Si të krijoni dhe mbani mend një fjalëkalim të fortë

2024 Autor: Malcolm Clapton | [email protected]. E modifikuara e fundit: 2023-12-17 04:10

Mënyrat më të mira për të krijuar një fjalëkalim që askush nuk mund ta thyejë.

Shumica e sulmuesve nuk shqetësohen me metodat e sofistikuara të vjedhjes së fjalëkalimit. Ata marrin kombinime të lehta për t'u hamendësuar. Rreth 1% e të gjithë fjalëkalimeve ekzistuese mund të jenë brut-force me katër përpjekje.

Si është e mundur kjo? Shume e thjeshte. Ju provoni katër kombinimet më të zakonshme në botë: fjalëkalim, 123456, 12345678, qwerty. Pas një pasazhi të tillë, mesatarisht, hapen 1% e të gjithë "gjoksit".

Le të themi se jeni ndër ata 99% të përdoruesve, fjalëkalimi i të cilëve nuk është aq i thjeshtë. Megjithatë, duhet të merret parasysh performanca e softuerit modern të hakerimit.

Programi falas, i disponueshëm falas, John the Ripper, verifikon miliona fjalëkalime në sekondë. Disa shembuj të softuerit të specializuar komercial pretendojnë një kapacitet prej 2.8 miliardë fjalëkalime në sekondë.

Fillimisht, programet e thyerjes kalojnë nëpër një listë të kombinimeve statistikisht më të zakonshme dhe më pas referohen te fjalori i plotë. Me kalimin e kohës, tendencat e fjalëkalimeve të përdoruesve mund të ndryshojnë pak dhe këto ndryshime merren parasysh kur listat e tilla përditësohen.

Me kalimin e kohës, të gjitha llojet e shërbimeve dhe aplikacioneve në internet vendosën të komplikojnë me forcë fjalëkalimet e krijuara nga përdoruesit. Janë shtuar kërkesat, sipas të cilave fjalëkalimi duhet të ketë një gjatësi minimale të caktuar, të përmbajë numra, shkronja të mëdha dhe karaktere speciale. Disa shërbime e morën këtë aq seriozisht sa që kërkon një detyrë vërtet të gjatë dhe të lodhshme për të krijuar një fjalëkalim që sistemi do ta pranonte.

Problemi kryesor është se pothuajse çdo përdorues nuk gjeneron një fjalëkalim të vërtetë brut-force, por vetëm përpiqet të përmbushë kërkesat e sistemit për përbërjen e fjalëkalimit në minimum.

Rezultati është fjalëkalime si password1, password123, Password, PassWoRd, password! dhe p @ shpata tepër e paparashikueshme.

Imagjinoni që ju duhet të ribërni fjalëkalimin tuaj Spiderman. Me shumë mundësi do të duket si $ pider_Man1. Origjinale? Mijëra njerëz do ta ndryshojnë atë duke përdorur të njëjtin algoritëm ose shumë të ngjashëm.

Nëse krisur i njeh këto kërkesa minimale, atëherë situata vetëm përkeqësohet. Është për këtë arsye që kërkesa e vendosur për të rritur kompleksitetin e fjalëkalimeve nuk ofron gjithmonë sigurinë më të mirë dhe shpesh krijon një ndjenjë të rreme të rritjes së sigurisë.

Sa më e lehtë të mbahet mend fjalëkalimi, aq më shumë ka të ngjarë të përfundojë në fjalorë të krisur. Si rezultat, rezulton se një fjalëkalim me të vërtetë i fortë është thjesht i pamundur të mbahet mend, që do të thotë se ai duhet të rregullohet diku.

Sipas ekspertëve, edhe në këtë epokë dixhitale, njerëzit ende mund të mbështeten në një copë letre me fjalëkalime të shkruara në të. Është i përshtatshëm për të mbajtur një fletë të tillë në një vend të fshehur nga sytë kureshtarë, për shembull, në një portofol ose portofol.

Sidoqoftë, fleta e fjalëkalimit nuk e zgjidh problemin. Fjalëkalimet e gjata janë të vështira jo vetëm për t'u mbajtur mend, por edhe për t'u futur. Situata është rënduar nga tastierat virtuale të pajisjeve mobile.

Duke ndërvepruar me dhjetëra shërbime dhe sajte, shumë përdorues lënë pas një varg fjalëkalimesh identike. Ata përpiqen të përdorin të njëjtin fjalëkalim për çdo faqe, duke injoruar plotësisht rreziqet.

