Kuinka luoda ja muistaa vahva salasana

2024 Kirjoittaja: Malcolm Clapton | [email protected]. Viimeksi muokattu: 2023-12-17 03:55

Paras tapa luoda salasana, jota kukaan ei voi murtaa.

Useimmat hyökkääjät eivät välitä kehittyneistä salasanavarkausmenetelmistä. He ottavat helposti arvattavia yhdistelmiä. Noin 1 % kaikista nykyisistä salasanoista voi olla raakoja neljällä yrityksellä.

Kuinka tämä on mahdollista? Erittäin yksinkertainen. Kokeile neljää yleisintä yhdistelmää maailmassa: salasana, 123456, 12345678, qwerty. Tällaisen kulun jälkeen keskimäärin 1% kaikista "arkuista" avataan.

Oletetaan, että kuulut niihin 99 %:iin käyttäjistä, joiden salasana ei ole niin yksinkertainen. Silti nykyaikaisten hakkerointiohjelmistojen suorituskyky on otettava huomioon.

Ilmainen, vapaasti saatavilla oleva John the Ripper -ohjelma tarkistaa miljoonia salasanoja sekunnissa. Jotkut erikoistuneiden kaupallisten ohjelmistojen esimerkit vaativat 2,8 miljardin salasanan kapasiteettia sekunnissa.

Aluksi krakkausohjelmat käyvät läpi luettelon tilastollisesti yleisimmistä yhdistelmistä ja viittaavat sitten täydelliseen sanakirjaan. Ajan myötä käyttäjien salasanatrendit voivat muuttua hieman, ja nämä muutokset huomioidaan luetteloita päivitettäessä.

Ajan myötä kaikenlaiset verkkopalvelut ja -sovellukset päättivät monimutkaistaa käyttäjien luomia salasanoja. Lisätty vaatimuksia, joiden mukaan salasanan tulee olla tietyn pituinen, sisältää numeroita, isoja kirjaimia ja erikoismerkkejä. Jotkut palvelut ottivat tämän niin vakavasti, että järjestelmän hyväksymän salasanan keksiminen kestää todella pitkän ja ikävän työn.

Keskeinen ongelma on, että lähes kaikki käyttäjät eivät luo todella raa'an voiman salasanaa, vaan yrittää vain täyttää järjestelmän vaatimukset salasanan koostumukselle minimiin.

Tuloksena on salasanat, kuten salasana1, salasana123, salasana, salasana, salasana! ja uskomattoman arvaamaton p @ ssword.

Kuvittele, että sinun täytyy tehdä Spiderman-salasanasi uudelleen. Todennäköisesti se näyttää $ pider_Man1. Alkuperäinen? Tuhannet ihmiset muuttavat sen käyttämällä samaa tai hyvin samanlaista algoritmia.

Jos krakkausmies tietää nämä vähimmäisvaatimukset, tilanne vain pahenee. Tästä syystä asetettu vaatimus salasanojen monimutkaisuudesta ei aina tarjoa parasta turvallisuutta ja luo usein väärän tunteen lisääntyneestä turvallisuudesta.

Mitä helpompi salasana on muistaa, sitä todennäköisemmin se päätyy krakkaussanakirjoihin. Tämän seurauksena osoittautuu, että todella vahvaa salasanaa on yksinkertaisesti mahdotonta muistaa, mikä tarkoittaa, että se on korjattava jonnekin.

Asiantuntijoiden mukaan jopa tänä digitaaliaikana ihmiset voivat edelleen luottaa paperiin, johon on kirjoitettu salasanat. Tällaista arkkia on kätevä säilyttää uteliailta katseilta piilossa, esimerkiksi lompakossa tai lompakossa.

Salasanasivu ei kuitenkaan ratkaise ongelmaa. Pitkiä salasanoja on vaikea paitsi muistaa, myös antaa. Tilannetta pahentavat mobiililaitteiden virtuaaliset näppäimistöt.

Vuorovaikutuksessa kymmenien palveluiden ja sivustojen kanssa monet käyttäjät jättävät taakseen sarjan identtisiä salasanoja. He yrittävät käyttää samaa salasanaa jokaiselle sivustolle jättäen täysin huomiotta riskit.

