In Search of the Ultimate Password
Ditt passord er basert på et ord, om lag åtte tegn. Du har byttet ut noen tall for bokstaver ('3' for 'E' og '4' for 'a', etc.), du har sørget for å skrive en stor bokstav eller to, og du har sveiset et utropstegn til Til slutt, som for å understreke din tilslutning til den uforanderlige sjekkliste over passord styrke. Du puster lettet ut. Hver måned eller så, du glemmer dette passordet (eller du husker det fordi du bruker det overalt). Men det er sterk ... ikke sant? La oss grave i emnet for passordsikkerhet for å avdekke myter, matematikk og metoder som definerer denne avgjørende aspekt av databehandling.
The Holy Grail
< p> Som innbyggerne og oppdagelsesreisende av det digitale rommet, kan vi ramme denne diskusjonen som en søken. Vi er på jakt etter den hellige gral av passordsikkerhet; et middel til å konstruere et passord som gir oss maksimal beskyttelse med maksimal memorability -. vi er bare mennesker, tross alt
Hvis formelen jeg beskrev i min introduksjon - den som står for det store flertallet av passord brukes i dag - høres ut som den ideelle, så du kan bli overrasket over å høre at det ikke bare produserer vanskelige-å-tilbakekalling passord (selvsagt), men det er også langt mindre sikker enn man kunne forvente. For å gjøre vondt verre, å ha et sterkt passord er bare halve kampen.
For å forstå hvorfor dette er, må vi ta en kort avstikker inn i den skremmende verden av informasjonsteori å utstyre oss med noen grunnleggende kunnskaper som vil tillate oss å forstå hvordan passordsikkerhet måles og sammenlignes.
Entropy
Generelt integriteten til et passord er diskutert i form av biter av entropi, et interessant mål som brukes i informasjon teori for å beskrive usikkerhet knyttet til en variabel utfall. Den større usikkerhet, eller med andre ord, jo mer som er ukjent om hendelsen som måles, jo høyere entropi.
Vi trenger bare husker på at jo flere biter av entropi et passord har, desto vanskeligere er å knekke.
For eksempel vil vi vurdere et myntkast for å representere en eneste bit av entropi siden usikker verdi er bare en av to muligheter. Formelen som representerer entropi verdien av et passord er skrekkelig, og vi trenger ikke å forstå det for å få følelse av entropi generelt.
Å bringe dette tilbake til vår søken, vi trenger bare huske at jo flere biter av entropi et passord har, jo vanskeligere er det å knekke.
Kjenn din fiende
Nå som vi vet det grunnleggende prinsippet om hvordan passord styrke måles, må vi undersøke våre motstandere i dette arbeidet:. hackere, passord crackere og andre digitale miscreants som ønsker tilgang til kontoene dine
Passord cracking er en hjørnestein i hacking verden, og ikke overraskende har en av de mest omfattende utviklet arsenaler i hacker repertoar. Generelt passordknekking metoder faller inn under en av to kategorier:. Mønster cracking, og brute-force angrep
Cracking et passord er mindre vanskelig enn du kanskje tror disse dager
mønsterbasert Password Cracking
Hvis du har fulgt formelen fra min introduksjon, er passordet sannsynlig svært utsatt for mønsterbaserte cracking metoder. Disse kommer i ulike varianter, alt fra grunn ordbok angrep til mer avanserte varianter som utnytter vanlige passord opprettelse teknikker.
Når de gjelder, mønsterbaserte cracking tilnærminger er å foretrekke fordi de vesentlig redusere antall muligheter en hacker må prøve før du kommer over den faktiske passordet.
Hvis du har fulgt formelen fra min introduksjon, er passordet sannsynlig svært utsatt for mønsterbaserte cracking metoder.
brute-force angrep
At åtte tegn passord har du som bruker tall, flere bokstaver og spesialtegn? Det vil trolig ta en halvtime å knekke.
Denne andre kategorien av angrepene representerer barbar tilnærming til passord hacking. I hovedsak betyr en brute-force angrep som hacker vil bruke en utrolig kraftig datamaskin (eller nettverk av datamaskiner) for å systematisk prøve ut alle mulige kombinasjoner av tegn for å avdekke passordet ditt.
Klart, dette synes skremmende som hver ekstra tegn du legger til et passord som vil kreve enorme mengder ekstra passord muligheter. Dessverre, avhengig av dyktighet og hardware tilgjengelig for overfallsmannen, kan du forvente at en hacker vil kunne teste ut mellom flere hundre tusen og om en million mulige passord kombinasjoner per sekund At åtte tegn passord har du som bruker tall, flere bokstaver og spesialtegn? Det har sannsynligvis fått en entropi verdi på mellom 30 og 50 bits. Det ville trolig ta så lite som en halvtime å knekke vidåpne. Uavhengig av tilnærming, cracking et passord krever en evne til å prøve mange forskjellige passord for å finne en match. Det er her den andre halvdelen av passord integritet kommer inn.:. Kontoleverandøren sikkerhetstiltak Hvis du noen gang har møtt en CAPTCHA på et nettsted (de former som krever du å tyde obskure sifre eller ord for å fortsette), så du kan ha kommet til den konklusjon at nettstedet hater deg, dine øyne, og fritiden din. Dette er mest sannsynlig ikke tilfelle Faktisk, de skjerpende CAPTCHA tjene en avgjørende formål i kontosikkerhet verden. Ikke bare gjør de hindre automatiserte roboter fra å fullføre påloggings former, de også legge i en ekstra hinder som bremser ned en hacker evne til å teste ut de tusenvis av passord per sekund som kreves for å utføre en vellykket sprekk. De er selvsagt ikke ufeilbarlig, men de er et ekstra lag med beskyttelse. Sammen med andre serversiden sikkerhetstiltak som automatiske påloggingstidsavbrudd etter for mange mislykkede forsøk, CAPTCHA representerer den andre siden av passordbeskyttelse mynt. Det er ofte verdt å utforske hva slags sikkerhetstiltak en tjeneste har på plass før du forplikter deg for mye av dine private data til deres omsorg, fordi uansett hvor sterk passordet ditt er, vil det ikke saken hvis bakdøren er åpen For det meste, vår innledende formel for passord opprettelse tilbyr svært kunnskapsrike råd. Flere tilfeller, spesialtegn, tall; disse er alle gode teknikker for å gjøre bruk av som en del av passordet ditt. Det finnes andre teknikker som du har sannsynligvis hadde anbefalt til deg som rett og slett suger i å holde kontoen din sikker. Men det er noen retningslinjer som påvirker deres effektivitet, og det er andre teknikker som du har sannsynligvis hadde anbefalt til deg som rett og slett suger i å holde kontoen din sikker. La oss undersøke noen av disse retningslinjene og identifisere eksempler på dårlige passord teknikker Dekket kan virke stablet mot deg, men det er verdt å huske at de fleste av oss ikke kommer til å være målene for dedikerte hackere - vår prioritet er å gjøre informerte valg om hvilke tjenester vi velger å stole på våre data, og for å sikre at våre kontoer så sikker som mulig uten forårsaker oss selv unødvendige hodepine prøver å huske obskure strenger av tegn. Det finnes en rekke smarte måter å lage sikre passord som oppfyller disse kriteriene, men vi kommer til å fokusere på to primære de som ikke er bare populær, men også ekstremt effektive, og fleksibel nok til å brukes overalt. Vår prioritet er å gjøre informerte valg om hvilke tjenester vi velger å stole på våre data, og for å sikre at våre kontoer så sikker som mulig . En av de mest fascinerende paradokser passordsikkerhet er det faktum at mens ett ord er cripplingly lett å inngå kompromisser som passord, bruk av flere ord i rekkefølge faktisk utgjør en av de mest sikre mulige passord opprettelse metoder som også gir oss fordelen av å være langt enklere å huske enn en equivalently lang streng av tilfeldige tegn. En av de viktigste metodene for å generere et slikt ord listen er kalt 'Diceware', så kalt fordi du bruker et sett med terninger for å generere passord fra en liste av ord, slik engelsk eksempel. For hvert ord i passord (eller passphrase, i dette tilfellet), du vil rulle en terning fem ganger. De resulterende tall ville bli satt sammen - la oss si 61 345 - og deretter den tilsvarende ord fra listen er valgt, i mitt tilfelle "padde" Nå, som et eksempel, la oss ta en typisk "sterk" passord. : 7YmP @ ni5 (timpanis, for deg som ikke-musikalsk folk). Det passordet tilbyr oss ca 50 biter av entropi. Det er ikke dårlig, men det er heller ikke veldig minneverdig - som brev ble byttet ut med hvilke spesialtegn eller tall? Hvilke bokstaver ble aktivert? Etterbehandling opp en 5-ord passphrase bruker Diceware ordlisten, kom jeg opp med "toadloafsteamwhackethos '. Det gir oss et utgangspunkt på ca 65 biter av entropi - en mye mer skremmende utfordring for hackere (hver ekstra bit av entropi betyr dobbelt så mange muligheter som må kjøre gjennom) Normalt fem ord er vurdert. minimumslevedyktig lengde for en Diceware passphrase, og det fine med systemet er at entropi verdi er beregnet med utgangspunkt i at din hacker vet ikke bare at du bruker en Diceware ordliste, men at de selv vet hvilken du ' har brukt og hvor mange ord er i din passphrase. Med andre ord, hvis de vet noe mindre enn det, eller kommer på det helt blind, entropi din frasen er enda høyere! Og fordi det er en enkel liste over vanlige ord, er det langt lettere å huske , spesielt hvis du generere (eller finne opp) et uttrykk som er humoristisk eller joggeturer minnet på annen måte - "Hey, lytte 'er en enkel en for Zelda-fans. 70 biter av nostalgisk entropi rett der. En underfundig og svært effektiv metode for å generere sterke passord innebærer bruk av setninger i en litt ukonvensjonell måte som skjer for å krysse av mange av de Merk av sterkt passord skapelse -. montering av de første bokstavene og all tegnsetting inn et passord La oss ta for eksempel et dikt som The Jabberwocky, av Lewis Carroll. Fra første strofe, skal vi ta de to første linjene, som er: 'Twas Brillig, og slithy tovesDid gyre og gimble i wabe; Så , bruk denne metoden, vil vi ende opp med "'Tb, atstDgagitw;". Det fantastiske stykke passord ingeniør representerer en svimlende 100 biter av entropi La oss se på fordelene:. Det ser ut på overflaten, helt tilfeldig, og så er ugjennomtrengelig for mønsterbaserte angrep; den bruker både flere bokstaver og spesialtegn; det er mer enn 12 tegn lange (en felles retningslinje); og til tross for sin tilsynelatende ukjent, er det umulig å glemme fordi det er avledet fra et stykke litteratur som er iboende lett å huske - et dikt Antar du misliker poesi, kan du selvfølgelig gjøre bruk av en linje fra din favoritt tale, eller et sitat fra en bok, eller en annen setning som du neppe til å glemme Jeg personlig anbefaler poesi av to grunner:. én, pleier det å være rik på tegnsetting og capitalizations, og to , er det nesten alltid veldig lett å huske (bare tenk på hvor mange populære sanger du kan synge med på) Den siste brikken i den sterke passord puslespillet er variasjon.: Ikke bruk samme passord overalt, det er den største feilen du kan gjøre. Ti svake passord er tryggere enn en sterkere man brukt ti ganger, fordi hvis det blir utsatt, er hver enkelt konto har du også kompromittert umiddelbart. Ikke bruk samme passord overalt, det er den største feilen du kan gjøre. Ved hjelp av de to metodene vi skissert ovenfor, kan du lett finne måter å holde ting konsekvent og fortsatt ha forskjellige passord for ulike tjenester. Endre det siste ordet i din Diceware listen, eller ved hjelp av ulike vers fra samme sangteksten, for eksempel. Vi skal kort snakke om problemet med å skrive ned passord å huske dem. Dette er en sikkerhetsrisiko at mange mennesker tar, setter sine viktige passord i en notatbok eller lapp i lommeboken Selv om det er praktisk, også åpner opp en helt ny vei i fare -. Hvis noen stjeler din lommebok, vil de normalt rømme med litt penger og din ID. Nå kan de også få tilgang til hver konto som du har skrevet ned et passord for. Kan du huske å gå inn og endre dem alle i tide? Når vi foreslår vårt ideal passord løsning, understreker vi at det skal produsere noe minneverdig nettopp slik at du ikke trenger å ty til å skrive ting ned å huske det. Alternativt, hvis formelen du bruker er noe som du lett kan huske, så kan du bare trenger å skrive ned obskure påminnelser som vil være ubrukelig til alle som prøver å knekke passordet ditt. Hvis du brukte poesi akronym metoden, kan du holde et notat som bare indikerer hvilke vers du brukte for hver tjeneste - en tyv ville ikke vet hva du snakker om Hvem er en hacker mer sannsynlig å målrette: én tilfeldig person eller et selskap som kan skryte om å gi sterk passordbeskyttelse for millioner av brukere På dette punktet, lurer du kanskje på hvorfor du bør ikke bruke en dedikert passord tjeneste som Lastpass til både styre og generere sikre passord. Som de er begge anerkjente og fleksible verktøy, bør du absolutt vurdere å bruke dem. Grunnen til at det lønner seg å være i stand til å generere dine egne sterke passord er det, fordi de også er tjenester som drives av selskaper, er de utsatt for angrep seg selv - og de er langt mer sannsynlig mål for et passord overgrep enn en ensom person er. Tross alt, som en hacker mer sannsynlig å målrette: én tilfeldig person eller et selskap som kan skryte om å gi sterk passordbeskyttelse for millioner av brukere Siden de har gjort det til sin virksomhet til å gjøre nettopp det, mange av disse tjenestene er verdt å stole på, men hvis du er mer forsiktige, eller du ikke ønsker å ha alt lagret i en app, eller du bare ønsker et middel for å skape en sterk hovedpassord for de andre løsninger, det lønner seg å vite hvordan å lage en - og nå kan du gjøre Det sier seg selv at de sterkeste passordene er de 20-tegns randomiserte behemoths at du enkelt kan finne en generator for på nettet. Dette er kategorisk sterkere enn noe annet du sannsynligvis til å formulere. Men de er også nyttig bare for maskiner og mennesker med en latterlig ferdighet for pugging kompliserte strenger av tegn -. De rett og slett ikke er praktisk for daglig bruk Ideen om en ideell passord som vi har utforsket i denne opplæringen har vært en som finner en lykkelig balanse mellom integritet og memorability. Du er nå rustet til å få øye på de mest skjerpende passord oppretting fallgruver og skape sterke, minneverdige, og variable passord for deg selv. Så gå ut og skalke lukene på dine verdifulle digitale aktiva Mens du er i gang, ikke glem å endre dem hver dag og igjen -. Det er vanskeligere å treffe et bevegelig mål, tross alt. Ha en bedre metode? Vi ønsker å høre om det! Passord er viktig, så hopp inn kommentarer og dele dine tanker. Anmeldelser
.
Vår venn, CAPTCHA
Skjerpende CAPTCHA tjene en avgjørende hensikt i kontosikkerhet
flere dårlige nyheter. Noen Passord Creation triks Suck
Ved hjelp av tall. De fleste dessverre tolke denne retningslinjen som "legge en 1 til slutten", som er så banalt som å posere nesten ingen ekstra utfordring til en hacker. Hvis du bruker tall i passordet ditt, ikke bare kaste en haug av dem på slutten, og forventer at det skal gjøre en stor forskjell
spesialtegn. Den typiske inkludering av spesialtegn i passord er for utskifting av bokstaver med visuelt like tegn ('@' i stedet for 'a', for eksempel). Problemet med dette er at alle disse mønsterbaserte angrepsmetoder omfatter alle mulige permutasjoner av hvert ord i sin ordboken, inkludert spesielle tegn som ligner, noe som betyr at din eneste prestasjon er i å lage et passord som er vanskeligere å huske for deg selv.
< li> skrive på et annet tastatur Row: Ah, nå dette virker som en genistrek! I stedet for å skrive inn passordet i sin normale posisjon på tastaturet, etterligne du samme nøkkel mønster, men skifte alt én rad opp eller ned, eller over til venstre eller høyre. Selv om dette er absolutt mer overbevisende metode enn de ovennevnte, de samme ordbøker har også disse grunnleggende tastatur skift for sine ord, noe som betyr at den ekstra sikkerheten er, igjen, ubetydelig
The Bottom of the Barrel:. Noen ganger , folk får veldig lat med passord. De vil gjøre ting som å gjenta et ord eller tall flere ganger (jeg en gang besøkte en coffeeshop som Wi-Fi passord var tjueseks '1 menn på rad), eller de vil bruke noen sekvensielle brev fra deres tastatur, eller et navn , bursdag eller telefonnummer. Så nå, når de hacker sprekker passordet ditt, han /hun vil ha ditt telefonnummer og bursdag også -! Bonus
Nå For noen gode nyheter
Diceware: surrealist Security
XKCD hjelper illustrere problemet
Quotable Forsvars
Ja, han ser ut som han kan beskytte passordet mitt
Varierende passordene dine
Skrive Ting Down
The Easy Way Out
avskjedstanker