Kako stvoriti i zapamtiti jaku lozinku

2024 Autor: Malcolm Clapton | [email protected]. Zadnja promjena: 2023-12-17 03:58

Najbolji načini za stvaranje lozinke koju nitko ne može provaliti.

Većina napadača ne zamara se sofisticiranim metodama krađe lozinki. Uzimaju lako pogodne kombinacije. Otprilike 1% svih trenutno postojećih lozinki može se izvršiti grubom silom s četiri pokušaja.

Kako je ovo moguće? Jako jednostavno. Isprobate četiri najčešće kombinacije na svijetu: lozinka, 123456, 12345678, qwerty. Nakon takvog prolaza u prosjeku se otvori 1% svih "škrinja".

Recimo da ste među onih 99% korisnika čija lozinka nije tako jednostavna. Unatoč tome, izvedba modernog softvera za hakiranje mora se uzeti u obzir.

Besplatni, besplatno dostupni program John the Ripper provjerava milijune lozinki u sekundi. Neki primjeri specijaliziranog komercijalnog softvera tvrde da ima kapacitet od 2,8 milijardi lozinki u sekundi.

U početku, programi za krekiranje prolaze kroz popis statistički najčešćih kombinacija, a zatim se pozivaju na cijeli rječnik. S vremenom se trendovi korisničkih lozinki mogu neznatno promijeniti, a te se promjene uračunavaju kada se takvi popisi ažuriraju.

S vremenom su sve vrste web servisa i aplikacija odlučile nasilno zakomplicirati lozinke koje su kreirali korisnici. Dodani su zahtjevi prema kojima lozinka mora imati određenu minimalnu duljinu, sadržavati brojeve, velika slova i posebne znakove. Neki servisi su to shvatili toliko ozbiljno da je potrebno jako dugo i zamoran zadatak smisliti lozinku koju bi sustav prihvatio.

Ključni problem je u tome što gotovo svaki korisnik ne generira istinski bruteforce lozinku, već samo pokušava zadovoljiti zahtjeve sustava za sastav lozinke na minimum.

Rezultat su lozinke kao što su lozinka1, lozinka123, Lozinka, lozinka, lozinka! i nevjerojatno nepredvidivi p@sword.

Zamislite da trebate preinačiti svoju Spiderman lozinku. Najvjerojatnije će izgledati kao $ pider_Man1. Izvornik? Tisuće ljudi će ga promijeniti koristeći isti ili vrlo sličan algoritam.

Ako kreker poznaje ove minimalne zahtjeve, onda se situacija samo pogoršava. Upravo iz tog razloga nametnuti zahtjev za povećanjem složenosti lozinki ne pruža uvijek najbolju sigurnost, a često stvara lažni osjećaj povećane sigurnosti.

Što je lozinku lakše zapamtiti, veća je vjerojatnost da će završiti u rječnicima krekera. Kao rezultat toga, ispada da je stvarno jaku lozinku jednostavno nemoguće zapamtiti, što znači da je treba negdje popraviti.

Prema riječima stručnjaka, čak i u ovom digitalnom dobu, ljudi se još uvijek mogu osloniti na komad papira s ispisanim lozinkama. Prikladno je držati takav list na mjestu skrivenom od znatiželjnih očiju, na primjer, u novčaniku ili novčaniku.

Međutim, list zaporke ne rješava problem. Duge lozinke je teško ne samo zapamtiti, već i unijeti. Situaciju pogoršavaju virtualne tipkovnice mobilnih uređaja.

U interakciji s desecima usluga i web-mjesta, mnogi korisnici za sobom ostavljaju niz identičnih zaporki. Pokušavaju koristiti istu lozinku za svaku stranicu, potpuno zanemarujući rizike.

U ovom slučaju, neke web stranice djeluju kao dadilja, zbog čega kombinacija bude komplicirana. Kao rezultat toga, korisnik se jednostavno ne može sjetiti kako je morao promijeniti svoju standardnu jedinstvenu lozinku za ovu stranicu.

Razmjeri problema u potpunosti su spoznali 2009. godine. Tada je haker zbog sigurnosne rupe uspio ukrasti bazu podataka prijava i lozinki RockYou.com, tvrtke koja objavljuje igre na Facebooku. Napadač je bazu podataka učinio javno dostupnom. Ukupno je sadržavao 32,5 milijuna unosa s korisničkim imenima i lozinkama za račune. Curenja su se događala i prije, ali razmjeri ovog konkretnog događaja pokazali su cijelu sliku.

Najpopularnija lozinka na RockYou.com bila je 123456, koju je koristilo gotovo 291.000 ljudi. Muškarci mlađi od 30 godina češće su preferirali seksualne teme i vulgarnosti. Starije osobe oba spola često su se obraćale određenom području kulture prilikom odabira lozinke. Primjerice, Epsilon793 se ne čini tako lošom opcijom, samo što je ova kombinacija bila u Zvjezdanim stazama. Sedmeroznamenkasti 8675309 pojavio se mnogo puta jer se ovaj broj pojavio u jednoj od pjesama Tommyja Tutonea.

Zapravo, stvaranje jake lozinke je jednostavan zadatak, dovoljno je sastaviti kombinaciju nasumičnih znakova.

Ne možete stvoriti savršeno slučajnu kombinaciju u matematičkom smislu u svojoj glavi, ali od vas se ne traži. Postoje posebne usluge koje generiraju doista nasumične kombinacije. Na primjer, može stvoriti lozinke poput ove:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ovo je jednostavno i elegantno rješenje, posebno za one koji koriste upravitelja za pohranu lozinki.

Nažalost, većina korisnika nastavlja koristiti jednostavne, slabe lozinke, čak zanemarujući pravilo "različite lozinke za svaku stranicu". Za njih je udobnost važnija od sigurnosti.

Situacije u kojima sigurnost lozinke može biti ugrožena mogu se podijeliti u 3 široke kategorije:

• Slučajno, u kojem osoba koju poznajete pokušava saznati lozinku, oslanjajući se na informacije koje zna o vama. Često se takav kreker želi samo izigrati, saznati nešto o vama ili napraviti nered.
• Masovni napadikada apsolutno svaki korisnik određenih usluga može postati žrtva. U ovom slučaju koristi se specijalizirani softver. Za napad se odabiru najnesigurnije stranice koje vam omogućuju da u kratkom vremenskom razdoblju više puta unesete opcije lozinke.
• Svrhovitokoji kombiniraju primanje savjeta (kao u prvom slučaju) i korištenje specijaliziranog softvera (kao u masovnom napadu). Ovdje se radi o pokušaju da dođete do stvarno vrijednih informacija. Samo dovoljno duga nasumična lozinka pomoći će vam da se zaštitite, za čiji odabir će biti potrebno vrijeme usporedivo s trajanjem vašeg života.

Kao što vidite, žrtva može postati apsolutno svatko. Izjave poput “moja lozinka neće biti ukradena, jer me nitko ne treba” nisu relevantne, jer u sličnu situaciju možete doći sasvim slučajno, slučajno, bez ikakvog razloga.

Još je ozbiljnije poduzeti zaštitu lozinkom za one koji imaju vrijedne informacije, povezani su s poslom ili su s nekim u sukobu na financijskim osnovama (primjerice, podjela imovine u postupku razvoda, natjecanje u poslovanju).

Godine 2009. Twitter (u shvaćanju cijelog servisa) je hakiran samo zato što je administrator koristio riječ sreća kao lozinku. Haker ga je podigao i objavio na web stranici Digital Gangster, što je dovelo do otmice računa Obame, Britney Spears, Facebooka i Fox Newsa.

Akronimi

Kao iu svakom drugom aspektu života, uvijek moramo pronaći kompromis između maksimalne sigurnosti i maksimalne udobnosti. Kako pronaći sredinu? Koja će vam strategija generiranja lozinki omogućiti stvaranje jakih kombinacija koje se mogu lako zapamtiti?

Trenutno je najbolja kombinacija pouzdanosti i praktičnosti pretvaranje fraze ili fraze u lozinku.

Odabire se skup riječi koje se uvijek sjećate, a kombinacija prvih slova svake riječi koristi se kao lozinka. Na primjer, Neka sila bude s tobom pretvara se u Mtfbwy.

Međutim, budući da će se najpoznatije koristiti kao početne fraze, programi će s vremenom primiti te kratice na svoje liste. Zapravo, akronim sadrži samo slova i stoga je objektivno manje pouzdan od nasumične kombinacije znakova.

Odabir pravog izraza pomoći će vam da se riješite prvog problema. Zašto pretvoriti svjetski poznati izraz u akronim lozinku? Vjerojatno se sjećate nekih viceva i izreka koje su relevantne samo u vašem bližem krugu. Recimo da ste čuli vrlo upečatljivu frazu od barmena u lokalnom objektu. Iskoristi.

Ipak, akronimna lozinka koju ste generirali vjerojatno neće biti jedinstvena. Problem s akronimima je što različite fraze mogu biti sastavljene od riječi koje počinju istim slovima i u istom slijedu. Statistički gledano, u raznim jezicima je povećana učestalost pojavljivanja pojedinih slova kao početka riječi. Programi će uzeti u obzir te čimbenike, a učinkovitost akronima u izvornoj verziji bit će smanjena.

Obrnuti način

Izlaz može biti suprotan put naraštaja. Na random.org stvarate potpuno slučajnu lozinku, a zatim pretvarate njezine znakove u smislenu frazu koja se pamti.

Često usluge i web-mjesta korisnicima pružaju privremene lozinke, koje su iste savršeno nasumične kombinacije. Poželjet ćete ih promijeniti, jer se nećete moći sjetiti, nego samo bolje pogledajte i postaje očito: ne morate pamtiti lozinku. Na primjer, uzmimo drugu opciju s random.org - RPM8t4ka.

Iako se čini besmislenim, naš mozak je u stanju pronaći određene obrasce i podudarnosti čak i u takvom kaosu. Za početak, možete primijetiti da su prva tri slova u njemu velika, a sljedeća tri mala. 8 je dvaput (na engleskom dvaput - t) 4. Pogledajte malo ovu lozinku i sigurno ćete pronaći svoje asocijacije na predloženi skup slova i brojeva.

Ako možete zapamtiti besmislice, upotrijebite ih. Neka se lozinka pretvori u okretaje u minuti 8 track 4 katty. Svaka konverzija u kojoj je vaš mozak bolji će učiniti.

Nasumična lozinka je zlatni standard u informacijskoj sigurnosti. Po definiciji je bolja od bilo koje ljudske lozinke.

Nedostatak akronima je što će s vremenom širenje takve tehnike smanjiti njezinu učinkovitost, a obrnuta metoda će ostati jednako pouzdana, čak i ako će je svi ljudi na zemlji koristiti tisuću godina.

Nasumična lozinka neće biti uključena u popis popularnih kombinacija, a napadač koji koristi metodu masovnog napada samo će grubo forsirati takvu lozinku.

Uzmimo jednostavnu slučajnu lozinku koja uzima u obzir velika slova i brojeve – to su 62 moguća znaka za svaku poziciju. Ako lozinku napravimo od samo 8 znamenki, onda ćemo dobiti 62 ^ 8 = 218 trilijuna opcija.

Čak i ako broj pokušaja unutar određenog vremenskog intervala nije ograničen, najkomercijalniji specijalizirani softver s kapacitetom od 2,8 milijardi lozinki u sekundi će u prosjeku potrošiti 22 sata pokušavajući pronaći pravu kombinaciju. Da budemo sigurni, takvoj lozinki dodajemo samo 1 dodatni znak - i trebat će mnogo godina da se razbije.

Nasumična lozinka nije neranjiva, jer se može ukrasti. Mogućnosti su brojne, od čitanja unosa s tipkovnice do kamere preko ramena.

Haker može pogoditi samu uslugu i dobiti podatke izravno sa svojih poslužitelja. U ovoj situaciji ništa ne ovisi o korisniku.

Jedan pouzdan temelj

Dakle, došli smo do glavne stvari. Koje su taktike slučajnih lozinki koje treba koristiti u stvarnom životu? Sa stajališta ravnoteže pouzdanosti i praktičnosti, "filozofija jedne jake lozinke" će se dobro pokazati.

Princip je da koristite istu osnovu - super-jaku lozinku (njezine varijacije) na uslugama i stranicama koje su vam najvažnije.

Zapamtite jednu dugu i tešku kombinaciju za sve.

Nick Berry, konzultant za informacijsku sigurnost, dopušta primjenu ovog principa, pod uvjetom da je lozinka vrlo dobro zaštićena.

Prisutnost zlonamjernog softvera na računalu s kojeg unosite lozinku nije dopuštena. Za manje važne i zabavne stranice nije dopušteno korištenje iste lozinke - za njih su sasvim dovoljne jednostavnije lozinke, jer hakiranje računa ovdje neće imati nikakve kobne posljedice.

Jasno je da pouzdanu bazu treba nekako mijenjati za svako mjesto. Kao jednostavnu opciju, možete dodati jedno slovo na početak, koje završava naziv stranice ili usluge. Ako se vratimo na tu slučajnu lozinku RPM8t4ka, ona će se pretvoriti u kRPM8t4ka za Facebook autorizaciju.

Napadač, ugledajući takvu lozinku, neće moći razumjeti kako se generira lozinka za vaš bankovni račun. Problemi će početi ako netko dobije pristup dvjema ili više vaših lozinki generiranih na ovaj način.

Tajno pitanje

Neki otmičari potpuno zanemaruju lozinke. Oni djeluju u ime vlasnika računa i tajnim pitanjem simuliraju situaciju kada ste zaboravili lozinku i želite je vratiti. U ovom scenariju, on može promijeniti lozinku po želji, a pravi vlasnik će izgubiti pristup svom računu.

2008. netko je dobio pristup e-mailu Sarah Palin, guvernerke Aljaske, a u to vrijeme i predsjedničke kandidatkinje. Na tajno pitanje, koje je zvučalo ovako, provalnik je odgovorio: "Gdje ste upoznali svog muža?"

Nakon 4 godine, Mitt Romney, koji je u to vrijeme bio i američki predsjednički kandidat, izgubio je nekoliko svojih računa na raznim servisima. Netko je odgovorio na tajno pitanje o imenu ljubimca Mitta Romneyja.

Već ste pogodili poantu.

Ne možete koristiti javne i lako pogodne podatke kao tajno pitanje i odgovor.

Nije pitanje čak ni to da se te informacije mogu pažljivo izvući na internetu ili od bliskih suradnika osobe. Odgovori na pitanja u stilu "ime životinje", "omiljeni hokejaški tim" i tako dalje savršeno su odabrani iz odgovarajućih rječnika popularnih opcija.

Kao privremenu opciju, možete koristiti taktiku apsurdnosti odgovora. Pojednostavljeno rečeno, odgovor ne bi trebao imati nikakve veze s tajnim pitanjem. Majčino djevojačko prezime? Difenhidramin. Ime ljubimca? 1991. godine.

Međutim, takva tehnika, ako se nađe široko rasprostranjena, bit će uzeta u obzir u odgovarajućim programima. Apsurdni odgovori često su stereotipni, odnosno neke fraze susrećemo mnogo češće od drugih.

Zapravo, nema ništa loše u korištenju pravih odgovora, samo trebate pametno odabrati pitanje. Ako je pitanje nestandardno, a odgovor na njega znate samo vi i ne možete ga pogoditi nakon tri pokušaja, onda je sve u redu. Prednost istinoljubivosti je u tome što to s vremenom nećete zaboraviti.

PIN

Osobni identifikacijski broj (PIN) jeftina je brava kojoj se povjerava naš novac. Nitko se ne trudi stvoriti pouzdaniju kombinaciju barem ova četiri broja.

Sada prestani. Sada. Upravo sada, bez čitanja sljedećeg odlomka, pokušajte pogoditi najpopularniji PIN. Spreman?

Nick Berry procjenjuje da 11% stanovništva SAD-a koristi 1234 kao svoj PIN (gdje ga mogu sami promijeniti).

Hakeri ne obraćaju pažnju na PIN kodove jer je kod beskoristan bez fizičke prisutnosti kartice (to dijelom može opravdati malu duljinu koda).

Berry je uzeo popise četveroznamenkastih lozinki koje su se pojavile nakon curenja na mreži. Osoba koja koristi lozinku iz 1967. vjerojatno ju je odabrala s razlogom. Drugi najpopularniji PIN je 1111, a 6% ljudi preferira ovaj kod. Na trećem mjestu je 0000 (2%).

Pretpostavimo da osoba koja zna te podatke ima bankovnu karticu u rukama. Tri pokušaja blokiranja kartice. Jednostavna matematika pokazuje da ova osoba ima 19% šanse da pogodi svoj PIN ako unese 1234, 1111 i 0000 redom.

Vjerojatno iz tog razloga velika većina banaka sama dodjeljuje PIN kodove izdanim plastičnim karticama.

Međutim, mnogi ljudi štite pametne telefone PIN kodom, a ovdje vrijedi sljedeća ocjena popularnosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3535, 638, 638., 4321, 2001, 1010.

Često PIN predstavlja godinu (godinu rođenja ili povijesni datum).

Mnogi ljudi vole napraviti PIN-ove u obliku ponavljajućih parova brojeva (štoviše, posebno su popularni parovi u kojima se prvi i drugi broj razlikuju za jedan).

Numeričke tipkovnice mobilnih uređaja prikazuju kombinacije poput 2580 na vrhu - da biste ga upisali, dovoljno je napraviti izravan prolaz od vrha do dna u sredini.

U Koreji je broj 1004 u skladu s riječju "anđeo", što ovu kombinaciju čini prilično popularnom tamo.

Ishod

1. Idite na random.org i tamo kreirajte 5-10 lozinki kandidata.
2. Odaberite lozinku koju možete pretvoriti u nezaboravnu frazu.
3. Koristite ovu frazu da zapamtite svoju lozinku.