OTT Οδηγός για τη δημιουργία ισχυρού κωδικού πρόσβασης
Είναι τόσο συνηθισμένο τώρα, ότι όλοι το κάνουμε χωρίς να το σκεφτόμαστε: δημιουργήστε έναν κωδικό που έχει τουλάχιστον χαρακτήρες x, έχει τουλάχιστον έναν αριθμό και ένα σύμβολο και δεν είναι το πρώτο ή τελευταίο σας όνομα. Είτε εργάζεστε είτε δημιουργείτε ένα αναγνωριστικό της Apple, αυτές οι απαιτήσεις κωδικού πρόσβασης για έναν ισχυρό κωδικό πρόσβασης είναι παντού.
Μετά τη δημιουργία ενός νέου κωδικού πρόσβασης σε μια τοποθεσία μια μέρα, άρχισα να σκέφτομαι πόσο διαφορετικές ήταν όλες οι απαιτήσεις. Ορισμένοι ιστότοποι θέλουν κωδικούς πρόσβασης που δεν είναι μικρότεροι από 3 χαρακτήρες και ορισμένοι επιβάλλουν τουλάχιστον 8. Ορισμένοι επιθυμούν σύμβολα, μερικοί δεν το κάνουν. Μερικοί ενδιαφέρονται για το όνομά σας και τους προηγούμενους κωδικούς πρόσβασης, άλλοι δεν το κάνουν. Έτσι, ποιος κωδικός είναι πραγματικά ισχυρός?
Έκανα κάποια έρευνα και ανακάλυψα δύο πράγματα όταν μιλάς για κάποιον που "σπάει" τον κωδικό σου: πρώτον, υπάρχει η δύναμη του κωδικού σου και, δεύτερον, υπάρχει η δύναμη της κρυπτογράφησης που χτυπάει τον κωδικό σε λάθος όταν αποθηκεύεται.
Συνειδητοποίησα γρήγορα ότι όλη η έννοια ενός ισχυρού κωδικού πρόσβασης είναι πολύ μαθηματική και έγιναν πολυάριθμες μελέτες σε αυτό το θέμα. Αυτό που μου άφησε την προσοχή και που θα αναφερθώ σε αυτή τη θέση είναι από μια μελέτη Carnegie-Mellon του 2011.
Δοκιμάστε πρώτα τον κωδικό σας
Πριν φτάσουμε σε έναν ισχυρό κωδικό πρόσβασης, ας δούμε πόσο καιρό θα χρειαζόταν για να σπάσουμε τον υποτιθέμενο ισχυρό κωδικό πρόσβασης. Για να το ελέγξουμε, θα χρησιμοποιήσουμε ένα εργαλείο στην τοποθεσία PassFault:
https://passfault.appspot.com/password_strength.html
Ετσι δουλευει. Πληκτρολογείτε τον κωδικό πρόσβασής σας και πατήστε Αναλύει. Έχει δύο επιλογές που είναι κρυμμένες από προεπιλογή, αλλά μπορείτε να κάνετε κλικ στο Εμφάνιση επιλογών. Ας εξηγήσουμε τι σημαίνουν.
Cracking Hardware προεπιλογής σε έναν εισβολέα κωδικού πρόσβασης $ 900, το οποίο θα ήταν δυνατό για έναν νόμιμο hacker. Έχουν επίσης τη δυνατότητα να επιλέξουν έναν εισβολέα κωδικού πρόσβασης αξίας 180.000 δολαρίων, τον οποίο οι Κινέζοι θα μπορούσαν να χρησιμοποιήσουν εάν είναι τόσο ακριβό. Το αναπτυσσόμενο μενού "Προστασία με κωδικό πρόσβασης" σας δίνει μερικές επιλογές για τον τύπο κρυπτογράφησης που χρησιμοποιείται για την αποθήκευση του κωδικού πρόσβασης. Το Microsoft Windows System είναι το πιο αδύναμο, χωρίς έκπληξη. Στη συνέχεια, έχετε ασύρματο σημείο πρόσβασης WPA, UNIX SHA1, UNIX Blowfish και 100 γύρους SHA1.
Δοκίμασα τον ισχυρό κωδικό μου που χρησιμοποίησα σε δύο ιστότοπους και σοκαρίστηκα να δω ότι θα μπορούσε να σπάσει σε 1 ημέρα!
Ουάου, αυτό είναι πολύ κακό. Έτσι, επέλεξα τις ισχυρότερες επιλογές κρυπτογράφησης (Unix Blowfish και 100 γύρους του SHA1) και ήταν πιο ευτυχισμένη να βλέπεις τα αποτελέσματα να διαρκούν περισσότερο από μία ημέρα: 1 έτος και 7 μήνες για Unix Blowfish και 2 μήνες και 2 ημέρες με 100 γύρους SHA1 . Ωστόσο, με τον εισβολέα κωδικού πρόσβασης $ 180.000, μειώθηκε σε 11 ημέρες και 3 ημέρες, αντίστοιχα. Δεν είναι αποδεκτό σκέφτηκα! Θέλω τον κωδικό μου να διαρκέσει χρόνια για να σπάσει ακόμη και με ένα πολύ ακριβό cracker κωδικού πρόσβασης. Αλλά ποιος είναι ο καλύτερος τρόπος από τότε που χρησιμοποιώ έναν κωδικό 9 χαρακτήρων με αριθμούς και ένα σύμβολο?
Τι κάνει ισχυρό τον κωδικό πρόσβασης?
