Pecahkan ini: Cara memilih kata laluan yang kuat dan menyimpannya seperti itu

nama pengguna dan kata laluan shutterstock

Sekiranya ada satu perkara yang dikaitkan dengan teknologi moden, itu kata laluan. Mereka ada di mana-mana, dan kebanyakan kita menggunakannya untuk berpuluh-puluh perkara setiap hari. Namun, kebanyakan orang sangat tidak peduli dengan keselamatan kata laluan mereka. Sebilangan besar daripada kita mungkin mengenali seseorang yang menggunakan kata laluan yang sama untuk semua perkara , dari komputer dan e-mel mereka ke akaun Facebook dan bank mereka - dan kata laluan itu mungkin sesuatu yang jelas seperti hari lahir mereka atau nama jalan di mana mereka membesar. Dan kita juga mungkin mengenali seseorang yang mempunyai catatan lengket di sisi monitor mereka yang berlabel "Kata Laluan" (berwarna merah, digarisbawahi dua kali) dengan senarai segala-galanya dari Twitter hingga Netflix hanya duduk di tempat terbuka untuk dibaca oleh sesiapa sahaja.

Amalan ini mungkin terdengar seperti generasi nenek moyang kita, tetapi itu tidak benar: Minggu lalu saya menyaksikan seorang anggota Generasi D yang penuh dengan percubaan beralih dari Samsung Galaxy S (er, Fascinate) ke HTC Rezound melalui buku notanya komputer. Bagaimana dia memindahkan semua kata laluannya? Dia mempunyai sehelai kertas dalam dompet beliau dengan "semua kata laluan beliau" - dan oleh semua dia bermaksud tiga. Satu untuk e-mel dan rangkaian sosial, satu untuk e-mel ibu saudaranya ("Saya memeriksanya"), dan satu lagi untuk yang lain. Melihat ke atas bahunya, ketiga-tiganya adalah kata-kata sehari-hari: mophandle, mumbler, dan lillian. Tebak siapa makciknya?

Nasib baik, ada cara mudah untuk membuat kata laluan sukar diteka dan senang diingat. Malangnya, industri teknologi kadang-kadang menghalang penggunaannya. Berikut adalah susunan kelemahan kata laluan biasa dan beberapa cara untuk meningkatkan kata laluan dan keselamatan dalam talian anda.

Kesabaran berbanding kerumitan

Kebiasaan mengenai kata laluan adalah bahawa kata sandi tidak semestinya mudah diteka. Sebilangan besar orang yang mahir teknologi bersetuju bahawa tidak ada yang harus menggunakan perincian mengenai diri mereka sebagai kata laluan: Itu termasuk hari lahir, alamat, dan nama rakan dan keluarga (termasuk ibu bapa, adik beradik, pasangan, anak-anak, dan juga haiwan peliharaan). Begitu juga, kata laluan menjadikan kata laluan yang sangat buruk - seperti juga kata laluan lain yang biasa digunakan.

Nasihat malar hijau ini sering ditafsirkan dengan maksud bahawa kata laluan harus tidak jelas, atau istilah yang tidak akan ada yang menyangka anda akan memilih jika mereka mempunyai sejuta tahun. Ya, yang tidak jelas dapat berfungsi - dan ini adalah pemandangan yang lebih buruk daripada memilih kata laluan yang jelas. Walau bagaimanapun, kata laluan yang tidak jelas hanya melindungi anda daripada orang yang mengetahui sesuatu tentang anda. Kemungkinannya, kebanyakan orang yang cuba memecahkan kata laluan anda tidak mengenali anda.

Sebilangan besar pemecahan kata laluan tidak berlaku seperti yang digambarkan dalam filem, di mana Pahlawan Kita (atau The Villain) duduk di papan kekunci, mencuba satu atau dua frasa, menggosok dagunya, kemudian mengintip foto masa kecil di meja. Aha! Taipkan kata ajaib dan presto, keselamatan dilanggar. Di dunia nyata, sebilangan besar kata laluan retak adalah automatik, dengan komputer secara harfiah melemparkan setiap kata dalam kamus (dan kemudian beberapa) pada sistem dengan harapan dapat menemui istilah yang betul. Pendekatan ini dapat berfungsi kerana komputer dapat mencuba kata laluan dengan lebih cepat daripada yang dapat ditaip oleh manusia, dan mereka dapat berjalan 24 jam sehari, tujuh hari seminggu, tanpa rehat bilik mandi. Keropok kata laluan automatik tidak tahu apa-apa mengenai pengguna yang mereka cuba berkompromi: Ini adalah pendekatan brute-force.

Jadi, ternyata kunci kata laluan yang kuat bukanlah kekaburannya tetapi kerumitannya  - perkara yang menjadikannya tidak dapat ditebak oleh cracker kata laluan automatik. Walau bagaimanapun, membuat kata laluan kompleks yang baik bermakna mengetahui sedikit tentang bagaimana kata laluan rosak.

kunci kata laluan shutterstockKata laluan yang rosak

Dalam istilah yang sangat umum, cracker kata laluan biasanya mempunyai dua pendekatan. Salah satunya adalah mencuba senarai kata laluan yang mungkin disusun sebelumnya. Ini biasanya bermula dari kata laluan yang sangat biasa (seperti kata laluan atau qwerty ) dan menggunakan istilah yang kurang biasa, dan akhirnya menggunakan senarai kata yang disusun dari kamus dalam talian dan sumber lain. Pendekatan ini lebih cenderung mencari kata laluan yang merupakan kata atau varian yang sah, walaupun ia tidak jelas.

Pendekatan memecahkan kata laluan lain adalah dengan mencuba urutan huruf, angka, dan simbol yang sah, tanpa mengira maknanya. Pemecah kata laluan menggunakan pendekatan ini mungkin bermula dengan aaaaaaaa untuk kata laluan lapan aksara, kemudian cuba aaaaaaab kemudian aaaaaaac dan seterusnya hingga abjad, melalui campuran huruf besar dan kecil, dan angka dan simbol. Pendekatan ini cenderung mencari kata laluan yang "mesra mesin" atau dihasilkan secara rawak. Kod laluan seperti 4De78Hf1 tidak lebih sukar untuk mencari cara ini daripada remaja .

Jadi, apakah kemungkinan kata laluan ditebak? Kebanyakan sistem pada masa ini membolehkan pengguna membuat kata laluan menggunakan huruf (huruf besar dan kecil), angka, dan pilihan simbol. Simbol yang dibenarkan sering berbeza antara sistem (ada yang memungkinkan hampir semua, yang lain hanya sebilangan kecil), tetapi untuk tujuan kita mari kita anggap bahawa bermaksud setiap watak dalam kata laluan boleh menjadi salah satu daripada sekitar 80 nilai - dua huruf pada 26 huruf setiap satu, sepuluh angka dan 18 simbol. (Secara teori sekurang-kurangnya 127 nilai harus tersedia untuk setiap watak, tetapi dalam praktiknya jumlahnya lebih kecil.)

Dengan menggunakan pendekatan kekuatan kasar, itu memerlukan 80 tekaan maksimum untuk mengetahui kata laluan satu watak secara rawak. Kata laluan empat watak boleh mengambil lebih dari 40 juta tekaan (80 × 80 × 80 × 80 = 40,960,000) dan kata laluan lapan aksara dapat mengambil lebih dari 1,6 kuadrilion tekaan (1,677,721,600,000,000).

Sekiranya cracker kata laluan dapat membuat 1.000 tekaan sesaat, ia memerlukan sekitar sebulan untuk menjalankan semua kombinasi kata laluan empat watak, dan lebih dari 53,000 tahun untuk menjalankan semua kombinasi kata laluan 8 aksara. Itu nampaknya cukup selamat, bukan?

Tidak juga. Dari segi statistik, cracker mempunyai peluang 50/50 untuk mencari kata laluan pada separuh masa itu. Lebih merisaukan, orang yang membuat cracker kata laluan mempunyai cara lain untuk meningkatkan peluang mereka. Ingat bagaimana kata laluan  merupakan kata laluan terburuk yang boleh digunakan? Teka apa kata laluan yang sangat buruk? Passw0rd, menggantikan angka sifar untuk huruf O. Walaupun cracker kata laluan menggunakan kata-kata biasa mereka dari kamus, mereka juga mencuba varian umum pada kata-kata itu, menggantikan sifar untuk O, tanda @ dan 4 untuk A, 3 untuk E, 1 dan! Untuk I, 7 untuk T 5 untuk S, dan sebagainya. Begitu juga, 0qww294e adalah kata laluan yang mengerikan - itu hanya kata laluanberalih satu baris pada papan kekunci bahasa Inggeris standard. Teknik ini menjadi pilihan pengguna untuk kata laluan yang mudah diingat. Malangnya, dengan menggantikan (atau menggunakan huruf besar) satu atau dua watak dalam istilah yang mudah diingat orang kebanyakan membuat kata laluan mereka lebih kabur, tetapi tidak lebih selamat. Sebenarnya, kata laluan lapan aksara yang dipilih pengguna khas dengan huruf besar, nombor, dan simbol biasanya hanya mempunyai kira-kira 30 bit entropi, atau sedikit lebih dari satu bilion kemungkinan kombinasi. Kenapa? Kerana senarai istilah orang di mana orang mendasarkan kata laluan mereka jauh lebih kecil daripada jumlah gabungan huruf, angka, dan simbol.

Berapa cepat kata laluan boleh rosak? Mencuba 1,000 kata laluan sesaat mungkin kelihatan mustahil - bagaimanapun, kebanyakan perkhidmatan cenderung mengunci kami dari akaun kami sendiri jika kami salah memasukkan kata laluan tiga atau empat kali, sering menetapkan semula kata laluan dan meminta kami menjawab soalan keselamatan untuk membuat yang baru. Teknik-teknik ini "pintu masuk" yang meningkatkan keselamatan akaun, dan secara kebetulan, juga cara yang baik blindingly mudah untuk orang menggusarkan. (Saya tidak dapat memberitahu anda berapa kali saya terkunci dari akaun iTunes saya oleh serangan kata laluan, tetapi mungkin lebih dari seratus.)

Walau bagaimanapun, penyerang yang ingin memecahkan kata laluan tidak mengetuk pintu depan perkhidmatan dan berusaha (secara harfiah) berjuta-juta kali untuk masuk ke akaun yang sama. Mereka sama ada menggunakan kaedah pengesahan yang kurang umum yang tidak dikenakan penguncian (seperti API peribadi untuk rakan kongsi atau aplikasi), menyebarkan serangan mereka ke pelbagai jenis akaun untuk mengelakkan tempoh penguncian, atau (senario kes terbaik) menggunakan kata laluan teknik retak ke data kata laluan yang dicuri. Sebilangan besar sistem menyulitkan data kata laluan yang mereka simpan, tetapi fail-fail yang dienkripsi hanya sekuat sistem itu sendiri. Sekiranya penyerang dapat menggunakan fail kata laluan yang dienkripsi (melalui lubang keselamatan, mesin yang dikompromikan, atau kejuruteraan sosial, sebagai permulaan), mereka dapat menyerangnya dengan pantas sekali pada sistem mereka sendiri.Itulah sebabnya kisah mengenai penyerang yang mendapatkan maklumat akaun (seperti Stratfor, Epsilon, Sony, dan Zappos) menyusahkan. Setelah data yang dienkripsi dibongkar, penyerang dapat menggunakan alat yang lebih kuat untuk membukanya.

Original text


shutterstock memecahkan kata laluan

Di dunia nyata, itu bermaksud angka 1,000 kata laluan sesaat sangat konservatif. Perkakasan pengkomputeran desktop biasa hari ini dapat menguji berjuta - juta kata laluan sesaat berbanding teknologi penyulitan biasa. Begitu juga, sekarang ada alat retak kata sandi yang memanfaatkan pemproses grafik, dan operator botnet jenayah juga berada dalam bisnis memecahkan kata sandi. Mereka dapat menyebarkan beban kerja ke ribuan komputer. Gabungkan kekuatan mentah ini dengan heuristik yang canggih (seperti mencuba varian huruf dan huruf pada kata biasa) dan tidak biasa untuk memecahkan kata laluan pengguna lapan watak biasa dalam masa kurang dari setengah jam.

Menembak diri kita di kaki

Kami mencatat di atas bagaimana kata laluan lapan aksara, dengan huruf besar, huruf kecil, angka, dan simbol, mempunyai lebih dari empat juta kemungkinan kombinasi, tetapi kebanyakan kata laluan lapan aksara yang digunakan hari ini berada dalam kumpulan hanya sekitar satu miliar kombinasi. Ini kerana manusia bukan mesin. Di mana komputer puas menggunakan kura - kura atau Y & 4nS0 \ 2 sebagai kata laluan, teka yang mana yang lebih mudah diingat oleh manusia? Sekarang, teka mana yang lebih selamat.

Beberapa sistem melaksanakan syarat kata laluan yang bertujuan untuk memastikan pengguna tidak menggunakan kata laluan yang mudah retak. Pendekatan yang biasa adalah untuk meminta kata laluan pengguna mempunyai sekurang-kurangnya satu huruf besar, satu nombor, satu simbol, dan panjangnya sekurang-kurangnya lapan aksara. (Beberapa sistem tidak memaksakan keperluan, tetapi menawarkan ukuran "kekuatan kata laluan" sebagai ukuran seberapa berkesan ia berpendapat kata laluan mungkin.) Beberapa sistem juga mengharuskan pengguna mengubah kata laluan mereka setiap kali (katakan, setiap 30 atau 45 hari) dan menghalangnya daripada menggunakan semula kata laluan.

Keperluan semacam ini meningkatkan keselamatan kata laluan, tetapi mereka juga menjadikan kata laluan menjadi lebih sukar untuk diingat oleh orang lain. Ini bermaksud sebahagian besar pengguna akan segera mencari kaedah untuk merosakkan keselamatan sistem untuk kemudahan mereka sendiri. Pasti, sebilangan orang dapat mengatasi kata laluan seperti 9.3nD (#tetapi banyak orang lain akan bertindak balas dengan nota lekapan yang berisi kata laluan di sisi monitor, nota di dompet mereka, atau dokumen Microsoft Word di desktop mereka dengan berlabel "Kata Laluan" yang berguna sehingga mereka dapat menyalin dan menampal bila perlu . Keperluan pembinaan kata laluan juga cenderung merosakkan produktiviti dan meningkatkan kos sokongan (baik untuk pekerja dan pelanggan), kerana lebih banyak orang akan lupa kata laluan mereka atau terkunci dari akaun mereka, memerlukan campur tangan manual.

Membuat kata laluan yang rumit

Holy Grail kata laluan kemudiannya kelihatan seperti kata laluan yang cukup kompleks sehingga tidak praktikal untuk retak menggunakan teknik automatik, namun cukup mudah untuk diingat bahawa pengguna tidak menjejaskan keselamatan dengan menyimpan atau menguruskannya dengan tidak selamat.

Berikut adalah beberapa petua untuk membuat kata laluan yang kompleks dan mudah diingat:

  • Gunakan kata laluan yang panjang. Sekiranya kata laluan lapan-aksara boleh mempunyai 1,6 kuadrillion kemungkinan kombinasi, bayangkan berapa banyak kata laluan 16-aksara yang boleh dimiliki? (Kira-kira 2,8 juta, atau 2,830.) Namun, mungkin yang lebih penting lagi, set nilai untuk kata laluan 16-karakter menggunakan istilah dan variasi umum hanya di bawah 1,2 quintillion, di mana itu hanya lebih dari satu bilion dengan kata laluan lapan-karakter. Menggunakan kata laluan yang lebih panjang adalah kaedah termudah untuk menjadikan kata laluan lebih kompleks dan lebih selamat.
  • Gunakan kata gabungan. Bagaimana membuat kata laluan panjang yang mudah diingat? Salah satu teknik yang biasa dilakukan ialah menggunakan satu siri tiga hingga lima istilah yang mudah dan tidak berkaitan . Ini biasanya mudah diingat seperti nombor PIN; secara kognitif, orang cenderung untuk mengingat keseluruhan perkataan sebagai satu kesatuan. Walau bagaimanapun, kata laluan ini boleh menjadi sangat kompleks, sekurang-kurangnya dari sudut keretakan kata laluan. Kata laluan ini mudah dibuat hanya dengan melihat-lihat atau membalik buku ke halaman rawak. Melirik ke luar tingkap saya, saya melihat katak mainan, kereta, dan tingkap dapur seseorang. Kata laluan baru: FrogHubcapCupboard  - itu adalah 18 aksara, tetapi hanya tiga perkataan yang perlu diingat. Melihat ke kanan: RunnerCameraGlueString - empat perkataan pendek, 22 aksara. Saya hanya menggunakan huruf besar untuk mengeluarkan kata-kata. Menambah lebih banyak watak atau penggantian dapat meningkatkan kerumitan - jangan terlalu rumit sehingga anda menjadi mangsa kelemahan kata laluan yang sukar.
  • Gunakan frasa atau lirik. Kaedah lain untuk membuat kata laluan yang panjang adalah menggunakan bahagian frasa atau lirik. Untuk lirik, lagu yang agak biasa mungkin lebih baik daripada lagu yang sangat penting bagi anda: sekali lagi, anda tidak mahu orang yang mengenali anda dengan baik dapat meneka kata laluan anda hanya kerana anda peminat Michael Bolton (atau tidak) . Contoh kata laluan yang dibuat dari fasa atau liriknya ialah YouNoJackKennedy (19 aksara), iShotaManinReno (15 aksara), impeepinandimcreepin (20 aksara).
  • Gunakan mnemonics. Kelemahan kata laluan yang panjang adalah sukar untuk menaip, terutama pada peranti mudah alih. Trik lain yang difikirkan berguna oleh orang untuk menghasilkan kata laluan yang lebih pendek yang kompleks adalah menggunakan watak pertama setiap perkataan dalam frasa atau lirik. "Berapa banyak jalan yang mesti dilalui oleh seorang lelaki" boleh menjadi HmrmamwD - hanya lapan watak, tetapi agak rumit dari sudut pandang program pemecahan kata laluan. Begitu juga, "Kocok, kocok seperti gambar polaroid" boleh menjadi SiSiLapp  - mungkin tidak hebat, tetapi lebih baik daripada kura-kura. Silap mata ini juga dapat membantu menghasilkan kata laluan yang baik untuk sistem yang masih mempunyai had berapa lama kata laluan boleh.

Garis panduan ini secara amnya akan membantu anda menghasilkan kata laluan kompleks yang mudah diingat. Sudah tentu, ketika berurusan dengan sistem kata laluan dengan keperluan komposisi (maksudnya, mereka mengharapkan huruf kecil, angka, atau simbol) anda masih perlu menggunakan kelainan kata laluan untuk memenuhi syarat tersebut. Ingatlah bahawa dengan kata laluan yang lebih panjang, anda boleh membuat penggantian dan perubahan di tempat yang jelas - biasanya kata laluan panjang ini lebih mudah diingat walaupun dengan keperluan daripada kata laluan pendek dan tidak masuk akal.

Beberapa petunjuk lain

Perkara lain yang perlu difikirkan semasa memilih kata laluan anda:

  • Gunakan kata laluan berasingan untuk perkhidmatan yang berasingan. Jangan gunakan kata laluan rangkaian sosial anda untuk perbankan dalam talian. Sekiranya kata laluan terganggu pada satu perkhidmatan, yang lain harus selamat.
  • Pilih kata laluan penting dengan berhati-hati. Sistem masuk tunggal mungkin sangat mudah, tetapi juga mewujudkan satu titik kegagalan untuk pelbagai perkhidmatan. Contohnya ialah kata laluan ke akaun di perkhidmatan Google, Yahoo, dan Microsoft, di mana satu kata laluan retak dapat memberi seseorang akses ke e-mel, dokumen, gambar, rangkaian sosial, blog, perpustakaan foto, senarai kenalan, buku alamat, dan banyak lagi. Begitu juga, dengan begitu banyak laman web (bahkan Trend Digital) yang menerima log masuk Facebook dan Twitter, kata laluan rangkaian sosial yang dikompromikan boleh membawa kesan yang jauh.
  • Tukar kata laluan anda. Sangat menggoda untuk berfikir bahawa jika salah satu kata laluan anda rosak, anda akan segera mengetahui: e-mel anda akan hilang, blog anda akan menjadi satu set grafik lulz, senarai hadiah Amazon anda mungkin dipenuhi dengan pilihan yang memalukan, akaun PayPal anda mungkin dibersihkan. Namun, itu tidak selalu berlaku: Sekiranya seseorang memecahkan kata laluan anda, mungkin tidak ada tanda yang jelas, paling tidak langsung. Dengan menukar kata laluan anda secara berkala, anda memastikan bahawa walaupun seseorang masuk, peluang mereka untuk mengeksploitasi anda adalah terhad. Kekerapan anda menukar kata laluan berbeza dengan cara anda menggunakan perkhidmatan dalam talian. Untuk apa-apa yang melibatkan wang sebenar, saya secara amnya mengesyorkan pengguna menukar kata laluan mereka setiap 30 hingga 90 hari - semakin banyak wang, lebih kerap.

Tiada kata laluan selamat

Mungkin perkara yang paling penting untuk diingat mengenai kata laluan ialah kata laluan mana pun boleh retak: Ini hanya persoalan berapa banyak masa dan usaha seseorang bersedia memasukkannya. Petua di sini akan membantu mengurangkan kemungkinan kata laluan anda dicabut oleh penyerang rawak dan juga rakan dan keluarga, tetapi tidak ada kata laluan yang benar-benar selamat. Sekiranya akses yang selamat ke perkhidmatan sangat penting bagi anda, pertimbangkan untuk melihat pelbagai bentuk pengesahan pelbagai faktor untuk mengurangkan lagi peluang akses tanpa kebenaran.

Kredit gambar: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa