Die meisten Angreifer kümmern sich nicht um ausgefeilte Methoden, Passwörter zu stehlen. Sie nehmen einfache Vermutungen an. Etwa 1% aller derzeit vorhandenen Passwörter können aus vier Versuchen ausgewählt werden.
Wie ist das möglich? Sehr einfach. Sie versuchen die vier häufigsten Kombinationen in der Welt: Passwort, 123456, 12345678, QWERTY. Nach einer solchen Passage wird durchschnittlich 1% aller “Schatullen” geöffnet.
Nehmen wir an, Sie kommen in diese 99% der Benutzer, deren Passwort nicht so einfach ist. Auch in diesem Fall ist es notwendig, die Leistung moderner Hacker-Software zu berücksichtigen.
Das kostenlose Programm John the Ripper, das frei verfügbar ist, ermöglicht es Ihnen, Millionen von Passwörtern pro Sekunde zu überprüfen. Einige Beispiele für spezialisierte kommerzielle Software beanspruchen eine Kapazität von 2,8 Milliarden Passwörtern pro Sekunde.
Zu Beginn führen Programme zum Hacken eine Liste der am häufigsten verwendeten Kombinationen aus und wenden sich dann an das vollständige Wörterbuch. Im Laufe der Zeit können sich Benutzertrends bei der Auswahl von Passwörtern geringfügig unterscheiden, und diese Änderungen werden beim Aktualisieren solcher Listen berücksichtigt.
Im Laufe der Zeit haben sich alle Arten von Webdiensten und -anwendungen dazu entschieden, die von Benutzern erstellten Kennwörter zwangsweise zu komplizieren. Zusätzliche Anforderungen, nach denen das Passwort eine bestimmte Mindestlänge haben muss, enthalten Zahlen, Großbuchstaben und Sonderzeichen. Einige Dienste haben es so ernst genommen, dass es wirklich lang und mühsam ist, ein Passwort zu finden, das das System akzeptieren würde.
Das Hauptproblem besteht darin, dass praktisch kein Benutzer ein passwortfreundliches Passwort generiert, sondern nur versucht, die Mindestanforderungen des Systems für die Passwortkomposition zu erfüllen.
Das Ergebnis sind Passwörter im Stil Passwort1, Passwort123, Passwort, PaSsWoRd, Passwort! und unglaublich unvorhersehbar [email protected]
Stellen Sie sich vor, Sie müssen das Spiderman-Passwort ändern. Mit hoher Wahrscheinlichkeit wird es die Form $ pider_Man1 annehmen. Original? Tausende von Menschen werden es für den gleichen oder sehr ähnlichen Algorithmus ändern.
Wenn der Einbrecher diese Mindestanforderungen kennt, wird die Situation nur verschärft. Aus diesem Grund bietet die auferlegte Anforderung, Passwörter zu komplizieren, nicht immer eine bessere Sicherheit und erzeugt oft ein falsches Gefühl erhöhter Sicherheit.
Je einfacher das Passwort zum Erinnern ist, desto wahrscheinlicher ist es, in die Wörterbücher der Cracker-Programme zu gelangen. Als Ergebnis stellt sich heraus, dass ein wirklich zuverlässiges Passwort einfach nicht zu merken ist, was bedeutet, dass es irgendwo fixiert werden muss.
Experten zufolge können sich Menschen auch in unserer Zeit der digitalen Technologie immer noch auf ein Stück Papier verlassen, auf dem die Passwörter geschrieben sind. Ein solches Blatt ist bequem an einem Ort zu halten, der vor neugierigen Blicken verborgen ist, beispielsweise in einer Handtasche oder Brieftasche.
Ein Blatt mit Passwörtern löst das Problem jedoch nicht. Lange Passwörter sind schwer nicht nur zu merken, sondern auch zu betreten. Die Situation wird durch virtuelle Tastaturen von mobilen Geräten erschwert.
In Interaktion mit Dutzenden von Diensten und Websites reservieren viele Benutzer eine Zeichenfolge mit identischen Kennwörtern. Sie versuchen, für jede Site das gleiche Passwort zu verwenden und ignorieren dabei die Risiken vollständig.
In diesem Fall fungieren einige Websites als Kindermädchen, was die Kombination erschweren muss. Als Ergebnis kann sich der Benutzer einfach nicht mehr daran erinnern, wie er sein Standard-Passwort für diese Site ändern musste.
Das Ausmaß des Problems wurde 2009 vollständig umgesetzt. Aufgrund einer Sicherheitslücke gelang es dem Hacker, die Datenbank der Logins und Passwörter von RockYou.com, der Firma, die Spiele auf Facebook veröffentlicht, zu stehlen. Der Angreifer hat die Datenbank in der öffentlichen Domäne platziert. Insgesamt enthielt es 32,5 Millionen Datensätze mit Benutzernamen und Passwörtern für Konten. Lecks sind schon einmal passiert, aber das Ausmaß dieses speziellen Ereignisses zeigte das ganze Bild.
Das beliebteste Passwort auf RockYou.com war eine Kombination aus 123456. Es wurde von fast 291.000 Leuten benutzt. Männer unter 30 Jahren bevorzugen eher sexuelle Themen und Vulgarität. Mehr erwachsene Menschen beiderlei Geschlechts wandten sich bei der Wahl eines Passworts häufig diesem oder jenem Bereich der Kultur zu. Zum Beispiel scheint Epsilon793 keine so schlechte Option zu sein, nur diese Kombination war in Star Trek. Der siebenstellige 8675309 traf sich viele Male, weil diese Nummer in einem von Tommy Tutones Liedern erschien.
Tatsächlich ist das Erstellen eines zuverlässigen Passworts eine einfache Aufgabe, es reicht aus, eine Kombination aus zufälligen Zeichen zu erstellen.
Sie können in Ihrem Kopf keine ideal zufällige Kombination im mathematischen Sinn erzeugen, aber Sie brauchen sie nicht. Es gibt spezielle Dienste, die wirklich zufällige Kombinationen erzeugen. Zum Beispiel kann random.org solche Passwörter erstellen:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
Dies ist eine einfache und elegante Lösung, insbesondere für diejenigen, die einen Manager verwenden, um Passwörter zu speichern.
Leider verwenden die meisten Benutzer weiterhin einfache unzuverlässige Passwörter und ignorieren sogar die Regel “verschiedene Passwörter für jede Site”. Für sie ist Bequemlichkeit wichtiger als Sicherheit.
Situationen, in denen die Passwortsicherheit gefährdet sein kann, lassen sich in 3 große Kategorien einteilen:
- Zufällig, in dem das Passwort versucht, eine Person herauszufinden, die Sie kennen, basierend auf den Informationen, die Ihnen über Sie bekannt sind. Oft möchte ein solcher Einbrecher nur einen Streich spielen, etwas über dich oder Podgadit lernen.
- Massenangriffe, wenn das Opfer absolut jeder Benutzer dieser oder anderer Dienste sein kann. In diesem Fall wird spezialisierte Software verwendet. Für den Angriff werden die am wenigsten sicheren Websites ausgewählt, sodass Sie die Kennwortvarianten in kurzer Zeit wiederholt eingeben können.
- Zielorientiert, Kombination der suggestiven Tipps (wie im ersten Fall) und der Verwendung von spezialisierter Software (wie in einem Massenangriff). Hier ist es ein Versuch, wirklich wertvolle Informationen zu bekommen. Protect unterstützt nur ein ziemlich langes zufälliges Passwort, dessen Auswahl Zeit benötigt, die mit der Dauer Ihres Lebens vergleichbar ist.
Wie Sie sehen können, kann absolut jeder zum Opfer werden. Aussagen wie “mein Passwort wird nicht gestohlen werden, weil ich jemanden brauche” sind nicht relevant, weil man zufällig durch Zufall auf diese Situation kommen kann, ohne ersichtlichen Grund.
Noch gravierender ist der Schutz von Passwörtern für diejenigen, die wertvolle Informationen haben, mit Geschäften in Verbindung stehen oder sich in finanziellen Schwierigkeiten mit jemandem in dem Konflikt befinden (z. B. die Aufteilung von Eigentum in den Prozess der Scheidung, Wettbewerb in der Wirtschaft).
Im Jahr 2009 wurde Twitter (im Sinne des gesamten Dienstes) gehackt, nur weil der Administrator das Wort Glück als Passwort verwendet hat. Der Hacker nahm es auf und veröffentlichte es auf der Website von Digital Gangster, was zur Entführung von Obamas Konten führte, Britney Spears, Facebook und Fox News.
