Hesla jsou klíče k vašim virtuálním datovým úložištím na internetu - od vašeho poštovního účtu, online hry, osobní stránky na sociální síti atd. Samozřejmě musí 100% splňovat taková kritéria jako spolehlivost. To znamená, že musí být odolné proti vloupání nebo výběru. Mnoho uživatelů bohužel ignoruje tento jednoduchý, ale povinný požadavek na hesla. Výsledkem je, že se zpravidla stávají oběťmi vetřelců. Ztrácejí peníze, důvěrná data, herní úspěchy atd.
Je známo, že 1% uživatelů internetu, ať už kvůli lenosti nebo nedbalosti, při registraci upřednostňuje použití primitivních kombinací, které lze vybrat během 3-4 pokusů. Příklady jsou „123456“, „qwerty“, „moje heslo“. To je jistě velmi hloupé. „Lehký“ klíč pro uživatele je také „lehký“ pro útočníka.
Tento článek vám řekne, jak vytvořit silná hesla a jak je otestovat na odolnost proti hackerům.
Co je silné heslo?
Dobré klíče účtu mají následující vlastnosti:
1. Délka není menší než 10–15 znaků (nejstabilnější kombinace jsou ještě více - 20–35 znaků).
2. Symboly: velká a malá anglická písmena, číslice, speciální znaky.
3. V kombinaci chybí slova ve slovníku (parol, kod, vhod), osobní údaje (telefonní číslo, jméno, e-mail atd.), Logické posloupnosti písmen a čísel (1234, 246810, abcdefg).
Čím složitější a spolehlivější je kombinace, tím obtížnější je její výběr. Vytvoření uživatelem vytvořené sekvence 12 znaků může trvat více než 1,5 milionu let.
Vytvoření komplexního klíče
Obyčejní uživatelé internetu a bezpečnostní experti již našli mnoho správných odpovědí na řešení otázky „Jak vytvořit silné heslo?“ V tomto článku si ukážeme tři nejpraktičtější způsoby.
Metoda číslo 1: záměna písmen
Ne všechny první mobilní telefony podporovaly ruský jazyk a jejich majitelé odesílali SMS pomocí přepisu. To znamená, že psali latinkou v ruštině a chybějící písmena byla nahrazena symboly. Například: „h“ - „4“. Fráze „Co to děláš?“ Vypadala jako „4to delaesh?“ Stejný princip je základem této metody generování klíčů.
Vezměte slovo nebo frázi a poté si je zapište pomocí „záludné“ notace. Místo mezer lze jako oddělovače použít libovolné speciální znaky „~“, „/“, „.“ a další. Můžete například přijít s následující kombinací:
Napíšeme „nebezpečnou zónu“ jako „onACHA9I # 3OHA“.
Jak vidíte, zapsali jsme slova latinskými písmeny a navíc jsme nahradili některá ruská písmena. Místo „n“ - „n“, „i“ - „9I“, „z“ - „3“ (číslo „tři“). A mezi slova vložte oddělovač „#“. Ukázalo se tedy, že jde o poměrně komplikovanou možnost. K rozluštění tohoto typu symbolické kombinace budou počítačoví darebáci muset udělat maximum.
Na pomoc tabulka symbolických označení ruských písmen:
Metoda číslo 2: vytvoření „čitelného“ klíče v generátoru
1. Otevřete ve svém prohlížeči službu online - http://genpas.peter23.com/.
2. V možnosti „Provozní režim“ klikněte na přepínač „Mluvené heslo ...“.
3. Dále povolte / zakažte znakové sady pro kombinace kláves a nastavte jejich délku.
4. Klikněte na tlačítko Generovat.
5. Vyberte nejoptimálnější možnost z vygenerovaných sekvencí.
6. Rozbijte zvolené heslo na fragmenty o délce 2-3 znaků a dejte každému fragmentu určitý význam. V takovém „logickém řetězci“ je velmi snadné zapamatovat si nejtěžší kombinaci. Jako příklad si rozdělíme klíč vygenerovaný v tomto generátoru:
Xoh) ohfo1koh
- Xoh) - lze číst jako „Hoh“ + „smiley“;
- oH oh";
- fo1 - ať je to nějaká záhadná zkratka;
- koh - koh - opět variace počáteční slabiky.