Tässä tapauksessa jotkut sivustot toimivat lastenhoitajana, mikä pakottaa yhdistelmän olemaan monimutkainen. Tämän seurauksena käyttäjä ei yksinkertaisesti muista, kuinka hänen täytyi muuttaa tämän sivuston vakiosalasanaansa.

Ongelman laajuus tajuttiin täysin vuonna 2009. Sitten hakkeri onnistui tietoturva-aukon vuoksi varastamaan Facebookissa pelejä julkaisevan RockYou.com-yhtiön käyttäjätunnuksia ja salasanoja sisältävän tietokannan. Hyökkääjä julkaisi tietokannan julkisesti. Kaikkiaan se sisälsi 32,5 miljoonaa merkintää tilien käyttäjätunnuksilla ja salasanoilla. Vuotoja on ollut ennenkin, mutta tämän tapahtuman laajuus osoitti kokonaisuuden.

RockYou.comin suosituin salasana oli 123456, jota käytti lähes 291 000 ihmistä. Alle 30-vuotiaat miehet pitivät useammin seksuaalisista teemoista ja vulgaarisuudesta. Molempien sukupuolten vanhemmat ihmiset kääntyivät usein tietyn kulttuurin puolelle salasanaa valitessaan. Esimerkiksi Epsilon793 ei vaikuta niin huonolta vaihtoehdolta, vain tämä yhdistelmä oli Star Trekissä. Seitsennumeroinen numero 8675309 esiintyi monta kertaa, koska tämä numero esiintyi yhdessä Tommy Tutonen kappaleista.

Itse asiassa vahvan salasanan luominen on yksinkertainen tehtävä, riittää, kun muodostat satunnaisten merkkien yhdistelmän.

Et voi luoda täysin satunnaista yhdistelmää matemaattisesti mielessäsi, mutta sinun ei tarvitse tehdä sitä. On erikoispalveluita, jotka luovat todella satunnaisia yhdistelmiä. Se voi esimerkiksi luoda tällaisia salasanoja:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Tämä on yksinkertainen ja tyylikäs ratkaisu erityisesti niille, jotka käyttävät hallintaa salasanojen tallentamiseen.

Valitettavasti useimmat käyttäjät käyttävät edelleen yksinkertaisia, heikkoja salasanoja ja jättävät huomiotta "eri salasanat jokaiselle sivustolle" -säännön. Heille mukavuus on tärkeämpää kuin turvallisuus.

Tilanteet, joissa salasanasuojaus voi vaarantua, voidaan jakaa kolmeen laajaan luokkaan:

• Satunnainen, jossa tuntemasi henkilö yrittää saada selville salasanan luottaen tietoihin, jotka hän tietää sinusta. Usein tällainen kekseliäinen haluaa vain leikkiä temppuja, ottaa selvää sinusta tai tehdä sotkun.
• Massahyökkäyksetkun täysin kuka tahansa tiettyjen palvelujen käyttäjä voi joutua uhriksi. Tässä tapauksessa käytetään erikoisohjelmistoa. Hyökkäykseen valitaan vähiten suojatut sivustot, joiden avulla voit syöttää salasanavaihtoehtoja toistuvasti lyhyessä ajassa.
• Tarkoituksenmukainenjoissa yhdistyvät vihjeiden vastaanottaminen (kuten ensimmäisessä tapauksessa) ja erikoisohjelmistojen käyttö (kuten joukkohyökkäyksessä). Tässä on kyse todella arvokkaan tiedon hankkimisesta. Vain riittävän pitkä satunnainen salasana auttaa suojaamaan itseäsi, jonka valinta vie elämäsi pituuteen verrattuna aikaa.

Kuten näet, uhriksi voi tulla kuka tahansa. Lausunnot, kuten "salasanaani ei varasteta, koska kukaan ei tarvitse minua", eivät ole relevantteja, koska voit joutua vastaavaan tilanteeseen aivan vahingossa, sattumalta, ilman näkyvää syytä.

Vielä vakavampaa on ottaa salasanasuojaus käyttöön niille, joilla on arvokasta tietoa, jotka liittyvät yritykseen tai ovat jonkun kanssa ristiriidassa taloudellisista syistä (esim. omaisuuden jakaminen avioeron yhteydessä, kilpailu liiketoiminnassa).

