כיצד ליצור ולזכור סיסמה חזקה

2024 מְחַבֵּר: Malcolm Clapton | [email protected]. שונה לאחרונה: 2023-12-17 03:56

הדרכים הטובות ביותר ליצור סיסמה שאף אחד לא יכול לפצח.

רוב התוקפים לא מתעסקים בשיטות מתוחכמות לגניבת סיסמאות. הם לוקחים שילובים שקל לנחש. כ-1% מכל הסיסמאות הקיימות כיום יכולות להיות בכוח גס בארבעה ניסיונות.

איך זה אפשרי? פשוט מאוד. אתה מנסה את ארבעת השילובים הנפוצים ביותר בעולם: סיסמה, 123456, 12345678, qwerty. לאחר מעבר כזה נפתחים בממוצע 1% מכל "החזה".

נניח שאתה בין אותם 99% מהמשתמשים שהסיסמה שלהם לא כל כך פשוטה. למרות זאת, יש לקחת בחשבון את הביצועים של תוכנות פריצה מודרניות.

התוכנית החינמית, הזמינה באופן חופשי, John the Ripper מאמתת מיליוני סיסמאות בשנייה. כמה דוגמאות לתוכנות מסחריות מיוחדות טוענות לקיבולת של 2.8 מיליארד סיסמאות בשנייה.

בתחילה, תוכניות פיצוח עוברות רשימה של השילובים הנפוצים ביותר מבחינה סטטיסטית, ולאחר מכן עיין במילון המלא. עם הזמן, מגמות הסיסמאות של המשתמשים עשויות להשתנות מעט, והשינויים הללו נלקחים בחשבון כאשר רשימות כאלה מתעדכנות.

עם הזמן, כל מיני שירותי אינטרנט ואפליקציות החליטו לסבך בכוח סיסמאות שנוצרו על ידי משתמשים. נוספו דרישות לפיהן על הסיסמה להיות באורך מינימלי מסוים, להכיל מספרים, אותיות רישיות ותווים מיוחדים. שירותים מסוימים לקחו את זה ברצינות כל כך עד שנדרש משימה ארוכה ומייגעת באמת כדי למצוא סיסמה שהמערכת תקבל.

הבעיה המרכזית היא שכמעט כל משתמש לא מייצר סיסמה של ממש בכוח, אלא רק מנסה לעמוד בדרישות המערכת להרכב הסיסמה עד למינימום.

התוצאה היא סיסמאות כמו password1, password123, Password, PassWoRd, סיסמה! והחרב p @ ssword הבלתי צפוי להפליא.

תאר לעצמך שאתה צריך ליצור מחדש את סיסמת הספיידרמן שלך. סביר להניח שזה ייראה כמו $ pider_Man1. מְקוֹרִי? אלפי אנשים ישנו אותו באמצעות אותו אלגוריתם או דומה מאוד.

אם הקרקר מכיר את דרישות המינימום הללו, אז המצב רק מחמיר. מסיבה זו הדרישה המוטלת להגדיל את מורכבות הסיסמאות לא תמיד מספקת את האבטחה הטובה ביותר, ולעתים קרובות יוצרת תחושת שווא של אבטחה מוגברת.

ככל שקל יותר לזכור את הסיסמה, כך גדל הסיכוי שהיא תגיע למילוני קרקרים. כתוצאה מכך, מסתבר שסיסמה ממש חזקה פשוט בלתי אפשרי לזכור, מה שאומר שצריך לתקן אותה איפשהו.

לדברי מומחים, גם בעידן הדיגיטלי הזה, אנשים עדיין יכולים להסתמך על פיסת נייר שכתובות עליה סיסמאות. זה נוח לשמור סדין כזה במקום מוסתר מעיניים סקרניות, למשל, בארנק או בארנק.

עם זאת, גיליון הסיסמאות אינו פותר את הבעיה. סיסמאות ארוכות קשה לא רק לזכור, אלא גם להזין. המצב מחמיר על ידי מקלדות וירטואליות של מכשירים ניידים.

באינטראקציה עם עשרות שירותים ואתרים, משתמשים רבים משאירים מאחוריהם שורה של סיסמאות זהות. הם מנסים להשתמש באותה סיסמה עבור כל אתר, תוך התעלמות מוחלטת מהסיכונים.

