Gør sætninger bedre adgangskoder?
Det lader til, at hver eneste dag kommer nogen til et forum, der skriver om, hvordan hans konti blev hacket på en eller anden måde, og han forstår ikke hvorfor. En af grundene til, at folk får konti kompromitteret så ofte, er fordi de ikke præcist forstår hvordan det sker. Når processen med at gribe en persons kodeord bliver klar (det er simpelt, forresten), så kan vi forstå, hvordan vi kan ændre vores adgangskoder for effektivt at forhindre hackere i at komme ind i vores konti. Et forslag, som sikkerhedseksperter har lavet for nylig, var at bruge korte sætninger som adgangskoder, snarere end at bruge en konstant streng tegn (som "blablabla"). Vi tager et kig på dette, og hvorfor det måske er eller ikke er mere sikkert.
Forståelse af adgangskode tyveri
Her på MTE har jeg allerede dækket de måder, hvorpå hackere kan få fat i dine adgangskoder. Denne liste består dog hovedsagelig af metoder, der bruges til at snuse ud og nemt få fat i dine legitimationsoplysninger. Lige nu vil jeg dække med dig de metoder, som hackere bruger til at knække åbne din konto udefra snarere end at infiltrere din pakketrafik. Disse metoder er lidt enklere, men mere tidskrævende. Lad os kigge på det:
- Brute Force Attacks: Metoden til denne vanvittighed involverer simpelthen at gennemgå et ton af permutationer af multi-karakterstreng. Så en hacker med et brute-force værktøj vil simpelthen prøve tusindvis af permutationer, håber at ramme den rigtige efter et stykke tid. Værktøjet vil tilfældigt gætte tegnkombinationer (som "jif2 $ F"). Da adgangskoder typisk er mere end seks bogstaver lange, vil denne metode tage et stykke tid! En bestemt hacker vil dog sidde gennem en hel dags værd af adgangskode gætter bare for at komme ind på din konto.
- Almindelige ordangreb: Hackeren vil bruge almindelige daglige ord (som "jordbær" eller "whisky") fra en liste, indlæse dem på et specielt værktøj og prøve hver enkelt ud. Det tager kun et par minutter (mange gange, endda nogle få sekunder) at revne en konto ved hjælp af et fælles ord som et kodeord.
- Ordbog angreb: Som navnet antyder pisker hackeren en kopi af Oxford Dictionary og prøver hvert ord. Ved hjælp af et automatiseret værktøj tager det lidt længere tid end et almindeligt ordangreb, men det vil få mange konti sprængt.
Sikkerhedseksperter har længe konkluderet, at den sikreste adgangskode er en med en kombination af alfanumeriske tegn (herunder store bogstaver) og specialtegn (som "$ @ (% #"). Dette er ikke langt fra sandheden i dag. som "ff9jF # D" er meget sikrere end "karamel." Ulempen er, at det er svært svært at huske tilfældige tegn. Vores hjerner er bare ikke kablet på den måde.
Og mens vi stadig er på dette emne, lad mig fortælle dig en hemmelighed: Hvis nogle eksperter fortæller dig, at et tegnstreng-kodeord vil tage flere år at knække, taler han nok om brutaltryk med en CPU. Hackere gør det ikke længere. I stedet bruger de ting som nVidia's CUDA-teknologi, som gør det muligt for dem at klare sig i den uhyre hurtigere GPU af et grafikkort, så de kan gøre, hvad en computer gør om en uge inden for et par timer ved at sammenkæde en masse hardware sammen ( gennem en SLI-bro).
Er meninger bedre?
Rummet ("") er en juridisk karakter i de fleste adgangskodeformer. Det betyder at du kan adskille ord fra hinanden. Bare at have en sætning som dit kodeord kan skabe et mareridt for hackere, ifølge en række sikkerhedseksperter, hvoraf en er Thomas Baekdal. Fordelen ved at bruge en sætning er, at det er meget lettere at huske end 8fa @! * FaicC, og det er også mere sikkert, når det bruges på den rigtige måde.
I 2007 skrev Baekdal at "dette er sjovt" er 10 gange mere sikkert end "J4fS <2." Jeg er ikke sikker på, hvad hans mening om dette er lige nu, men jeg tror ikke at bruge noget simpelt som " dette er sjov "er så sikker, at det ville tage en computer, ifølge hans skriftlige stykke, 2.537 år at knække det.
Lad os sige, at en hacker bruger en liste over de tusind mest almindelige ord på engelsk til at knække "dette er sjovt." Da adgangskoden bruger tre forskellige ord, skulle vi være nødt til at kæmpe med 1.000 * 1.000 * 1.000 mulige permutationer. Det giver os en milliard permutationer at cykle. Det lyder som meget, men for en computer er det meget enkelt.
Jeg siger ikke, at Thomas Baekdal er forkert. Jeg siger blot, at du skal følge nogle retningslinjer, når du foretager dit valg. Lad mig vise dig nogle ideer, jeg har kogt op, mens jeg tænkte på dette problem i flere dage:
- Brug ikke-rums separatorer, som bindestreg ("-"). Hvis du er lidt mere dristig, prøv noget virkelig svært at finde ud af, som varemærkesymbolet ("™", Alt + 0153).
- Brug ikke-konversationelle usædvanlige ord, som " kvantteori er en vigtig udvikling. "Du kan også oprette en sætning på et andet sprog, som latin (" repetitio est mater studiorum "). Dette er især nyttigt, når engelsk ikke er dit modersmål. De fleste hackere vil søge efter adgangskoder med engelske ord, men meget få af dem ville tænke på, sige, rumænsk eller tjekkisk.
- Lav sætninger med tilfældige ord. Et eksempel ville være " paraphernalia photon cephalopod ."
Følgende regler kan resultere i et kodeord, der i første omgang er svært at huske. Men du bør overveje det latinske ordsprog jeg brugte som et eksempel på et ikke-engelsk kodeord. Dens oversættelse: Gentagelse er moderen til studiet. Hvis du fortsætter med at bruge dit kodeord, vil du huske det i et snoet. At huske " faji2o # ($ FCCineF) 9f (# " tror jeg er meget vanskeligere end at huske " paraphernalia photon cephalopod " eller hvad disse ord måske er på dit modersmål.
Husk, jo længere du laver sætningen, desto sikrere bliver det! Brug af en kortere sætning kan stadig give dig et højt sikkerhedsniveau, så længe du ikke bruger noget, der kan fanges i en fælles ordliste. Ordbog angreb på dit kodeord er stadig muligt, men det er ikke sandsynligt, at der opnås resultater på grund af den enorme mængde tid det ville tage for hackers værktøj at sprænge dit kodeord åbent.
Begrænsning
Den eneste begrænsning til ovenstående metode er, at nogle websteder ikke tillader adgangskoder længere end 20 tegn. Et par tillader heller ikke mellemrum eller andre specialtegn i adgangskoder, selv om dette bliver mere sjældent. Jeg har endda stødt på en internetbankplatform, der kun tillod op til 14 alfanumeriske tegn. På disse websteder fungerer sætningsadgangskoder ikke overhovedet.
Det er tid for dig at tale!
Jeg diskuterede meget lige nu. Noget af det er lidt i modstrid med konventionel viden om adgangskoder, så det er normalt, at du har meninger, spørgsmål og tanker om sagen. Det er tid for dig at åbne op. Deltag i mig og medlæserne i en samtale, der kunne hjælpe med at klargøre alt ved at efterlade en kommentar nedenfor!