kullastandard. See on definitsiooni järgi parem kui mis tahes inimese loodud parool.

Akronüümide miinuseks on see, et aja jooksul vähendab sellise tehnika levik selle efektiivsust ja vastupidine meetod jääb sama usaldusväärseks, isegi kui kõik inimesed maa peal kasutavad seda tuhat aastat.

Juhuslikku parooli populaarsete kombinatsioonide loendisse ei lisata ja massirünnaku meetodit kasutav ründaja kasutab sellist parooli ainult jõhkralt.

Võtame lihtsa juhusliku parooli, mis võtab arvesse suurtähti ja numbreid – see on 62 võimalikku tähemärki iga positsiooni kohta. Kui teeme parooli ainult 8-kohaliseks, saame 62 ^ 8 = 218 triljonit valikut.

Isegi kui katsete arv teatud ajaintervalli jooksul pole piiratud, kulutab kõige kommertstarkvara, mille võimsus on 2,8 miljardit parooli sekundis, keskmiselt 22 tundi, püüdes leida õiget kombinatsiooni. Et olla kindel, lisame sellisele paroolile vaid 1 lisamärgi – ja selle lahtimurdmine võtab palju aastaid.

Juhuslik parool ei ole haavamatu, kuna seda saab varastada. Võimalusi on palju, alates klaviatuuri sisendi lugemisest kuni kaamera üle õla hoidmiseni.

Häkker võib teenust ise tabada ja saada andmeid otse oma serveritest. Selles olukorras ei sõltu midagi kasutajast.

Üks usaldusväärne alus

Niisiis, jõudsime põhiasjani. Millised on juhuslikud paroolitaktikad, mida päriselus kasutada? Usaldusväärsuse ja mugavuse tasakaalu seisukohalt annab "ühe tugeva parooli filosoofia" end hästi tunda.

Põhimõte seisneb selles, et kasutate sama alust – ülitugevat parooli (selle variatsioone) teie jaoks kõige olulisemate teenuste ja saitide puhul.

Pidage meeles üht pikka ja rasket kombinatsiooni kõigile.

Infoturbe konsultant Nick Berry lubab seda põhimõtet rakendada tingimusel, et parool on väga hästi kaitstud.

Pahavara olemasolu arvutis, kust parooli sisestate, ei ole lubatud. Sama parooli kasutamine vähemtähtsate ja meelelahutuslike saitide jaoks ei ole lubatud - nende jaoks piisab ka lihtsamatest paroolidest, kuna siin kontole häkkimine ei too kaasa saatuslikke tagajärgi.

Selge see, et iga saidi jaoks tuleb usaldusväärset alust kuidagi muuta. Lihtsa võimalusena saate algusesse lisada ühe tähe, mis lõpetab saidi või teenuse nime. Kui pöördume tagasi selle juhusliku RPM8t4ka parooli juurde, muutub see Facebooki autoriseerimiseks kRPM8t4ka-ks.

Ründaja, nähes sellist parooli, ei saa aru, kuidas teie pangakonto parool genereeritakse. Probleemid algavad siis, kui keegi pääseb ligi kahele või enamale teie sel viisil loodud paroolile.

Salajane küsimus

Mõned kaaperdajad ignoreerivad paroole üldse. Nad tegutsevad konto omaniku nimel ja simuleerivad olukorda, kui olete oma parooli unustanud ja soovite selle salaküsimusega taastada. Selle stsenaariumi korral saab ta parooli oma äranägemise järgi muuta ja tegelik omanik kaotab juurdepääsu oma kontole.

2008. aastal pääses keegi ligi Alaska kuberneri ja toona ka presidendikandidaadi Sarah Palini meilile. Sissemurdja vastas salaküsimusele, mis kõlas nii: "Kus sa oma abikaasat kohtasid?"

Pärast 4 aastat kaotas Mitt Romney, kes oli tol ajal ka USA presidendikandidaat, mitu oma kontot erinevates teenustes. Keegi vastas salaküsimusele Mitt Romney lemmiklooma nime kohta.