במקרה זה, חלק מהאתרים פועלים כמטפלת, מה שמאלץ את השילוב להיות מסובך. כתוצאה מכך, המשתמש פשוט לא יכול לזכור כיצד היה עליו לשנות את הסיסמה היחידה הסטנדרטית שלו לאתר זה.

היקף הבעיה התממש במלואו ב-2009. ואז, עקב חור אבטחה, הצליח ההאקר לגנוב את מאגר כניסות וסיסמאות של חברת RockYou.com המפרסמת משחקים בפייסבוק. התוקף הפך את מסד הנתונים לזמין לציבור. בסך הכל, הוא הכיל 32.5 מיליון ערכים עם שמות משתמש וסיסמאות לחשבונות. הדלפות קרו בעבר, אבל קנה המידה של האירוע המסוים הזה הראה את כל התמונה.

הסיסמה הפופולרית ביותר ב-RockYou.com הייתה 123456, שבה השתמשו כמעט 291,000 אנשים. גברים מתחת לגיל 30 העדיפו לעתים קרובות יותר נושאים מיניים וגסויות. אנשים מבוגרים משני המינים פנו לעתים קרובות לאזור מסוים של תרבות בעת בחירת סיסמה. למשל, Epsilon793 לא נראה כמו אופציה כל כך גרועה, רק השילוב הזה היה במסע בין כוכבים. 8675309 בן שבע הספרות הופיע פעמים רבות מכיוון שמספר זה הופיע באחד משירי טומי טוטון.

למעשה, יצירת סיסמה חזקה היא משימה פשוטה, זה מספיק כדי לחבר שילוב של תווים אקראיים.

אתה לא יכול ליצור שילוב אקראי לחלוטין במונחים מתמטיים בראש שלך, אבל אתה לא חייב. ישנם שירותים מיוחדים שיוצרים שילובים אקראיים באמת. לדוגמה, זה יכול ליצור סיסמאות כמו זה:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

זהו פתרון פשוט ואלגנטי במיוחד למי שמשתמש במנהל לאחסון סיסמאות.

למרבה הצער, רוב המשתמשים ממשיכים להשתמש בסיסמאות פשוטות וחלשות, אפילו מתעלמים מכלל "הסיסמאות השונות לכל אתר". עבורם, נוחות חשובה יותר מבטיחות.

ניתן לחלק מצבים בהם ניתן להתפשר על אבטחת סיסמאות ל-3 קטגוריות רחבות:

• אַקרַאִי, שבו אדם שאתה מכיר מנסה לברר את הסיסמה, בהסתמך על מידע שהוא יודע עליך. לעתים קרובות, קרקר כזה רק רוצה לעשות טריק, לגלות משהו עליך, או לעשות בלגן.
• פיגועים המוניים כאשר בהחלט כל משתמש בשירותים מסוימים יכול להפוך לקורבן. במקרה זה, נעשה שימוש בתוכנה מיוחדת. לצורך המתקפה נבחרים האתרים הכי פחות מאובטחים, המאפשרים להזין שוב ושוב אפשרויות סיסמה בפרק זמן קצר.
• תַכְלִיתִי המשלבים קבלת רמזים (כמו במקרה הראשון) ושימוש בתוכנות מיוחדות (כמו בהתקפה המונית). מדובר בניסיון להשיג מידע בעל ערך אמיתי. רק סיסמה אקראית ארוכה מספיק תעזור להגן על עצמך, הבחירה בה ייקח זמן השווה למשך חייך.

כפי שאתה יכול לראות, כל אחד יכול להפוך לקורבן. אמירות כמו "הסיסמה שלי לא תיגנב, כי אף אחד לא צריך אותי" אינן רלוונטיות, כי אתה יכול להגיע למצב דומה לגמרי במקרה, במקרה, ללא סיבה נראית לעין.

חמור עוד יותר לקחת הגנת סיסמה למי שיש מידע יקר ערך, קשור לעסק או מסוכסך עם מישהו על רקע כלכלי (למשל חלוקת רכוש בהליך גירושין, תחרות בעסקים).

