Knekk dette: Hvordan velge sterke passord og holde dem på den måten

brukernavn og passord shutterstock

Hvis det er en ting folk forbinder med moderne teknologi, er det passord. De er overalt, og de fleste av oss bruker dem til dusinvis av ting hver dag. Likevel er de fleste sjokkerende likegyldige om passordsikkerheten. De fleste av oss kjenner sannsynligvis noen som bruker det samme passordet til alt, fra datamaskinen og e-posten til Facebook- og bankkontoer - og passordet kan være noe så tydelig som bursdagen deres eller navnet på gaten der de vokste opp. Og vi kjenner sannsynligvis også noen som har en klistrelapp på siden av skjermen som er merket "Passord" (i rødt, dobbelt understreket) med en liste over alt fra Twitter til Netflix som bare sitter i det fri for alle å lese.

Disse fremgangsmåtene kan høres ut som noe fra besteforeldrenes generasjon, men det er ikke helt sant: I forrige uke så jeg et fullverdig medlem av Generasjon D som prøvde å skifte fra en Samsung Galaxy S (er, Fascinate) til en HTC Rezound via notatboken. datamaskin. Hvordan flyttet han alle passordene sine? Han hadde et papir i lommeboken med "alle passordene" - og av alle han mente tre. En for e-post og sosiale nettverk, en for sin tante e-post ("Jeg sjekker det for henne"), og en for alt annet. Ser over skulderen hans, var alle tre hverdagslige ord: mophandle,mumler, og lillian. Gjett hva var tanten hans?

Heldigvis er det enkle måter å lage passord både vanskelig å gjette og lett å huske. Dessverre kommer teknologibransjen noen ganger i veien for å bruke dem. Her er en oversikt over vanlige passordsvakheter og noen måter du kan forbedre passordene dine og din online sikkerhet.

Uklarhet kontra kompleksitet

En vanlig truisme om passord er at de burde aldri være lett å gjette. De fleste teknologikyndige mennesker er enige om at ingen skal bruke detaljer om seg selv som passord: Det inkluderer bursdager, adresser og navn på venner og familie (inkludert foreldre, søsken, ektefeller, barn og til og med kjæledyr). På samme måte, passord lager et unikt dårlig passord - som alle andre ofte brukte bortkastede passord.

Dette eviggrønne rådet blir ofte tolket til å bety at passord skal være obskur, eller et begrep ingen noen gang ville tro at du ville valgt hvis de hadde en million år. Ja, uklart kan fungere - og det er et bedre syn enn å velge et åpenbart passord. Et uklart passord beskytter deg imidlertid bare mot folk som vet noe om deg. Odds er at de fleste prøver å knekke passordene dine ikke gjør det kjenner deg.

Mest passordknusing skjer ikke slik det blir fremstilt i filmer, der Our Hero (eller The Villain) sitter ved et tastatur, prøver en setning eller to, gnir haken og deretter spionerer et barndomsbilde på pulten. Aha! Skriv inn det magiske ordet og presto, sikkerhet omgått. I den virkelige verden er det store flertallet av passordsprekking automatisert, med datamaskiner som bokstavelig talt kaster hvert ord i ordboken (og deretter noen) på et system i håp om å snuble over riktig ord. Denne tilnærmingen kan fungere fordi datamaskiner kan prøve passord mye raskere enn mennesker kan skrive dem, og de kan kjøre 24 timer i døgnet, syv dager i uken, uten pauser på badet. Automatiserte passordbrytere vet ikke noe om brukerne de prøver å gå på kompromiss med: Det er en voldsom tilnærming.

Så det viser seg at en nøkkel til et sterkt passord ikke er det uklarhet men det er kompleksitet- ting som gjør det mindre sannsynlig å bli gjettet av en automatisert passordknekker. Å lage et godt komplekst passord betyr imidlertid å vite litt om hvordan passord blir ødelagt.

shutterstock passordnøkkelBryte passord

I veldig generelle termer har passordkrakkere vanligvis to tilnærminger. Den ene er å bokstavelig talt prøve en forhåndssammenset liste over mulige passord. Disse starter vanligvis fra veldig vanlige passord (som f.eks passord eller qwerty) og arbeide seg ned til mindre vanlige termer, og til slutt bruke en liste over ord samlet fra en online ordbok og andre kilder. Denne tilnærmingen vil mer sannsynlig finne passord som er gyldige ord eller varianter på dem, selv om de er uklare.

