Share
Ditt lösenord är baserat på ett ord, cirka åtta tecken långt. Du har ersatt några siffror för bokstäver ('3' för 'E' och '4' för 'a' osv.), Du har försäkrat dig om att kapitalisera ett brev eller två, och du har svetsat ett utropstecken till slutet, som för att betona att du följer den oföränderliga checklistan för lösenordsstyrka. Du andas lättnadens suck. Varje månad eller så glömmer du det här lösenordet (eller du kommer ihåg det eftersom du använder det överallt). Men det är starkt ... eller hur? Låt oss gräva i ämnet lösenordsäkerhet för att avslöja myterna, matematik och metoder som definierar denna avgörande aspekt av databehandling.
Som denizens och explorerna i det digitala rymden kan vi rama denna diskussion som en strävan. Vi är på jakt efter den heliga graden av lösenordsäkerhet; ett sätt att skapa ett lösenord som ger oss maximalt skydd med maximal minnesförmåga - vi är ju bara mänskliga.
Om formeln I som beskrivs i min introduktion - den som står för de allra flesta lösenord som används idag - låter som idealet, så kan du bli förvånad att lära dig att det inte bara producerar lösenord för att återkalla lösenord (självklart), men det är också mycket mindre säkert än vad du kan förvänta dig. För att göra saken värre är det bara hälften av slaget som har ett starkt lösenord.
För att förstå varför detta måste vi ta en kort omväg i den skrämmande världen av informationsteori för att utrusta oss med viss grundläggande kunskaper som gör att vi kan förstå hur lösenordsäkerheten mäts och jämförs.
I allmänhet diskuteras ett lösenords integritet i termer av bitar av entropi, en intressant åtgärd som används i informationsteori för att beskriva osäkerheten i samband med variabelns resultat. Ju mer osäkerhet, eller med andra ord, ju mer som är okänt om händelsen mäts, ju högre entropi.
Vi behöver bara komma ihåg att ju fler bitar av entropi ett lösenord har desto svårare är det att knäcka.
Vi skulle till exempel betrakta en myntkastning för att representera en enda bit entropi eftersom det osäkra värdet bara är en av två möjligheter. Formeln som representerar entropyvärdet av ett lösenord är hyfsat, och vi behöver inte förstå det för att ge en känsla av entropi i allmänhet.
Med detta tillbaka till vår strävan behöver vi bara komma ihåg att ju fler bitar av entropi ett lösenord har desto svårare är det att knäcka.
Nu när vi känner till grundprincipen för hur lösenordsstyrkan mäts, måste vi undersöka våra motståndare i detta försök: hackarna, lösenordskrackarna och andra digitala miscreants som söker tillgång till dina konton.
Lösenordsprickning är en hörnsten i hackingvärlden, och har överraskande en av de mest utvecklade arsenalerna i hackerens repertoar. I allmänhet faller lösenordsprickningsmetoder i en av två kategorier: mönsterkrackning och brutta våldsattacker.
Att spricka ett lösenord är mindre svårt än du kanske tror idag Om du har följt formeln från min introduktion är ditt lösenord troligt mycket mottagligt för mönsterbaserade sprickmetoder. Dessa kommer i olika smaker, allt från grundläggande ordboken attack till mer sofistikerade varianter som utnyttjar vanliga lösenord skapande tekniker.
När de är tillämpliga, är mönsterbaserade sprickningsförfaranden att föredra eftersom de väsentligt minskar antalet möjligheter en hacker måste försöka innan de passerar själva lösenordet.
Om du har följt formeln från min introduktion är ditt lösenord troligt mycket mottagligt för mönsterbaserade sprickmetoder.
Det åtta tecken lösenordet du har som använder siffror, flera bokstäver och specialtecken? Det skulle antagligen ta en halvtimme att knäcka.
Denna andra kategori av attacker representerar det barbariska tillvägagångssättet för lösenordshackning. I grunden innebär ett brutalt våldsattack att hackaren använder en otroligt kraftfull dator (eller ett nätverk av datorer) för att systematiskt prova alla möjliga kombinationer av tecken för att avslöja ditt lösenord.
Tydligen verkar det här skrämmande eftersom varje extra karaktär du lägger till ett lösenord kommer att kräva stora mängder extra lösenordsmöjligheter. Tyvärr beror du på att en hackare kan testa mellan flera hundra tusen och omkring en miljon möjliga lösenordskombinationer beroende på den skicklighet och hårdvara som är tillgänglig för din angripare. per sekund.
Det åtta tecken lösenordet du har som använder siffror, flera bokstäver och specialtecken? Det har förmodligen ett entropivärde på mellan 30 och 50 bitar. Det skulle antagligen ta så lite som en halvtimme att spricka öppet.
Oavsett tillvägagångssättet kräver att ett lösenord spricker en förmåga att prova många olika lösenord för att hitta en matchning. Det här är den andra hälften av lösenordsintegritet som kommer in: Kontoleverantörens säkerhetsåtgärder.