Vuonna 2009 Twitter (koko palvelun ymmärryksessä) hakkeroitiin vain siksi, että ylläpitäjä käytti salasanana sanaa onni. Hakkeri poimi sen ja lähetti sen Digital Gangster -verkkosivustolle, mikä johti Obaman, Britney Spearsin, Facebookin ja Fox Newsin tilien kaappaamiseen.

Lyhenteet

Kuten kaikilla muillakin elämän osa-alueilla, meidän on aina löydettävä kompromissi suurimman turvallisuuden ja mukavuuden välillä. Kuinka löytää keskitie? Millä salasanojen luontistrategialla voit luoda vahvoja yhdistelmiä, jotka voidaan helposti muistaa?

Tällä hetkellä paras yhdistelmä luotettavuutta ja mukavuutta on muuntaa lause tai lause salasanaksi.

Valitaan joukko sanoja, jotka muistat aina, ja salasanana käytetään kunkin sanan ensimmäisten kirjainten yhdistelmää. Esimerkiksi Voiko voima olla kanssasi muuttuu Mtfbwyksi.

Koska tunnetuimpia käytetään kuitenkin alkulauseina, ohjelmat saavat lopulta nämä lyhenteet luetteloonsa. Itse asiassa lyhenne sisältää vain kirjaimia, ja siksi se on objektiivisesti vähemmän luotettava kuin satunnainen merkkiyhdistelmä.

Oikean lauseen valitseminen auttaa sinua pääsemään eroon ensimmäisestä ongelmasta. Miksi muuttaa maailmankuulu ilmaisu lyhenteeksi salasanaksi? Muistat todennäköisesti joitain vitsejä ja sanontoja, jotka koskevat vain lähipiiriäsi. Oletetaan, että kuulit erittäin tarttuvan lauseen paikallisen laitoksen baarimikkolta. Käytä sitä.

Luomasi lyhenne salasana ei kuitenkaan todennäköisesti ole ainutlaatuinen. Lyhenteiden ongelmana on, että eri lauseet voivat koostua sanoista, jotka alkavat samoilla kirjaimilla ja samassa järjestyksessä. Tilastollisesti useissa kielissä tietyt kirjaimet esiintyvät useammin sanan alussa. Ohjelmat ottavat nämä tekijät huomioon, ja alkuperäisen version lyhenteiden tehokkuus vähenee.

Käänteinen tapa

Tie ulos voi olla päinvastainen sukupolven tapa. Luot täysin satunnaisen salasanan osoitteessa random.org ja muutat sen merkit mielekkääksi mieleenpainuvaksi lauseeksi.

Usein palvelut ja sivustot tarjoavat käyttäjille väliaikaisia salasanoja, jotka ovat samoja täysin satunnaisia yhdistelmiä. Haluat muuttaa niitä, koska et voi muistaa, vaan katsot vain tarkemmin, ja käy selväksi: sinun ei tarvitse muistaa salasanaa. Otetaan esimerkiksi toinen vaihtoehto osoitteesta random.org - RPM8t4ka.

Vaikka se näyttää merkityksettömältä, aivomme pystyvät löytämään tiettyjä kaavoja ja vastaavuuksia jopa sellaisessa kaaoksessa. Aluksi voit huomata, että sen kolme ensimmäistä kirjainta ovat isoja ja seuraavat kolme ovat pieniä. 8 on kaksinkertainen (englanniksi double - t) 4. Katso hieman tätä salasanaa, niin löydät varmasti omat assosiaatiosi ehdotettuun kirjain- ja numerosarjaan.

Jos pystyt muistamaan järjettömiä sanoja, käytä niitä. Anna salasanan muuttua kierroksiksi minuutissa 8 kappale 4 katty. Mikä tahansa muunnos, jossa aivosi on parempi, käy.

Satunnainen salasana on tietoturvan kultainen standardi. Se on määritelmänsä mukaan parempi kuin mikään ihmisen tekemä salasana.

Lyhenteiden haittana on, että ajan myötä tällaisen tekniikan leviäminen vähentää sen tehokkuutta, ja käänteinen menetelmä pysyy yhtä luotettavana, vaikka kaikki ihmiset maan päällä käyttävät sitä tuhat vuotta.