Akronyme
Wie in jedem anderen Aspekt des Lebens müssen wir immer einen Kompromiss zwischen maximaler Sicherheit und maximalem Komfort suchen. Wie finde ich das goldene Mittel? Mit welcher Passwortgenerierungsstrategie können Sie zuverlässige Kombinationen erstellen, an die Sie sich sicher erinnern können?
Im Moment ist die beste Kombination aus Zuverlässigkeit und Komfort die Umwandlung einer Phrase oder Phrase in ein Passwort.
Wählen Sie eine Reihe von Wörtern, an die Sie sich immer erinnern, und als Passwort die Kombination der ersten Buchstaben jedes Wortes. Zum Beispiel, Mai die Kraft mit Ihnen sein wird in Mtfbwy.
Da jedoch die bekanntesten als erste Phrasen verwendet werden, erhalten die Programme diese Akronyme eventuell auf ihren Listen. Tatsächlich enthält das Akronym nur Buchstaben und ist daher objektiv weniger zuverlässig als eine zufällige Kombination von Symbolen.
Um das erste Problem loszuwerden, hilft es, den richtigen Satz zu wählen. Warum sollte ein weltbekannter Ausdruck ein Passwort-Akronym sein? Sie erinnern sich wahrscheinlich an einige Witze und Aussagen, die nur für Ihre Umgebung relevant sind. Nehmen wir an, Sie haben einen sehr einprägsamen Satz von einem Barkeeper einer örtlichen Institution gehört. Benutze es.
Und dennoch ist es unwahrscheinlich, dass das von einem Akronym erzeugte Passwort eindeutig ist. Das Problem mit Akronymen besteht darin, dass verschiedene Phrasen aus Wörtern bestehen können, die mit den gleichen Buchstaben beginnen und in der gleichen Reihenfolge angeordnet sind. Statistisch gibt es in verschiedenen Sprachen eine erhöhte Häufigkeit des Auftretens bestimmter Buchstaben als Anfängerwort. Die Programme werden diese Faktoren berücksichtigen, und die Wirksamkeit der Akronyme in der ursprünglichen Version wird abnehmen.
Umkehrmethode
Die Ausgabe kann die umgekehrte Art der Generierung sein. Sie erstellen zufällige zufällige Passwort in random.org, und verwandeln Sie dann ihre Charaktere in eine sinnvolle denkwürdige Phrase.
Dienste und Sites geben Benutzern häufig temporäre Kennwörter, die die am meisten zufälligen Kombinationen darstellen. Du wirst sie ändern wollen, weil du dich nicht erinnern kannst, aber es lohnt sich, genauer hinzuschauen, und es wird offensichtlich: du musst dich nicht an das Passwort erinnern und du musst dich nicht daran erinnern. Nehmen Sie zum Beispiel eine andere Version mit random.org – RPM8t4ka.
Obwohl es bedeutungslos erscheint, ist unser Gehirn in der Lage, selbst in einem solchen Chaos bestimmte Muster und Entsprechungen zu finden. Zunächst können Sie sehen, dass die ersten drei Buchstaben in Großbuchstaben geschrieben sind und die nächsten drei Kleinbuchstaben. 8 – das ist zweimal (Englisch zweimal – t) 4. Schau dir dieses Passwort ein wenig an und du wirst definitiv deine eigenen Assoziationen mit dem vorgeschlagenen Satz von Buchstaben und Zahlen finden.
Wenn Sie sich bedeutungslose Sätze von Wörtern merken können, dann benutzen Sie sie. Lassen Sie das Passwort in Umdrehungen pro Minute 8 Track 4 katty. Jede Umwandlung, an der Ihr Gehirn “geschärft” wird, wird ausreichen.
Ein zufälliges Passwort ist der Goldstandard in der Informationssicherheit. Es ist per Definition besser als jedes Passwort, das von einer Person erfunden wurde.
Das Minus von Akronymen ist, dass die Verteilung einer solchen Technik im Laufe der Zeit ihre Effektivität verringern wird, und die umgekehrte Methode wird so zuverlässig bleiben, auch wenn alle Menschen der Erde sie für tausend Jahre benutzen werden.
Ein zufälliges Passwort fällt nicht in die Liste der beliebten Kombinationen, und ein Angreifer, der die Massenangriffsmethode verwendet, wird ein solches Passwort nur mit roher Gewalt aufnehmen.
