Зламайте це: Як вибрати надійні паролі та зберегти їх такими

Якщо люди щось пов’язують із сучасними технологіями, це паролі. Вони є скрізь, і більшість із нас використовують їх для десятків речей щодня. Тим не менше, більшість людей вражаюче байдужі до своєї безпеки паролів. Напевно, більшість з нас знає когось, хто використовує той самий пароль всевід свого комп’ютера та електронної пошти до своїх рахунків у Facebook та банку - і цей пароль може бути чимось таким очевидним, як день їх народження чи назва вулиці, де вони виросли. І ми також, мабуть, знаємо когось, у кого на боці монітора є липка замітка з написом «Паролі» (червоним кольором, з подвійним підкресленням) із переліком усього - від Twitter до Netflix, який просто сидить на відкритому просторі, щоб усі могли прочитати.

Ці практики можуть звучати як щось із покоління наших бабусь і дідусів, але це не зовсім так: минулого тижня я спостерігав за повним членом покоління D, який намагався перейти з Samsung Galaxy S (е-е, Зачарований) на HTC Rezound через свій ноутбук комп'ютер. Як він переміщував усі свої паролі? У гаманці у нього був папірець із «усіма його паролями» - і мимо всі він мав на увазі три. Один для електронної пошти та соціальних мереж, один для електронної пошти його великої тітки ("Я перевіряю це для неї"), а інший - для всього іншого. Дивлячись через його плече, усі три були щоденними словами: mophandle,бовтанка, і Ліліан. Здогадайтесь, яка була у його тітки?

На щастя, існують прості способи зробити паролі як важко вгадуваними, так і легко запам’ятатими. На жаль, індустрія технологій інколи заважає їх використовувати. Ось короткий опис загальних слабких сторін пароля та деякі способи покращення паролів та безпеки в Інтернеті.

Невизначеність проти складності

Поширеною істиною щодо паролів є те, що вони повинні ніколи легко вгадувати. Більшість підкованих людей погоджуються, що ніхто не повинен використовувати дані про себе як пароль: сюди входять дні народження, адреси та імена друзів та сім'ї (включаючи батьків, братів і сестер, подружжя, дітей та навіть домашніх тварин). Так само, пароль робить особливо непоганий пароль - як і всі інші широко використовувані викидні паролі.

Ця вічнозелена порада часто трактується як означає, що паролі мають бути неясний, або термін, який ніхто ніколи не подумає, що ви вибрали б, якби у них був мільйон років. Так, незрозуміле може працювати - і це дивовижне видовище краще, ніж вибір очевидного пароля. Однак неясний пароль захищає вас лише від людей, які щось про вас знають. Швидше за все, більшість людей намагаються зламати ваші паролі ні знаю, що ви.

Найчастіше злом паролів трапляється не так, як це зображено у фільмах, де Наш Герой (або Лиходій) сидить за клавіатурою, пробує фразу чи дві, треть підборіддя, а потім шпигує фотографію дитинства на столі. Ага! Введіть чарівне слово і presto, обхід безпеки. У реальному світі переважна більшість злому паролів автоматизовано, комп’ютери буквально кидають кожне слово зі словника (а потім і деякі) на систему в надії натрапити на правильний термін. Такий підхід може спрацювати, оскільки комп’ютери можуть спробувати паролі набагато швидше, ніж люди можуть їх набирати, і вони можуть працювати цілодобово, сім днів на тиждень, без перерв у ванній. Автоматизовані зловмисники паролів не знають нічого про користувачів, яких вони намагаються скомпрометувати: це грубий підхід.

Отже, виявляється, ключ до надійного пароля - це не його невідомість але це складність- речі, завдяки яким автоматизований зломщик паролів зменшує ймовірність вгадування. Однак створити хороший складний пароль означає знати трохи про те, як паролі ламаються.

Злам паролів

Загалом кажучи, зловмисники паролів, як правило, мають два підходи. Перший - буквально спробувати заздалегідь складений список можливих паролів. Зазвичай вони починаються з дуже поширених паролів (наприклад пароль або qwerty) і спускаються до менш поширених термінів, і зрештою використовують список слів, складений з онлайн-словника та інших джерел. Такий підхід частіше знаходить паролі, які є дійсними словами або варіантами на них, навіть якщо вони незрозумілі.