Om du någonsin har stött på en CAPTCHA på en webbplats (de formulär som kräver att du avkodar oklara siffror eller ord för att fortsätta) kan du ha kommit till slutsatsen att webbplatsen hatar dig, dina ögon och din fritid. Detta är sannolikt inte fallet.
Faktum är att dessa försvårande CAPTCHAs tjänar ett avgörande syfte i kontosäkerhetsvärlden: inte bara förhindrar de automatiska bots att slutföra inloggningsformulären, de lägger också till ett extra hinder som fördröjer en hackers förmåga att testa de tusentals lösenorden per andra krävs för att utföra en framgångsrik spricka. De är naturligtvis inte ofätliga, men de är ett extra skyddslag.
Tillsammans med andra säkerhetsåtgärder på serversidan, t.ex. automatiska inloggningstider efter alltför många misslyckade försök, representerar CAPTCHAs den andra sidan av lösenordsskyddsmynt.
Det är ofta värt att undersöka vilken typ av säkerhetsåtgärder en tjänst har infört innan du begår för mycket av dina privata uppgifter till sin vård, för det spelar ingen roll om bakdörren är oavsett hur stark ditt lösenord är..
För det mesta erbjuder vår inledande formel för skapande av lösenord mycket kunniga råd. Flera fall, specialtecken, siffror; Det här är alla ljudtekniker som du kan använda som en del av ditt lösenord.
Det finns andra tekniker som du sannolikt har rekommenderat till dig som bara suger på att hålla ditt konto säkert.
Men det finns några riktlinjer som påverkar deras effektivitet, och det finns andra tekniker som du sannolikt har rekommenderat till dig som bara suger på att hålla ditt konto säkert. Låt oss undersöka några av dessa riktlinjer och identifiera exempel på dålig lösenordsteknik.
Däcket kan tyckas staplas mot dig, men det är värt att komma ihåg att de flesta av oss inte kommer att vara målen för dedikerade hackare. Vår prioritet är att göra informerade val om de tjänster vi väljer att lita på med våra data och för att säkerställa att vår räknar sig så säkert som möjligt utan att förorsaka osäker huvudvärk som försöker komma ihåg obskyra strängar av tecken.
Det finns ett antal kloka sätt att skapa säkra lösenord som överensstämmer med dessa kriterier, men vi kommer att fokusera på två primära sådana som inte bara är populära, men också extremt effektiva och flexibla att användas överallt.
Vår prioritet är att göra välgrundade val om de tjänster vi väljer att lita på med våra data och för att säkerställa att våra konton är så säkra som möjligt.
Ett av de mest fascinerande paradoxerna för lösenordsäkerhet är det faktum att samtidigt som ett ord är lättlätt att kompromissa som ett lösenord utgör användningen av flera ord i följd faktiskt en av de säkraste möjliga lösenordsskapande metoder som också ger oss fördelarna att vara mycket enklare att komma ihåg än en lika lång rad slumpmässiga tecken.
En av de primära metoderna för att generera en sådan ordlista kallas "Diceware", så namngiven eftersom du använder en uppsättning tärningar för att skapa lösenordet från en lista med ord, som det här engelska exemplet.
För varje ord i lösenordet (eller lösenfras, i det här fallet) skulle du rulla en dö fem gånger. De resulterande siffrorna skulle strängas ihop - låt oss säga 61345 - och sedan är motsvarande ord från listan valt, i mitt fall "padda".
Nu, till exempel, låt oss ta ett typiskt "starkt" lösenord: 7YmP @ ni5 (timpanis, för du icke-musikaliska folk). Det lösenordet erbjuder oss cirka 50 bitar entropi. Det är inte dåligt, men det är inte heller hemskt minnesvärt - vilket brev ersattes med vilket specialtecken eller nummer? Vilka bokstäver kapitaliserades?
Avsluta en 5-ords lösenord med Diceware-ordlistan, jag kom upp med "toadloafsteamwhackethos". Det ger oss en baslinje på cirka 65 bitar entropi - en mycket mer skrämmande utmaning för hackare (varje extra bit av entropi betyder dubbelt så många möjligheter som måste köras).
Normalt anses fem ord som minsta möjliga längd för ett Diceware lösenordsfras och systemets skönhet är att entropi-värdet beräknas med antagandet att din hacker inte bara vet att du använder en Diceware-ordlista, utan att de även vet vilken du har använt och hur många ord som finns i ditt lösenfras. Med andra ord, om de vet något mindre än det, eller kommer helt blinda på det, är entropin av ditt lösenord ännu högre!
Och eftersom det är en enkel lista över vanliga ord, är det mycket lättare att komma ihåg, speciellt om du genererar (eller uppfinnar) en fras som är humoristisk eller jogs ditt minne på något annat sätt - "Hej lyssna!" är en enkel för Zelda fans. 70 bitar av nostalgisk entropi där.
En djupgående och mycket effektiv metod för att generera starka lösenord innebär användning av fraser på ett något okonventionellt sätt som händer att kryssa av många av kryssrutorna med stark lösenordsskapande - samla de första bokstäverna och alla skiljetecken i ett lösenord.