Metoda číslo 3: přidávání speciálních znaků k jednoduchým slovům
1. Vezměte jako základ každé slovo, které dobře znáte:
vesmír2017
2. Vymyslete kombinaci speciálních znaků o délce 2 nebo 3 znaků.
«+_&»
3. Přidejte kombinaci na začátek a na konec slova do zrcadlového obrazu.
+ _ & space2017 & _ +
4. Ve výsledku obdržíte dostatečně „silný“ klíč. Samozřejmě jej nelze nazvat nejstabilnějším, ale je snadno zapamatovatelný a není primitivní ve své struktuře.
Pozornost! Před vytvořením hesla si přečtěte požadavky služby, se kterou se registrujete. Například cyrilici (ruská písmena) nelze použít na portálu Mail.ru.
Kontrola spolehlivosti klíče
Stabilitu vybrané kombinace můžete analyzovat na speciálních službách.
Poskytuje uživateli podrobnou analýzu zadané kombinace (znakové sady, délka) a také odhaduje její složitost v procentech.
Uvádí, jak dlouho bude trvat nalezení zadaného klíče. Varuje před neplatnými (primitivními) sekvencemi znaků.
Používejte pouze silná hesla! Jsou klíčem k vaší online bezpečnosti.
Každý uživatel má oblíbené weby: komunikuje, hraje, sleduje videa, poslouchá hudbu. Někdo nakupuje online. Pro pohodlí uživatele se samozřejmě registrují na stránkách, aby měli osobní přístup k určitým službám. Jedním z nejdůležitějších atributů každého účtu je samozřejmě heslo. Jak zkontrolovat sílu hesla, jeho složitost - řeknu vám to v dnešním článku!
Takže na internetu existuje jedna velmi pohodlná služba pro kontrolu síly vašeho hesla. Říká se tomu tak .
Pozornost! Algoritmus pro kontrolu složitosti hesla neznamená krádež vašich hesel!
Cokoli potřebujete - stačí zadat heslo do formuláře a zjistitpo jaké době můžete uhádnout heslo. Dále můžete vidět tipy pro generování hesla:
- heslo musí být střední \\ dlouhé - nejméně 8–10 znaků
- je vhodné použít různé symboly, písmena a číslice smíchané v hesle
- na klávesnici je nežádoucí používat kombinace písmen a čísel, které jdou za sebou
Například heslo správce webu je takhle:
Doufám, že vaše hesla nebudou nyní o nic méně bezpečná a nezanechají žádnou šanci pro vetřelce! Hodně štěstí!
Podobné novinky:
Práce s disky
Většina kyberzločinců se neobtěžuje sofistikovanými metodami krádeží hesel. Berou snadno uhodnutelné kombinace. Asi 1% všech aktuálně existujících hesel lze najít na čtyři pokusy.
Jak je tohle možné? Velmi jednoduché. Vyzkoušíte čtyři nejběžnější kombinace na světě: heslo, 123456, 12345678, qwerty. Po takovém průchodu je v průměru otevřeno 1% všech „truhlic“.
Řekněme, že patříte mezi 99% uživatelů, jejichž heslo není tak jednoduché. Přesto je třeba brát v úvahu výkon moderního hackerského softwaru.
Bezplatný a volně dostupný program John the Ripper ověřuje miliony hesel za sekundu. Vybrané příklady specializovaného komerčního softwaru požadují kapacitu 2,8 miliardy hesel za sekundu.
Programy crackingu zpočátku procházejí seznamem statisticky nejběžnějších kombinací a poté odkazují na celý slovník. V průběhu času se trendy hesel uživatelů mohou mírně změnit a tyto změny se zohlední při aktualizaci těchto seznamů.