Інший підхід до взлому паролів полягає у випробуванні дійсних послідовностей літер, цифр та символів, незалежно від їх значення. Зловмисник паролів, використовуючи цей підхід, може початися з аааааааа для восьмисимвольного пароля, то спробуйте аааааааб тоді ааааааак і так далі вгору за алфавітом, через поєднання великих та малих літер, і додавання цифр та символів. Цей підхід, швидше за все, дозволяє знайти паролі, які є "зручними для роботи з машиною" або генеруються випадковим чином. Пароль на зразок 4De78Hf1 не складніше знайти цей шлях, ніж підліток був би.

Отже, які шанси на здогадування пароля? Більшість систем сьогодні дозволяють користувачам створювати паролі, використовуючи літери (великі та малі), цифри та вибір символів. Допустимі символи часто варіюються в різних системах (деякі дозволяють майже все, інші дозволяють лише декілька), але для наших цілей припустимо, що означає, що кожен символ у паролі може мати одне з приблизно 80 значень - два алфавіти по 26 літер кожна, десять цифр, та 18 символів. (Теоретично для кожного символу повинно бути доступно принаймні 127 значень, але на практиці це менша кількість.)

Застосовуючи підхід чисто грубої сили, це означає, що для випадкового з’ясування односимвольного пароля потрібно буде до 80 припущень. Пароль із чотирьох символів може зайняти понад 40 мільйонів відгадок (80 × 80 × 80 × 80 = 40 960 000), а вісім символів - понад 1,6 квадрильйону припущень (1 677 721 600 000 000).

Якби зловмисник паролів зміг зробити 1000 вгадувань за секунду, то потрібно було б приблизно місяць, щоб запустити всі комбінації чотиризначного пароля, і понад 53000 років для запуску всіх комбінацій пароля з 8 символів. Це здається досить безпечним, чи не так?

Ну, не дуже. Якщо говорити чисто статистично, зломщик має 50/50 шансів знайти пароль наполовину того часу. Більше занепокоєння - люди, які роблять зломщики паролів, мають інші способи покращити свої шанси. Згадайте як пароль був одним із найгірших паролів для використання? Здогадайтесь, що це також дуже поганий пароль? Passw0rd, підставляючи нульову цифру на букву О. Поки зловмисники паролів виконують свої загальні слова зі словника, вони також намагаються використовувати загальноприйняті варіанти цих слів, замінюючи нулі на О, знаки @ та 4 на А, 3 на Е, 1 та ! - для I, 7 для T - 5 для S - і так далі. Так само, 0qww294e це жахливий пароль - це просто пароль зрушені вгору на один рядок на стандартній англійській клавіатурі. Ці методи полюють на перевагу користувачів легко запам’ятовувати паролі. На жаль, замінюючи (або використовуючи великі літери) символ або два в легко запам’ятовуваному терміні, люди в основному роблять свої паролі більш неясними, але не набагато безпечнішими. Насправді типові вибрані користувачем паролі з восьми символів із змішаними регістром, цифрами та символами зазвичай мають лише близько 30 біт ентропії або трохи більше мільярда можливих комбінацій. Чому? Оскільки перелік термінів, на яких люди базують свої паролі, набагато менший за загальну можливу комбінацію букв, цифр та символів.

Як швидко можна зламати паролі? Спробувати 1000 паролів на секунду може здатися неможливим - врешті-решт, більшість служб, як правило, блокують нас із власних облікових записів, якщо ми вводимо пароль три-чотири рази, часто скидаючи пароль і вимагаючи відповісти на питання безпеки, щоб створити новий. Ці методи "шлюзу" робити покращити безпеку облікового запису, і, до речі, також є чудовим простим способом роздратувати людей. (Я не можу сказати, скільки разів я був заблокований у своєму обліковому записі iTunes за допомогою атак паролем, але це, мабуть, більше ста.)

Однак зловмисники, які мають намір зламати паролі, не стукають у вхідні двері служби і не намагаються (буквально) мільйони разів увійти в той самий обліковий запис. Вони використовують або менш загальнодоступні методи автентифікації, які не підлягають блокуванню (наприклад, приватний API для партнерів або додатків), розподіляючи свої атаки в широкому діапазоні облікових записів, щоб уникнути періодів блокування, або (у найкращому випадку) застосовуючи пароль методи злому викрадених даних паролів. Більшість систем шифрують дані паролів, які вони зберігають, але ці зашифровані файли є настільки ж безпечними, як і сама система. Якщо зловмисники можуть отримати в руки зашифрований файл паролів (через отвір у безпеці, скомпрометовану машину або соціальну інженерію, для початку), вони можуть атакувати його дуже швидко, як тільки він потрапить у власні системи. Ось чому історії про зловмисників, які отримують інформацію про обліковий запис (такі як Stratfor, Epsilon, Sony та Zappos), турбують. Як тільки зашифровані дані будуть розібрані, зловмисники можуть застосувати набагато потужніші інструменти, щоб зламати їх.

У реальному світі це означає, що цифра 1000 паролів в секунду надзвичайно консервативна. Типове настільне обчислювальне обладнання в наші дні можна перевірити мільйони паролів за секунду проти поширених технологій шифрування. Подібним чином, зараз існують інструменти злому паролів, які використовують графічні процесори, а злочинні оператори ботнетів також займаються злом паролів. Вони можуть розподілити навантаження на тисячі комп’ютерів. Поєднуйте цю необроблену потужність із складною евристикою (наприклад, випробуванням варіантів цифр і букв загальних слів), і не рідко зламати типовий пароль користувача з восьми символів менш ніж за півгодини.

Стріляючи собі в ногу

Вище ми зазначали, як восьмисимвольний пароль може мати великі, малі, цифри та символи, має понад чотири мільйони можливих комбінацій, але більшість паролів із восьми символів, що використовуються сьогодні, потрапляють до пулу лише близько мільярда комбінацій. Це тому, що люди - це не машини. Де комп’ютер є вмістом для використання черепаха або Y & 4nS0 \ 2 як пароль вгадайте, який із них легше запам'ятати людині? Тепер вгадайте, який із них безпечніший.

Деякі системи реалізують вимоги до паролів, призначені для того, щоб користувачі не використовували легко зламані паролі. Загальноприйнятим підходом є вимагання, щоб паролі користувачів мали принаймні одну велику літеру, одну цифру, один символ і мали принаймні вісім символів. (Деякі системи не виконують вимог, але пропонують показник “міцності пароля”, щоб визначити, наскільки ефективним він вважає пароль.) Деякі системи також вимагають від користувачів змінювати свої паролі так часто (скажімо, кожні 30 або 45 днів) і запобігти повторному використанню паролів.

Такі вимоги робити підвищують безпеку паролів, але вони також ускладнюють запам'ятовування паролів. Це означає, що значна частина користувачів негайно придумає способи знизити безпеку системи для власної зручності. Звичайно, деякі люди можуть впоратися з такими паролями 9,3 нД (# але багато людей збираються відповісти закріпленими паролем липкими нотатками на боках моніторів, нотатками в гаманцях або документом Microsoft Word на робочому столі з корисним написом «Паролі», щоб вони могли скопіювати та вставити за необхідності . Вимоги до створення паролів також, як правило, шкодять продуктивності та збільшують витрати на підтримку (як для співробітників, так і для клієнтів), оскільки більша кількість людей забуде свої паролі або буде заблокована у своїх облікових записах, що вимагає втручання вручну.

Створення складних паролів

Тоді Святий Грааль паролів, здається, є паролем, який є складний достатньо, що непрактично зламати за допомогою автоматизованих методів, але досить легко запам’ятати, що користувачі не порушують безпеку, зберігаючи або керуючи ними небезпечно.

Ось кілька порад щодо створення складних, легко запам’ятовуються паролів:

Використовуйте довгі паролі. Якщо пароль із восьми символів може містити 1,6 квадрильйонів можливих комбінацій, уявіть, скільки може мати пароль із 16 символів? (Близько 2,8 ноніліона або 2,830.) Однак, можливо, що важливіше, набір значень для 16-символьного пароля з використанням загальноприйнятих термінів та варіацій становить трохи менше 1,2 квінтильйона, де він складав трохи більше мільярда з восьмизначним паролем. Використання довших паролів - це найпростіший спосіб зробити паролі більш складними та безпечними.
Використовуйте сполучені слова. Як зробити довгі паролі, які легко запам'ятати? Одним із поширених методів є використання серії з трьох-п’яти простих, не пов'язані між собою терміни. Зазвичай їх запам’ятовувати так само просто, як і PIN-коди; пізнавально люди схильні запам'ятовувати цілі слова як окремі одиниці. Однак ці паролі можуть бути дуже складними, принаймні з точки зору злому паролів. І ці паролі легко зробити, просто озирнувшись або перегорнувши книгу на випадкову сторінку. Поглянувши в сторону свого вікна, я бачу іграшкову жабу, машину та вікно чиєїсь кухні. Новий пароль: FrogHubcapCupboard- це 18 символів, але пам’ятати лише три слова. Дивлячись праворуч: RunnerCameraGlueString- чотири короткі слова, 22 символи. Я використовував лише великі регістри, щоб допомогти розбити слова. Додавання більшої кількості символів або замін може збільшити складність - просто не станьте настільки складними, щоб стати жертвою слабких сторін жорстких паролів.
Використовуйте фрази чи тексти пісень. Іншим способом створення довгих паролів є використання частин фраз або текстів. Що стосується текстів, порівняно поширені пісні, можливо, кращі за особливо важливі для вас: знову ж таки, ви не хочете, щоб люди, які вас добре знають, могли вгадувати ваші паролі лише тому, що ви шанувальник Майкла Болтона (чи ні) . Прикладами можуть бути паролі, зроблені з фаз або текстів YouNoJackKennedy (19 символів), iShotaManinReno (15 символів), імпепінандімкрієпін (20 символів).
Використовуйте мнемотехніку. Недоліком довгих паролів є те, що їх важко вводити, особливо на мобільному пристрої. Ще одна хитрість, яку деякі люди вважають корисною для створення складних коротших паролів, - використання першого символу кожного слова у фразі чи тексті слова. “Скількома дорогами має пройти людина” HmrmamwD—Всього вісім символів, але відносно складний з точки зору програми злому паролів. Подібним чином може стати "Струси, потряси, як поляроїдна картина" SiSiLapp- можливо, не чудово, але краще ніж черепаха. Цей трюк також може допомогти створити хороші паролі для систем, які все ще мають обмеження щодо тривалості паролів.

Ці вказівки, як правило, допоможуть вам створити складні паролі, які легко запам’ятати. Звичайно, коли ви маєте справу із системами паролів із вимогами до складу (мається на увазі, вони очікують змішаних регістрів, цифр чи символів), вам все одно доведеться придумувати забавні повороти на паролі, щоб виконати ці вимоги. Тільки пам’ятайте, що за допомогою довших паролів ви можете робити заміни та зміни в очевидних місцях - зазвичай ці довгі паролі легше запам’ятовувати навіть із вимогами, ніж короткі безглузді паролі.

Кілька інших підказок

Інші речі, про які слід подумати, вибираючи паролі:

Використовуйте окремі паролі для окремих служб. Не використовуйте свій пароль для соціальних мереж для онлайн-банкінгу. Якщо пароль порушено для однієї служби, інші повинні бути в безпеці.
Ретельно вибирайте важливі паролі. Системи єдиного входу можуть бути надзвичайно зручними, але також створюють єдину точку відмови для багатьох служб. Прикладами можуть бути паролі до облікових записів у службах Google, Yahoo та Microsoft, де один зламаний пароль може надати комусь доступ до електронної пошти, документів, зображень, соціальних мереж, блогів, бібліотек фотографій, списків контактів, адресних книг тощо. Подібним чином, оскільки стільки веб-сайтів (навіть Digital Trends) приймають логіни Facebook та Twitter, скомпрометований пароль соціальних мереж може мати далекосяжні наслідки.
Змініть свої паролі. Спокусливо думати, що якщо один із ваших паролів зламається, ви відразу дізнаєтесь: ваша електронна пошта зникне, ваш блог стане набором затишних графічних зображень, ваш список подарунків на Amazon може бути заповнений незручними опціями, ваш рахунок на PayPal може бути очищеним. Однак це не завжди так: якщо хтось зламає ваш пароль, можливо, не буде жодного відкритого знаку, принаймні не відразу. Регулярно змінюючи свій пароль, ви гарантуєте, що навіть якщо хтось увірветься, його вікно можливостей використовувати вас буде обмеженим. Частота, з якою вам слід змінювати паролі, залежить від того, як ви користуєтесь Інтернет-послугами. Що стосується справжніх грошей, я зазвичай рекомендую користувачам змінювати свої паролі кожні 30 - 90 днів - чим більше грошей, тим частіше.

Жоден пароль не є безпечним

Мабуть, найголовніше, що слід пам’ятати про паролі, це те, що будь-який пароль можна зламати: Це лише питання, скільки часу та зусиль хтось готовий до нього вкласти. Поради, що тут допоможуть зменшити шанси, що ваші паролі будуть викорінені випадковими зловмисниками та навіть друзями та родиною, але жоден пароль не є повністю безпечним. Якщо безпечний доступ до послуги дуже важливий для вас, розгляньте різні форми багатофакторної автентифікації, щоб ще більше зменшити шанси несанкціонованого доступу.

Кредит зображення: Shutterstock / jamdesign / Тетяна Попова / Педро Мігель Соуза