Në këtë rast, disa site veprojnë si dado, duke e detyruar kombinimin të jetë i ndërlikuar. Si rezultat, përdoruesi thjesht nuk mund të kujtojë se si duhej të modifikonte fjalëkalimin e tij standard të vetëm për këtë faqe.

Shkalla e problemit u realizua plotësisht në vitin 2009. Më pas, për shkak të një vrime sigurie, hakeri arriti të vidhte bazën e të dhënave të hyrjeve dhe fjalëkalimeve të RockYou.com, kompanisë që publikon lojëra në Facebook. Sulmuesi e bëri të disponueshme publikisht bazën e të dhënave. Në total, ai përmbante 32.5 milionë hyrje me emra përdoruesish dhe fjalëkalime në llogari. Rrjedhjet kanë ndodhur edhe më parë, por shkalla e kësaj ngjarjeje e tregoi të gjithë pamjen.

Fjalëkalimi më i popullarizuar në RockYou.com ishte 123456, i cili u përdor nga pothuajse 291,000 njerëz. Meshkujt nën 30 vjeç preferojnë më shpesh temat seksuale dhe vulgaritetet. Njerëzit e moshuar të të dy gjinive shpesh i drejtoheshin një fushe të veçantë të kulturës kur zgjidhnin një fjalëkalim. Për shembull, Epsilon793 nuk duket si një opsion aq i keq, vetëm ky kombinim ishte në Star Trek. 8675309 me shtatë shifra u shfaq shumë herë sepse ky numër u shfaq në një nga këngët e Tommy Tutone.

Në fakt, krijimi i një fjalëkalimi të fortë është një detyrë e thjeshtë, mjafton të kompozoni një kombinim të karaktereve të rastit.

Ju nuk mund të krijoni një kombinim krejtësisht të rastësishëm në aspektin matematikor në kokën tuaj, por nuk ju kërkohet. Ka shërbime speciale që gjenerojnë kombinime vërtet të rastësishme. Për shembull, mund të krijojë fjalëkalime si kjo:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Kjo është një zgjidhje e thjeshtë dhe elegante, veçanërisht për ata që përdorin një menaxher për të ruajtur fjalëkalimet.

Fatkeqësisht, shumica e përdoruesve vazhdojnë të përdorin fjalëkalime të thjeshta dhe të dobëta, madje duke injoruar rregullin "fjalëkalime të ndryshme për çdo sajt". Për ta, komoditeti është më i rëndësishëm se siguria.

Situatat në të cilat siguria e fjalëkalimit mund të rrezikohet mund të ndahen në 3 kategori të gjera:

• E rastësishme, në të cilën një person që njihni po përpiqet të gjejë fjalëkalimin, duke u mbështetur në informacionin që di për ju. Shpesh, një krisur i tillë dëshiron vetëm të luajë një mashtrim, të zbulojë diçka për ju ose të bëjë rrëmujë.
• Sulmet masivekur absolutisht çdo përdorues i shërbimeve të caktuara mund të bëhet viktimë. Në këtë rast, përdoret softuer i specializuar. Për sulmin, zgjidhen faqet më pak të sigurta, të cilat ju lejojnë të vendosni në mënyrë të përsëritur opsionet e fjalëkalimit në një periudhë të shkurtër kohore.
• Me qëllimqë kombinojnë marrjen e sugjerimeve (si në rastin e parë) dhe përdorimin e softuerit të specializuar (si në një sulm masiv). Kjo ka të bëjë me përpjekjen për të marrë informacion vërtet të vlefshëm. Vetëm një fjalëkalim mjaft i gjatë i rastësishëm do të ndihmojë për të mbrojtur veten, zgjedhja e të cilit do të marrë kohë të krahasueshme me kohëzgjatjen e jetës suaj.

Siç mund ta shihni, absolutisht çdokush mund të bëhet viktimë. Deklaratat si "fjalëkalimi im nuk do të vidhet, sepse askush nuk ka nevojë për mua" nuk janë të rëndësishme, sepse ju mund të futeni në një situatë të ngjashme krejt rastësisht, rastësisht, pa ndonjë arsye të dukshme.

Është edhe më serioze të merret me fjalëkalim për ata që kanë informacion të vlefshëm, janë të lidhur me një biznes ose janë në konflikt me dikë për arsye financiare (për shembull, ndarja e pasurisë në procesin e divorcit, konkurrenca në biznes).

