Crack this: Cum să alegeți parole puternice și să le păstrați așa

nume de utilizator și parolă shutterstock

Dacă există un lucru pe care oamenii îl asociază cu tehnologia modernă, este vorba de parole. Sunt peste tot și majoritatea dintre noi le folosim pentru zeci de lucruri în fiecare zi. Cu toate acestea, majoritatea oamenilor sunt șocant de indiferenți cu privire la securitatea parolelor. Majoritatea dintre noi cunosc probabil pe cineva care folosește aceeași parolă pentru Tot, de la computer și e-mail la conturile lor Facebook și bancare - și parola ar putea fi ceva la fel de evident ca ziua lor de naștere sau numele străzii în care au crescut. Și, probabil, cunoaștem, de asemenea, pe cineva care are o notă lipicioasă pe partea laterală a monitorului etichetată cu „Parole” (în roșu, dublu subliniat), cu o listă cu totul, de la Twitter la Netflix, care stă doar în aer liber, pentru ca oricine să o citească.

Aceste practici s-ar putea să sune ca ceva din generația bunicilor noștri, dar acest lucru nu este strict adevărat: săptămâna trecută am urmărit un membru complet generos al generației D încercând să treacă de la un Samsung Galaxy S (er, Fascinate) la un HTC Rezound prin notebook-ul său calculator. Cum și-a mutat toate parolele? Avea o bucată de hârtie în portofel cu „toate parolele sale” - și cu toate a vrut sa spuna Trei. Unul pentru e-mail și rețelele sociale, unul pentru e-mailul mătușii sale mari („îl verific pentru ea”) și altul pentru orice altceva. Privind peste umăr, toate trei erau cuvinte de zi cu zi: mophandle,mormăitor, și lillian. Ghici care a fost mătușa lui?

Din fericire, există modalități simple de a crea parole atât greu de ghicit, cât și ușor de reținut. Din păcate, industria tehnologică uneori împiedică utilizarea acestora. Iată un rezumat al punctelor slabe comune ale parolelor și câteva modalități prin care vă puteți îmbunătăți parolele și siguranța online.

Obscuritate versus complexitate

Un adevăr comun despre parole este că ar trebui nu fii ușor de ghicit. Majoritatea oamenilor cu cunoștințe tehnice sunt de acord că nimeni nu ar trebui să folosească detalii despre ei înșiși ca parolă: aceasta include zilele de naștere, adresele și numele prietenilor și familiei (inclusiv părinți, frați, soți, copii și chiar animale de companie). În mod similar, parola face o parolă extrem de slabă - la fel ca toate celelalte parole aruncate folosite în mod obișnuit.

Acest sfat veșnic verde este deseori interpretat în sensul că parolele ar trebui să fie obscur, sau un termen pe care nimeni nu l-ar crede că ai alege dacă ar avea un milion de ani. Da, obscurul poate funcționa - și este o viziune mai bună decât să alegeți o parolă evidentă. Cu toate acestea, o parolă obscură te protejează doar de persoanele care știu ceva despre tine. Probabil, majoritatea oamenilor încearcă să vă spargă parolele nu te stiu.

Majoritatea codurilor de parolă nu se întâmplă așa cum este prezentată în filme, unde eroul nostru (sau ticălosul) stă la o tastatură, încearcă o frază sau două, își freacă bărbia, apoi spionează o fotografie din copilărie pe birou. Aha! Tastați cuvântul magic și presto, securitate ocolită. În lumea reală, marea majoritate a cracării parolelor este automatizată, computerele aruncând literalmente fiecare cuvânt din dicționar (și apoi unele) către un sistem în speranța că se poticnesc cu termenul corect. Această abordare poate funcționa, deoarece computerele pot încerca parolele mult mai repede decât oamenii le pot introduce și pot rula 24 de ore pe zi, șapte zile pe săptămână, fără pauze de baie. Cracker-urile automate de parole nu știu nimic despre utilizatorii pe care încearcă să-i compromită: este o abordare cu forță brută.