Wir nehmen ein einfaches zufälliges Passwort, das die Groß- und Kleinbuchstaben berücksichtigt – dies sind 62 mögliche Symbole für jede Position. Wenn Sie das Passwort nur 8-stellig eingeben, erhalten Sie 62 ^ 8 = 218 Billionen Optionen.
Auch wenn die Anzahl der innerhalb eines bestimmten Zeitraums nicht beschränkt auf, die meisten kommerziellen Spezialsoftware mit einer Kapazität von 2,8 Milliarden Passwörter pro Sekunde im Durchschnitt verbringen 22 Stunden auf die Auswahl der gewünschten Kombination. Um sicherzustellen, dass wir in einem Passwort nur 1 zusätzliches Zeichen hinzufügen – und sein Hacking seit vielen Jahren benötigt.
Ein zufälliges Passwort ist nicht unverwundbar, da es gestohlen werden kann. Es gibt viele Optionen, von der Eingabe über die Tastatur bis zur Kamera hinter der Schulter.
Ein Hacker kann den Dienst selbst treffen und Daten direkt von seinen Servern abrufen. In diesem Szenario ist der Benutzer von nichts abhängig.
Eine einzige zuverlässige Grundlage
So sind wir zum Hauptpunkt gekommen. Welche Taktiken verwenden ein zufälliges Passwort, um im wirklichen Leben anzuwenden? Aus der Sicht der Ausgewogenheit von Zuverlässigkeit und Komfort wird sich die “Philosophie eines zuverlässigen Passworts” gut darstellen.
Das Prinzip ist, dass Sie die gleiche Basis verwenden – ein super-zuverlässiges Passwort (seine Variationen) auf den wichtigsten Diensten und Seiten für Sie.
Erinnere dich an eine lange und komplexe Kombination mit Gewalt an jeden.
Nick Berry, ein Berater für Informationssicherheit, gibt die Verwendung eines solchen Prinzips zu, vorausgesetzt, das Passwort ist sehr gut geschützt.
Das Vorhandensein von Schadsoftware auf dem Computer, von dem Sie das Passwort eingeben, ist nicht erlaubt. Es ist nicht erlaubt, das gleiche Passwort für weniger wichtige und unterhaltsame Seiten zu verwenden – sie werden genug einfachere Passwörter haben, da das Hacken auf ein Konto hier keine fatalen Folgen nach sich zieht.
Es ist klar, dass für jeden Standort eine verlässliche Basis geändert werden muss. Als einfache Variante können Sie dem Anfang einen Buchstaben hinzufügen, der mit dem Namen der Site oder des Services endet. Wenn wir zu diesem zufälligen Passwort RPM8t4ka zurückkehren, wird es zur Autorisierung auf Facebook in kRPM8t4ka umgewandelt.
Ein Angreifer, der ein solches Passwort sieht, wird nicht verstehen können, wie das Passwort auf Ihrem Bankkonto generiert wird. Probleme treten auf, wenn jemand Zugriff auf zwei oder mehr Ihrer auf diese Weise generierten Passwörter erhält.
Geheime Frage
Einige Entführer ignorieren Passwörter im Allgemeinen. Sie handeln im Namen des Kontoinhabers und simulieren die Situation, wenn Sie Ihr Passwort vergessen und es in einer geheimen Angelegenheit wiederherstellen möchten. In diesem Szenario kann er das Kennwort nach Belieben ändern, und der wahre Besitzer verliert den Zugriff auf sein Konto.
Im Jahr 2008 erhielt jemand Zugang zu der E-Mail von Sarah Palin, der Gouverneurin von Alaska, und zu dieser Zeit auch ein Kandidat für die Präsidentschaft der Vereinigten Staaten. Der Cracker beantwortete eine geheime Frage, die wie folgt klang: “Wo hast du deinen Mann getroffen?”.
Nach 4 Jahren verlor Mitt Romney, der zu dieser Zeit auch Präsidentschaftskandidat der Vereinigten Staaten war, mehrere seiner Konten bei verschiedenen Diensten. Jemand beantwortete die geheime Frage nach dem Namen des Haustieres Mitt Romney.
Du hast es schon erraten.
Öffentliche und einfach zu erratende Daten können nicht als geheime Frage und Antwort verwendet werden.
Die Frage ist nicht einmal, dass diese Informationen im Internet oder bei einer ungefähren Person genau gefunden werden können. Antworten auf Fragen im Stil von “Spitzname eines Tieres”, “Lieblings-Hockey-Team” und so weiter sind perfekt aus den entsprechenden Wörterbüchern beliebter Varianten ausgewählt.
Als eine vorübergehende Option können Sie Taktik der Absurdität der Antwort verwenden. Wenn es einfach ist, dann sollte die Antwort nichts mit der geheimen Frage zu tun haben. Mädchenname der Mutter? Dimedrol. Der Name eines Haustiers? 1991.
Ein solches Verfahren wird jedoch, wenn es weit verbreitet ist, in den entsprechenden Programmen berücksichtigt. Absurde Antworten sind oft stereotyp, dh einige Sätze werden öfter vorkommen als andere.
In der Tat, es gibt nichts Schreckliches in der Verwendung von echten Antworten, Sie müssen nur die richtige Frage auswählen. Wenn die Frage nicht Standard ist, und die Antwort darauf nur Ihnen bekannt ist und mit drei Versuchen nicht erraten wird, dann ist alles in Ordnung. Die Wahrheit ist, dass Sie es mit der Zeit nicht vergessen werden.
PIN
Persönliche Identifikationsnummer (PIN) – ein billiges Schloss, dem unser Geld anvertraut ist. Niemand ist besorgt, eine zuverlässigere Kombination von mindestens diesen vier Figuren zu schaffen.
Jetzt hör auf. Gerade jetzt. Gerade jetzt, ohne den nächsten Absatz zu lesen, versuchen Sie, die beliebteste PIN zu erraten. Bist du bereit?
Laut Nick Berry verwenden 11% der US-Bevölkerung die Kombination 1234 als PIN (wo es die Möglichkeit gibt, sie selbst zu ändern).
Hacker achten nicht auf PIN-Codes, da ohne die physische Anwesenheit der Karte der Code nutzlos ist (teilweise kann dies durch die geringe Codelänge gerechtfertigt sein).
Berry nahm Listen von Passwörtern auf, die nach Undichtigkeiten im Netzwerk auftraten und eine Kombination von vier Ziffern darstellten. Mit hoher Wahrscheinlichkeit hat eine Person, die das Passwort von 1967 verwendet, dies aus einem bestimmten Grund gewählt. Die zweitbeliebteste PIN ist 1111 und 6% bevorzugen diesen Code. Auf dem dritten Platz ist 0000 (2%).
Angenommen, eine Person, die diese Information kennt, hat eine Bankkarte in ihren Händen. Drei Versuche, bevor die Karte gesperrt wird. Einfache Mathematik erlaubt es Ihnen, zu berechnen, dass diese Person eine Wahrscheinlichkeit von 19% hat, die PIN zu erraten, wenn er konsequent 1234, 1111 und 0000 eingibt.
Wahrscheinlich hat deshalb die absolute Mehrheit der Banken die ausgegebenen Plastikkarten selbst mit PIN-Codes versehen.
Allerdings ist viele PIN-Code Smartphones geschützt und betreibt dann eine Beliebtheitsskala: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
Oft ist PIN ein Jahr (Geburtsjahr oder historisches Datum).
Viele Leute machen gerne eine PIN in Form von wiederholten Zahlenpaaren (außerdem sind Paare besonders beliebt, wenn die erste und die zweite Ziffer um eins voneinander abweichen).
Die digitalen Tastaturen von Mobilgeräten werden in Top-Kombinationen wie 2580 ausgegeben – für die Wahl genügt ein gerader Durchgang von oben nach unten in der Mitte.
In Korea stimmt die Zahl 1004 mit dem Wort “Engel” überein, was diese Kombination dort sehr beliebt macht.
Das Ergebnis
- Gehe zu random.org und erstelle dort 5-10 Passwort-Kandidaten.
- Wählen Sie ein Passwort, das Sie zu einem unvergesslichen Ausdruck machen können.
- Verwenden Sie diesen Ausdruck, um sich an das Passwort zu erinnern.
Lesen Sie auch:
- Wie man das Passwort auf das BIOS setzt, um den Computer zu schützen →
- Wie lege ich ein Passwort in einen Ordner in Windows oder Mac OS → ein?
- 5 Programme, die helfen, das Passwort für die ausgewählten Anwendungen in Android →
- Dieser Service informiert Sie darüber, wie sicher Ihr neues Passwort ist →
- Was Sie jetzt tun müssen, um Ihre persönlichen Informationen im Internet zu schützen →