En annen passordknusingstilnærming er å prøve gyldige sekvenser av bokstaver, tall og symboler, uavhengig av betydning. En passordknekker som bruker denne tilnærmingen, kan begynne med aaaaaaa for å få et passord på åtte tegn, og prøv aaaaaaab deretter aaaaaaac og så videre opp alfabetet, gjennom blandinger av store og små bokstaver, og kaster inn tall og symboler. Denne tilnærmingen vil mer sannsynlig finne passord som er “maskinvennlige” eller tilfeldig generert. Et passord som 4De78Hf1 er ikke vanskeligere å finne denne måten enn tenåring ville vært.

Så, hva er oddsen for at et passord blir gjettet? De fleste systemer gjør det i disse dager mulig for brukere å opprette passord ved hjelp av bokstaver (store og små bokstaver), tall og et utvalg av symboler. Tillatte symboler varierer ofte mellom systemene (noen tillater nesten hva som helst, andre tillater bare en håndfull), men for våre formål, la oss anta at betyr at hvert tegn i et passord kan være på omtrent 80 verdier - to alfabeter med 26 bokstaver hver, ti tall, og 18 symboler. (I teorien bør minst 127 verdier være tilgjengelig for hver karakter, men i praksis er det et mindre tall.)

Ved å bruke en ren brute force-tilnærming betyr det at det tar maksimalt 80 gjetninger å tilfeldig finne ut et passord med ett tegn. Et passord med fire tegn kan ta over 40 millioner gjetninger (80 × 80 × 80 × 80 = 40 960 000) og et passord på åtte tegn kan ta over 1,6 kvadrillion gjetninger (1 677 721 600 000 000).

Hvis en passordknekker klarte å gjette 1000 gjetninger i sekundet, ville det trengt omtrent en måned å kjøre alle kombinasjoner av et passord med fire tegn, og over 53 000 år for å kjøre alle kombinasjonene av et passord på 8 tegn. Det virker ganske sikkert, ikke sant?

Vel, egentlig ikke. Rent statistisk har en cracker 50/50 sjanse for å finne passordet halv den tiden. Mer bekymringsfullt, folkene som lager passordkrakkere har andre måter å forbedre oddsen på. Husk hvordan passord var et av de verste passordene å bruke? Gjett hva er også et veldig dårlig passord? Passw0rd, erstatter bokstavet O med et tall null. Mens passordbrytere kjører sine vanlige ord fra en ordbok, prøver de også vanlige varianter på disse ordene, og erstatter O-er, @ -tegn og 4-er for A-er, 3-er for E-er, 1-er og ! er for jeg, 7 er for Ts 5 for S, og så videre. På samme måte, 0qww294e er et forferdelig passord - det er bare passord flyttet opp en rad på et standard engelsk tastatur. Disse teknikkene bytter på brukernes preferanse for lett å huske passord. Dessverre, ved å erstatte (eller bruke store bokstaver) et tegn eller to i et lett å huske begrep, gjør folk for det meste passordene sine uklare, men ikke mye sikrere. Faktisk har typiske brukervalgte passord med åtte tegn med blandede bokstaver, tall og symboler vanligvis bare omtrent 30 biter entropi, eller litt over en milliard mulige kombinasjoner. Hvorfor? Fordi listen over begreper som folk baserer passordene sine på, er langt mindre enn de totale mulige kombinasjonene av bokstaver, tall og symboler.

Hvor raskt kan passord brytes? Å prøve 1000 passord i sekundet kan virke umulig - når alt kommer til alt, har de fleste tjenester en tendens til å låse oss utenfor våre egne kontoer hvis vi feilaktig skriver inn et passord tre eller fire ganger, ofte tilbakestiller passordet og krever at vi svarer på sikkerhetsspørsmål for å lage et nytt. Disse "gateway" -teknikkene gjøre forbedre kontosikkerheten, og er forøvrig også en flott, blendende enkel måte å irritere folk på. (Jeg kan ikke fortelle deg hvor mange ganger jeg har blitt sperret utenfor iTunes-kontoen min av passordangrep, men det er sannsynligvis over hundre.)