Olete asja juba ära arvanud.

Avalikke ja kergesti äraarvatavaid andmeid ei saa kasutada salajase küsimuse ja vastusena.

Küsimus pole isegi selles, et seda teavet saab hoolikalt välja õngitseda Internetist või inimese lähikondlastelt. Vastused küsimustele stiilis "looma nimi", "lemmik hokimeeskond" ja nii edasi on suurepäraselt valitud populaarsete valikute vastavatest sõnastikest.

Ajutise võimalusena võite kasutada vastuse absurdsuse taktikat. Lihtsamalt öeldes ei tohiks vastusel olla salaküsimusega mingit pistmist. Ema neiupõlvenimi? Difenhüdramiin. Kodulooma nimi? 1991. aasta.

Sellist tehnikat, kui see on laialt levinud, võetakse aga vastavates programmides arvesse. Absurdsed vastused on sageli stereotüüpsed, see tähendab, et mõnda fraasi kohtab palju sagedamini kui teisi.

Tegelikult pole reaalsete vastuste kasutamisel midagi halba, tuleb vaid küsimus targalt valida. Kui küsimus on ebastandardne ja vastus sellele on teada ainult teile ja seda ei saa pärast kolme katset ära arvata, on kõik korras. Tõe olemise eeliseks on see, et te ei unusta seda aja jooksul.

PIN-kood

Isiklik identifitseerimisnumber (PIN) on odav lukk, mis on usaldatud meie rahale. Keegi ei viitsi vähemalt nendest neljast numbrist usaldusväärsemat kombinatsiooni luua.

Nüüd peatu. Praegu. Proovige praegu, järgmist lõiku lugemata, ära arvata kõige populaarsem PIN-kood. Valmis?

Nick Berry hinnangul kasutab 11% USA elanikkonnast PIN-koodi 1234 (kus nad saavad seda ise muuta).

Häkkerid ei pööra PIN-koodidele tähelepanu, sest kood on ilma kaardi füüsilise kohalolekuta kasutu (see võib osaliselt õigustada koodi väikest pikkust).

Berry võttis neljakohaliste paroolide loendid, mis ilmusid pärast võrgulekkeid. 1967. aasta parooli kasutav inimene valis selle tõenäoliselt põhjusega. Populaarsuselt teine PIN on 1111 ja seda koodi eelistab 6% inimestest. Kolmandal kohal on 0000 (2%).

Oletame, et inimesel, kes seda teavet teab, on käes pangakaart. Kolm katset kaarti blokeerida. Lihtne matemaatika näitab, et sellel inimesel on 19% tõenäosus oma PIN-koodi ära arvata, kui ta sisestab järjestikku 1234, 1111 ja 0000.

Ilmselt sel põhjusel määrab valdav osa panku väljastatavatele plastkaartidele PIN-koodid ise.

Paljud inimesed aga kaitsevad nutitelefone PIN-koodiga ja siin kehtib järgmine populaarsuse reiting: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 9999, 3333, 616,8, 563, 8, 4321, 2001, 1010.

Sageli tähistab PIN-kood aastat (sünniaasta või ajalooline kuupäev).

Paljudele meeldib PIN-e teha korduvate numbripaaride kujul (pealegi on eriti populaarsed paarid, kus esimene ja teine number erinevad ühe võrra).

Mobiilseadmete numbriklahvistik kuvab ülaosas selliseid kombinatsioone nagu 2580 - selle sisestamiseks piisab, kui teha keskelt otse ülevalt alla.

Koreas on number 1004 kaashäälik sõnaga "ingel", mis teeb selle kombinatsiooni seal üsna populaarseks.

Tulemus

1. Minge saidile random.org ja looge seal 5-10 kandidaatparooli.
2. Valige parool, mille saate muuta meeldejäävaks fraasiks.
3. Kasutage seda fraasi oma parooli meeldejätmiseks.