בשנת 2009, טוויטר (בהבנת השירות כולו) נפרצה רק בגלל שהמנהל השתמש במילה אושר כסיסמה. ההאקר הרים אותו ופרסם אותו באתר Digital Gangster, מה שהוביל לחטיפת חשבונותיהם של אובמה, בריטני ספירס, פייסבוק ופוקס ניוז.

ראשי תיבות

כמו בכל היבט אחר של החיים, עלינו תמיד למצוא פשרה בין בטיחות מקסימלית לנוחות מירבית. איך למצוא דרך ביניים? איזו אסטרטגיה ליצירת סיסמאות תאפשר לכם ליצור שילובים חזקים שניתן לזכור בקלות?

כרגע, השילוב הטוב ביותר בין אמינות ונוחות הוא המרת ביטוי או ביטוי לסיסמה.

נבחר קבוצה של מילים שאתה תמיד זוכר, ושילוב של האותיות הראשונות מכל מילה משמש כסיסמה. לדוגמה, May the force be with you הופך ל-Mtfbwy.

עם זאת, מכיוון שהמפורסמים ביותר ישמשו כביטויים ראשוניים, תוכניות יקבלו בסופו של דבר את ראשי התיבות הללו ברשימות שלהן. למעשה, ראשי התיבות מכילים רק אותיות, ולכן הוא פחות אמין מבחינה אובייקטיבית משילוב אקראי של תווים.

בחירת הביטוי הנכון תעזור לכם להיפטר מהבעיה הראשונה. למה להפוך ביטוי מפורסם בעולם לסיסמת ראשי תיבות? אתה בטח זוכר כמה בדיחות ואמרות שרלוונטיות רק בקרב המעגל הקרוב שלך.נניח ששמעת משפט קליט מאוד מברמן במוסד מקומי. תשתמש בזה.

ובכל זאת, לא סביר שסיסמת ראשי התיבות שיצרת תהיה ייחודית. הבעיה עם ראשי תיבות היא שביטויים שונים יכולים להיות מורכבים ממילים המתחילות באותן אותיות ובאותו רצף. מבחינה סטטיסטית, בשפות שונות, ישנה תדירות מוגברת של הופעת אותיות מסוימות כהתחלה של מילה. התוכנות יקחו בחשבון את הגורמים הללו, ויעילותם של ראשי התיבות בגרסה המקורית תפחת.

דרך הפוכה

הדרך החוצה יכולה להיות דרך הפוכה לדור. אתה יוצר סיסמה אקראית לחלוטין ב-random.org, ולאחר מכן הופך את התווים שלה לביטוי בלתי נשכח משמעותי.

לעתים קרובות, שירותים ואתרים מספקים למשתמשים סיסמאות זמניות, שהן אותם שילובים אקראיים לחלוטין. אתה תרצה לשנות אותם, כי אתה לא תוכל לזכור, אלא רק תסתכל מקרוב, וזה הופך להיות ברור: אתה לא צריך לזכור את הסיסמה. לדוגמה, בואו ניקח אפשרות נוספת מ-random.org - RPM8t4ka.

למרות שזה נראה חסר משמעות, המוח שלנו מסוגל למצוא דפוסים והתכתבויות מסוימות גם בכאוס כזה. מלכתחילה, אתה יכול לשים לב ששלוש האותיות הראשונות בו הן אותיות רישיות, ושלוש הבאות הן אותיות קטנות. 8 זה פעמיים (באנגלית פעמיים - t) 4. תסתכל קצת על הסיסמה הזו, ובוודאי תמצא אסוציאציות משלך עם קבוצת האותיות והמספרים המוצעת.

אם אתה יכול לשנן קבוצות שטויות של מילים, אז השתמש בזה. תן לסיסמה להפוך לסיבובים בדקה 8 רצועה 4 katty. כל המרה שהמוח שלך טוב יותר בה תעשה.

סיסמה אקראית היא תקן הזהב באבטחת מידע. היא, בהגדרה, טובה יותר מכל סיסמה מעשה ידי אדם.

החיסרון של ראשי תיבות הוא שעם הזמן התפשטות טכניקה כזו תפחית את יעילותה, והשיטה ההפוכה תישאר אמינה באותה מידה, גם אם כל האנשים עלי אדמות ישתמשו בה במשך אלף שנים.

סיסמה אקראית לא תיכלל ברשימת השילובים הפופולריים, ותוקף המשתמש בשיטת התקפה המונית יעשה רק סיסמה כזו בכוח.

בואו ניקח סיסמה אקראית פשוטה שלוקחת בחשבון אותיות רישיות ומספרים - כלומר 62 תווים אפשריים לכל מיקום. אם נהפוך את הסיסמה ל-8 ספרות בלבד, אז נקבל 62 ^ 8 = 218 טריליון אפשרויות.

גם אם מספר הניסיונות בתוך מרווח זמן מסוים אינו מוגבל, התוכנה המתמחה המסחרית ביותר עם קיבולת של 2.8 מיליארד סיסמאות בשנייה תבלה בממוצע 22 שעות בניסיון למצוא את השילוב הנכון. מה שבטוח, אנו מוסיפים רק תו נוסף לסיסמה כזו - וייקח שנים רבות לפצח אותה.

סיסמה אקראית אינה בלתי פגיעה, מכיוון שהיא עלולה להיגנב. האפשרויות הן בשפע, מקריאת קלט מקלדת ועד מצלמה על הכתף.

האקר יכול לפגוע בשירות עצמו ולקבל נתונים ישירות מהשרתים שלו. במצב זה, שום דבר לא תלוי במשתמש.

בסיס אחד אמין

אז, הגענו לעיקר. מהן טקטיקות הסיסמא האקראיות לשימוש בחיים האמיתיים? מנקודת המבט של האיזון בין אמינות ונוחות, "הפילוסופיה של סיסמה אחת חזקה" תראה את עצמה היטב.

העיקרון הוא שאתה משתמש באותו בסיס - סיסמה סופר חזקה (הווריאציות שלה) בשירותים ובאתרים החשובים לך ביותר.

זכרו שילוב אחד ארוך וקשה לכולם.

ניק ברי, יועץ אבטחת מידע, מאפשר ליישם את העיקרון הזה, בתנאי שהסיסמה מוגנת היטב.

הימצאות תוכנה זדונית במחשב שממנו אתה מזין את הסיסמה אסורה. אסור להשתמש באותה סיסמה לאתרים פחות חשובים ומשעשעים - סיסמאות פשוטות יותר מספיקות להם, שכן פריצת חשבון כאן לא תגרור אחריו השלכות קטלניות.

ברור שצריך לשנות איכשהו את הבסיס האמין עבור כל אתר.כאופציה פשוטה, ניתן להוסיף להתחלה אות בודדת שמסיימת את שם האתר או השירות. אם נחזור לסיסמת RPM8t4ka האקראית הזו, היא תהפוך ל-kRPM8t4ka להרשאת פייסבוק.

תוקף, שיראה סיסמה כזו, לא יוכל להבין כיצד נוצרת הסיסמה לחשבון הבנק שלך. הבעיות יתחילו אם מישהו יקבל גישה לשתיים או יותר מהסיסמאות שלך שנוצרו בדרך זו.

שאלה סודית

חלק מהחוטפים מתעלמים מססמאות לחלוטין. הם פועלים בשם בעל החשבון ומדמים מצב שבו שכחת את הסיסמה ורוצים לשחזר אותה בשאלה סודית. בתרחיש זה, הוא יכול לשנות את הסיסמה כרצונו, והבעלים האמיתי יאבד גישה לחשבון שלו.

ב-2008 מישהו קיבל גישה למייל של שרה פיילין, מושלת אלסקה, ובאותה תקופה גם מועמדת לנשיאות. הפורץ ענה על השאלה הסודית, שנשמעה כך: "איפה פגשת את בעלך?"

לאחר 4 שנים, מיט רומני, שהיה גם מועמד לנשיאות ארה ב באותה תקופה, איבד כמה מחשבונותיו בשירותים שונים. מישהו ענה על שאלה סודית על שמה של חיית המחמד של מיט רומני.

כבר ניחשתם את הנקודה.

אינך יכול להשתמש בנתונים פומביים וניחושים בקלות כשאלה ותשובה סודית.

