האם משפטים לעשות סיסמאות טובות יותר?
נראה כי כל יום, מישהו מגיע לפורום כותב על איך חשבונות שלו היו פרוצים איכשהו והוא לא מבין למה. אחת הסיבות שאנשים מקבלים חשבונות בסכנה כה רבה היא כי הם לא ממש מבינים איך זה קורה. ברגע שהתהליך של תפיסת הסיסמה של מישהו מתבהר (זה פשוט, דרך אגב), אז אנחנו יכולים להבין איך אנחנו יכולים לשנות את הסיסמאות שלנו כדי למנוע ביעילות את האקרים להיכנס לחשבונות שלנו. אחת הטענות שעושים מומחי אבטחה לאחרונה היא להשתמש במשפטים קצרים כסיסמאות, ולא באמצעות רצף מתמשך של תווים (כמו "blablabla"). אנו נסתכל על זה ולמה זה עשוי או לא יכול להיות בטוח יותר.
הבנת גניבת סיסמה
כאן ב- MTE, כבר כיסיתי את הדרכים שבהן האקרים יכולים להשיג את הסיסמאות שלך. עם זאת, הרשימה מורכבת בעיקר של שיטות המשמש לרחרח החוצה בקלות להשיג את האישורים שלך. עכשיו, אני רוצה לכסות איתך את השיטות כי האקרים להשתמש כדי לפצח לפתוח את החשבון מבחוץ ולא מסתנן תעבורת מנות שלך. שיטות אלה הם קצת יותר פשוט אבל זמן רב יותר. בוא נראה:
- התקפות כוח הזרוע: השיטה לשיגעון זה כרוכה פשוט עובר טון של תמורות של מחרוזות אופי רב. אז, האקר עם כלי כוח הזרוע יהיה פשוט לנסות אלפי תמורות, בתקווה לפגוע אחד נכון לאחר זמן מה. הכלי יהיה אקראי לנחש שילובים אופי (כמו "jif2 $ F"). מכיוון שסיסמאות הן בדרך כלל יותר משישה אותיות, שיטה זו תימשך זמן מה! עם זאת, האקר נחוש יישאר באמצעות הסיסמה של יום שלם מנחש רק כדי להיכנס לחשבון שלך.
- התקפות מילים נפוצות: האקר ישתמש במילים יומיומיות נפוצות (כמו "תות" או "ויסקי") מתוך רשימה, לטעון אותם על כלי מיוחד, ולנסות כל אחד מהם. זה לוקח רק כמה דקות (פעמים רבות, אפילו כמה שניות) לפצח חשבון באמצעות מילה נפוצה כסיסמה.
- מילון התקפות: כפי שהשם מרמז, האקר מצליף עותק של מילון אוקספורד ומנסה כל מילה. באמצעות כלי אוטומטי, זה לוקח קצת יותר מאשר התקפה מילה נפוצה, אבל זה יקבל כמות גדולה של חשבונות סדוקים.
מומחי אבטחה הגיעו זמן רב למסקנה כי הסיסמה הבטוחה ביותר היא אחת עם שילוב של תווים אלפאנומריים (כולל אותיות רישיות) ותווים מיוחדים (כמו "$ @ (# #) .זה לא רחוק מן האמת היום. כמו "ff9jF # D" הוא הרבה יותר בטוח מאשר "קרמל". החיסרון הוא כי זה באמת קשה לזכור תווים אקראיים.המוח שלנו פשוט לא חוטית ככה.
ובעוד אנחנו עדיין בנושא זה, תן לי לספר לך סוד: אם מומחה אומר לך כי הסיסמה מחרוזת תווים ייקח כמה שנים כדי לפצח, הוא כנראה מדבר על מכריח- forceing עם מעבד. האקרים לא עושים את זה יותר. במקום זאת, הם משתמשים בדברים כמו טכנולוגיית ה- CUDA של nVidia, המאפשרת להם לנצל את ה- GPU המהיר ביותר של כרטיס המסך, ומאפשר להם לעשות מה שהמחשב עושה בשבוע בתוך טווח של שעות על ידי שרשור חבורה של חומרה יחד ( דרך גשר SLI).
האם משפטים טובים יותר?