Postupem času se všechny druhy webových služeb a aplikací rozhodly násilně komplikovat hesla generovaná uživateli. Byly přidány požadavky, podle nichž musí mít heslo určitou minimální délku, obsahovat čísla, velká písmena a speciální znaky. Některé služby to braly tak vážně, že přijít s heslem, které systém přijme, trvá opravdu dlouho a zdlouhavě.
Klíčovým problémem je, že téměř žádný uživatel negeneruje skutečné heslo hrubou silou, ale pouze se snaží uspokojit požadavky systému na složení hesla na minimum.
Výsledkem jsou hesla jako heslo1, heslo123, heslo, PaSsWoRd, heslo! a neuvěřitelně nepředvídatelné [chráněno e-mailem]
Představte si, že musíte heslo spidermana předělat. S největší pravděpodobností to bude vypadat něco jako $ pider_Man1. Originál? Tisíce lidí to změní pomocí stejného nebo velmi podobného algoritmu.
Pokud cracker zná tyto minimální požadavky, situace se jen zhoršuje. Z tohoto důvodu zavedený požadavek na zvýšení složitosti hesel neposkytuje vždy to nejlepší a často vytváří falešný pocit zvýšené bezpečnosti.
Čím je heslo snazší zapamatovatelné, tím je pravděpodobnější, že skončí v crackerských slovnících. Ve výsledku se ukázalo, že opravdu silné heslo si prostě nelze zapamatovat, což znamená, že ho někde potřebujete.
Podle odborníků se lidé i v tomto digitálním věku stále mohou spolehnout na kousek papíru s napsanými hesly. Je vhodné držet takový list na místě skrytém před zvědavýma očima, například v peněžence nebo peněžence.
Seznam hesel však problém nevyřeší. Dlouhá hesla je obtížné nejen zapamatovat, ale také zadat. Situaci zhoršují virtuální klávesnice mobilních zařízení.
Při interakci s desítkami služeb a webů zanechává mnoho uživatelů řetězec identických hesel. Snaží se používat pro každé stránky stejné heslo, přičemž rizika zcela ignorují.
V tomto případě fungují některé weby jako chůva, což nutí kombinaci komplikovat. Výsledkem je, že uživatel jednoduše nemůže, jak musel upravit své standardní jediné heslo pro tento web.
Rozsah problému byl plně realizován v roce 2009. Poté se hackerovi kvůli bezpečnostní díře podařilo ukrást databázi přihlašovacích údajů a hesel společnosti RockYou.com, společnosti, která vydává hry na Facebooku. Útočník zpřístupnil databázi veřejně. Celkově obsahoval 32,5 milionu záznamů s uživatelskými jmény a hesly k účtům. Netěsnosti se staly dříve, ale rozsah této konkrétní události ukázal celý obraz.
Nejpopulárnějším heslem na RockYou.com bylo 123456, které používalo téměř 291 000 lidí. Muži do 30 let častěji upřednostňovali sexuální témata a vulgarizmy. Starší lidé obou pohlaví se při výběru hesla často obraceli k určité oblasti kultury. Například Epsilon793 se nezdá být tak špatnou volbou, pouze tato kombinace byla ve Star Treku. Sedmimístné číslo 8675309 se objevilo mnohokrát, protože toto číslo se objevilo v jedné ze skladeb Tommy Tutone.
Vytvoření silného hesla je ve skutečnosti jednoduchý úkol, stačí vytvořit kombinaci náhodných znaků.
Ve své hlavě nemůžete z matematického hlediska vytvořit dokonale náhodnou kombinaci, ale není to od vás požadováno. Existují speciální služby, které generují skutečně náhodné kombinace. Například random.org může generovat hesla takto:
- mvAWzbvf;
- 83cpzBgA;
- tn6kDB4T;
- 2T9UPPd4;
- BLJbsf6r.
Jedná se o jednoduché a elegantní řešení, zejména pro ty, kteří používají k ukládání hesel.
Většina uživatelů bohužel nadále používá jednoduchá slabá hesla, dokonce ignorují pravidlo „odlišná hesla pro každý web“. Pro ně je pohodlí důležitější než bezpečnost.