Satunnaista salasanaa ei sisällytetä suosittujen yhdistelmien luetteloon, ja joukkohyökkäysmenetelmää käyttävä hyökkääjä pakottaa sellaisen salasanan vain raa'alla väkivallalla.

Otetaan yksinkertainen satunnainen salasana, joka ottaa huomioon isot kirjaimet ja numerot - jokaisessa paikassa on 62 mahdollista merkkiä. Jos teemme salasanasta vain 8 numeroa, saamme 62 ^ 8 = 218 biljoonaa vaihtoehtoa.

Vaikka yritysten määrää tietyllä aikavälillä ei ole rajoitettu, kaupallisimmat erikoistuneet ohjelmistot, joiden kapasiteetti on 2,8 miljardia salasanaa sekunnissa, käyttävät keskimäärin 22 tuntia oikean yhdistelmän löytämiseen. Varmasti lisäämme tällaiseen salasanaan vain yhden lisämerkin - ja sen murtaminen kestää useita vuosia.

Satunnainen salasana ei ole haavoittumaton, koska se voidaan varastaa. Vaihtoehtoja on lukuisia, lukemisesta näppäimistön syötöstä kameraan olkapäällä.

Hakkeri voi osua itse palveluun ja saada tietoja suoraan palvelimiltaan. Tässä tilanteessa mikään ei riipu käyttäjästä.

Yksi luotettava perusta

Pääsimme siis pääasiaan. Mitä satunnaisia salasanataktiikoita käytetään tosielämässä? Luotettavuuden ja mukavuuden tasapainon näkökulmasta "yhden vahvan salasanan filosofia" näkyy hyvin.

Periaate on, että käytät samaa perustetta - erittäin vahvaa salasanaa (sen muunnelmia) sinulle tärkeimmissä palveluissa ja sivustoissa.

Muista yksi pitkä ja vaikea yhdistelmä kaikille.

Tietoturvakonsultti Nick Berry sallii tämän periaatteen soveltamisen edellyttäen, että salasana on erittäin hyvin suojattu.

Haittaohjelmien esiintyminen tietokoneessa, jolta annat salasanan, ei ole sallittua. Samaa salasanaa ei saa käyttää vähemmän tärkeille ja viihdyttäville sivustoille - yksinkertaisemmat salasanat riittävät niille, koska tilin hakkerointi täällä ei aiheuta kohtalokkaita seurauksia.

On selvää, että luotettavaa pohjaa on muutettava jollain tavalla jokaisessa paikassa. Yksinkertaisena vaihtoehtona voit lisätä alkuun yhden kirjaimen, joka päättää sivuston tai palvelun nimen. Jos palaamme tuohon satunnaiseen RPM8t4ka-salasanaan, siitä tulee kRPM8t4ka Facebookin valtuutusta varten.

Hyökkääjä, joka näkee tällaisen salasanan, ei pysty ymmärtämään, kuinka pankkitilisi salasana luodaan. Ongelmat alkavat, jos joku pääsee käsiksi kahteen tai useampaan tällä tavalla luotuun salasanaasi.

Salainen kysymys

Jotkut kaappaajat jättävät salasanat huomioimatta. He toimivat tilin omistajan puolesta ja simuloivat tilannetta, jossa olet unohtanut salasanasi ja haluat palauttaa sen salakysymyksellä. Tässä tilanteessa hän voi vaihtaa salasanan halutessaan, jolloin todellinen omistaja menettää pääsyn tiliinsä.

Vuonna 2008 joku pääsi käsiksi Alaskan kuvernöörin ja tuolloin myös presidenttiehdokkaan Sarah Palinin sähköpostiin. Murtovaras vastasi salakysymykseen, joka kuulosti tältä: "Missä tapasit miehesi?"

Neljän vuoden kuluttua Mitt Romney, joka oli tuolloin myös Yhdysvaltain presidenttiehdokas, menetti useita tilejään eri palveluissa. Joku vastasi salaiseen kysymykseen Mitt Romneyn lemmikin nimestä.

Olet jo arvannut pointin.

Julkisia ja helposti arvattavia tietoja ei voi käyttää salaisena kysymyksenä ja vastauksena.