Në vitin 2009, Twitter (në kuptimin e të gjithë shërbimit) u hakerua vetëm sepse administratori përdori fjalën lumturi si fjalëkalim. Hakeri e mori atë dhe e postoi në faqen e internetit Digital Gangster, gjë që çoi në rrëmbimin e llogarive të Obamës, Britney Spears, Facebook dhe Fox News.

Akronimet

Si në çdo aspekt tjetër të jetës, ne gjithmonë duhet të gjejmë një kompromis midis sigurisë maksimale dhe komoditetit maksimal. Si të gjeni një rrugë të mesme? Çfarë strategjie për gjenerimin e fjalëkalimeve do t'ju lejojë të krijoni kombinime të forta që mund të mbahen mend lehtësisht?

Për momentin, kombinimi më i mirë i besueshmërisë dhe komoditetit është shndërrimi i një fraze ose fraze në një fjalëkalim.

Përzgjidhet një grup fjalësh që i mbani mend gjithmonë dhe një kombinim i shkronjave të para nga secila fjalë përdoret si fjalëkalim. Për shembull, Forca të jetë me ju kthehet në Mtfbwy.

Megjithatë, meqenëse ato më të famshmet do të përdoren si fraza fillestare, programet përfundimisht do t'i marrin këto akronime në listat e tyre. Në fakt, akronimi përmban vetëm shkronja, dhe për këtë arsye është objektivisht më pak i besueshëm se një kombinim i rastësishëm i karaktereve.

Zgjedhja e frazës së duhur do t'ju ndihmojë të shpëtoni nga problemi i parë. Pse ta ktheni një shprehje të famshme botërore në një fjalëkalim akronimi? Ju ndoshta mbani mend disa shaka dhe thënie që janë të rëndësishme vetëm në rrethin tuaj të ngushtë. Le të themi se keni dëgjuar një frazë shumë tërheqëse nga një banakier në një lokal lokal. Perdore.

Megjithatë, fjalëkalimi i akronimit që keni krijuar nuk ka gjasa të jetë unik. Problemi me akronimet është se fraza të ndryshme mund të përbëhen nga fjalë që fillojnë me të njëjtat shkronja dhe në të njëjtën sekuencë. Statistikisht, në gjuhë të ndryshme, ka një rritje të shpeshtësisë së paraqitjes së shkronjave të caktuara si fillimi i një fjale. Programet do t'i marrin parasysh këta faktorë dhe efektiviteti i shkurtesave në versionin origjinal do të reduktohet.

Mënyra e kundërt

Rruga mund të jetë mënyra e kundërt e gjenerimit. Ju krijoni një fjalëkalim krejtësisht të rastësishëm në random.org dhe më pas i ktheni karakteret e tij në një frazë kuptimplote të paharrueshme.

Shpesh, shërbimet dhe faqet u ofrojnë përdoruesve fjalëkalime të përkohshme, të cilat janë të njëjtat kombinime krejtësisht të rastësishme. Ju do të dëshironi t'i ndryshoni ato, sepse nuk do të jeni në gjendje t'i mbani mend, por thjesht hidhni një vështrim më të afërt dhe bëhet e qartë: nuk keni nevojë të mbani mend fjalëkalimin. Për shembull, le të marrim një opsion tjetër nga random.org - RPM8t4ka.

Edhe pse duket e pakuptimtë, truri ynë është në gjendje të gjejë modele dhe korrespondenca të caktuara edhe në një kaos të tillë. Për të filluar, mund të vëreni se tre shkronjat e para në të janë të mëdha, dhe tre të tjerat janë të vogla. 8 është dy herë (në anglisht dy herë - t) 4. Shikoni pak këtë fjalëkalim dhe me siguri do të gjeni lidhjet tuaja me grupin e propozuar të shkronjave dhe numrave.

Nëse mund të mësoni përmendësh grupe fjalësh të pakuptimta, atëherë përdorni atë. Lëreni fjalëkalimin të kthehet në rrotullime për minutë 8 këngë 4 katty. Çdo konvertim në të cilin truri juaj është më i mirë do të bëhet.

Një fjalëkalim i rastësishëm është standardi i artë në sigurinë e informacionit. Është, sipas definicionit, më i mirë se çdo fjalëkalim i krijuar nga njeriu.

Disavantazhi i akronimeve është se me kalimin e kohës, përhapja e një teknike të tillë do të zvogëlojë efektivitetin e saj dhe metoda e kundërt do të mbetet po aq e besueshme, edhe nëse të gjithë njerëzit në tokë do ta përdorin atë për një mijë vjet.