Låt oss ta en dikt som The Jabberwocky, av Lewis Carroll. Från första stanza ska vi ta de två första raderna, vilka är:
"Twas brillig, och de slithy tovesna
Gjorde och gimble i wabe;
Då, med tillämpning av denna metod, skulle vi sluta med "" Tb, atstDgagitw; ". Den fantastiska delen av lösenordsteknik representerar en svindlande 100 bit entropi.
Låt oss titta på fördelarna: det verkar på ytan vara helt slumpmässigt och så ogenomträngligt för mönsterbaserade attacker; den använder både flera bokstäver och specialtecken; Det är mer än 12 tecken långt (en gemensam riktlinje); och trots dess uppenbara dunkelhet är det omöjligt att glömma eftersom det här kommer från en litteratur som i sig är lätt att komma ihåg - en dikt!
Om du antar att du inte tycker om poesi, kan du självklart använda en rad från ditt favorittal eller ett citat från en bok eller någon annan fras som du nog inte kommer att glömma.
Jag rekommenderar personligen poesi av två anledningar: en, den tenderar att vara rik på interpunktion och kapitaliseringar och två, det är nästan alltid mycket lätt att memorera (tänk bara på hur många populära sånger du kan sjunga med).
Det sista stycket i det starka lösenordet är variabilitet: använd inte samma lösenord överallt, det är det enskilt största misstag du kan göra. Tio svaga lösenord är säkrare än en starkare som användes tio gånger, för om det blir kompromissat, har varje konto du har också störts omedelbart.
Använd inte samma lösenord överallt, det är det enskilt största misstag du kan göra.
Med hjälp av de två metoderna som vi skisserade ovan kan du enkelt hitta sätt att hålla saker konsekventa och fortfarande ha olika lösenord för olika tjänster. Ändra det sista ordet i din Diceware-lista, eller använd olika versioner från samma sångs texter, till exempel.
Vi bör kortfattat prata om problemet med att skriva lösenord för att komma ihåg dem. Det här är en säkerhetsrisk som många människor tar, sätter sina viktiga lösenord i en anteckningsbok eller papperskorg i plånboken.
Medan det är bekvämt öppnar det också en helt ny fara - om någon stjäl din plånbok, skulle de normalt fly undan med lite pengar och ditt ID. Nu kan de också få åtkomst till varje konto som du har skrivit ett lösenord för. Kan du komma ihåg att gå och ändra dem alla i tid?
När vi föreslår vår ideal lösenordslösning, betonar vi att det borde producera något minnesvärt exakt så att du inte behöver tillgripa skrivande saker för att komma ihåg det.
Alternativt, om den formel du använder är något som du enkelt kan komma ihåg, kan du bara behöva skriva ner dunkla påminnelser som är värdelösa för alla som försöker knäcka ditt lösenord. Om du använde poetry acronym-metoden kan du hålla en anteckning som bara visar vilken vers du använde för varje tjänst - en tjuv skulle inte veta vad du pratar om.
Vem är en hackare som är mer benägna att rikta mot: En slumpmässig person eller ett företag som pratar om att ge starkt lösenordsskydd för miljontals användare?
Vid denna tidpunkt kanske du undrar varför du inte ska använda en dedicerad lösenordsservice som LastPass för att både hantera och skapa dina säkra lösenord.
Eftersom de är både välrenommerade och flexibla verktyg, bör du verkligen överväga att använda dem. Anledningen till att det lönar sig att kunna skapa egna starka lösenord är det för att de också är tjänster som drivs av företag, de är sårbara för att attackera sig själva - och de är mycket mer sannolika mål för ett lösenordsattack än en ensam individ är. När allt är vem en hacker är mer sannolikt att rikta mot: En slumpmässig person eller ett företag som stoltserar med att ge starkt lösenordsskydd för miljontals användare?
Eftersom de har gjort det till sin verksamhet att göra just det, är många av dessa tjänster värda att lita på, men om du är mer försiktig, eller om du inte vill ha allt lagrat i en app eller vill du bara ha ett medel att skapa ett starkt huvudlösenord för de andra lösningarna, det lönar sig att veta hur man gör en - och nu gör du det!
Det är självklart att de starkaste lösenorden är de 20-karaktäriserade randomiserade behemothsna som du enkelt kan hitta en generator för på webben. Dessa är kategoriskt starkare än någon annan du sannolikt kommer att formulera. Men de är också användbara endast för maskiner och personer med en löjlig skicklighet för att memorera komplicerade strängar av karaktärer - de är helt enkelt inte praktiska för daglig användning.
Idén om ett idealiskt lösenord som vi har utforskat i denna handledning har varit en som finner en god balans mellan integritet och minnesförmåga. Du är nu utrustad för att upptäcka de mest otroliga lösenordsskapande fallgroparna och skapa starka, minnesvärda och variabla lösenord för dig själv. Så gå ut och luta ner luckorna på dina värdefulla digitala tillgångar.
Medan du är i det, glöm inte att byta dem nu och då - det är ju svårare att nå ett rörligt mål.
Har du en bättre metod? Vi vill höra om det! Lösenord är viktiga, så hoppa in i kommentarerna och dela dina tankar.
Accentsconagua