Jak vytvořit a zapamatovat si silné heslo

Většina útočníků se neobtěžuje sofistikovanými metodami kradnutí hesel. Oni mají snadné odhady. Přibližně 1% všech aktuálně existujících hesel lze vybrat ze čtyř pokusů.

Jak je to možné? Je to velmi jednoduché. Zkuste čtyři nejčastější kombinace na světě: heslo, 123456, 12345678, qwerty. Po takovém průchodu je v průměru 1% všech “kazet” otevřeno.

Řekněme, že se dostanete do těch 99% uživatelů, jejichž heslo není tak jednoduché. I v tomto případě je třeba vzít v úvahu výkon moderního softwaru pro hacking.

Volný program John Ripper, který je volně k dispozici, vám umožňuje kontrolovat miliony hesel za sekundu. Některé vzorky specializovaného komerčního softwaru vyžadují kapacitu 2,8 miliardy hesel za sekundu.

Zpočátku programy pro hacking spouštějí seznam nejběžněji používaných kombinací a pak se obracejí na celý slovník. V průběhu času se uživatelské trendy při výběru hesel mohou mírně lišit a tyto změny se berou v úvahu při aktualizaci těchto seznamů.

Časem se všechny druhy webových služeb a aplikací rozhodly nuceně komplikovat hesla vytvořená uživateli. Přidány požadavky, podle kterých heslo musí mít určitou minimální délku, obsahovat čísla, velká písmena a speciální znaky. Některé služby to brali tak vážně, že je opravdu dlouhé a zdlouhavé přijít s heslem, které systém přijme.

Klíčovým problémem je, že prakticky žádný uživatel nevygeneruje heslo, které je skutečně šetrné k heslu, ale pouze se snaží splnit minimální požadavky systému na složení hesla.

Výsledkem jsou hesla ve stylu heslo1, heslo123, Heslo, PaSsWoRd, heslo! a neuvěřitelně nepředvídatelné [chráněné emailem]

Představte si, že musíte změnit heslo spiderman. S vysokou pravděpodobností bude mít formu $ pider_Man1. Originální? Tisíce lidí to změní za stejný nebo velmi podobný algoritmus.

Pokud ten zloděj zná tyto minimální požadavky, situace se jen zhoršuje. Právě z tohoto důvodu požadovaná povinnost komplikovat hesla ne vždy poskytuje lepší bezpečnost a často vytváří falešný pocit zvýšené bezpečnosti.

Čím je heslo pro zapamatování snadnější, tím je pravděpodobné, že se dostanete do slovníků crackerových programů. Výsledkem je, že opravdu spolehlivé heslo je prostě nemožné zapamatovat, což znamená, že to musí být někde fixováno.

Podle odborníků se i v naší době digitální technologie mohou lidé stále spoléhat na kus papíru s hesly napsanými na něm. Takový list je vhodný na to, aby se uchoval na místě, které je skryto před zvědavými očima, například v kabelce nebo peněžence.

Avšak list s hesly nevyřeší problém. Dlouhé hesla jsou těžké nejen zapamatovat, ale také vstoupit. Situaci zhoršují virtuální klávesnice mobilních zařízení. 

V interakci s desítkami služeb a webů si mnoho uživatelů rezervuje řetězec stejných hesel. Snaží se pro každé místo používat stejné heslo a zcela ignorují rizika.

V tomto případě se některé stránky chovají jako chůva, což nutí kombinaci komplikovat. Výsledkem je, že uživatel si jednoduše nemůže vzpomenout, jak musel změnit své standardní jedno heslo pro tento web.

Rozsah problému byl plně realizován v roce 2009. Poté díky bezpečnostnímu otvoru se hackerovi podařilo ukrást databázi přihlašovacích údajů a hesel společnosti RockYou.com, která zveřejňuje hry na Facebooku. Útočník umístil databázi do veřejné domény. Celkem obsahovalo 32,5 milionu záznamů s uživatelskými jmény a hesly k účtům. Úniky se staly dříve, ale rozsah této konkrétní události ukázal celý obraz.

Nejpopulárnější heslo na RockYou.com bylo spojení 123456. Používalo ho téměř 291 000 lidí. Muži mladší 30 let upřednostňovali sexuální témata a vulgaritu. Více dospělých lidí obou pohlaví se při výběru hesla často obrátilo na tuto nebo na kulturní sféru. Například Epsilon793 se zdá být tak špatná možnost, pouze tato kombinace byla ve Star Treku. Sedmimístné číslo 8675309 se mnohokrát setkalo, protože se toto číslo objevilo v jedné z písní Tommy Tutone.

Ve skutečnosti je vytvoření spolehlivého hesla jednoduchým úkolem, stačí vytvořit kombinaci náhodných znaků.

Nemůžete vytvořit v matematickém smyslu ideálně náhodnou kombinaci v hlavě, ale to se od vás nevyžaduje. K dispozici jsou speciální služby, které generují opravdu náhodné kombinace. Například random.org může vytvářet tato hesla:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Jedná se o jednoduché a elegantní řešení, zejména pro ty, kteří používají správce pro ukládání hesel.

Bohužel většina uživatelů nadále používá jednoduchá nespolehlivá hesla, ignoruje dokonce pravidlo “různé hesla pro jednotlivé stránky”. Pro ně je pohodlí vyšší než bezpečnost.

Situace, ve kterých lze ohrozit ochranu heslem, lze rozdělit do 3 velkých kategorií:

  • Náhodně, v němž se heslo snaží zjistit osobu, kterou znáte, na základě informací, které o vás znáte. Často takový zloduch chce jen hrát trik, naučit se něco o vás nebo o podgaditu.
  • Hromadné útoky, kdy může být oběť absolutně jakýmkoli uživatelem nebo jinými službami. V tomto případě se používá specializovaný software. Pro útok jsou vybrány nejméně zabezpečené weby, které vám umožňují v krátké době opakovaně zadávat varianty hesla.
  • Cílené, (jako v prvním případě) a použití specializovaného softwaru (jako v masovém útoku). Zde je pokus získat opravdu cenné informace. Chráňte pouze poměrně dlouhé náhodné heslo, jehož výběr bude trvat déle než doba trvání vašeho života.

Jak můžete vidět, absolutně se někdo může stát obětí. Prohlášení, jako je “moje heslo nebudou krást, protože potřebuji někoho”, není relevantní, protože se můžete dostat do této situace náhodou, náhodou, bez zjevného důvodu.

Ještě vážnější je ochrana hesel pro ty, kteří mají cenné informace, jsou spojeni s obchodem nebo mají finanční potíže s někým v konfliktu (například rozdělení majetku v procesu rozvodu, hospodářská soutěž).

V roce 2009 bylo Twitter (v chápání celé služby) hacknuto jen proto, že administrátor použil slovo štěstí jako heslo. Hacker ji zvedl a zveřejnil na webových stránkách Digital Gangster, které vedly k únosu Obamových účtů, Britney Spears, Facebook a Fox News.

Zkratky

Stejně jako v každém jiném aspektu života musíme vždy hledat kompromis mezi maximální bezpečností a maximálním komfortem. Jak zjistit zlatý zlomek? Která strategie generování hesel vám umožní vytvořit spolehlivé kombinace, které si můžete bezpečně zapamatovat?

V současnosti je nejlepší kombinací spolehlivosti a pohodlí konverze fráze nebo fráze na heslo.

Vyberte skupinu slov, která si vždy pamatujete, a jako heslo je kombinace prvních písmen každého slova. Například, květen síla s vámi se změní na Mtfbwy.

Nicméně, protože nejznámější budou použity jako počáteční fráze, programy nakonec přijmou tyto zkratky na jejich seznamy. Ve skutečnosti obsahuje zkratka pouze písmena, a proto objektivně méně spolehlivá než náhodná kombinace symbolů.

Chcete-li se zbavit prvního problému, pomůžete vybrat správnou frázi. Proč dělat světově proslulý výraz zkratka pro heslo? Pravděpodobně si pamatujete nějaké vtipy a prohlášení, která jsou relevantní pouze pro vaše blízké okolí. Řekněme, že jste slyšeli velmi památnou frázi od barmana v místní instituci. Použijte ho.

A přesto je nepravděpodobné, že heslo generované akronymem bude jedinečné. Problémem s akronymy je, že různé fráze se mohou skládat ze slov začínajících stejnými písmeny a uspořádaných ve stejném pořadí. Statisticky, v různých jazycích, dochází k častějšímu výskytu určitých písmen jako slova pro začátečníky. Programy budou zohledňovat tyto faktory a účinnost akronymů v původní verzi se sníží.

Reverzní metoda

Výstupem může být inverzní způsob generování. Vytvoříte náhodné náhodné heslo v náhodném.org a pak změníte jeho znaky na významnou památnou frázi.

Služby a weby často poskytují uživatelům dočasná hesla, která představují nejvíce dokonale náhodné kombinace. Budete je chtít změnit, protože si nepamatujete, ale stojí za to bližší pohled a to se stává zřejmým: nepamatujete si heslo a nemusíte si ho pamatovat. Například, vezměte jinou verzi s random.org – RPM8t4ka.

I když se zdá, že nemá smysl, náš mozek je schopen nalézt určité vzory a korespondence i v takovém chaosu. Za prvé, můžete vidět, že první tři písmena v ní jsou kapitalizována a další tři jsou malé. 8 – to je dvakrát (angličtina dvakrát – t) 4. Podívejte se na toto heslo trochu a určitě najdeš své vlastní asociace s navrženou sadou písmen a čísel.

Pokud můžete zapamatovat nesmyslné sady slov, pak je můžete použít. Nechte heslo změnit na otáčky za minutu 8 stopy 4 katty. Každá konverze, na které je váš mozek “zaostřený”, udělá.

Náhodné heslo je zlatým standardem v oblasti zabezpečení informací. Je podle definice lepší než jakékoli heslo vynalezené člověkem.

Mínus akronymů spočívá v tom, že v průběhu času bude distribuce takové techniky snižovat její účinnost a reverzní metoda zůstane stejně spolehlivá, i kdyby ji všichni lidé na zemi použijí po tisíc let.

Náhodné heslo nespadá do seznamu populárních kombinací a útočník, který používá metodu masového útoku, vyzdvihne takové heslo pouze hrubou silou.

Přijímáme jednoduché náhodné heslo, které bere v úvahu velká písmena a číslice – jde o 62 možných symbolů pro každou pozici. Pokud uděláte heslo pouze 8 číslic, získáte 62 ^ 8 = 218 bilionů možností.

Dokonce i v případě, že počet případů, kdy v určitém časovém období není omezeno na, nejvíce komerčního specializovaného softwaru s kapacitou 2,8 miliardy hesel za sekundu v průměru stráví 22 hodin na výběru požadované kombinaci. Pro jistotu přidáme k tomuto heslu pouze jeden další symbol – a to bude trvat mnoho let, než ho rozbijeme.

Náhodné heslo není nezranitelné, protože může být ukradeno. Existuje spousta možností, od čtení vstupu od klávesnice a konce fotoaparátu za ramenem.

Hacker může zasáhnout samotnou službu a získat data přímo ze svých serverů. V tomto scénáři uživatel nezávisí na nic.

Jediný spolehlivý základ

Takže jsme se dostali k hlavnímu. Jakou taktiku používáte náhodné heslo pro použití v reálném životě? Z hlediska rovnováhy spolehlivosti a pohodlí se “filozofie jednoho spolehlivého hesla” projeví dobře.

Princip je, že používáte stejný základ – super-spolehlivé heslo (jeho varianty) na nejdůležitějších službách a místech pro vás.

Zapamatujte si jednu dlouhou a složitou kombinaci.

Nick Berry, poradce pro bezpečnost informací, připouští použití takového principu za předpokladu, že heslo je velmi dobře chráněno.

Přítomnost škodlivého softwaru v počítači, ze kterého zadáváte heslo, není povolena. Není povoleno používat stejné heslo pro méně důležité a zábavné weby – budou mít dost jednoduchých hesel, protože hackování do účtu zde nebude mít žádné fatální důsledky.

Je zřejmé, že pro každou lokalitu je třeba změnit spolehlivý základ. Jako jednoduchá varianta můžete na začátek přidat jedno písmeno, které končí názvem stránky nebo služby. Pokud se vrátíme k tomuto náhodnému heslu RPM8t4ka, pak se pro autorizaci na Facebooku změní na kRPM8t4ka.

Útočník, který takové heslo uvidí, nebude schopen pochopit, jak je heslo generováno na váš bankovní účet. Problémy začnou, pokud někdo získá přístup k dvěma nebo více vašim heslům generovaným tímto způsobem.

Tajná otázka

Někteří únosci obvykle ignorují hesla. Jedná se jménem majitele účtu a simuluje situaci, když zapomenete své heslo a chcete jej obnovit v tajné věci. V tomto scénáři může heslo změnit podle vlastního uvážení a skutečný vlastník ztratí přístup ke svému účtu.

V roce 2008 někdo získal přístup k e-mailu guvernéra Aljašky Sarah Palinové a v té době také kandidátovi na předsednictví Spojených států. Cracker odpovídal na tajnou otázku, která zní: “Kde ses setkal s tvým manželem?”.

Po čtyřech letech Mitt Romney, také kandidát na předsednictví Spojených států v té době, ztratil několik svých účtů o různých službách. Někdo odpověděl na tajnou otázku o jménu mazlíčka Mitta Romneyho.

Už jste to uhádli.

Veřejné a snadno odhadnuté údaje nelze použít jako tajnou otázku a odpověď.

Otázkou není ani to, že tyto informace lze přesně vylovit na internetu nebo na přibližné osobě. Odpovědi na otázky ve stylu “přezdívky zvířete”, “oblíbeného hokejového týmu” a tak dále jsou dokonale vybrány z odpovídajících slovníků populárních variant.

Jako dočasnou možnost můžete použít taktiky absurdnosti odpovědi. Pokud je to snadné, odpověď by neměla mít nic společného s tajnou otázkou. Rodné jméno matky? Dimedrol. Jméno mazlíčka? 1991.

Taková metoda, je-li široce použitá, se však v příslušných programech zohlední. Absurdní odpovědi jsou často stereotypní, to znamená, že některé fráze se objeví častěji než jiné.

Ve skutečnosti není nic strašného při používání skutečných odpovědí, stačí vybrat správnou otázku. Pokud je otázka nestandardní a odpověď na ni je známá pouze vám a není pokládána za tři pokusy, pak je vše v pořádku. A pravdivá odpověď je, že na čas nezapomenete.

PIN

Osobní identifikační číslo (PIN) – levný zámek, na který jsou naše peníze svěřeny. Nikdo se neobává o vytvoření spolehlivější kombinace alespoň těchto čtyř číslic.

Nyní zastavte. Právě teď. Právě teď, bez přečtení dalšího odstavce, zkuste hádat nejpopulárnější kód PIN. Jste připraveni?

Podle Nicka Berryho 11% obyvatel USA používá kombinaci 1234 jako PIN (kde je možnost změnit ji sama).

Hackeři nevěnují pozornost kódům PIN, protože bez fyzické přítomnosti karty je tento kód zbytečný (částečně to může být zdůvodněno délkou malého kódu).

Berry vzal seznam hesel, které se objevily po úniku v síti, což představuje kombinaci čtyř číslic. S velkou pravděpodobností si to někdo s heslem z roku 1967 zvolil z nějakého důvodu. Druhý nejpopulárnější kód PIN je 1111 a 6% lidí preferuje tento kód. Na třetím místě je 0000 (2%).

Předpokládejme, že osoba, která tyto informace zná, má v rukách bankovní kartu. Tři pokusy před kartou jsou zamčené. Jednoduchá matematika vám umožňuje vypočítat, že tato osoba má 19% pravděpodobnosti, že uvidí PIN, pokud trvale dojde na 1234, 1111 a 0000.

Pravděpodobně z tohoto důvodu absolutní většina bank nastaví PIN kódy na vydané plastové karty samotné.

Nicméně, mnoho chráněná PIN kódu chytré telefony, a pak pracuje popularity rating 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Kód PIN je často rok (rok narození nebo historický den).

Mnoho lidí chce vytvořit kód PIN ve formě opakovaných párů čísel (navíc dvojice jsou obzvláště populární, kde se první a druhá číslice liší o jednu).

Digitální klávesnice mobilních zařízení jsou vyvedena v horních kombinacích, jako je 2580 – pro jeho vytáčení stačí k přímému průchodu zhora dolů uprostřed.

V Koreji je číslo 1004 v souladu se slovem “anděl”, což dělá tuto kombinaci docela populární.

Výsledek

  1. Přejděte na random.org a vytvořte zde 5-10 kandidátů na heslo.
  2. Vyberte heslo, které můžete změnit na památnou frázi.
  3. Tuto frázi použijte k zapamatování hesla.

Čtěte také:

  • Jak nastavit heslo do systému BIOS pro ochranu počítače →
  • Jak zadat heslo do složky v systému Windows nebo MacOS →
  • 5 programů, které vám pomohou umístit heslo na vybrané aplikace v systému Android →
  • Tato služba vám sdělí, jak je vaše nové heslo v pořádku →
  • Co teď musíte udělat pro ochranu vašich osobních informací na Internetu →

Loading...