Një fjalëkalim i rastësishëm nuk do të përfshihet në listën e kombinimeve të njohura dhe një sulmues që përdor një metodë sulmi masiv vetëm do të detyrojë një fjalëkalim të tillë.

Le të marrim një fjalëkalim të thjeshtë të rastësishëm që merr parasysh shkronjat e mëdha dhe numrat - që janë 62 karaktere të mundshme për çdo pozicion. Nëse e bëjmë fjalëkalimin vetëm 8 shifra, atëherë marrim 62 ^ 8 = 218 trilion opsione.

Edhe nëse numri i përpjekjeve brenda një intervali të caktuar kohor nuk është i kufizuar, softveri i specializuar më komercial me një kapacitet prej 2.8 miliardë fjalëkalime në sekondë do të shpenzojë mesatarisht 22 orë duke u përpjekur të gjejë kombinimin e duhur. Për të qenë të sigurt, ne i shtojmë vetëm 1 karakter shtesë një fjalëkalimi të tillë - dhe do të duhen shumë vite për ta thyer atë.

Një fjalëkalim i rastësishëm nuk është i paprekshëm, pasi mund të vidhet. Opsionet janë të shumta, nga leximi i të dhënave të tastierës deri te të paturit e një kamere mbi supe.

Një haker mund të godasë vetë shërbimin dhe të marrë të dhëna direkt nga serverët e tij. Në këtë situatë, asgjë nuk varet nga përdoruesi.

Një bazë e besueshme

Pra, arritëm te gjëja kryesore. Cilat janë taktikat e fjalëkalimeve të rastësishme për t'u përdorur në jetën reale? Nga pikëpamja e ekuilibrit të besueshmërisë dhe komoditetit, "filozofia e një fjalëkalimi të fortë" do të tregohet mirë.

Parimi është që të përdorni të njëjtën bazë - një fjalëkalim super të fortë (ndryshimet e tij) në shërbimet dhe faqet që janë më të rëndësishme për ju.

Mos harroni një kombinim të gjatë dhe të vështirë për të gjithë.

Nick Berry, një konsulent për sigurinë e informacionit, lejon që ky parim të zbatohet, me kusht që fjalëkalimi të mbrohet shumë mirë.

Prania e malware në kompjuterin nga i cili futni fjalëkalimin nuk lejohet. Nuk lejohet përdorimi i të njëjtit fjalëkalim për faqet më pak të rëndësishme dhe argëtuese - fjalëkalimet më të thjeshta janë mjaft të mjaftueshme për ta, pasi hakimi i një llogarie këtu nuk do të sjellë ndonjë pasojë fatale.

Është e qartë se baza e besueshme duhet të ndryshohet disi për çdo vend. Si një opsion i thjeshtë, mund të shtoni një shkronjë të vetme në fillim, e cila përfundon emrin e faqes ose shërbimit. Nëse kthehemi te ai fjalëkalim i rastësishëm RPM8t4ka, ai do të kthehet në kRPM8t4ka për autorizimin e Facebook.

Një sulmues, duke parë një fjalëkalim të tillë, nuk do të jetë në gjendje të kuptojë se si krijohet fjalëkalimi për llogarinë tuaj bankare. Problemet do të fillojnë nëse dikush fiton akses në dy ose më shumë nga fjalëkalimet tuaja të krijuara në këtë mënyrë.

Pyetje sekrete

Disa rrëmbyes i injorojnë fare fjalëkalimet. Ata veprojnë në emër të pronarit të llogarisë dhe simulojnë një situatë kur keni harruar fjalëkalimin tuaj dhe dëshironi ta rivendosni atë me një pyetje sekrete. Në këtë skenar, ai mund të ndryshojë fjalëkalimin sipas dëshirës dhe pronari i vërtetë do të humbasë aksesin në llogarinë e tij.

Në vitin 2008, dikush mori akses në emailin e Sarah Palin, guvernatores së Alaskës, dhe në atë kohë edhe një kandidate presidenciale. Hajduti iu përgjigj pyetjes sekrete, e cila dukej kështu: "Ku e ke takuar burrin?"

Pas 4 vitesh, Mitt Romney, i cili në atë kohë ishte edhe kandidat për president të SHBA-së, humbi disa nga llogaritë e tij në shërbime të ndryshme. Dikush iu përgjigj një pyetjeje sekrete për emrin e kafshës shtëpiake të Mitt Romney.