החלל ("") הוא אופי משפטי ברוב צורות הסיסמה. זה אומר שאתה יכול להפריד מילים אחד מהשני. פשוט לאחר משפט כמו הסיסמה שלך יכול ליצור סיוט עבור האקרים, על פי מספר מומחים אבטחה, אחד מהם להיות תומאס Baekdal. היתרון של שימוש במשפט הוא שזה הרבה יותר קל לזכור מאשר 8fa @! * FaicC וזה גם מאובטח יותר כאשר נעשה שימוש באופן תקין.
ב -2007 כתב Baekdal כי "זה כיף" הוא 10 פעמים יותר בטוח מאשר "J4fS <2." אני לא בטוח מה דעתו על זה עכשיו, אבל אני לא חושב שמשתמש פשוט כמו " זה כיף "הוא בטוח כל כך שזה ייקח מחשב, על פי היצירה הכתובה שלו, 2, 537 שנים לפצח אותו.
קודם כל, נניח שהאקר משתמש ברשימה של אלף המילים הנפוצות ביותר בשפה האנגלית כדי לפצח "זה כיף." מאז הסיסמה משתמשת שלוש מילים נפרדות, היינו צריכים להתמודד עם 1, 000 * 1, 000 * 1, 000 תמורות אפשריות. זה נותן לנו מיליארד תמורות למחזור. זה נשמע כמו הרבה, אבל עבור המחשב, זה מאוד פשוט.
אני לא אומר שתומאס בקדל טועה. אני פשוט אומר שאתה צריך לעקוב אחר כמה קווים מנחים בעת בחירתך. תן לי להראות לך כמה רעיונות אני כבר מבושל תוך מחשבה על בעיה זו במשך מספר ימים:
- השתמש במפרידים שאינם בחלל, כמו המקף ("-"). אם אתה קצת יותר נועז, נסה משהו מאוד קשה להבין, כמו סמל הסימן המסחרי ("™", Alt + 0153).
- השתמש במילים שאינן נדירות שיחה, כמו " תורת הקוונטים היא התפתחות עליונה. "ניתן גם ליצור משפט בשפה אחרת, כמו לטינית (" repetitio est mater studurum "). הדבר שימושי במיוחד כאשר אנגלית אינה השפה הראשונה שלך. רוב האקרים יחפשו סיסמאות עם מילים באנגלית, אבל מעט מאוד מהם יחשבו, למשל, רומנית או צ'כית.
- בצע משפטים של מילים אקראיות. דוגמה תהיה " cephalopod פוטון צינור ".
בעקבות הכללים האלה עלול לגרום סיסמה, כי בהתחלה, קשה לזכור. אבל כדאי שתשקול את הפתגם הלטיני שהשתמשתי בו כדוגמה לסיסמה לא אנגלית. תרגום: החזרה היא אם הלימוד. אם תמשיכו להשתמש בסיסמה שלכם, תזכרו אותה בהינף. זכור " faji2o # ($ FCCineF) 9f (# ", אני חושב, הוא הרבה יותר קשה לזכור " cephalopod פוטון פרפרנלי " או כל מה מילים אלה עשויים להיות שפת האם שלך.
זכור, ככל שאתה עושה את המשפט, יותר בטוח זה מקבל! באמצעות משפט קצר יותר עדיין יכול להרשות לך קצת רמה גבוהה של אבטחה כל עוד אתה לא משתמש במשהו זה יכול להיתפס ברשימת מילים נפוצות. מילון התקפות על הסיסמה שלך עדיין אפשרי, אבל לא סביר להניב תוצאות בגלל כמות עצומה של זמן זה ייקח עבור הכלי של האקר לפצח את הסיסמה שלך פתוח.
הַגבָּלָה
המגבלה היחידה לשיטה לעיל היא כי אתרים מסוימים אינם מאפשרים סיסמאות ארוכות מ -20 תווים. כמה גם לא מאפשרים רווחים או תווים מיוחדים אחרים בסיסמאות, אם כי זה הופך להיות נדיר יותר. אני אפילו נתקל פלטפורמת בנקאות מקוונת, כי מותר רק עד 14 תווים אלפאנומריים. באתרים אלו, סיסמאות משפטיות לא יפעלו כלל.
הגיע הזמן לדבר!
דיברתי הרבה עכשיו. חלק זה קצת מתנגש עם ידע קונבנציונאלי על סיסמאות, אז זה נורמלי לך יש דעות, שאלות, מחשבות על העניין. הגיע הזמן שתפתח. הצטרף אלי הקוראים האחרים בשיחה שיכולה לעזור להבהיר הכל על ידי השארת הערה להלן!