Situace, ve kterých může dojít k prolomení hesla, lze rozdělit do 3 širokých kategorií:
- Náhodnýve kterém se osoba, kterou znáte, pokouší zjistit heslo, přičemž se spoléhá na informace, které o vás ví. Takový cracker často chce jen žertovat, něco o vás zjistit nebo se pokazit.
- Masové útoky, kdy se každý uživatel určitých služeb může stát obětí. V tomto případě se používá specializovaný software. Pro útok jsou vybrány nejméně zabezpečené weby, které vám umožňují opakovaně zadávat možnosti hesla v krátkém časovém období.
- Cílevědomékteré kombinují příjem rad (jako v prvním případě) a použití specializovaného softwaru (jako při hromadném útoku). Jde o pokus o získání opravdu cenných informací. K ochraně vás pomůže pouze dostatečně dlouhé náhodné heslo, jehož výběr bude trvat srovnatelně s dobou vašeho.
Jak vidíte, obětí se může stát naprosto každý. Výroky jako „moje heslo nebude odcizeno, protože mě nikdo nepotřebuje“ nejsou relevantní, protože do podobné situace se můžete dostat zcela náhodou, náhodou, bez zjevného důvodu.
Ještě závažnější je ochrana heslem pro ty, kteří mají cenné informace, jsou spojeni s podnikáním nebo jsou v rozporu s někým z finančních důvodů (například rozdělení majetku v procesu rozvodu, soutěž v podnikání).
V roce 2009 byl Twitter (ve smyslu celé služby) hacknut pouze proto, že správce použil jako heslo slovo štěstí. Hacker to zvedl a zveřejnil na webu Digital Gangster, což vedlo k únosu účtů Obamy, Britney Spears, Facebooku a Fox News.
Zkratky
Stejně jako v jakémkoli jiném aspektu života musíme vždy najít kompromis mezi maximální bezpečností a maximálním pohodlím. Jak najít střední cestu? Jaká strategie pro generování hesel vám umožní vytvářet silné kombinace, které si snadno zapamatujete?
V současné době je nejlepší kombinací spolehlivosti a pohodlí převést frázi nebo frázi na heslo.
Je vybrána sada slov, která si vždy pamatujete, a jako heslo je použita kombinace prvních písmen každého slova. Například může být síla s vámi proměněna v Mtfbwy.
Vzhledem k tomu, že ty nejznámější budou použity jako počáteční, programy nakonec obdrží tyto zkratky do svých seznamů. Ve skutečnosti zkratka obsahuje pouze písmena, a proto je objektivně méně spolehlivá než náhodná kombinace znaků.
Výběr správné fráze pomůže zbavit se prvního problému. Proč proměnit světově proslulý výraz na zkratkové heslo? Pravděpodobně si pamatujete některá tvrzení, která jsou relevantní pouze ve vašem blízkém kruhu. Řekněme, že jste slyšeli velmi chytlavou frázi od barmana v místním zařízení. Použij to.
Je nepravděpodobné, že vygenerované heslo zkratky bude jedinečné. Problém s akronymy spočívá v tom, že různé fráze mohou být tvořeny slovy, která začínají stejným písmenem a objevují se ve stejném pořadí. Statisticky je v různých jazycích zvýšená frekvence výskytu určitých písmen jako začátku slova. Programy vezmou tyto faktory v úvahu a účinnost zkratek v původní verzi se sníží.
Obráceně
Cesta ven může být opačným způsobem generace. Na random.org vytvoříte zcela náhodné heslo a poté jeho znaky změníte na smysluplnou nezapomenutelnou frázi.
Služby a weby často dávají uživatelům dočasná hesla, což jsou stejné dokonale náhodné kombinace. Budete je chtít změnit, protože si nebudete moci pamatovat, ale podíváte se blíže a je to zřejmé: nemusíte si pamatovat heslo. Vezměme si například další možnost z random.org - RPM8t4ka.