Kysymys ei ole edes siitä, että nämä tiedot voidaan huolellisesti kalastaa Internetistä tai henkilön lähikumppaneilta. Vastaukset kysymyksiin tyyliin "eläimen nimi", "suosikki jääkiekkojoukkue" ja niin edelleen on valittu täydellisesti vastaavista suosittujen vaihtoehtojen sanakirjoista.

Väliaikaisena vaihtoehtona voit käyttää vastauksen järjettömyyden taktiikkaa. Yksinkertaisesti sanottuna vastauksella ei pitäisi olla mitään tekemistä salaisen kysymyksen kanssa. Äidin tyttönimi? Difenhydramiini. Lemmikin nimi? 1991.

Jos tällainen tekniikka kuitenkin havaitaan laajalle levinneeksi, se otetaan huomioon vastaavissa ohjelmissa. Absurdit vastaukset ovat usein stereotyyppisiä, eli joitain lauseita kohdataan paljon useammin kuin toisia.

Itse asiassa oikeiden vastausten käyttämisessä ei ole mitään väärää, sinun on vain valittava kysymys viisaasti. Jos kysymys on epätavallinen ja vastauksen siihen tiedät vain sinä eikä sitä voi arvata kolmen yrityksen jälkeen, kaikki on kunnossa. Totuudenmukaisuuden etuna on, että et unohda sitä ajan myötä.

PIN-koodi

Personal Identification Number (PIN) on halpa lukko, joka on uskottu rahoillemme. Kukaan ei vaivaudu luomaan luotettavampaa yhdistelmää ainakin näistä neljästä numerosta.

Nyt lopeta. Juuri nyt. Juuri nyt, lukematta seuraavaa kappaletta, yritä arvata suosituin PIN-koodi. Valmis?

Nick Berry arvioi, että 11 % Yhdysvaltain väestöstä käyttää 1234:ää PIN-koodina (jos he voivat vaihtaa sen itse).

Hakkerit eivät kiinnitä huomiota PIN-koodeihin, koska koodi on hyödytön ilman kortin fyysistä läsnäoloa (tämä voi osittain perustella koodin pienen pituuden).

Berry otti luettelot nelinumeroisista salasanoista, jotka ilmestyivät verkossa tapahtuneiden vuotojen jälkeen. Vuoden 1967 salasanaa käyttävä henkilö on todennäköisesti valinnut sen syystä. Toiseksi suosituin PIN-koodi on 1111, ja 6 % ihmisistä suosii tätä koodia. Kolmannella sijalla on 0000 (2 %).

Oletetaan, että henkilöllä, joka tietää nämä tiedot, on pankkikortti käsissään. Kolme yritystä estää kortti. Yksinkertainen matematiikka osoittaa, että tällä henkilöllä on 19 %:n mahdollisuus arvata PIN-koodinsa, jos hän syöttää numerot 1234, 1111 ja 0000 peräkkäin.

Luultavasti tästä syystä valtaosa pankeista antaa PIN-koodit liikkeeseen lasketuille muovikorteille itse.

Monet ihmiset kuitenkin suojaavat älypuhelimia PIN-koodilla, ja tässä pätee seuraava suosioluokitus: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 9999, 3333, 656,8, 563, 8, 4321, 2001, 1010.

Usein PIN-koodi edustaa vuotta (syntymävuotta tai historiallista päivämäärää).

Monet ihmiset haluavat tehdä PIN-koodeja toistuvien numeroparien muodossa (lisäksi parit, joissa ensimmäinen ja toinen numero eroavat yhdellä, ovat erityisen suosittuja).

Mobiililaitteiden numeronäppäimistöt näyttävät ylhäällä yhdistelmiä, kuten 2580 - sen kirjoittamiseen riittää suora kulku ylhäältä alas keskelle.

Koreassa numero 1004 on sopusoinnussa sanan "enkeli" kanssa, mikä tekee tästä yhdistelmästä varsin suositun siellä.

Tulokset

1. Mene osoitteeseen random.org ja luo siellä 5-10 ehdokassalasanaa.
2. Valitse salasana, jonka voit muuttaa mieleenpainuvaksi lauseeksi.
3. Käytä tätä lausetta muistaaksesi salasanasi.