Αυτή είναι η περίπτωση όπου η μελέτη Carnegie-Mellon ρίχνει φως στο όλο θέμα. Βασικά, αυτό που βρήκαν είναι ότι όσο περισσότερο χρησιμοποιείται ο κωδικός πρόσβασης, τόσο ισχυρότερη είναι. Αυτό δεν σημαίνει απαραίτητα ότι ο μακρύτερος κωδικός πρόσβασης πρέπει να έχει πολλά σύμβολα ή αριθμούς, απλώς πρέπει να είναι μακρύς. Στους 16 χαρακτήρες, το μόνο που πρέπει να αποφύγετε είναι να χρησιμοποιήσετε λέξεις σούπερ εύκολο λεξικό.
Δεν είστε πεπεισμένοι ότι αυτό είναι δυνατό; Στην τοποθεσία PassFault, χρησιμοποιήστε τον ακόλουθο κωδικό πρόσβασης, ο οποίος είναι μόνο 15 χαρακτήρες και είναι εξαιρετικά εύκολος στη χρήση:
ilovemywifealot
Στη συνέχεια, για τις επιλογές, επιλέξτε τον εισβολέα κωδικού πρόσβασης $ 180.000 και επιλέξτε την ασθενέστερη κρυπτογράφηση (Microsoft Windows) και αυτό είναι αυτό που παίρνετε:
1 μήνα και 7 ημέρες! Αυτό είναι πολύ καλύτερο από τον κωδικό μου να σπάσει σε 1 ημέρα. Τι συμβαίνει με τον κωδικό μου; Λοιπόν, προφανώς, εάν ο κωδικός σας είναι μικρότερος, τότε θα πρέπει να χρησιμοποιήσετε περισσότερα σύμβολα, τυχαία γράμματα και αριθμούς για να τον ενισχύσετε. Αν είναι περισσότερο, όπως πάνω από 15 έως 16 χαρακτήρες, τότε δεν χρειάζεται να ανησυχείτε για την προσθήκη όλων των ειδών αριθμών και συμβόλων. Με μεγαλύτερο κωδικό πρόσβασης, μπορείτε ακόμη να χρησιμοποιήσετε περισσότερες λέξεις λεξικού και θα είναι ακόμα πολύ ασφαλής. Προφανώς ένας κωδικός πρόσβασης όπως γεια γεια γεια θα εξακολουθεί να πιπιλίζει ακόμα και αν είναι 15 χαρακτήρες:
Είναι χάλια γιατί πρόκειται να είναι στο λεξικό και είναι η ίδια λέξη τρεις φορές. Στον πρώτο κωδικό μου, όπου λέω την αγάπη μου για τη σύζυγό μου, η φράση αρχίζει γρήγορα να μοιάζει σαν τρελός με έναν υπολογιστή και κανένα λεξικό δεν έχει το όνομά της ως λέξη. Τα λεξικά έχουν λέξεις λεξικού, αρκεί να αποφύγετε τις λέξεις απλού λεξικού, θα είναι καλό να πάτε. Ο κωδικός πρόσβασής μου θα μπορούσε να είναι ακόμα καλύτερος αν χρησιμοποιούσα το όνομα της συζύγου μου ή ένα ψευδώνυμο για αυτήν αντί για τη λέξη "σύζυγος". Πάρτε την ιδέα?
Προφανώς, εάν μπορείτε να ρίξετε ένα σύμβολο σε έναν μακρύ κωδικό πρόσβασης, τότε ο κωδικός πρόσβασης γίνεται ακόμα πιο γελοία ισχυρός. Για παράδειγμα, ας πούμε ότι έβαλα ένα θαυμαστικό μπροστά από τον κωδικό της συζύγου μου και πρόσθεσα έναν αριθμό στο τέλος. Στη συνέχεια, πόσο καιρό θα χρειαζόταν να ραγίσει με τις ίδιες επιλογές:
Αγία αγελάδα! Έτσι πήγε από 1 μήνα 7 ημέρες σε ένα τεράστιο 4 αιώνες και 1 δεκαετία !!! Ναι αιώνες !! Τώρα αυτό είναι ένας ασφαλής κωδικός πρόσβασης και δεν είναι πολύ δύσκολο να θυμηθούμε. Ελέγξτε λοιπόν τον κωδικό πρόσβασής σας χρησιμοποιώντας αυτό το δωρεάν ηλεκτρονικό εργαλείο και αν ο κωδικός σας είναι ραγισμένος σε λίγες μέρες, ίσως είναι καιρός να σκεφτείτε κάτι νέο, ειδικά για τις ευαίσθητες πληροφορίες σας, όπως οι τραπεζικοί κωδικοί πρόσβασης κ.λπ..
Θυμηθείτε, πολλά από αυτά τα sites σε απευθείας σύνδεση χάκεται συνεχώς, οπότε ο κωδικός πρόσβασής σας δεν είναι ποτέ ασφαλής. Ωστόσο, εάν χρησιμοποιείτε έναν πραγματικά ισχυρό κωδικό πρόσβασης, ακόμα και αν η κρυπτογράφηση είναι πολύ αδύναμη, θα χρειαζόταν για πάντα ένας σούπερ υπολογιστής για να το σπάσει! Εάν δοκιμάσατε τον κωδικό πρόσβασής σας στον ιστότοπο κατά την ανάγνωση αυτής της ανάρτησης, ενημερώστε μας στα σχόλια πόσο καιρό θα χρειαζόταν για να το σπάσουμε. Απολαμβάνω!