I když se to zdá zbytečné, náš mozek je schopen najít určité vzorce a korespondenci i v takovém chaosu. Nejprve si můžete všimnout, že první tři písmena v něm jsou velká a další tři jsou malá. 8 je dvakrát (v angličtině dvakrát - t) 4. Podívejte se trochu na toto heslo a určitě najdete své vlastní asociace s navrhovanou sadou písmen a číslic.
Pokud si dokážete zapamatovat nesmyslné sady slov, použijte to. Nechte heslo proměnit v otáčky za minutu 8 stopy 4 katty. Jakákoli konverze, v níž je váš mozek lepší, bude fungovat.
Náhodné heslo je zlatý informační standard. Podle definice je lepší než jakékoli heslo vytvořené člověkem.
Nevýhodou zkratek je, že v průběhu času šíření takové techniky sníží její účinnost a reverzní metoda zůstane stejně spolehlivá, i když ji budou všichni lidé na Zemi používat tisíc let.
Náhodné heslo nebude zahrnuto do seznamu oblíbených kombinací a útočník, který používá metodu hromadného útoku, toto heslo pouze hrubě vynutí.
Vezměme si jednoduché náhodné heslo, které zohlední velká písmena a čísla - to je 62 možných znaků pro každou pozici. Pokud heslo nastavíme pouze na 8 číslic, získáme 62 ^ 8 \u003d 218 bilionů možností.
I když počet pokusů v určitém časovém intervalu není omezen, nejkomerčnější specializovaný software s kapacitou 2,8 miliardy hesel za sekundu stráví v průměru 22 hodin hledáním správné kombinace. Pro jistotu přidáme k takovému heslu pouze 1 další znak - jeho prolomení bude trvat mnoho let.
Náhodné heslo není nezranitelné, protože může být odcizeno. Možnosti jsou nesčetné, od čtení vstupu z klávesnice až po fotoaparát na rameni.
Hacker může zasáhnout samotnou službu a získat data přímo z jejích serverů. V této situaci nic nezávisí na uživateli.
Jeden spolehlivý základ
Takže jsme se dostali k hlavní věci. Jaké náhodné taktiky hesla se používají v reálném životě? Z hlediska vyváženosti a pohodlí se bude dařit „filozofii jednoho silného hesla“.
Princip je, že používáte stejný základ - super silné heslo (jeho variace) na službách a webech, které jsou pro vás nejdůležitější.
Pamatujte si jednu dlouhou a obtížnou kombinaci pro každého.
Nick Berry, konzultant v oblasti bezpečnosti informací, tuto zásadu přijímá, pokud je heslo velmi dobře chráněno.
Přítomnost malwaru v počítači, ze kterého zadáváte heslo, není povolena. Není povoleno používat stejné heslo pro méně důležité a zábavné stránky - jednodušší hesla pro ně zcela stačí, protože hacknutí účtu zde nebude mít žádné fatální následky.
Je jasné, že spolehlivou základnu je třeba nějak změnit pro každý web. Jako jednoduchou možnost můžete na začátek přidat jedno písmeno, které končí názvem webu nebo služby. Pokud se vrátíme k tomuto náhodnému heslu RPM8t4ka, promění se v kRPM8t4ka pro autorizaci na Facebooku.
Útočník, který takové heslo uvidí, nebude schopen pochopit, jak je generováno heslo pro váš účet. Problémy začnou, pokud někdo získá přístup ke dvěma nebo více vašim takto vygenerovaným heslům.
tajná otázka
Někteří únosci hesla úplně ignorují. Jednají jménem vlastníka účtu a simulují situaci, kdy jste zapomněli heslo a chcete jej v bezpečnostním problému. V tomto scénáři může libovolně změnit heslo a skutečný vlastník ztratí přístup ke svému účtu.
V roce 2008 někdo získal přístup k e-mailu guvernéra Aljašky Sarah Palinové a v té době také prezidentské kandidátky. Lupič odpověděl na tajnou otázku, která zněla takto: „Kde jsi potkala svého manžela?“
Po 4 letech přišel Mitt Romney, který byl v té době také kandidátem na prezidenta USA, o několik účtů v různých službách. Někdo odpověděl na tajnou otázku ohledně jména mazlíčka Mitta Romneyho.