השאלה היא אפילו לא שניתן לדוג את המידע הזה בקפידה באינטרנט או ממקורביו של האדם. תשובות לשאלות בסגנון "שם חיה", "קבוצת הוקי אהובה" וכן הלאה נבחרות בצורה מושלמת מהמילונים המקבילים של אפשרויות פופולריות.

כאופציה זמנית, אתה יכול להשתמש בטקטיקה של האבסורד של התשובה. במילים פשוטות, התשובה לא אמורה להיות קשורה לשאלה הסודית. שם המשפחה לפני הנישואים של אמא? דיפנהידרמין. שם חיית המחמד? 1991.

עם זאת, טכניקה כזו, אם תימצא נפוצה, תילקח בחשבון בתוכניות המתאימות. תשובות אבסורדיות הן לרוב סטריאוטיפיות, כלומר, ביטויים מסוימים יתקלו בתדירות גבוהה הרבה יותר מאחרים.

למעשה, אין שום דבר רע בשימוש בתשובות אמיתיות, אתה רק צריך לבחור את השאלה בחוכמה. אם השאלה אינה סטנדרטית, והתשובה עליה ידועה רק לך ואי אפשר לנחש אותה לאחר שלושה ניסיונות, אז הכל בסדר. היתרון בלהיות אמת הוא שלא תשכח את זה לאורך זמן.

פִּין

מספר זיהוי אישי (PIN) הוא מנעול זול שהכסף שלנו מופקד עליו. אף אחד לא טורח ליצור שילוב אמין יותר של לפחות ארבעת המספרים הללו.

עכשיו עצור. עכשיו. כרגע, מבלי לקרוא את הפסקה הבאה, נסה לנחש את ה-PIN הפופולרי ביותר. מוּכָן?

ניק ברי מעריך ש-11% מאוכלוסיית ארה ב משתמשת ב-1234 כ-PIN שלהם (שם הם יכולים לשנות אותו בעצמם).

האקרים לא שמים לב לקודי PIN מכיוון שהקוד חסר תועלת ללא נוכחות פיזית של הכרטיס (זה יכול להצדיק חלקית את האורך הקטן של הקוד).

ברי לקח את רשימות הסיסמאות בנות ארבע ספרות שהופיעו לאחר ההדלפות ברשת. סביר להניח שהאדם המשתמש בסיסמה משנת 1967 בחר בה מסיבה כלשהי. ה-PIN השני הכי פופולרי הוא 1111, ו-6% מהאנשים מעדיפים את הקוד הזה. במקום השלישי 0000 (2%).

נניח שלאדם שיודע מידע זה יש בידיו כרטיס בנק. שלושה ניסיונות לחסום את הכרטיס. מתמטיקה פשוטה מראה שלאדם זה יש סיכוי של 19% לנחש את ה-PIN שלו אם יזין 1234, 1111 ו-0000 ברצף.

כנראה מסיבה זו, הרוב המכריע של הבנקים מקצה קוד PIN לכרטיסי פלסטיק שהונפקו בעצמם.

עם זאת, אנשים רבים מגנים על טלפונים חכמים באמצעות קוד PIN, וכאן חל דירוג הפופולריות הבא: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 655, 8, 655, 8, 655, 8, 655, 4321, 2001, 1010.

לעתים קרובות, ה-PIN מייצג שנה (שנת לידה או תאריך היסטורי).

אנשים רבים אוהבים ליצור קוד PIN בצורה של צמדי מספרים חוזרים (יתר על כן, זוגות שבהם המספר הראשון והשני נבדלים באחד הם פופולריים במיוחד).

לוחות מקשים נומריים של מכשירים ניידים מציגים שילובים כמו 2580 בחלק העליון - כדי להקליד אותו, מספיק לבצע מעבר ישיר מלמעלה למטה במרכז.

בקוריאה, המספר 1004 תואם את המילה "מלאך", מה שהופך את השילוב הזה לפופולרי למדי שם.

תוֹצָאָה

1. עבור אל random.org וצור שם 5-10 סיסמאות מועמדות.
2. בחר סיסמה שתוכל להפוך לביטוי בלתי נשכח.
3. השתמש בביטוי זה כדי לזכור את הסיסמה שלך.