Angriperne som har til hensikt å bryte passord, banker imidlertid ikke på inngangsdøren til en tjeneste og prøver (bokstavelig talt) millioner av ganger å logge på den samme kontoen. De bruker enten mindre offentlige autentiseringsmetoder som ikke er underlagt lockouts (som et privat API for partnere eller apper), og sprer angrepene sine over et bredt spekter av kontoer for å unngå lockoutperioder, eller (i beste fall) bruker passord cracking teknikker til stjålet passordata. De fleste systemer krypterer passorddataene de lagrer, men de krypterte filene er bare like sikre som selve systemet. Hvis angripere kan få tak i den krypterte passordfilen (gjennom et sikkerhetshull, kompromittert maskin eller sosialteknikk, for det første), kan de angripe den veldig raskt når den er på sine egne systemer. Derfor er historier om angripere som får kontoinformasjon (som Stratfor, Epsilon, Sony og Zappos) urovekkende. Når de krypterte dataene er løsnet, kan angripere bruke mye kraftigere verktøy for å knekke dem.

passordknusing shutterstock

I den virkelige verden betyr det at tallet på 1000 passord per sekund er ekstremt konservativt. Typisk stasjonær datamaskinvare i disse dager kan teste millioner av passord et sekund mot vanlige krypteringsteknologier. På samme måte er det nå passordknekkende verktøy som utnytter grafikkprosessorer, og kriminelle botnetoperatører er også i passordknusing. De kan spre arbeidsmengden over tusenvis av datamaskiner. Kombiner denne rå kraften med sofistikerte heuristikker (som å prøve tall og bokstavvarianter på vanlige ord), og det er ikke uvanlig å knekke et typisk brukerpassord på åtte tegn på under en halv time.

Å skyte oss selv i foten

Vi bemerket ovenfor hvordan et passord på åtte tegn, med store bokstaver, små bokstaver, tall og symboler, kan ha godt over en kvadrillion mulige kombinasjoner, men de fleste åtte tegn passord som brukes i dag, faller innenfor en pool på bare omtrent en milliard kombinasjoner. Det er fordi mennesker ikke er maskiner. Hvor en datamaskin er innhold å bruke enten skilpadde eller Y & 4nS0 \ 2 gjette hvilken som er lettere for et menneske å huske? Gjett nå hvilken som er sikrere.

Noen systemer implementerer passordkrav som skal sikre at brukerne ikke bruker passord som er lett å knekke. En vanlig tilnærming er å kreve at brukerpassord skal ha minst en stor bokstav, ett tall, ett symbol og være minst åtte tegn lang. (Noen systemer håndhever ikke kravene, men tilbyr en måling av "passordstyrke" som et mål på hvor effektivt den tror et passord kan være.) Noen systemer krever også at brukerne endrer passordene med jevne mellomrom (for eksempel hver 30. eller 45 dager) og hindre dem i å bruke passord på nytt.

Slike krav gjøre øke sikkerheten til passord, men de gjør også passordene langt vanskeligere for folk å huske. Det betyr at en betydelig del av brukerne umiddelbart vil komme med måter å undergrave sikkerheten til systemet for deres egen bekvemmelighet. Visst, noen mennesker kan takle passord som 9.3nDs (# men mange andre kommer til å svare med passordbelastede notater på sidene av skjermer, notater i lommeboken eller et Microsoft Word-dokument på skrivebordet som er merket "Passord" slik at de kan kopiere og lime inn når det er nødvendig . Krav til passordkonstruksjon har også en tendens til å skade produktiviteten og øke støttekostnadene (både for ansatte og kunder), siden flere glemmer passordene eller blir sperret utenfor kontoene sine, og krever manuell inngrep.

Å lage komplekse passord

Den hellige gralen av passord ser ut til å være et passord som er komplisert nok til at det er upraktisk å knekke ved hjelp av automatiserte teknikker, men likevel enkelt nok til å huske at brukerne ikke kompromitterer sikkerheten ved å lagre eller administrere dem på en usikker måte.

Her er noen tips for å lage komplekse, lett å huske passord:

  • Bruk lange passord. Hvis et passord på åtte tegn kan ha 1,6 kvadrillion mulige kombinasjoner, kan du forestille deg hvor mange passord med 16 tegn kan ha? (Omtrent 2,8 nonillion, eller 2,830.) Men kanskje enda viktigere, settet med verdier for et passord på 16 tegn ved bruk av vanlige termer og variasjoner er i underkant av 1,2 quintillion, hvor det var litt over en milliard med et passord på åtte tegn. Å bruke lengre passord er den enkleste måten å gjøre passord mer komplekse og sikrere.
  • Bruk kombinerte ord. Hvordan lage enkle å huske lange passord? En vanlig teknikk er å bruke en serie på tre til fem enkle, ubeslektet vilkår. Disse er vanligvis like enkle å huske som PIN-nummer; kognitivt har folk en tendens til å huske hele ord som enkeltenheter. Imidlertid kan disse passordene være svært komplekse, i det minste med tanke på passordsprekking. Og disse passordene er enkle å lage bare ved å se deg rundt eller bla en bok til en tilfeldig side. Når jeg kikket ut av vinduet mitt, ser jeg en lekefrosk, en bil og vinduet til noens kjøkkenkrok. Nytt passord: FrogHubcapCupboard- det er 18 tegn, men bare tre ord å huske. Ser riktig ut: RunnerCameraGlueString- fire korte ord, 22 tegn. Jeg har bare brukt store bokstaver for å bryte ut ord. Hvis du legger til flere tegn eller erstatninger, kan det øke kompleksiteten - bare ikke bli så komplisert at du blir offer for svakhetene ved tøffe passord.
  • Bruk setninger eller tekster. En annen måte å lage lange passord på er å bruke deler av setninger eller tekster. For tekster er relativt vanlige sanger kanskje bedre enn de som er spesielt viktige for deg: igjen, du vil ikke at folk som kjenner deg godt skal kunne gjette passordene dine bare fordi du er en stor fan av Michael Bolton (eller ikke) . Eksempler på passord laget av faser eller tekster kan være Du er ikkeJackKennedy (19 tegn), iShotaManinReno (15 tegn), impeepinandimcreepin (20 tegn).
  • Bruk mnemonics. Ulempen med lange passord er at de kan være vanskelige å skrive, spesielt på en mobil enhet. Et annet triks noen mennesker synes er nyttig for å generere komplekse kortere passord, er å bruke det første tegnet i hvert ord i en setning eller tekst. "Hvor mange veier må en mann gå ned" kan bli HmrmamwD—Bare åtte tegn, men relativt komplisert sett fra et passordsprekkingsprogram. På samme måte kan "Rist det, rist det som et polaroidbilde" bli SiSiLapp- kanskje ikke bra, men bedre enn skilpadde. Dette trikset kan også bidra til å generere gode passord for systemer som fortsatt har en grense for hvor lange passord kan være.

Disse retningslinjene vil generelt hjelpe deg med å komme med komplekse passord som er enkle å huske. Selvfølgelig, når du arbeider med passordsystemer med sammensetningskrav (som betyr at de forventer store bokstaver, tall eller symboler), må du fremdeles komme med funky vendinger på passord for å oppfylle disse kravene. Bare husk at med lengre passord kan du gjøre utskiftninger og endringer på åpenbare steder - vanligvis er disse lange passordene lettere å huske selv med krav enn korte, tullpassord.

Noen få andre hint

Andre ting du bør tenke på når du velger passord:

  • Bruk separate passord for separate tjenester. Ikke bruk passordet ditt for sosiale nettverk til nettbank. Hvis et passord kompromitteres for en tjeneste, bør de andre være trygge.
  • Velg viktige passord nøye. Enkeltpåloggingssystemer kan være utrolig praktiske, men også skape et enkelt feilpunkt for flere tjenester. Eksempler kan være passord til kontoer hos Google, Yahoo og Microsoft-tjenester, der et enkelt knekt passord kan gi noen tilgang til e-post, dokumenter, bilder, sosiale nettverk, blogger, fotobiblioteker, kontaktlister, adressebøker og mer. På samme måte, med så mange nettsteder (til og med digitale trender) som godtar Facebook- og Twitter-pålogginger, kan et kompromittert passord for sosiale nettverk få vidtrekkende konsekvenser.
  • Bytt passord. Det er fristende å tenke at hvis et av passordene dine blir ødelagt, vet du det med en gang: e-posten din vil forsvinne, bloggen din blir et sett med lulz-grafikk, Amazon-gavelisten din kan være fylt med pinlige alternativer, PayPal-kontoen din kan være bli ryddet ut. Det er imidlertid ikke alltid tilfelle: Hvis noen knekker passordet ditt, er det kanskje ikke noe åpenbart tegn, i det minste ikke med en gang. Ved å endre passordet ditt regelmessig, sørger du for at selv om noen bryter inn, er muligheten for å utnytte deg begrenset. Hyppigheten du skal endre passord med varierer med hvordan du bruker online-tjenester. For alt som involverer ekte penger, anbefaler jeg generelt at brukerne bytter passord hver 30. til 90. dag - jo mer penger, jo oftere.

Ingen passord er trygge

Kanskje det viktigste å huske på passord er at noen passord kan knekkes: Det er bare et spørsmål om hvor mye tid og krefter noen er villige til å legge ned det. Tipsene her vil bidra til å redusere oddsen passordene dine blir forankret av tilfeldige angripere og til og med venner og familie, men ingen passord er helt sikre. Hvis sikker tilgang til en tjeneste er veldig viktig for deg, bør du vurdere å se på ulike former for flerfaktorautentisering for å redusere sjansene for uautorisert tilgang ytterligere.

Bildekreditt: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa

Siste innlegg

$config[zx-auto] not found$config[zx-overlay] not found