Už jste uhodli smysl.
Jako tajnou otázku a odpověď nemůžete použít veřejná a snadno uhodnutá data.
Otázkou ani není, zda tyto informace mohou být pečlivě vyloveny na internetu nebo od lidí ve vašem okolí. Odpovědi na otázky ve stylu „zvířecího jména“, „oblíbeného hokejového týmu“ atd. Jsou perfektně vybírány z odpovídajících slovníků populárních možností.
Jako dočasnou možnost můžete použít taktiku absurdnosti odpovědi. Jednoduše řečeno, odpověď by neměla mít nic společného s bezpečnostní otázkou. Rodné jméno matky? Difenhydramin. Jméno mazlíčka? 1991.
Pokud však bude tato technika rozšířena, bude zohledněna v příslušných programech. Absurdní odpovědi jsou často stereotypní, to znamená, že s některými frázemi se setkáváme mnohem častěji než s jinými.
Ve skutečnosti není nic špatného na použití skutečných odpovědí, stačí si správně vybrat otázku. Pokud je otázka nestandardní a odpověď na ni znáte pouze vy a nelze ji uhodnout po třech pokusech, je vše v pořádku. Výhodou pravdivosti je, že na to po čase nezapomenete.
KOLÍK
Osobní identifikační číslo (PIN) je levný zámek, který je nám svěřen. Nikdo se neobtěžuje vytvořit spolehlivější kombinaci ani těchto čtyř čísel.
Teď přestaň. Právě teď. Právě teď, bez čtení dalšího odstavce, zkuste uhodnout nejoblíbenější PIN. Je to hotové?
Nick Berry odhaduje, že 11% americké populace používá jako svůj PIN kód 1234 (kde si jej sami mohou změnit).
Hackeři nevěnují pozornost PIN kódům, protože bez fyzické přítomnosti karty je kód k ničemu (to může částečně ospravedlnit malou délku kódu).
Berry vzala seznam čtyřmístných hesel, která se objevila po únikech v síti. Osoba používající heslo z roku 1967 je pravděpodobně zvolila z nějakého důvodu. Druhým nejoblíbenějším PINem je 1111 a 6% lidí preferuje tento kód. Na třetím místě je 0000 (2%).
Předpokládejme, že osoba, která zná tyto informace, je v rukou někoho. Tři pokusy o zablokování karty. Jednoduchá matematika nám umožňuje vypočítat, že tato osoba má 19% šanci uhodnout PIN, pokud zadá postupně 1234, 1111 a 0000.
Pravděpodobně z tohoto důvodu drtivá většina bank přiděluje PIN kódy samotným vydaným plastovým kartám.
Mnoho lidí však chrání smartphony pomocí kódu PIN a zde platí následující hodnocení popularity: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
PIN často představuje rok (rok narození nebo historické datum).
Mnoho lidí ráda dělá PIN v podobě opakujících se dvojic čísel (obzvláště populární jsou dvojice, kde se první a druhé číslo liší o jedno).
Numerické klávesnice mobilních zařízení zobrazují kombinace jako 2580 nahoře - pro její napsání stačí provést přímý přechod shora dolů uprostřed.
V Koreji je číslo 1004 shodné se slovem „anděl“, díky čemuž je tam tato kombinace docela populární.
Výsledek
- Přejděte na random.org a vytvořte tam 5-10 hesel kandidátů.
- Vyberte heslo, které můžete změnit na nezapomenutelnou frázi.
- Pomocí této fráze si zapamatujete své heslo.
Mnoho webů se pokouší pomoci uživatelům nastavit složitější hesla. K tomu jsou stanovena základní pravidla, která obvykle vyžadují alespoň jedno velké písmeno, jedno malé písmeno, jedno číslo atd. Pravidla jsou obvykle primitivní, jako je tato:
"heslo" \u003d\u003e ["povinné", "potvrzeno", "min: 8", "regex: / ^ (? \u003d \\ S *) (? \u003d \\ S *) (? \u003d \\ S * [\\ d]) \\ S * $ / ",];
Taková jednoduchá pravidla bohužel znamenají, že heslo Abcd1234 bude považováno za dobré a vysoce kvalitní, stejně jako heslo1. Na druhou stranu heslo mu-icac-of-jaz-doad nebude ověřeno.