Deci, se pare că o cheie pentru o parolă puternică nu este a sa obscuritate dar e complexitate- lucruri care îl fac mai puțin probabil să fie ghicit de un cracker automat de parole. Cu toate acestea, crearea unei parole complexe bune înseamnă a cunoaște puțin despre modul în care parolele se rup.

Ruperea parolelor

În termeni foarte generali, crackerele de parole au de obicei două abordări. Una este să încercați literalmente o listă precompilată de parole posibile. Acestea pornesc de obicei de la parole foarte frecvente (cum ar fi parola sau qwerty) și mergeți până la termeni mai puțin obișnuiți și, în cele din urmă, utilizați o listă de cuvinte compilate dintr-un dicționar online și alte surse. Această abordare este mai probabil să găsească parole care sunt cuvinte valide sau variante pe ele, chiar dacă sunt obscure.

O altă abordare de cracare a parolei este de a încerca secvențe valide de litere, cifre și simboluri, indiferent de semnificația lor. Un cracker de parolă care utilizează această abordare ar putea începe cu aaaaaaaa pentru o parolă cu opt caractere, apoi încercați aaaaaaab atunci aaaaaaac și așa mai departe alfabetul, prin amestecuri de majuscule și minuscule, și aruncarea de numere și simboluri. Această abordare este mai probabil să găsească parole care sunt „compatibile cu mașina” sau generate aleatoriu. O parolă de genul 4De78Hf1 nu este mai dificil de găsit în acest fel decât adolescent va fi.

Deci, care sunt șansele ca o parolă să fie ghicită? Majoritatea sistemelor de astăzi permit utilizatorilor să creeze parole folosind litere (majuscule și minuscule), cifre și o selecție de simboluri. Simbolurile permise variază adesea între sisteme (unele permit aproape orice, altele permit doar o mână), dar pentru scopurile noastre să presupunem că înseamnă că fiecare caracter dintr-o parolă poate avea una de aproximativ 80 de valori - două alfabete la câte 26 de litere fiecare, zece cifre, și 18 simboluri. (În teorie, cel puțin 127 de valori ar trebui să fie disponibile pentru fiecare personaj, dar în practică este un număr mai mic.)

Folosind o abordare cu forță pur brutală, asta înseamnă că ar fi nevoie de maximum 80 de presupuneri pentru a afla aleatoriu o parolă cu un singur caracter. O parolă cu patru caractere ar putea prelua peste 40 de milioane de presupuneri (80 × 80 × 80 × 80 = 40.960.000), iar o parolă cu opt caractere ar putea prelua 1,6 ghilioane de presupuneri (1.677.721.600.000.000).

Dacă un cracker de parolă ar putea face 1.000 de presupuneri pe secundă, ar avea nevoie de aproximativ o lună pentru a rula toate combinațiile unei parole cu patru caractere și peste 53.000 ani pentru a rula toate combinațiile unei parole de 8 caractere. Pare destul de sigur, nu?

Nu chiar. În termeni pur statistici, un cracker are 50/50 șanse să găsească parola jumătate acel timp. Mai îngrijorător, oamenii care fac cracker-uri de parolă au alte modalități de a-și îmbunătăți șansele. Amintiți-vă cum parola a fost una dintre cele mai proaste parole de folosit? Ghici ce este și o parolă foarte proastă? Passw0rd, înlocuind un număr zero cu o literă O. În timp ce crackerele de parole își execută cuvintele obișnuite dintr-un dicționar, încearcă, de asemenea, variante comune pe aceste cuvinte, înlocuind zerouri cu O, semnele @ și 4 cu A, 3 cu E, 1 și ! e pentru eu, 7 pentru T e 5 pentru S și așa mai departe. În mod similar, 0qww294e este o parolă teribilă - asta este doar parola s-a deplasat un rând pe o tastatură engleză standard. Aceste tehnici se bazează pe preferința utilizatorilor pentru parole ușor de reținut. Din păcate, prin înlocuirea (sau scrierea cu majuscule) a unui personaj sau două într-un termen ușor de reținut, oamenii își fac parolele mai obscure, dar nu mult mai sigure. De fapt, parolele tipice de opt caractere selectate de utilizator cu majuscule, numere și simboluri au de obicei doar aproximativ 30 de biți de entropie, sau puțin peste un miliard de combinații posibile. De ce? Deoarece lista de termeni oameni pe care oamenii își bazează parolele este mult mai mică decât combinațiile totale posibile de litere, cifre și simboluri.

Cât de repede pot fi sparte parolele? Încercarea a 1.000 de parole pe secundă ar putea părea imposibilă - la urma urmei, majoritatea serviciilor tind să ne blocheze din propriile conturi dacă scriem greșit o parolă de trei sau patru ori, resetând adesea parola și solicitându-ne să răspundem la întrebări de securitate pentru a crea una nouă. Aceste tehnici „gateway” do îmbunătățiți securitatea contului și, de altfel, sunt, de asemenea, o modalitate extraordinar de ușoară de a enerva oamenii. (Nu vă pot spune de câte ori am fost blocat din contul meu iTunes prin atacuri cu parolă, dar probabil este peste o sută.)

Cu toate acestea, atacatorii care intenționează să rupă parolele nu bat la ușa unui serviciu și încearcă (literalmente) de milioane de ori să se conecteze la același cont. Folosesc fie metode de autentificare mai puțin publice care nu sunt supuse blocării (cum ar fi un API privat pentru parteneri sau aplicații), răspândind atacurile într-o gamă largă de conturi pentru a evita perioadele de blocare, fie (cel mai bun caz scenariu) aplicând parola tehnici de cracare a datelor de parole furate. Majoritatea sistemelor criptează datele de parolă pe care le stochează, dar acele fișiere criptate sunt la fel de sigure ca sistemul în sine. Dacă atacatorii pot pune mâna pe fișierul de parolă criptat (printr-o gaură de securitate, o mașină compromisă sau inginerie socială, pentru începători), îl pot ataca foarte rapid odată ce este pe propriile sisteme. De aceea, poveștile despre atacatori care obțin informații despre cont (cum ar fi Stratfor, Epsilon, Sony și Zappos) sunt îngrijorătoare. Odată ce datele criptate au fost eliberate, atacatorii pot aplica instrumente mult mai puternice pentru a le deschide.

În lumea reală, asta înseamnă că cifra a 1.000 de parole pe secundă este extrem de conservatoare. În prezent, hardware-ul tipic pentru calculatoare desktop poate fi testat milioane de parole o secundă împotriva tehnologiilor comune de criptare. În mod similar, există acum instrumente de cracare a parolelor care utilizează procesoarele grafice, iar operatorii criminali de botnet sunt, de asemenea, în activitatea de cracare a parolelor. Ele pot răspândi volumul de muncă pe mii de computere. Combinați această putere brută cu euristici sofisticate (cum ar fi încercarea de variante de cifre și litere pe cuvinte obișnuite) și nu este neobișnuit să spargeți o parolă tipică de utilizator cu opt caractere în mai puțin de o jumătate de oră.

Împușcându-ne în picior

Am remarcat mai sus cum o parolă de opt caractere poate, cu majuscule, minuscule, numere și simboluri, să aibă peste un patrilion de combinații posibile, dar majoritatea parolelor cu opt caractere utilizate astăzi se încadrează într-un grup de doar aproximativ un miliard de combinații. Asta pentru că oamenii nu sunt mașini. În cazul în care un computer este conținut să fie folosit broască-țestoasă sau Y & 4nS0 \ 2 ca parolă, ghiciți care dintre ele este mai ușor de reținut pentru un om? Acum, ghiciți care dintre ele este mai sigură.

