Det verkar som varje dag, någon kommer till ett forum som skriver om hur hans konton hackats på något sätt och han förstår inte varför. En av anledningarna till att människor får konton som komprometteras så ofta är att de inte exakt förstår hur det händer. När processen för att ta tag i någons lösenord blir klart (det är enkelt, förresten) kan vi förstå hur vi kan ändra våra lösenord för att effektivt hindra hackare från att komma in i våra konton. Ett förslag som säkerhetsexperter har gjort nyligen var att använda korta meningar som lösenord, istället för att använda en kontinuerlig sträng av tecken (som "blablabla"). Vi tar en titt på det här och varför det kanske inte är säkert.

Förstå lösenordsstöld

Här på MTE har jag redan täckt hur hackare kan få tag i dina lösenord. Listan består emellertid oftast av metoder som används för att sniffa ut och enkelt få tag i dina uppgifter. Just nu vill jag täcka med dig de metoder som hackare använder för att spricka öppna ditt konto från utsidan snarare än att infiltrera din pakettrafik. Dessa metoder är lite enklare men mer tidskrävande. Låt oss ta en titt:

  • Brute-Force Attacks: Metoden för denna galenskap innebär helt enkelt att gå igenom ett ton av permutationer av flera teckensträngar. Så, en hacker med ett brute-force-verktyg kommer helt enkelt att prova tusentals permutationer, i hopp om att slå den rätta efter ett tag. Verktyget gissar slumpmässigt teckenkombinationer (som "jif2 $ F"). Eftersom lösenord normalt är mer än sex bokstäver långa, kommer den här metoden att ta ett tag! En bestämd hackare kommer emellertid att sitta igenom en hel dags värd att lösa lösenord bara för att komma in på ditt konto.
  • Vanliga ordattacker: Hackaren använder vanliga vardagliga ord (som "jordgubbe" eller "whisky") från en lista, ladda upp dem på ett speciellt verktyg och försök var och en ut. Det tar bara några minuter (många gånger, även några sekunder) att spricka ett konto med ett vanligt ord som lösenord.
  • Ordbokattacker: Som namnet antyder piskar hackaren en kopia av Oxford Dictionary och försöker varje ord. Med ett automatiserat verktyg tar det lite längre tid än ett vanligt ordattack, men det kommer att få en stor mängd konton sprickad.

Säkerhetsexperter har länge dragit slutsatsen att det säkraste lösenordet är ett med en kombination av alfanumeriska tecken (inklusive stora bokstäver) och specialtecken (som "$ @ (% #"). Detta är inte långt ifrån sanningen idag. som "ff9jF # D" är mycket säkrare än "karamell". Nackdelen är att det är svårt att komma ihåg slumpmässiga tecken. Våra hjärnor är bara inte kopplade så.

Och medan vi fortfarande är på detta ämne, låt mig berätta en hemlighet: Om någon expert säger att ett lösenord med teckensträng kommer att ta flera år att spricka, talar han förmodligen om brutal-tvång med en CPU. Hackers gör det inte längre. Istället använder de saker som nVidias CUDA-teknik, vilket gör det möjligt för dem att klämma in i den oerhört snabbare grafikkortet på ett grafikkort, så att de kan göra vad en dator gör inom en vecka inom ett par timmar genom att kedja en massa hårdvara tillsammans ( genom en SLI-bro).

Är meningar bättre?

Utrymmet ("") är en juridisk karaktär i de flesta lösenordsformer. Det betyder att du kan skilja ord från varandra. Att bara ha en mening som ditt lösenord kan skapa en mardröm för hackare, enligt ett antal säkerhetsexperter, en av dem är Thomas Baekdal. Fördelen med att använda en mening är att det är mycket lättare att komma ihåg än 8fa @! * FaicC och det är också säkrare när det används på rätt sätt.

I 2007 skrev Baekdal att "det här är kul" är 10 gånger säkrare än "J4fS <2". Jag är inte säker på vad hans uppfattning om detta just nu är, men jag tror inte att använda något enkelt som "det här är kul "är så säker att det skulle ta en dator, enligt hans skriftliga bit, 2537 år att spricka den.

För en, låt oss säga att en hackare använder en lista över de tusen vanligaste orden på engelska för att spricka "det här är kul." Eftersom lösenordet använder tre distinkta ord måste vi tävla med 1000 * 1000 * 1000 möjliga permutationer. Det ger oss en miljard permutationer att cykla. Det låter som mycket, men för en dator är detta väldigt enkelt.

Jag säger inte att Thomas Baekdal har fel. Jag säger helt enkelt att du måste följa några riktlinjer när du väljer ditt val. Låt mig visa dig några idéer jag har kokat upp när jag tänkte på detta problem i flera dagar:

  • Använd icke-mellanseparatorer, som bindestreck ("-"). Om du är lite mer vågad, försök med något mycket svårt att räkna ut, som varumärkes symbolen ("™", Alt + 0153).
  • Använd icke-konversations ovanliga ord, som " kvantteori är en viktig utveckling. "Du kan också skapa en mening på ett annat språk, som latin (" repetitio est mater studiorum "). Detta är särskilt användbart när engelska inte är ditt första språk. De flesta hackare söker efter lösenord med engelska ord, men väldigt få av dem skulle tänka på, säga, rumänska eller tjeckiska.
  • Gör meningar med slumpmässiga ord. Ett exempel skulle vara " paraphernalia photon cephalopod ."

Följande regler kan leda till ett lösenord som först är svårt att komma ihåg. Men du bör överväga det latinska ordspråket som jag använde som ett exempel på ett icke-engelska lösenord. Dess översättning: Repetition är studiemor. Om du fortsätter att använda ditt lösenord kommer du komma ihåg det i en snål. Att komma ihåg " faji2o # ($ FCCineF) 9f (# " tror jag är mycket svårare än att komma ihåg " paraphernalia photon cephalopod " eller vad som helst dessa ord kan vara på ditt modersmål.

Kom ihåg, ju längre du gör meningen, desto säkrare blir det! Att använda en kortare mening kan fortfarande ge dig en viss hög säkerhetsnivå så länge du inte använder något som kan fångas i en vanlig ordlista. Ordbokattacker på ditt lösenord är fortfarande möjliga, men det kommer inte troligen att ge resultat på grund av den enorma tid det tar för hackerens verktyg att spricka ditt lösenord öppet.

Begränsning

Den enda begränsningen till ovanstående metod är att vissa webbplatser inte tillåter lösenord längre än 20 tecken. Några tillåter inte heller mellanslag eller andra specialtecken i lösenord, även om detta blir allt vanligare. Jag har även stött på en webbbankplattform som endast tillåter upp till 14 alfanumeriska tecken. På dessa sajter kommer meningslösenord inte att fungera alls.

Det är dags för dig att tala!

Jag diskuterade mycket just nu. En del av det är lite i konflikt med konventionell kunskap om lösenord, så det är normalt att du har åsikter, frågor och tankar i frågan. Det är dags för dig att öppna upp. Följ med mig och andra läsare i en konversation som kan hjälpa till att klargöra allt genom att lämna en kommentar nedan!