Zde jsou první dvě hesla.
A tady jsou dvě hesla, která neprospějí zkouškou pevnosti.
Co dělat? Možná byste neměli vynucovat používání speciálních znaků a zavádět všechna nová pravidla, jako je zákaz opakování několika znaků v řadě, používání ne jednoho, ale dvou nebo tří speciálních znaků a čísel, zvýšení minimální délky hesla atd.
Místo toho všeho stačí udělat jednoduchou věc - stačí nainstalovat minimální entropické omezení heslo, a to je vše! K tomu můžete použít hotový zxcvbn hodnotitel.
Kromě zxcvbn existují i \u200b\u200bjiná řešení. Jen minulý týden byl na konferenci ACM Computer and Communications Security představen vědecký příspěvek (pdf) od bezpečnostních odborníků ze společnosti Symantec Research a francouzského výzkumného ústavu Eurecom. Vyvinuli nový nástroj pro kontrolu síly hesla, který odhaduje přibližný počet pokusů hrubou silou požadovaných pomocí metody Monte Carlo. Navrhovaná metoda se liší v tom, že vyžaduje minimální množství výpočetních prostředků na serveru, je vhodná pro velké množství pravděpodobnostních modelů a zároveň je docela přesná. Metoda byla testována na heslech z databáze Xato s 10 miliony hesel, která jsou ve veřejné doméně (kopie na Archive.org) - ukázala dobré výsledky. Je pravda, že tato studie společností Symantec Research a Eurecom má spíše teoretický charakter, přinejmenším nezveřejnily svůj program v otevřeném přístupu v přijatelné formě. Smysl práce je nicméně jasný: namísto heuristických pravidel pro kontrolu hesel je vhodné pro webové stránky implementovat kontrolu entropie.
Pozdravy!
Navzdory rychlému rozvoji technologie a vzniku alternativních metod rozpoznávání vlastníka se ochrana heslem nevzdává svých pozic a zůstává velmi populární dodnes.
Heslo se stalo běžným jevem a používá se pro přístup k zařízením a internetovým službám. A postupem času je jich jen více. Tato situace nakonec vede ke skutečnosti, že uživatelé začínají používat stejné heslo na zařízeních a službách, které používají.
Tento přístup je velmi nebezpečný a hrozí vážnými následky. Napadené heslo ze sociální sítě nepochybně nemá takové důsledky jako heslo z platebního systému. Pokud jsou však identické, pak je pravděpodobnost, že bude získán přístup ke zbytku používaných služeb, velmi vysoká.
Aby k tomu nedocházelo, musí být hesla složitá (odolná proti hrubé síle) a odlišná.
Zásady pro vytvoření hesla
Ve většině internetových zdrojů existují minimální pravidla pro nastavené heslo, která často nestačí k vytvoření skutečně složitého hesla. Je také nutné si uvědomit, že:
- Přihlašovací jméno a heslo by neměly být totožné
- Heslo by nemělo obsahovat osobní údaje (datum narození, telefonní číslo atd.)
- Heslo by nemělo sestávat pouze ze slov
Chcete-li například najít heslo skládající se ze 6 čísel, musíte vyřešit pouze 1 milion kombinací. Moderní počítač si poradí s tímto úkolem během několika minut. Ze stejného důvodu byste se neměli spoléhat na hesla, která se skládají pouze ze slov a jejich kombinací. Tato hesla se prohledávají pomocí slovníků populárních slov.
Neměli byste se spoléhat ani na hesla, která se skládají ze slov s přidanými čísly. Jsou stejně náchylní k hackerství, i když to trvá mnohem déle. V případě úspěšného vloupání a vzniklých ztrát v tomto ohledu je však nepravděpodobné, že to něco změní.
Pro lepší pochopení toho, které heslo je spolehlivé a které je náchylné k hackerství, stojí za zmínku příklady. Tato čísla byla získána pomocí služby kontroly síly hesla.