Unele sisteme implementează cerințe de parolă menite să asigure că utilizatorii nu folosesc parole ușor de spart. O abordare comună este de a solicita parolelor utilizatorului să aibă cel puțin o literă mare, un număr, un simbol și să aibă cel puțin opt caractere. (Unele sisteme nu aplică cerințele, dar oferă un indicator de „intensitate a parolei” ca măsură a eficienței pe care o crede că ar putea fi o parolă.) Unele sisteme cer, de asemenea, utilizatorilor să își schimbe parolele din când în când (de exemplu, la fiecare 30 sau 45 de zile) și împiedicați-i să reutilizeze parolele.

Acest tip de cerințe do crește securitatea parolelor, dar acestea fac, de asemenea, parolele mult mai greu de reținut pentru oameni. Asta înseamnă că o parte semnificativă a utilizatorilor va veni imediat cu modalități de a submina securitatea sistemului pentru propria lor comoditate. Sigur, unii oameni pot face față parolelor precum 9,3 nDs (# dar o mulțime de alți oameni vor răspunde cu note lipicioase încărcate cu parole pe părțile laterale ale monitoarelor, note în portofele lor sau un document Microsoft Word pe desktopul lor etichetat cu ajutor „Parole”, astfel încât să poată copia și lipi atunci când este necesar . Cerințele de construcție a parolelor tind, de asemenea, să afecteze productivitatea și să mărească costurile de asistență (atât pentru angajați, cât și pentru clienți), deoarece mai multe persoane își vor uita parolele sau vor fi blocate din conturi, necesitând o intervenție manuală.

Realizarea de parole complexe

Sfântul Graal al parolelor ar părea atunci a fi o parolă care este complex suficient încât să nu fie practic să spargeți folosind tehnici automate, dar destul de ușor de reținut că utilizatorii nu compromit securitatea stocându-le sau gestionându-le în condiții de siguranță.

Iată câteva sfaturi pentru a crea parole complexe, ușor de reținut:

Folosiți parole lungi. Dacă o parolă cu opt caractere poate avea 1,6 miliarde de combinații posibile, imaginați-vă câte parole poate avea 16 caractere? (Aproximativ 2,8 non-miliard, sau 2,830.) Cu toate acestea, poate mai important, setul de valori pentru o parolă de 16 caractere folosind termeni și variații obișnuite este puțin sub 1,2 quintilioane, unde era puțin peste un miliard cu o parolă de opt caractere. Utilizarea parolelor mai lungi este cel mai simplu mod de a face parolele mai complexe și mai sigure.
Folosiți cuvinte combinate. Cum se fac parole lungi ușor de reținut? O tehnică obișnuită este utilizarea unei serii de trei până la cinci simple, fără legătură termeni. Acestea sunt în general la fel de ușor de reținut ca numerele PIN; cognitiv, oamenii tind să-și amintească cuvintele întregi ca unități unice. Cu toate acestea, aceste parole pot fi foarte complexe, cel puțin din punctul de vedere al cracării parolelor. Și aceste parole sunt ușor de realizat doar uitându-se în jur sau răsfoind o carte pe o pagină aleatorie. Aruncând o privire lăsată pe fereastră, văd o broască de jucărie, o mașină și fereastra chicinetei cuiva. Parolă Nouă: FrogHubcapCupboard- adică 18 caractere, dar doar trei cuvinte de reținut. Privind corect: RunnerCameraGlueString- patru cuvinte scurte, 22 de caractere. Am folosit majuscule doar pentru a ajuta la izbucnirea cuvintelor. Adăugarea mai multor caractere sau înlocuiri poate crește complexitatea - pur și simplu nu devii atât de complex încât poți fi pradă punctelor slabe ale parolelor dure.
Folosiți fraze sau versuri. Un alt mod de a crea parole lungi este să folosiți părți din fraze sau versuri. Pentru versuri, melodiile relativ obișnuite sunt probabil mai bune decât cele deosebit de importante pentru dvs.: din nou, nu doriți ca oamenii care vă cunosc bine să vă poată ghici parolele doar pentru că sunteți un fan imens al lui Michael Bolton (sau nu) . Ar putea fi exemple de parole făcute din faze sau versuri Nu ești JackKennedy (19 caractere), iShotaManinReno (15 caractere), impeepinandimcreepin (20 de caractere).
Folosiți mnemonică. Dezavantajul parolelor lungi este că pot fi greu de tastat, mai ales pe un dispozitiv mobil. Un alt truc pe care unii îl consideră util pentru a genera parole complexe mai scurte este acela de a folosi primul caracter al fiecărui cuvânt dintr-o frază sau text. „Câte drumuri trebuie să meargă un om” ar putea deveni HmrmamwD—Numai opt caractere, dar relativ complex din punctul de vedere al unui program de cracare a parolelor. În mod similar, „Shake it, shake it like a polaroid picture” ar putea deveni SiSiLapp- poate nu grozav, dar mai bine decât broască-țestoasă. Acest truc poate ajuta, de asemenea, la generarea de parole bune pentru sistemele care au încă o limită pentru cât de lungi pot fi parolele.

Aceste reguli vă vor ajuta, în general, să creați parole complexe ușor de reținut. Desigur, atunci când vă ocupați de sisteme de parole cu cerințe de compoziție (ceea ce înseamnă că se așteaptă cu majuscule, numere sau simboluri), va trebui să veniți cu modificări funky ale parolelor pentru a îndeplini aceste cerințe. Amintiți-vă doar că, cu parole mai lungi, puteți face înlocuiri și modificări în locuri evidente - de obicei, aceste parole lungi sunt mai ușor de reținut chiar și cu cerințe decât parolele scurte și fără sens.

Alte câteva sugestii

Alte lucruri la care să vă gândiți atunci când vă alegeți parolele:

Utilizați parole separate pentru servicii separate. Nu utilizați parola de rețea socială pentru activități bancare online. Dacă o parolă este compromisă pentru un serviciu, celelalte ar trebui să fie în siguranță.
Alegeți parole importante cu atenție. Sistemele de conectare unică ar putea fi extrem de convenabile, dar pot crea și un singur punct de eșec pentru mai multe servicii. Exemple ar fi parolele pentru conturile de la serviciile Google, Yahoo și Microsoft, unde o singură parolă cracată ar putea oferi cuiva acces la e-mail, documente, imagini, rețele sociale, bloguri, biblioteci foto, liste de contacte, agende și multe altele. În mod similar, cu atât de multe site-uri (chiar și Tendințe digitale) care acceptă conectările de pe Facebook și Twitter, o parolă de rețea socială compromisă poate avea repercusiuni de amploare.
Schimbați parolele. Este tentant să ne gândim că, dacă una dintre parolele tale va fi spartă, vei ști imediat: e-mailul tău va dispărea, blogul tău va deveni un set de grafică lulz, lista ta de cadouri Amazon ar putea fi umplută cu opțiuni jenante, contul tău PayPal ar putea să fie eliminat. Cu toate acestea, nu este întotdeauna cazul: dacă cineva îți sparge parola, este posibil să nu existe niciun semn evident, cel puțin nu imediat. Schimbându-vă parola în mod regulat, vă asigurați că, chiar dacă cineva intră, fereastra de oportunitate de a vă exploata este limitată. Frecvența cu care ar trebui să modificați parolele variază în funcție de modul în care utilizați serviciile online. Pentru orice lucru care implică bani reali, recomand în general utilizatorilor să își schimbe parolele la fiecare 30 până la 90 de zile - cu cât sunt mai mulți bani, cu atât mai des.

Nicio parolă nu este sigură

Poate că cel mai important lucru de reținut despre parole este că orice parola poate fi spartă: este doar o chestiune de cât timp și efort cineva este dispus să depună în ea. Sfaturile de aici vă vor ajuta să reduceți probabilitatea ca parolele dvs. să fie eliminate de atacatori aleatori și chiar de prieteni și familie, dar nici o parolă nu este complet sigură. Dacă accesul securizat la un serviciu este foarte important pentru dvs., luați în considerare examinarea diferitelor forme de autentificare cu mai mulți factori pentru a reduce și mai mult șansele de acces neautorizat.

Credit de imagine: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa