Kako kreirati i zapamtiti jaku lozinku

2024 Autor: Malcolm Clapton | [email protected]. Zadnja izmjena: 2023-12-17 03:49

Najbolji načini za kreiranje lozinke koju niko ne može provaliti.

Većina napadača se ne zamara sofisticiranim metodama krađe lozinki. Uzimaju kombinacije koje je lako pogoditi. Otprilike 1% svih trenutno postojećih lozinki može se koristiti grubom silom sa četiri pokušaja.

Kako je to moguće? Veoma jednostavno. Isprobate četiri najčešće kombinacije na svijetu: lozinka, 123456, 12345678, qwerty. Nakon takvog prolaza, u prosjeku se otvori 1% svih "škrinja".

Recimo da ste među onih 99% korisnika čija lozinka nije tako jednostavna. Uprkos tome, performanse modernog softvera za hakovanje moraju se uzeti u obzir.

Besplatni, besplatno dostupni program John the Ripper provjerava milione lozinki u sekundi. Neki primjeri specijalizovanog komercijalnog softvera tvrde da ima kapacitet od 2,8 milijardi lozinki u sekundi.

U početku, programi za krekovanje prolaze kroz listu statistički najčešćih kombinacija, a zatim se pozivaju na kompletan rečnik. Vremenom se trendovi korisničkih lozinki mogu neznatno promijeniti, a ove promjene se uzimaju u obzir kada se takve liste ažuriraju.

Vremenom su sve vrste web servisa i aplikacija odlučile da nasilno zakomplikuju lozinke koje kreiraju korisnici. Dodati su zahtjevi prema kojima lozinka mora imati određenu minimalnu dužinu, sadržavati brojeve, velika slova i specijalne znakove. Neki servisi su ovo shvatili toliko ozbiljno da je potreban zaista dug i dosadan zadatak da se smisli lozinka koju bi sistem prihvatio.

Ključni problem je u tome što gotovo svaki korisnik ne generiše istinski bruteforce lozinku, već samo pokušava da ispuni zahtjeve sistema za sastavom lozinke na minimum.

Rezultat su lozinke kao što su lozinka1, lozinka123, Lozinka, šifra, lozinka! i neverovatno nepredvidivi p@sword.

Zamislite da trebate preinačiti svoju lozinku za spiderman. Najvjerovatnije će izgledati kao $ pider_Man1. Original? Hiljade ljudi će ga promijeniti koristeći isti ili vrlo sličan algoritam.

Ako kreker poznaje ove minimalne zahtjeve, onda se situacija samo pogoršava. Iz tog razloga nametnuti zahtjev za povećanjem složenosti lozinki ne pruža uvijek najbolju sigurnost i često stvara lažni osjećaj povećane sigurnosti.

Što je lozinku lakše zapamtiti, veća je vjerovatnoća da će završiti u rječnicima za krekere. Kao rezultat toga, ispada da je zaista jaku lozinku jednostavno nemoguće zapamtiti, što znači da je treba negdje popraviti.

Prema mišljenju stručnjaka, čak iu ovom digitalnom dobu, ljudi se i dalje mogu osloniti na komad papira na kojem su ispisane lozinke. Prikladno je držati takav list na mjestu skrivenom od znatiželjnih očiju, na primjer, u novčaniku ili novčaniku.

Međutim, lista lozinki ne rješava problem. Duge lozinke je teško ne samo zapamtiti, već i unijeti. Situaciju pogoršavaju virtuelne tastature mobilnih uređaja.

U interakciji sa desetinama usluga i sajtova, mnogi korisnici ostavljaju za sobom niz identičnih lozinki. Pokušavaju koristiti istu lozinku za svaku stranicu, potpuno zanemarujući rizike.

U ovom slučaju, neke web stranice djeluju kao dadilja, zbog čega kombinacija bude komplicirana. Kao rezultat toga, korisnik se jednostavno ne može sjetiti kako je morao promijeniti svoju standardnu jedinstvenu lozinku za ovu stranicu.

Razmjeri problema su u potpunosti spoznali 2009. godine. Tada je, zbog sigurnosne rupe, haker uspio ukrasti bazu podataka prijava i lozinki RockYou.com, kompanije koja objavljuje igre na Facebooku. Napadač je bazu podataka učinio javno dostupnom. Ukupno je sadržavao 32,5 miliona unosa sa korisničkim imenima i lozinkama za naloge. Curenja su se dešavala i ranije, ali su razmjeri ovog konkretnog događaja pokazali cijelu sliku.

Najpopularnija lozinka na RockYou.com bila je 123456, koju je koristilo skoro 291.000 ljudi. Muškarci mlađi od 30 godina češće su preferirali seksualne teme i vulgarnosti. Stariji ljudi oba spola često su se obraćali određenom području kulture prilikom odabira lozinke. Na primjer, Epsilon793 ne izgleda kao loša opcija, samo što je ova kombinacija bila u Zvjezdanim stazama. Sedmocifreni 8675309 pojavio se mnogo puta jer se ovaj broj pojavio u jednoj od pjesama Tommy Tutonea.

U stvari, kreiranje jake lozinke je jednostavan zadatak, dovoljno je sastaviti kombinaciju nasumičnih znakova.

Ne možete stvoriti savršeno slučajnu kombinaciju u matematičkom smislu u svojoj glavi, ali od vas se to i ne traži. Postoje posebne usluge koje generiraju zaista nasumične kombinacije. Na primjer, može kreirati lozinke poput ove:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ovo je jednostavno i elegantno rješenje, posebno za one koji koriste menadžer za pohranjivanje lozinki.

Nažalost, većina korisnika i dalje koristi jednostavne, slabe lozinke, čak zanemarujući pravilo „različite lozinke za svaku stranicu“. Njima je udobnost važnija od sigurnosti.

Situacije u kojima sigurnost lozinke može biti ugrožena mogu se podijeliti u 3 široke kategorije:

• Slučajno, u kojem osoba koju poznajete pokušava saznati lozinku, oslanjajući se na informacije koje zna o vama. Često takav kreker samo želi da se izigra, sazna nešto o vama ili napravi nered.
• Masovni napadikada apsolutno svaki korisnik određenih usluga može postati žrtva. U ovom slučaju koristi se specijalizirani softver. Za napad se biraju najnebezbednije lokacije koje vam omogućavaju da u kratkom vremenskom periodu više puta unesete opcije lozinke.
• Namernokoji kombinuju primanje nagoveštaja (kao u prvom slučaju) i upotrebu specijalizovanog softvera (kao u masovnom napadu). Ovdje se radi o pokušaju da se dođe do zaista vrijednih informacija. Samo dovoljno duga nasumična lozinka pomoći će vam da se zaštitite, za čiji odabir će biti potrebno vrijeme usporedivo s trajanjem vašeg života.

Kao što vidite, žrtva može postati apsolutno svako. Izjave poput “moja lozinka neće biti ukradena, jer me niko ne treba” nisu relevantne, jer u sličnu situaciju možete doći sasvim slučajno, slučajno, bez ikakvog razloga.

Još je ozbiljnije poduzeti zaštitu lozinkom za one koji imaju vrijedne informacije, povezani su s poslom ili su u sukobu s nekim po finansijskim osnovama (na primjer, podjela imovine u procesu razvoda, konkurencija u poslovanju).

U 2009. godini, Twitter (u razumijevanju cjelokupnog servisa) je hakovan samo zato što je administrator koristio riječ sreća kao lozinku. Haker ga je podigao i objavio na web stranici Digital Gangster, što je dovelo do otmice naloga Obame, Britney Spears, Facebooka i Fox Newsa.

Akronimi

Kao iu svakom drugom aspektu života, uvijek moramo pronaći kompromis između maksimalne sigurnosti i maksimalne udobnosti. Kako pronaći sredinu? Koja strategija za generisanje lozinki će vam omogućiti da kreirate jake kombinacije koje se mogu lako zapamtiti?

U ovom trenutku, najbolja kombinacija pouzdanosti i praktičnosti je pretvaranje fraze ili fraze u lozinku.

Odabire se skup riječi koje uvijek pamtite, a kombinacija prvih slova svake riječi se koristi kao lozinka. Na primjer, Neka sila bude s vama pretvara se u Mtfbwy.

Međutim, pošto će se najpoznatije koristiti kao početne fraze, programi će na kraju dobiti ove akronime na svojim listama. U stvari, akronim sadrži samo slova i stoga je objektivno manje pouzdan od nasumične kombinacije znakova.

Odabir prave fraze pomoći će vam da se riješite prvog problema. Zašto pretvoriti svjetski poznati izraz u akronim lozinku? Vjerovatno se sjećate nekih viceva i izreka koje su relevantne samo u vašem bližem okruženju. Recimo da ste čuli vrlo upečatljivu frazu od barmena u lokalnom lokalu. Iskoristi ga.

Ipak, akronimna lozinka koju ste generirali vjerojatno neće biti jedinstvena. Problem sa akronimima je što različite fraze mogu biti sastavljene od riječi koje počinju istim slovima iu istom nizu. Statistički, u raznim jezicima je povećana učestalost pojavljivanja pojedinih slova kao početka riječi. Programi će uzeti u obzir ove faktore, a efektivnost akronima u originalnoj verziji će biti smanjena.

Obrnuti put

Izlaz može biti suprotan put generacije. Na random.org kreirate potpuno nasumičnu lozinku, a zatim pretvarate njene znakove u značajnu frazu koja se pamti.

Često, usluge i web lokacije korisnicima pružaju privremene lozinke, koje su iste savršeno nasumične kombinacije. Poželećete da ih promenite, jer nećete moći da se setite, već samo bolje pogledajte, i postaje očigledno: ne morate da pamtite lozinku. Na primjer, uzmimo drugu opciju sa random.org - RPM8t4ka.

Iako se čini besmislenim, naš mozak je u stanju pronaći određene obrasce i korespondencije čak i u takvom haosu. Za početak, možete primijetiti da su prva tri slova u njemu velika, a sljedeća tri mala. 8 je dvaput (na engleskom dvaput - t) 4. Pogledajte malo ovu lozinku i sigurno ćete pronaći svoje asocijacije na predloženi skup slova i brojeva.

Ako možete zapamtiti besmislene skupove riječi, upotrijebite to. Neka se lozinka pretvori u okretaje u minuti 8 track 4 katty. Svaka konverzija u kojoj je vaš mozak bolji će uspjeti.

Nasumična lozinka je zlatni standard u informacionoj sigurnosti. Ona je, po definiciji, bolja od bilo koje ljudske lozinke.

Nedostatak akronima je što će s vremenom širenje takve tehnike smanjiti njenu učinkovitost, a obrnuti metod će ostati jednako pouzdan, čak i ako će ga svi ljudi na zemlji koristiti hiljadu godina.

Nasumična lozinka neće biti uključena u listu popularnih kombinacija, a napadač koji koristi metodu masovnog napada samo će grubo forsirati takvu lozinku.

Uzmimo jednostavnu slučajnu lozinku koja uzima u obzir velika slova i brojeve - to su 62 moguća znaka za svaku poziciju. Ako lozinku napravimo samo od 8 cifara, onda ćemo dobiti 62 ^ 8 = 218 triliona opcija.

Čak i ako broj pokušaja u određenom vremenskom intervalu nije ograničen, najkomercijalniji specijalizovani softver kapaciteta 2,8 milijardi lozinki u sekundi će u prosjeku potrošiti 22 sata pokušavajući pronaći pravu kombinaciju. Da budemo sigurni, takvoj lozinki dodajemo samo 1 dodatni znak - i biće potrebno mnogo godina da se ona razbije.

Nasumična lozinka nije neranjiva, jer se može ukrasti. Mogućnosti su brojne, od čitanja unosa sa tastature do kamere preko ramena.

Haker može pogoditi samu uslugu i dobiti podatke direktno sa njenih servera. U ovoj situaciji ništa ne zavisi od korisnika.

Jedna pouzdana osnova

Dakle, došli smo do glavne stvari. Koje su taktike nasumične lozinke koje treba koristiti u stvarnom životu? Sa stanovišta ravnoteže pouzdanosti i pogodnosti, "filozofija jedne jake lozinke" će se dobro pokazati.

Princip je da koristite istu osnovu - super-jaku lozinku (njene varijacije) na servisima i sajtovima koji su vam najvažniji.

Zapamtite jednu dugu i tešku kombinaciju za sve.

Nick Berry, konsultant za informacijsku sigurnost, dozvoljava primjenu ovog principa, pod uslovom da je lozinka vrlo dobro zaštićena.

Nije dozvoljeno prisustvo malvera na računaru sa kojeg unosite lozinku. Za manje važne i zabavne stranice nije dozvoljeno korištenje iste lozinke - za njih su sasvim dovoljne jednostavnije lozinke, jer hakiranje računa ovdje neće imati kobne posljedice.

Jasno je da pouzdanu bazu treba nekako promijeniti za svaku lokaciju. Kao jednostavnu opciju, možete dodati jedno slovo na početak, koje završava naziv stranice ili usluge. Ako se vratimo na tu nasumično RPM8t4ka lozinku, ona će se pretvoriti u kRPM8t4ka za Facebook autorizaciju.

Napadač, kada vidi takvu lozinku, neće moći razumjeti kako se generiše lozinka za vaš bankovni račun. Problemi će početi ako neko dobije pristup dvije ili više vaših lozinki generiranih na ovaj način.

Tajno Pitanje

Neki otmičari potpuno ignorišu lozinke. Oni djeluju u ime vlasnika naloga i tajnim pitanjem simuliraju situaciju kada ste zaboravili lozinku i želite je vratiti. U ovom scenariju, on može promijeniti lozinku po želji, a pravi vlasnik će izgubiti pristup svom računu.

Neko je 2008. godine dobio pristup mejlu Sare Pejlin, guvernerke Aljaske, a u to vreme i predsedničke kandidatkinje. Provalnik je odgovorio na tajno pitanje, koje je zvučalo ovako: "Gde ste upoznali svog muža?"

Nakon 4 godine, Mitt Romney, koji je u to vrijeme bio i američki predsjednički kandidat, izgubio je nekoliko svojih naloga na raznim servisima. Neko je odgovorio na tajno pitanje o imenu ljubimca Mitta Romnija.

Već ste pogodili poentu.

Ne možete koristiti javne i lako pogodne podatke kao tajno pitanje i odgovor.

Nije pitanje čak ni da se te informacije mogu pažljivo izvući na internetu ili od bliskih saradnika osobe. Odgovori na pitanja u stilu "ime životinje", "omiljeni hokejaški tim" i tako dalje savršeno su odabrani iz odgovarajućih rječnika popularnih opcija.

Kao privremenu opciju, možete koristiti taktiku apsurdnosti odgovora. Pojednostavljeno rečeno, odgovor ne bi trebao imati nikakve veze sa tajnim pitanjem. Majčino devojačko prezime? Difenhidramin. Ime ljubimca? 1991.

Međutim, takva tehnika, ako se nađe široko rasprostranjena, biće uzeta u obzir u odgovarajućim programima. Apsurdni odgovori su često stereotipni, odnosno neke fraze će se susresti mnogo češće od drugih.

U stvari, nema ništa loše u korištenju pravih odgovora, samo trebate mudro odabrati pitanje. Ako je pitanje nestandardno, a odgovor na njega znate samo vi i ne možete ga pogoditi nakon tri pokušaja, onda je sve u redu. Prednost istinoljubivosti je da to nećete zaboraviti tokom vremena.

PIN

Lični identifikacioni broj (PIN) je jeftina brava kojoj se povjerava naš novac. Niko se ne trudi da stvori pouzdaniju kombinaciju barem ova četiri broja.

Sada prestani. Upravo sada. Upravo sada, bez čitanja sljedećeg pasusa, pokušajte pogoditi najpopularniji PIN. Spreman?

Nick Berry procjenjuje da 11% stanovništva SAD-a koristi 1234 kao svoj PIN (gdje ga mogu sami promijeniti).

Hakeri ne obraćaju pažnju na PIN kodove jer je kod beskoristan bez fizičkog prisustva kartice (ovo delimično može opravdati malu dužinu koda).

Berry je uzeo liste četverocifrenih lozinki koje su se pojavile nakon curenja informacija na mreži. Osoba koja koristi lozinku iz 1967. vjerovatno ju je odabrala s razlogom. Drugi najpopularniji PIN je 1111, a 6% ljudi preferira ovaj kod. Na trećem mjestu je 0000 (2%).

Pretpostavimo da osoba koja zna ove informacije ima bankovnu karticu u rukama. Tri pokušaja blokiranja kartice. Jednostavna matematika pokazuje da ova osoba ima 19% šanse da pogodi svoj PIN ako unese 1234, 1111 i 0000 redom.

Vjerovatno iz tog razloga velika većina banaka sama dodjeljuje PIN-kodove izdatim plastičnim karticama.

Međutim, mnogi ljudi štite pametne telefone PIN kodom, a ovdje vrijedi sljedeća ocjena popularnosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3353, 683, 4321, 2001, 1010.

Često PIN predstavlja godinu (godinu rođenja ili istorijski datum).

Mnogi ljudi vole da prave PIN-ove u obliku ponavljajućih parova brojeva (štaviše, posebno su popularni parovi u kojima se prvi i drugi broj razlikuju za jedan).

Numeričke tastature mobilnih uređaja prikazuju kombinacije poput 2580 na vrhu - da biste ga otkucali, dovoljno je napraviti direktan prolaz od vrha do dna u sredini.

U Koreji je broj 1004 u skladu s riječju "anđeo", što ovu kombinaciju čini prilično popularnom tamo.

Ishod

1. Idite na random.org i tamo kreirajte 5-10 lozinki kandidata.
2. Odaberite lozinku koju možete pretvoriti u nezaboravnu frazu.
3. Koristite ovu frazu da zapamtite svoju lozinku.