- Datum narození 12071996 - 0,003 sekundy
- Jméno s velkým písmenem Maksim a malým písmenem maksim - ne více než půl sekundy
- Kombinace písmen a číslic 7s3a8f1m2a - asi den
- Hledání další kombinace vSA-DFRLLz - 1 rok
- Kombinace iu2374NDHSA) DD - 204 milionů let
Poslední dvě hesla prokazují velmi vysokou odolnost proti prolomení. Útočník pravděpodobně nebude mít nic, čím by prolomil heslo podobné složitosti.
Správné generování hesla
Přišli jsme na teoretickou část, nyní pojďme přímo k vygenerování silného a spolehlivého hesla.
Při vytváření složitého a silného hesla hraje významnou roli lidský faktor. Problémy nastanou hned v počáteční fázi - vymyslet složité heslo a poté - zapamatovat si ho. Koneckonců, kombinace rozptýlených symbolů stěží předurčuje k časnému zapamatování.
Služby online nám pomohou s problémem generování silného hesla. Existuje spousta z nich, z populárních služeb v ruštině, je možné poznamenat:
Passwordist.com
Online-Generators.ru
PassGen.ru
Prezentované služby fungují podle stejného principu, stačí zadat, které znaky je třeba použít, a vybrat délku vygenerovaného hesla.
Samostatnou funkcí služby Passwordist.com je schopnost nastavit počet vytvořených hesel a generovat možnosti s lepší čitelností vyloučením podobných znaků, například B a 8.
Ukládání hesel
Byla vygenerována silná hesla, ale to je polovina úspěchu. Hesla musí být uložena správně, aby k nim nikdo jiný neměl přístup.
V tomto ohledu okamžitě zmizí možnosti zápisu do textového souboru nebo na štítek s následným připojením k monitoru.
Je lepší a správnější svěřit důvěrné informace správci hesel.
Mezi populární řešení patří program KeePass. Tento program je zdarma a zároveň velmi funkční. Mimo jiné obsahuje generátor hesel, díky kterému není třeba používat online generátor.
Pro přístup do databáze uložených hesel budete muset nastavit hlavní heslo. Chcete-li jej vytvořit, můžete například použít techniku \u200b\u200bpsaní slov v jiném rozložení, abyste vytvořili složité heslo, ale nezapomeňte na něj sami.
Místní databáze s hesly ve vašem počítači bude a priori méně náchylná k hackerství než veřejné služby na internetu, takže byste to neměli přehánět se složitostí.
Kontrola síly hesla
Pokud chcete zkontrolovat odolnost stávajících nebo nově generovaných hesel proti prolomení, existuje několik online služeb:
1) Jak bezpečné je moje heslo? Po zadání hesla v příslušném formuláři na webu uvidíte, jak dlouho bude trvat zlomení hrubou silou. Období několika milionů let lze považovat za vynikající.
2) Kaspersky Lab: Zabezpečená kontrola hesla Tato služba byla vytvořena domácím vývojářem populárního antivirového řešení. Rovněž ukazuje přibližný čas potřebný k prolomení hesla hrubou silou.
3) 2IP: Síla hesla Služba kategoricky vydá verdikt pro ověřené heslo - může být silný nebo ne.
Při kontrole, zda vaše hesla nejsou silná, nezapomeňte, že zobrazené výsledky síly jsou velmi libovolné. Vypočítávají se na základě průměrného výkonu domácího počítače a je nepravděpodobné, že by byly stejné pro výkonný laboratorní superpočítač.
Jedna věc je uklidňující - lidi, kteří mají přístup k takovému zařízení, stěží bude zajímat vaše heslo z e-mailové služby nebo messengeru.
Krátké shrnutí
V tomto článku jsem se pokusil odhalit všechny aspekty ochrany heslem a vysvětlit, proč zdánlivě silné heslo v zásadě vůbec není.
Doufám, že tyto informace budou užitečné a budou přijata opatření k ochraně před hackerstvím a souvisejícími následky.