Tashmë e keni marrë me mend çështjen.

Ju nuk mund të përdorni të dhëna publike dhe lehtësisht të hamendësuara si pyetje dhe përgjigje sekrete.

Pyetja nuk është as që ky informacion mund të merret me kujdes në internet ose nga bashkëpunëtorët e ngushtë të personit. Përgjigjet e pyetjeve në stilin e "emrit të kafshës", "skuadrës së preferuar të hokejve" dhe kështu me radhë janë zgjedhur në mënyrë të përkryer nga fjalorët përkatës të opsioneve të njohura.

Si një opsion i përkohshëm, mund të përdorni taktikën e absurditetit të përgjigjes. E thënë thjesht, përgjigja nuk duhet të ketë të bëjë fare me pyetjen sekrete. Emri i vajzërisë së nënës? Difenhidramina. Emri i kafshës shtëpiake? 1991.

Megjithatë, një teknikë e tillë, nëse gjendet e përhapur, do të merret parasysh në programet përkatëse. Përgjigjet absurde shpesh janë stereotipe, domethënë, disa fraza do të hasen shumë më shpesh se të tjerat.

Në fakt, nuk ka asgjë të keqe të përdorësh përgjigje reale, thjesht duhet ta zgjedhësh pyetjen me mençuri. Nëse pyetja është jo standarde, dhe përgjigja për të është e njohur vetëm për ju dhe nuk mund të merret me mend pas tre përpjekjesh, atëherë gjithçka është në rregull. Avantazhi i të qenit i sinqertë është se nuk do ta harroni atë me kalimin e kohës.

GJILPERE

Numri i Identifikimit Personal (PIN) është një bravë e lirë të cilës i besohen paratë tona. Askush nuk shqetësohet të krijojë një kombinim më të besueshëm të të paktën këtyre katër numrave.

Tani ndalo. Tani për tani. Tani për tani, pa lexuar paragrafin tjetër, përpiquni të merrni me mend kodin PIN më të njohur. Gati?

Nick Berry vlerëson se 11% e popullsisë amerikane përdor 1234 si PIN-in e tyre (ku mund ta ndryshojnë vetë).

Hakerët nuk u kushtojnë vëmendje kodeve PIN sepse kodi është i padobishëm pa praninë fizike të kartës (kjo mund të justifikojë pjesërisht gjatësinë e vogël të kodit).

Berry mori listat e fjalëkalimeve katërshifrore që u shfaqën pas rrjedhjeve në rrjet. Personi që përdor fjalëkalimin e vitit 1967 ka të ngjarë ta ketë zgjedhur atë për një arsye. PIN-i i dytë më i popullarizuar është 1111, dhe 6% e njerëzve preferojnë këtë kod. Në vendin e tretë është 0000 (2%).

Supozoni se një person që e di këtë informacion ka një kartë bankare në duart e tij. Tre përpjekje për të bllokuar kartën. Matematika e thjeshtë tregon se ky person ka një shans 19% të hamendësojë PIN-in e tij nëse fut 1234, 1111 dhe 0000 me radhë.

Ndoshta për këtë arsye, shumica dërrmuese e bankave caktojnë kode PIN për kartat plastike të lëshuara vetë.

Megjithatë, shumë njerëz i mbrojnë telefonat inteligjentë me një kod PIN dhe këtu vlen vlerësimi i mëposhtëm i popullaritetit: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3538,38, 3538, 3538, 3538, 3538, 3538, 3538, 3538, 35338,, 4321, 2001, 1010.

Shpesh, kodi PIN përfaqëson një vit (viti i lindjes ose data historike).

Shumë njerëzve u pëlqen të bëjnë PIN në formën e çifteve përsëritëse të numrave (për më tepër, çiftet ku numrat e parë dhe të dytë ndryshojnë nga një janë veçanërisht të njohura).

Tastierat numerike të pajisjeve celulare shfaqin kombinime si 2580 në krye - për ta shtypur atë, mjafton të bëni një kalim të drejtpërdrejtë nga lart poshtë në qendër.

Në Kore, numri 1004 është në përputhje me fjalën "engjëll", gjë që e bën këtë kombinim mjaft të popullarizuar atje.

Rezultati

1. Shkoni te random.org dhe krijoni 5-10 fjalëkalime kandidatësh atje.
2. Zgjidhni një fjalëkalim që mund ta ktheni në një frazë të paharrueshme.
3. Përdorni këtë frazë për të kujtuar fjalëkalimin tuaj.