Ένας νέος αλγόριθμος για τον έλεγχο της ισχύος των κωδικών πρόσβασης. Πώς να δημιουργήσετε και να θυμάστε έναν ισχυρό κωδικό πρόσβασης Πώς να ελέγξετε τον κωδικό πρόσβασής σας

Πολλοί ιστότοποι προσπαθούν να βοηθήσουν τους χρήστες να ορίσουν πιο σύνθετους κωδικούς πρόσβασης. Για να γίνει αυτό, θεσπίζονται βασικοί κανόνες, οι οποίοι συνήθως απαιτούν να προσδιορίσετε τουλάχιστον ένα κεφαλαίο γράμμα, ένα πεζό γράμμα, έναν αριθμό κ.λπ. Οι κανόνες είναι συνήθως πρωτόγονοι ως εξής:

"password" => [ "απαιτείται", "επιβεβαιώθηκε", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Δυστυχώς, τόσο απλοί κανόνες σημαίνουν ότι ο κωδικός πρόσβασης Abcd1234 θα θεωρείται καλός και υψηλής ποιότητας, όπως και ο κωδικός1. Από την άλλη πλευρά, ο κωδικός πρόσβασης mu-icac-of-jaz-doad δεν θα περάσει την επικύρωση.

Εδώ είναι οι δύο πρώτοι κωδικοί πρόσβασης.

Ακολουθούν δύο κωδικοί πρόσβασης που δεν θα περάσουν τον έλεγχο ασφαλείας.

Τι να κάνω; Ίσως δεν πρέπει να επιβάλλετε τη χρήση ειδικών χαρακτήρων και να εισάγετε όλο και περισσότερους νέους κανόνες, όπως απαγόρευση επανάληψης πολλών χαρακτήρων στη σειρά, χρησιμοποιώντας όχι έναν, αλλά δύο ή τρεις ειδικούς χαρακτήρες και αριθμούς, αυξάνοντας το ελάχιστο μήκος κωδικού πρόσβασης, και τα λοιπά.

Αντί για όλα αυτά, χρειάζεται απλώς να κάνετε ένα απλό πράγμα - απλώς να εγκαταστήσετε ελάχιστος περιορισμός εντροπίαςκωδικό πρόσβασης, και αυτό είναι! Μπορείτε να χρησιμοποιήσετε τον έτοιμο αξιολογητή zxcvbn για αυτό.

Υπάρχουν και άλλες λύσεις εκτός από το zxcvbn. Μόλις την περασμένη εβδομάδα, μια εργασία (pdf) από ερευνητές ασφαλείας από την Symantec Research και το γαλλικό ερευνητικό ινστιτούτο Eurecom παρουσιάστηκε στο συνέδριο ACM Computer and Communications Security. Ανέπτυξαν έναν νέο έλεγχο ισχύος κωδικού πρόσβασης που υπολογίζει τον κατά προσέγγιση αριθμό προσπαθειών ωμής βίας που απαιτούνται χρησιμοποιώντας τη μέθοδο Monte Carlo. Η προτεινόμενη μέθοδος διακρίνεται από το γεγονός ότι απαιτεί μια ελάχιστη ποσότητα υπολογιστικών πόρων στον διακομιστή, είναι κατάλληλη για μεγάλο αριθμό πιθανοτικών μοντέλων και ταυτόχρονα είναι αρκετά ακριβής. Η μέθοδος δοκιμάστηκε σε κωδικούς πρόσβασης από τη βάση δεδομένων των 10 εκατομμυρίων κωδικών πρόσβασης Xato, οι οποίοι βρίσκονται στον δημόσιο τομέα (αντίγραφο στο Archive.org) - έδειξε ένα καλό αποτέλεσμα. Είναι αλήθεια ότι αυτή η μελέτη της Symantec Research και της Eurecom είναι μάλλον θεωρητικής φύσης, δεν έκαναν το πρόγραμμά τους διαθέσιμο στο κοινό σε οποιαδήποτε αποδεκτή μορφή. Ωστόσο, το νόημα της εργασίας είναι σαφές: αντί για ευρετικούς κανόνες για τον έλεγχο των κωδικών πρόσβασης, είναι σκόπιμο οι ιστότοποι να εφαρμόζουν έλεγχο εντροπίας.

Αναλυτής κωδικών πρόσβασης SeaMonkey

Αυτός ο αναλυτής κωδικών πρόσβασης αναπτύχθηκε ως μέρος του έργου SeaMonkey, ενός δωρεάν συνόλου προγραμμάτων Διαδικτύου που δημιουργήθηκε και συντηρείται από το Συμβούλιο Seamonkey, ένα spinoff του Ιδρύματος Mozilla. Ο ίδιος ο μηχανισμός ανάλυσης κωδικού πρόσβασης είναι μέρος του . Ο αλγόριθμος της δουλειάς του είναι να υπολογίσει το βάρος του κωδικού πρόσβασης, με βάση δεδομένα σχετικά με τους χαρακτήρες από τους οποίους αποτελείται ο κωδικός πρόσβασης. Το βάρος του κωδικού πρόσβασης υπολογίζεται χρησιμοποιώντας τον ακόλουθο τύπο:
pwδύναμη= ((pwlμήκος * 10) - 20) + (αριθμητικό * 10) + (αριθμητικά σύμβολα * 15) + (πάνω * 10) , όπου

• πλάτοςίσο με 5 εάν ο αριθμός των χαρακτήρων στον κωδικό πρόσβασης είναι μεγαλύτερος από 5 ή ίσος με το μήκος του κωδικού πρόσβασης.
• αριθμητικόςίσο με 3 εάν ο αριθμός των ψηφίων στον κωδικό πρόσβασης είναι μεγαλύτερος από 3, διαφορετικά ίσος με τον αριθμό των ψηφίων.
• αριθμητικά σύμβολαθεωρείται ίσος με 3 εάν ο αριθμός των χαρακτήρων στον κωδικό πρόσβασης εκτός από γράμματα, αριθμούς και κάτω παύλες είναι μεγαλύτερος από 3, διαφορετικά - ο αριθμός τέτοιων χαρακτήρων.
• ανώτεροςισούται με 3 εάν ο αριθμός των κεφαλαίων γραμμάτων είναι μεγαλύτερος από 3 ή ο αριθμός των κεφαλαίων γραμμάτων διαφορετικά.

Μετά τον υπολογισμό, το βάρος του κωδικού πρόσβασης κανονικοποιείται έτσι ώστε η τιμή του να είναι στην περιοχή από 0 έως 100. Η κανονικοποίηση πραγματοποιείται όταν η τιμή βάρους δεν εμπίπτει σε αυτό το εύρος. Στην περίπτωση που pwδύναμημικρότερη από 0, τιμή pwδύναμηίση με μηδέν, και όταν είναι μεγαλύτερη από 0, η τιμή βάρους ορίζεται στο 100. Η κατάταξη του κωδικού πρόσβασης με βάση τη δύναμη επαφίεται στη διακριτική ευχέρεια των προγραμματιστών που χρησιμοποιούν τη βιβλιοθήκη.
Όπως μπορείτε να δείτε, ο περιγραφόμενος αναλυτής δεν χρησιμοποιεί κανέναν έλεγχο χρησιμοποιώντας λεξικά, γεγονός που καθιστά τις εκτιμήσεις του κάπως μονόπλευρες και πιθανώς λιγότερο ακριβείς σε σύγκριση με τα προγράμματα της Google και της Microsoft που συζητήθηκαν παραπάνω.

Μετρητής ισχύος κωδικού πρόσβασης (πρόσθετο jQuery)

Μια άλλη επιλογή για έναν αξιολογητή κωδικού πρόσβασης από την πλευρά του πελάτη είναι το Password Strength Meter (), ένα πρόσθετο που αναπτύχθηκε για το πλαίσιο JavaScript jQuery.
Η διαδικασία αξιολόγησης λειτουργεί ως εξής. Υπάρχουν πολλές γνωστές ιδιότητες που κάνουν έναν κωδικό πρόσβασης να αυξάνει ή να μειώνει την αντίστασή του στην εικασία. Κάθε ποιότητα έχει το δικό της αυστηρά καθορισμένο βάρος. Ο αλγόριθμος αποτελείται από έναν βήμα προς βήμα έλεγχο για την παρουσία αυτών των ιδιοτήτων σε έναν κωδικό πρόσβασης και, εάν υπάρχουν, το συνολικό βάρος του κωδικού πρόσβασης αυξάνεται, με βάση την τιμή του οποίου, μετά την προβολή όλων των χαρακτηριστικών, ένα συμπέρασμα αναφέρεται στο επίπεδο ισχύος του κωδικού πρόσβασης.
Ας εξετάσουμε τον πλήρη αλγόριθμο για τη διαδικασία αξιολόγησης κωδικού πρόσβασης:

1. Το βάρος του κωδικού πρόσβασης ορίζεται στο μηδέν.
2. Εάν το μήκος του κωδικού πρόσβασης είναι μικρότερο από 4 χαρακτήρες, τότε ο αλγόριθμος τελειώνει και επιστρέφεται το αποτέλεσμα "ο κωδικός πρόσβασης είναι πολύ μικρός". Διαφορετικά, μεταβείτε στο βήμα 3.
3. Αυξάνουμε το βάρος του κωδικού πρόσβασης κατά 4*λεν, Οπου λεν– μήκος κωδικού πρόσβασης.
4. Γίνεται προσπάθεια συμπίεσης του κωδικού πρόσβασης χρησιμοποιώντας τον παρακάτω αλγόριθμο. Εάν ο κωδικός πρόσβασης περιέχει μια δευτερεύουσα συμβολοσειρά όπως SS, Οπου μικρόείναι μια συμβολοσειρά μήκους 1, τότε το πρώτο μέρος αυτής της υποσυμβολοσειράς αφαιρείται και η συμπίεση συνεχίζεται από τη θέση της αρχής του δεύτερου μέρους αυτής της υποσυμβολοσειράς. Για παράδειγμα, εφαρμόζοντας αυτόν τον αλγόριθμο στη συμβολοσειρά aaabbcab, η έξοδος θα είναι η συμβολοσειρά abcab. Μετά την εκτέλεση της λειτουργίας συμπίεσης, το βάρος του κωδικού πρόσβασης μειώνεται κατά λεν - lenCompress, Οπου λενείναι το μήκος του κωδικού πρόσβασης και lenCompress– μήκος κωδικού πρόσβασης μετά τη συμπίεση.
5. Γίνονται προσπάθειες συμπίεσης του κωδικού πρόσβασης για θήκες συμβολοσειρών μικρό 2, 3 και 4 χαρακτήρες. Το βάρος του κωδικού πρόσβασης μειώνεται ομοίως κατά το ποσό λεν - lenCompress. Σημειώστε ότι η συμπίεση εκτελείται κάθε φορά στον κωδικό πρόσβασης που ελέγχεται και όχι στις συμβολοσειρές που ελήφθησαν σε προηγούμενες προσπάθειες.
6. Εάν ο κωδικός πρόσβασης περιέχει τουλάχιστον 3 ψηφία, τότε αυξήστε το βάρος κατά 5.
7. Εάν ο κωδικός πρόσβασης περιέχει τουλάχιστον 2 χαρακτήρες, τότε αυξήστε το βάρος κατά 5.
8. Εάν ο κωδικός πρόσβασης περιέχει γράμματα και με κεφαλαία και πεζά, τότε αυξήστε το βάρος του κωδικού πρόσβασης κατά 10.
9. Εάν ο κωδικός πρόσβασης περιέχει γράμματα και αριθμούς, τότε αυξήστε το βάρος του κωδικού πρόσβασης κατά 15.
10. Εάν ο κωδικός πρόσβασης περιέχει χαρακτήρες και αριθμούς, τότε αυξήστε το βάρος κατά 15.
11. Εάν ο κωδικός πρόσβασης περιέχει γράμματα και σύμβολα, τότε αυξήστε το βάρος κατά 15.
12. Εάν ο κωδικός πρόσβασης αποτελείται μόνο από γράμματα ή μόνο αριθμούς, τότε μειώστε το βάρος του κωδικού πρόσβασης κατά 10.
13. Εάν το βάρος του κωδικού πρόσβασης είναι μικρότερο από 0, ορίστε το ίσο με 0. Εάν είναι μεγαλύτερο από 100, ορίστε το ίσο με 100.
14. Ένας κωδικός πρόσβασης του οποίου το βάρος είναι μικρότερο από 34 θεωρείται "αδύναμος". Εάν το βάρος είναι από 34 έως 67, τότε ο κωδικός πρόσβασης ταξινομείται ως "καλός" και εάν είναι μεγαλύτερος από 67, τότε ο κωδικός πρόσβασης θεωρείται "εξαιρετικός".

Ο αναλυτής που αναλύθηκε, όπως και το προϊόν της SeaMonkey, δεν ελέγχει τον κωδικό πρόσβασης χρησιμοποιώντας κανένα λεξικό. Επιπλέον, το ερώτημα παραμένει ανοιχτό σχετικά με την εγκυρότητα της επιλογής ορισμένων τιμών των συντελεστών στάθμισης κατά τη διαμόρφωση μιας αξιολόγησης κωδικού πρόσβασης.
Διατίθεται που δείχνει τη λειτουργικότητα αυτής της προσθήκης.

Πανεπιστήμιο Cornell - Έλεγχος ισχύος κωδικού πρόσβασης

Επίσημη on-line υπηρεσία που παρέχεται από το Cornell University Security Center (Ιθάκη, ΗΠΑ). Με τη βοήθειά του, οι χρήστες μπορούν να ελέγξουν τον κωδικό πρόσβασής τους συμπληρώνοντας μια φόρμα web και υποβάλλοντάς την για επαλήθευση. Η αξιολόγηση κωδικού πρόσβασης, όπως και στην περίπτωση της υπηρεσίας Google, πραγματοποιείται από την πλευρά του διακομιστή.
Η υλοποίηση του αλγορίθμου δεν είναι δημόσια διαθέσιμη, αλλά η περιγραφή της υπηρεσίας καθορίζει τις απαιτήσεις που πρέπει να πληροί ο κωδικός πρόσβασης για να είναι επιτυχής η επαλήθευση:

1. ο κωδικός πρόσβασης πρέπει να είναι τουλάχιστον 8 χαρακτήρες.
2. Κατά τη σύνταξη ενός κωδικού πρόσβασης, χρησιμοποιούνται χαρακτήρες από τουλάχιστον τρία αλφάβητα από την ακόλουθη λίστα:
   • κεφαλαία λατινικά γράμματα
   • πεζά λατινικά γράμματα
   • αριθμοί
   • ειδικοί χαρακτήρες (όπως ! * () : |)
3. ο κωδικός πρόσβασης δεν πρέπει να περιέχει λέξεις από το λεξικό.
4. Ο κωδικός πρόσβασης δεν πρέπει να περιέχει ακολουθίες επαναλαμβανόμενων γραμμάτων (για παράδειγμα, AAA) και ακολουθίες όπως abc, qwerty, 123, 321.

Αυτές οι απαιτήσεις πρέπει να τηρούνται αυστηρά. Εάν δεν πληρούται τουλάχιστον κάποια απαίτηση, ο κωδικός πρόσβασης θεωρείται αναξιόπιστος.
Η ακόλουθη κριτική μπορεί να γίνει σε αυτήν την προσέγγιση. Επομένως, ένας κωδικός πρόσβασης αυθαίρετα μεγάλου μήκους, για παράδειγμα, κάποια πρόταση σε φυσική γλώσσα, δεν θα ικανοποιεί την προϋπόθεση Νο. 3, η οποία θα παρέχει αυτόματα στον κωδικό πρόσβασης χαμηλή βαθμολογία, αν και αυτό μπορεί να μην είναι απολύτως δικαιολογημένο.

Ελεγκτής ισχύος κωδικού πρόσβασης

Αναλυτής κωδικών πρόσβασης JavaScript, ο οποίος αναπτύσσεται και διατηρείται ως μέρος του έργου Rumkin.com.
Ο αλγόριθμος αξιολόγησης που εφαρμόζεται σε αυτόν τον αναλυτή βασίζεται στις γενικές αρχές της θεωρίας πληροφοριών. Η κύρια αξιολόγηση ενός κωδικού πρόσβασης είναι η εντροπία του, η οποία υπολογίζεται χρησιμοποιώντας πίνακες διαγραμμάτων για την αγγλική γλώσσα.
Η εντροπία (χωρητικότητα πληροφοριών) ενός κωδικού πρόσβασης είναι ένα μέτρο της τυχαιότητας της επιλογής της ακολουθίας συμβόλων που συνθέτουν τον κωδικό πρόσβασης, που υπολογίζεται με μεθόδους θεωρίας πληροφοριών.
Πληροφοριακή ικανότητα μιμετράται σε bit και χαρακτηρίζει την αντίσταση στην εικασία κωδικού πρόσβασης χρησιμοποιώντας μια μέθοδο ωμής δύναμης, υπό την προϋπόθεση ότι δεν υπάρχουν εκ των προτέρων πληροφορίες σχετικά με τη φύση του κωδικού πρόσβασης και ο εισβολέας χρησιμοποιεί μια βέλτιστη στρατηγική ωμής βίας, στην οποία ο μέσος αναμενόμενος αριθμός προσπαθειών πριν από μια επιτυχημένη το ένα είναι 2 μι-1. Σύμφωνα με τον δημιουργό αυτού του αξιολογητή, προκειμένου να μειωθεί ο όγκος των πληροφοριών που φορτώνονται από την πλευρά του πελάτη, όλοι οι μη αλφαβητικοί χαρακτήρες συνδυάστηκαν σε μία ομάδα. Αυτή η ομάδα λειτουργεί ως ένα είδος καθολικού συμβόλου, το οποίο χρησιμοποιείται στον πίνακα συχνοτήτων. Όπως σημειώνει ο προγραμματιστής, με αυτήν την υπόθεση, η τιμή της εντροπίας που προκύπτει θα είναι μικρότερη από ό,τι στην περίπτωση που όλα τα σύμβολα παρουσιάζονται χωριστά στον πίνακα συχνοτήτων.
Ανάλογα με την λαμβανόμενη τιμή εντροπίας, στον κωδικό αποδίδεται το αντίστοιχο χαρακτηριστικό της ισχύος του.

Εντροπία

Επίπεδο αντοχής

Πολλοί ιστότοποι προσπαθούν να βοηθήσουν τους χρήστες να ορίσουν πιο σύνθετους κωδικούς πρόσβασης. Για να γίνει αυτό, θεσπίζονται βασικοί κανόνες, οι οποίοι συνήθως απαιτούν να προσδιορίσετε τουλάχιστον ένα κεφαλαίο γράμμα, ένα πεζό γράμμα, έναν αριθμό κ.λπ. Οι κανόνες είναι συνήθως πρωτόγονοι ως εξής:

"password" => [ "απαιτείται", "επιβεβαιώθηκε", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
Δυστυχώς, τόσο απλοί κανόνες σημαίνουν ότι ο κωδικός πρόσβασης Abcd1234 θα θεωρείται καλός και υψηλής ποιότητας, όπως και ο κωδικός1. Από την άλλη πλευρά, ο κωδικός πρόσβασης mu-icac-of-jaz-doad δεν θα περάσει την επικύρωση.

Εδώ είναι οι δύο πρώτοι κωδικοί πρόσβασης.

Ακολουθούν δύο κωδικοί πρόσβασης που δεν θα περάσουν τον έλεγχο ασφαλείας.

Τι να κάνω; Ίσως δεν πρέπει να επιβάλλετε τη χρήση ειδικών χαρακτήρων και να εισάγετε όλο και περισσότερους νέους κανόνες, όπως απαγόρευση επανάληψης πολλών χαρακτήρων στη σειρά, χρησιμοποιώντας όχι έναν, αλλά δύο ή τρεις ειδικούς χαρακτήρες και αριθμούς, αυξάνοντας το ελάχιστο μήκος κωδικού πρόσβασης, και τα λοιπά.

Αντί για όλα αυτά, χρειάζεται απλώς να κάνετε ένα απλό πράγμα - απλώς να εγκαταστήσετε ελάχιστος περιορισμός εντροπίαςκωδικό πρόσβασης, και αυτό είναι! Μπορείτε να χρησιμοποιήσετε τον έτοιμο αξιολογητή zxcvbn για αυτό.

Υπάρχουν και άλλες λύσεις εκτός από το zxcvbn. Μόλις την περασμένη εβδομάδα, μια εργασία (pdf) από ερευνητές ασφαλείας από την Symantec Research και το γαλλικό ερευνητικό ινστιτούτο Eurecom παρουσιάστηκε στο συνέδριο ACM Computer and Communications Security. Ανέπτυξαν έναν νέο έλεγχο ισχύος κωδικού πρόσβασης που υπολογίζει τον κατά προσέγγιση αριθμό προσπαθειών ωμής βίας που απαιτούνται χρησιμοποιώντας τη μέθοδο Monte Carlo. Η προτεινόμενη μέθοδος διακρίνεται από το γεγονός ότι απαιτεί μια ελάχιστη ποσότητα υπολογιστικών πόρων στον διακομιστή, είναι κατάλληλη για μεγάλο αριθμό πιθανοτικών μοντέλων και ταυτόχρονα είναι αρκετά ακριβής. Η μέθοδος δοκιμάστηκε σε κωδικούς πρόσβασης από τη βάση δεδομένων των 10 εκατομμυρίων κωδικών πρόσβασης Xato, οι οποίοι βρίσκονται στον δημόσιο τομέα (αντίγραφο στο Archive.org) - έδειξε ένα καλό αποτέλεσμα. Είναι αλήθεια ότι αυτή η μελέτη της Symantec Research και της Eurecom είναι μάλλον θεωρητικής φύσης, δεν έκαναν το πρόγραμμά τους διαθέσιμο στο κοινό σε οποιαδήποτε αποδεκτή μορφή. Ωστόσο, το νόημα της εργασίας είναι σαφές: αντί για ευρετικούς κανόνες για τον έλεγχο των κωδικών πρόσβασης, είναι σκόπιμο οι ιστότοποι να εφαρμόζουν έλεγχο εντροπίας.

Σήμερα θα μιλήσουμε για την ασφάλεια των προσωπικών σας στοιχείων και φυσικά θα εξοικειωθούμε με αρκετές χρήσιμες διαδικτυακές υπηρεσίες.

Τι ακριβώς είναι ο κωδικός πρόσβασης; Αυτή είναι μια ακολουθία σημείων με τυχαία σειρά που επιτρέπει σε ένα άτομο να κάνει κάποιες πληροφορίες απρόσιτες σε άλλους ανθρώπους. Αυτό είναι ουσιαστικά μια εγγύηση ότι κανείς δεν θα μπορεί να έχει πρόσβαση στις πληροφορίες σας χωρίς τη γνώση και τη συγκατάθεσή σας.

Αλλά, φίλοι, πόσο σίγουροι είστε ότι προστατεύοντας κάποιο περιεχόμενο με κωδικό πρόσβασης, μπορείτε πλέον να κοιμάστε ήσυχοι; Είστε βέβαιοι ότι ο κωδικός πρόσβασης που δημιουργήσατε δεν μπορεί να βρεθεί ή να μαντευτεί; Τι γίνεται όμως με τις εκατοντάδες και χιλιάδες περιπτώσεις ιστότοπων (ιστολόγια) που παραβιάστηκαν από άτομα που, όπως εσείς, ήταν απολύτως βέβαιοι ότι ήταν απρόσιτα για τους χάκερ;

Πώς σπάνε οι κωδικοί πρόσβασης

Μόνο εσείς και κανείς άλλος δεν γνωρίζετε τη μυστική λέξη για την πρόσβαση. Πώς τότε είναι δυνατόν να το παραλάβω; Είναι πολύ απλό: συχνά ημερομηνίες ή συνηθισμένες λέξεις από το λεξικό χρησιμοποιούνται ως κωδικός πρόσβασης. Ο αριθμός των ψηφίων και το λεξιλόγιο ενός ατόμου είναι περιορισμένοι - οι κωδικοί πρόσβασης αυτού του τύπου συνήθως σπάνε μέσα σε λίγα λεπτά χρησιμοποιώντας ειδικά προγράμματα που περνούν όλες τις πιθανές επιλογές με ταχύτητα αστραπής.

Αν πληκτρολογήσουμε την ακριβή φράση "σπάσε έναν κωδικό πρόσβασης" στη μηχανή αναζήτησης Yandex, θα λάβουμε 184 χιλιάδες απαντήσεις με συγκεκριμένες μεθόδους και τρόπους για να το κάνουμε αυτό. Οι ειδικοί λένε: σήμερα το επίπεδο ανάπτυξης τεχνολογιών και μεθόδων hacking είναι τέτοιο που μπορείς να πάρεις απολύτως οποιονδήποτε κωδικό πρόσβασης, το μόνο ερώτημα είναι ο χρόνος...

Έλεγχος κωδικών πρόσβασης για ισχύ

Θέλετε να μάθετε τώρα πόσο γρήγορα μπορείτε να χακάρετε τον κωδικό πρόσβασής σας; Χρησιμοποιήστε την ηλεκτρονική υπηρεσία How Secure Is My Password. Θα σας δείξει πόσο χρόνο θα χρειαστούν οι χάκερ για να βρουν τη μυστική λέξη σας και θα σας δώσουν συστάσεις για το τι να αλλάξετε.

Για παράδειγμα, εδώ είναι το αποτέλεσμα της ανάλυσης του κωδικού πρόσβασής μου για τον πελάτη WebMoney (πιθανότατα μπορώ να κοιμηθώ ήσυχος):

Δημιουργία ασφαλούς κωδικού πρόσβασης

Εάν, με βάση τα αποτελέσματα της ανάλυσης, αποδειχθεί ότι δεν μπορείτε να περιμένετε να κοιμάστε ήσυχοι για τουλάχιστον τα επόμενα δισεκατομμύρια χρόνια, σας προτείνω να χρησιμοποιήσετε την ηλεκτρονική υπηρεσία δημιουργίας κωδικών πρόσβασης. Θα σας βοηθήσει να δημιουργήσετε έναν εξαιρετικά ισχυρό κωδικό πρόσβασης, ο οποίος διακρίνεται από το γεγονός ότι δεν μπορεί να σπάσει με ωμή βία. Για να γίνει αυτό, πρέπει να περιέχει:

• τουλάχιστον 8 χαρακτήρες (κατά προτίμηση περισσότεροι από 12)
• πεζά και κεφαλαία γράμματα του αλφαβήτου
• αριθμοί
• σύμβολα

Όλες οι επιλογές διαμορφώνονται εύκολα χρησιμοποιώντας τα κατάλληλα πλαίσια ελέγχου. Πήρα έναν από τους κωδικούς πρόσβασης που δημιουργήθηκαν από αυτήν την υπηρεσία και τον δοκίμασα για ταχύτητα σπάσιμο. Μπορείτε να αξιολογήσετε τα αποτελέσματα μόνοι σας:

Φίλοι, κανείς δεν θα φροντίσει για την ασφάλεια των προσωπικών σας δεδομένων εκτός από εσάς. Είναι πάντα καλύτερο να προλαμβάνετε τις δυσάρεστες συνέπειες εκ των προτέρων παρά να επιλύετε προβλήματα που προκύπτουν αργότερα. Οι διαδικτυακές υπηρεσίες που περιγράφονται σήμερα θα σας βοηθήσουν με τον καλύτερο δυνατό τρόπο να αποτρέψετε πιθανά προβλήματα. Καλή τύχη!

Οι περισσότεροι εισβολείς δεν ασχολούνται με εξελιγμένες μεθόδους κλοπής κωδικών πρόσβασης. Παίρνουν συνδυασμούς που είναι εύκολο να μαντέψει κανείς. Περίπου το 1% όλων των υπαρχόντων κωδικών πρόσβασης μπορεί να μαντέψει σε τέσσερις προσπάθειες.

Πώς είναι αυτό δυνατόν; Πολύ απλό. Δοκιμάζετε τους τέσσερις πιο συνηθισμένους συνδυασμούς στον κόσμο: κωδικός πρόσβασης, 123456, 12345678, qwerty. Μετά από ένα τέτοιο πέρασμα, κατά μέσο όρο, ανοίγει το 1% όλων των "κασετών".

Ας υποθέσουμε ότι είστε ένας από εκείνους το 99% των χρηστών των οποίων ο κωδικός πρόσβασης δεν είναι τόσο απλός. Ακόμη και τότε, πρέπει να λαμβάνεται υπόψη η απόδοση του σύγχρονου λογισμικού hacking.

Το John the Ripper είναι ένα δωρεάν και διαθέσιμο στο κοινό πρόγραμμα που μπορεί να ελέγξει εκατομμύρια κωδικούς πρόσβασης ανά δευτερόλεπτο. Ορισμένα δείγματα εξειδικευμένου εμπορικού λογισμικού υποστηρίζουν χωρητικότητα 2,8 δισεκατομμυρίων κωδικών πρόσβασης ανά δευτερόλεπτο.

Αρχικά, τα προγράμματα εισβολής εκτελούνται μέσω μιας λίστας με τους πιο συνηθισμένους στατιστικά συνδυασμούς και, στη συνέχεια, πηγαίνουν στο πλήρες λεξικό. Οι τάσεις των κωδικών πρόσβασης χρήστη ενδέχεται να αλλάξουν ελαφρώς με την πάροδο του χρόνου και αυτές οι αλλαγές λαμβάνονται υπόψη κατά την ενημέρωση αυτών των λιστών.

Με την πάροδο του χρόνου, κάθε είδους υπηρεσίες και εφαρμογές ιστού αποφάσισαν να περιπλέξουν δυναμικά τους κωδικούς πρόσβασης που δημιουργήθηκαν από τους χρήστες. Προστέθηκαν απαιτήσεις, σύμφωνα με τις οποίες ο κωδικός πρόσβασης πρέπει να έχει ορισμένο ελάχιστο μήκος, να περιέχει αριθμούς, κεφαλαία και ειδικούς χαρακτήρες. Ορισμένες υπηρεσίες το παίρνουν τόσο σοβαρά υπόψη ότι η δημιουργία ενός κωδικού πρόσβασης που θα δεχόταν το σύστημα απαιτεί πολύ μεγάλο και κουραστικό χρόνο.

Το βασικό πρόβλημα είναι ότι σχεδόν οποιοσδήποτε χρήστης δεν δημιουργεί έναν κωδικό πρόσβασης που είναι πραγματικά ανθεκτικός στην εικασία, αλλά προσπαθεί μόνο να καλύψει τις ελάχιστες απαιτήσεις του συστήματος για τη σύνθεση του κωδικού πρόσβασης.

Το αποτέλεσμα είναι κωδικοί πρόσβασης στο στυλ password1, password123, Password, PassWoRd, password! και το απίστευτα απρόβλεπτο p@ssword.

Φανταστείτε ότι πρέπει να αλλάξετε τον κωδικό πρόσβασης του Spiderman. Πιθανότατα θα μοιάζει με τον $pider_Man1. Πρωτότυπο; Χιλιάδες άνθρωποι θα το αλλάξουν χρησιμοποιώντας τον ίδιο ή πολύ παρόμοιο αλγόριθμο.

Εάν ο εισβολέας γνωρίζει αυτές τις ελάχιστες απαιτήσεις, τότε η κατάσταση χειροτερεύει. Αυτός είναι ο λόγος που η επιβαλλόμενη απαίτηση να γίνουν πιο σύνθετοι οι κωδικοί πρόσβασης δεν παρέχει πάντα καλύτερους κωδικούς πρόσβασης και συχνά δημιουργεί μια ψευδή αίσθηση αυξημένης ασφάλειας.

Όσο πιο εύκολο είναι να θυμάστε ένας κωδικός πρόσβασης, τόσο πιο πιθανό είναι να καταλήξει στα λεξικά των προγραμμάτων διάρρηξης. Ως αποτέλεσμα, αποδεικνύεται ότι ένας πραγματικά ισχυρός κωδικός πρόσβασης είναι απλά αδύνατο να θυμηθεί κανείς, πράγμα που σημαίνει ότι πρέπει να βρίσκεται κάπου.

Σύμφωνα με τους ειδικούς, ακόμη και σε αυτήν την ψηφιακή εποχή, οι άνθρωποι μπορούν ακόμα να βασίζονται σε ένα κομμάτι χαρτί με γραμμένους κωδικούς πρόσβασης. Είναι βολικό να κρατάτε ένα τέτοιο σεντόνι σε ένα μέρος κρυμμένο από τα αδιάκριτα βλέμματα, για παράδειγμα σε ένα πορτοφόλι ή πορτοφόλι.

Ωστόσο, ένα φύλλο κωδικών πρόσβασης δεν λύνει το πρόβλημα. Οι μεγάλοι κωδικοί πρόσβασης δεν είναι μόνο δύσκολο να απομνημονευθούν, αλλά και δύσκολο να εισαχθούν. Η κατάσταση επιδεινώνεται από τα εικονικά πληκτρολόγια σε κινητές συσκευές.

Αλληλεπιδρώντας με δεκάδες υπηρεσίες και ιστότοπους, πολλοί χρήστες αφήνουν πίσω τους μια σειρά από πανομοιότυπους κωδικούς πρόσβασης. Προσπαθούν να χρησιμοποιήσουν τον ίδιο κωδικό πρόσβασης για κάθε ιστότοπο, αγνοώντας εντελώς τους κινδύνους.

Σε αυτήν την περίπτωση, ορισμένοι ιστότοποι λειτουργούν ως νταντά, αναγκάζοντάς σας να περιπλέκετε τον συνδυασμό. Ως αποτέλεσμα, ο χρήστης απλά δεν μπορεί να καταλάβει πώς έπρεπε να τροποποιήσει τον τυπικό κωδικό πρόσβασης για αυτόν τον ιστότοπο.

Το μέγεθος του προβλήματος έγινε πλήρως αντιληπτό το 2009. Στη συνέχεια, λόγω μιας τρύπας ασφαλείας, ένας χάκερ κατάφερε να κλέψει τη βάση δεδομένων με στοιχεία σύνδεσης και κωδικούς πρόσβασης για την RockYou.com, μια εταιρεία που δημοσιεύει παιχνίδια στο Facebook. Ο εισβολέας τοποθέτησε τη βάση δεδομένων σε δημόσιο τομέα. Συνολικά, περιείχε 32,5 εκατομμύρια εγγραφές με ονόματα χρήστη και κωδικούς πρόσβασης για λογαριασμούς. Διαρροές έχουν συμβεί και στο παρελθόν, αλλά η κλίμακα του συγκεκριμένου γεγονότος έδειξε όλη την εικόνα.

Ο πιο δημοφιλής κωδικός πρόσβασης στο RockYou.com ήταν ο 123456, τον οποίο χρησιμοποιούσαν σχεδόν 291.000 άτομα. Οι άνδρες κάτω των 30 προτιμούσαν συχνότερα σεξουαλικά θέματα και χυδαιότητα. Οι ηλικιωμένοι και των δύο φύλων συχνά στρέφονταν σε έναν ή τον άλλο πολιτισμικό τομέα όταν επιλέγουν έναν κωδικό πρόσβασης. Για παράδειγμα, το Epsilon793 δεν φαίνεται τόσο κακή επιλογή, εκτός από το ότι αυτός ο συνδυασμός ήταν στο Star Trek. Το επταψήφιο 8675309 έχει δει πολλές φορές επειδή εμφανίστηκε σε ένα από τα τραγούδια του Tommy Tutone.

Στην πραγματικότητα, η δημιουργία ενός ισχυρού κωδικού πρόσβασης είναι μια απλή εργασία που χρειάζεται να κάνετε είναι να δημιουργήσετε έναν συνδυασμό τυχαίων χαρακτήρων.

Δεν θα μπορείτε να δημιουργήσετε έναν απόλυτα τυχαίο μαθηματικό συνδυασμό στο μυαλό σας, αλλά δεν χρειάζεται να το κάνετε. Υπάρχουν ειδικές υπηρεσίες που δημιουργούν πραγματικά τυχαίους συνδυασμούς. Για παράδειγμα, το random.org μπορεί να δημιουργήσει κωδικούς όπως αυτός:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Αυτή είναι μια απλή και κομψή λύση, ειδικά για όσους χρησιμοποιούν αποθήκευση κωδικού πρόσβασης.

Δυστυχώς, οι περισσότεροι χρήστες συνεχίζουν να χρησιμοποιούν απλούς, αδύναμους κωδικούς πρόσβασης, αγνοώντας ακόμη και τον κανόνα «διαφορετικοί κωδικοί πρόσβασης για κάθε ιστότοπο». Για αυτούς, η ευκολία είναι πιο σημαντική από την ασφάλεια.

Οι καταστάσεις στις οποίες ένας κωδικός πρόσβασης μπορεί να διατρέχει κίνδυνο μπορούν να χωριστούν σε 3 μεγάλες κατηγορίες:

• Τυχαίος, στο οποίο ένα άτομο που γνωρίζετε προσπαθεί να μάθει τον κωδικό πρόσβασής σας, με βάση πληροφορίες για εσάς που του γνωρίζετε. Συχνά, ένας τέτοιος διαρρήκτης θέλει απλώς να παίξει ένα αστείο, να μάθει κάτι για εσάς ή να παίξει βρώμικα κόλπα μαζί σας.
• Μαζικές επιθέσεις, όταν απολύτως οποιοσδήποτε χρήστης ορισμένων υπηρεσιών μπορεί να γίνει θύμα. Σε αυτή την περίπτωση, χρησιμοποιείται εξειδικευμένο λογισμικό. Οι λιγότερο ασφαλείς ιστότοποι επιλέγονται για την επίθεση, επιτρέποντας την εισαγωγή πολλαπλών παραλλαγών κωδικών πρόσβασης σε σύντομο χρονικό διάστημα.
• Στοχευμένο, συνδυάζοντας τη λήψη υποδηλωτικών συμβουλών (όπως στην πρώτη περίπτωση) και τη χρήση εξειδικευμένου λογισμικού (όπως σε μια μαζική επίθεση). Εδώ μιλάμε για προσπάθεια απόκτησης πραγματικά πολύτιμων πληροφοριών. Μόνο ένας αρκετά μεγάλος τυχαίος κωδικός πρόσβασης θα σας βοηθήσει να προστατευθείτε, η επιλογή του οποίου θα πάρει χρόνο συγκρίσιμο με τη διάρκεια του κωδικού πρόσβασής σας.

Όπως μπορείτε να δείτε, απολύτως οποιοσδήποτε μπορεί να γίνει θύμα. Δηλώσεις όπως «δεν θα κλέψουν τον κωδικό πρόσβασής μου γιατί κανείς δεν με χρειάζεται» δεν είναι σχετικές, γιατί μπορεί να βρεθείτε σε παρόμοια κατάσταση εντελώς τυχαία, τυχαία, χωρίς προφανή λόγο.

Όσοι έχουν πολύτιμες πληροφορίες, ασχολούνται με επιχειρήσεις ή βρίσκονται σε σύγκρουση με κάποιον για οικονομικούς λόγους (για παράδειγμα, διαίρεση περιουσίας κατά τη διάρκεια ενός διαζυγίου, ανταγωνισμός σε επιχειρήσεις) θα πρέπει να λάβουν ακόμη πιο σοβαρά υπόψη την προστασία με κωδικό πρόσβασης.

Το 2009, το Twitter (κατά την κατανόηση ολόκληρης της υπηρεσίας) παραβιάστηκε μόνο επειδή ο διαχειριστής χρησιμοποίησε τη λέξη ευτυχία ως κωδικό πρόσβασης. Ένας χάκερ το πήρε και το δημοσίευσε στον ιστότοπο Digital Gangster, κάτι που οδήγησε στην πειρατεία των λογαριασμών Obama, Britney Spears, Facebook και Fox News.

Ακρωνύμια

Όπως σε κάθε άλλη πτυχή της ζωής, πρέπει πάντα να κάνουμε έναν συμβιβασμό μεταξύ της μέγιστης ασφάλειας και της μέγιστης άνεσης. Πώς να βρείτε τη χρυσή τομή; Ποια στρατηγική δημιουργίας κωδικών πρόσβασης θα σας επιτρέψει να δημιουργήσετε δυνατούς συνδυασμούς που θα μπορείτε εύκολα να θυμάστε;

Αυτή τη στιγμή, ο καλύτερος συνδυασμός αξιοπιστίας και ευκολίας είναι η μετατροπή μιας φράσης ή φράσης σε κωδικό πρόσβασης.

Επιλέγεται ένα σύνολο λέξεων που θυμάστε πάντα και ο κωδικός πρόσβασης είναι ένας συνδυασμός των πρώτων γραμμάτων κάθε λέξης. Για παράδειγμα, το May the force be with you μετατρέπεται σε Mtfbwy.

Ωστόσο, δεδομένου ότι τα πιο διάσημα θα χρησιμοποιηθούν ως αρχικά, τα προγράμματα θα λάβουν τελικά αυτά τα ακρωνύμια στις λίστες τους. Στην πραγματικότητα, ένα αρκτικόλεξο περιέχει μόνο γράμματα και επομένως είναι αντικειμενικά λιγότερο αξιόπιστο από έναν τυχαίο συνδυασμό συμβόλων.

Η σωστή επιλογή φράσης θα σας βοηθήσει να απαλλαγείτε από το πρώτο πρόβλημα. Γιατί να μετατρέψετε μια παγκοσμίου φήμης έκφραση σε κωδικό πρόσβασης για ακρωνύμιο; Πιθανότατα θυμάστε κάποιες ρήσεις που αφορούν μόνο τον στενό σας κύκλο. Ας υποθέσουμε ότι ακούσατε μια πολύ αξέχαστη φράση από έναν μπάρμαν σε μια τοπική εγκατάσταση. Χρησιμοποιησετο.

Και είναι ακόμα απίθανο ο κωδικός πρόσβασης για το ακρωνύμιο που δημιουργείτε να είναι μοναδικός. Το πρόβλημα με τα ακρωνύμια είναι ότι διαφορετικές φράσεις μπορεί να αποτελούνται από λέξεις που ξεκινούν με τα ίδια γράμματα και είναι διατεταγμένες με την ίδια σειρά. Στατιστικά, σε διάφορες γλώσσες, υπάρχει αυξημένη συχνότητα εμφάνισης ορισμένων γραμμάτων ως αρχικών λέξεων. Τα προγράμματα θα λαμβάνουν υπόψη αυτούς τους παράγοντες και η αποτελεσματικότητα των ακρωνύμιων στην αρχική έκδοση θα μειωθεί.

Αντίστροφη μέθοδος

Η λύση μπορεί να είναι η μέθοδος αντίστροφης παραγωγής. Δημιουργείτε έναν εντελώς τυχαίο κωδικό πρόσβασης στο random.org και, στη συνέχεια, μετατρέπετε τους χαρακτήρες του σε μια ουσιαστική, αξέχαστη φράση.

Συχνά οι υπηρεσίες και οι ιστότοποι δίνουν στους χρήστες προσωρινούς κωδικούς πρόσβασης, οι οποίοι είναι αυτοί οι εντελώς τυχαίοι συνδυασμοί. Θα θέλετε να τα αλλάξετε γιατί δεν θα μπορείτε να τα θυμάστε, αλλά αν κοιτάξετε λίγο πιο προσεκτικά, γίνεται προφανές ότι δεν χρειάζεται να θυμάστε τον κωδικό πρόσβασης. Για παράδειγμα, ας πάρουμε μια άλλη επιλογή από το random.org - RPM8t4ka.

Αν και φαίνεται ανούσιο, ο εγκέφαλός μας είναι ικανός να βρίσκει ορισμένα μοτίβα και αντιστοιχίες ακόμα και σε τέτοιο χάος. Αρχικά, μπορείτε να παρατηρήσετε ότι τα τρία πρώτα γράμματα σε αυτό είναι κεφαλαία και τα επόμενα τρία είναι πεζά. Το 8 είναι δύο φορές (στα αγγλικά δύο φορές - t) 4. Κοιτάξτε λίγο αυτόν τον κωδικό πρόσβασης και σίγουρα θα βρείτε τους δικούς σας συσχετισμούς με το προτεινόμενο σύνολο γραμμάτων και αριθμών.

Εάν μπορείτε να απομνημονεύσετε σειρές λέξεων χωρίς νόημα, χρησιμοποιήστε το. Αφήστε τον κωδικό πρόσβασης να μετατραπεί σε στροφές ανά λεπτό 8 κομμάτι 4 katty. Οποιαδήποτε μετατροπή για την οποία είναι πιο κατάλληλος ο εγκέφαλός σας θα γίνει.

Ένας τυχαίος κωδικός πρόσβασης είναι το χρυσό πρότυπο στην τεχνολογία πληροφοριών. Είναι εξ ορισμού καλύτερος από οποιονδήποτε κωδικό πρόσβασης που δημιουργήθηκε από τον άνθρωπο.

Το μειονέκτημα των ακρωνύμιων είναι ότι με την πάροδο του χρόνου, η εξάπλωση μιας τέτοιας τεχνικής θα μειώσει την αποτελεσματικότητά της και η αντίστροφη μέθοδος θα παραμείνει εξίσου αξιόπιστη, ακόμα κι αν όλοι οι άνθρωποι στη γη τη χρησιμοποιούν για χίλια χρόνια.

Ένας τυχαίος κωδικός πρόσβασης δεν θα συμπεριληφθεί στη λίστα των δημοφιλών συνδυασμών και ένας εισβολέας που χρησιμοποιεί μια μέθοδο μαζικής επίθεσης θα βρει έναν τέτοιο κωδικό πρόσβασης μόνο χρησιμοποιώντας ωμή βία.

Ας πάρουμε έναν απλό τυχαίο κωδικό πρόσβασης που λαμβάνει υπόψη τα κεφαλαία και τους αριθμούς - δηλαδή 62 πιθανούς χαρακτήρες για κάθε θέση. Εάν κάνουμε τον κωδικό πρόσβασης μόλις 8 ψηφία, θα έχουμε 62^8 = 218 τρισεκατομμύρια επιλογές.

Ακόμα κι αν ο αριθμός των προσπαθειών σε μια συγκεκριμένη χρονική περίοδο είναι απεριόριστος, το πιο εμπορικό εξειδικευμένο λογισμικό με χωρητικότητα 2,8 δισεκατομμυρίων κωδικών πρόσβασης ανά δευτερόλεπτο θα αφιερώσει κατά μέσο όρο 22 ώρες προσπαθώντας να βρει τον σωστό συνδυασμό. Για να είμαστε σίγουροι, προσθέτουμε μόνο 1 επιπλέον χαρακτήρα σε έναν τέτοιο κωδικό πρόσβασης - και θα χρειαστούν πολλά χρόνια για να τον σπάσουμε.

Ένας τυχαίος κωδικός πρόσβασης δεν είναι άτρωτος, καθώς μπορεί να κλαπεί. Υπάρχουν πολλές επιλογές, που κυμαίνονται από την ανάγνωση εισόδου από ένα πληκτρολόγιο έως μια κάμερα πάνω από τον ώμο σας.

Ένας χάκερ μπορεί να επιτεθεί στην ίδια την υπηρεσία και να λάβει δεδομένα απευθείας από τους διακομιστές της. Σε αυτήν την περίπτωση, τίποτα δεν εξαρτάται από τον χρήστη.

Ενιαία αξιόπιστη βάση

Λοιπόν, φτάσαμε στο κύριο θέμα. Ποιες τακτικές τυχαίου κωδικού πρόσβασης πρέπει να χρησιμοποιείτε στην πραγματική ζωή; Από την άποψη της ισορροπίας και της ευκολίας, η «φιλοσοφία ενός ισχυρού κωδικού πρόσβασης» θα λειτουργήσει καλά.

Η αρχή είναι ότι χρησιμοποιείτε την ίδια βάση - έναν εξαιρετικά ασφαλή κωδικό πρόσβασης (οι παραλλαγές του) στις υπηρεσίες και τους ιστότοπους που είναι πιο σημαντικοί για εσάς.

Ο καθένας μπορεί να θυμηθεί έναν μακρύ και περίπλοκο συνδυασμό.

Ο Nick Berry, σύμβουλος ασφάλειας πληροφοριών, επιτρέπει τη χρήση αυτής της αρχής, υπό την προϋπόθεση ότι ο κωδικός πρόσβασης είναι πολύ καλά προστατευμένος.

Δεν επιτρέπεται η παρουσία κακόβουλου λογισμικού στον υπολογιστή από τον οποίο εισάγετε τον κωδικό πρόσβασης. Δεν επιτρέπεται η χρήση του ίδιου κωδικού πρόσβασης για λιγότερο σημαντικούς και διασκεδαστικούς ιστότοπους - θα αρκούν απλούστεροι κωδικοί πρόσβασης, καθώς η παραβίαση ενός λογαριασμού εδώ δεν θα έχει μοιραίες συνέπειες.

Είναι σαφές ότι μια αξιόπιστη βάση πρέπει να τροποποιηθεί με κάποιο τρόπο για κάθε τοποθεσία. Ως απλή επιλογή, μπορείτε να προσθέσετε ένα γράμμα στην αρχή για να τελειώσετε το όνομα της τοποθεσίας ή της υπηρεσίας. Εάν επιστρέψουμε σε αυτόν τον τυχαίο κωδικό πρόσβασης RPM8t4ka, τότε για τη σύνδεση στο Facebook θα μετατραπεί σε kRPM8t4ka.

Ένας εισβολέας που βλέπει έναν τέτοιο κωδικό πρόσβασης δεν θα μπορεί να καταλάβει πώς δημιουργείται ο κωδικός πρόσβασης στον λογαριασμό σας. Τα προβλήματα θα ξεκινήσουν εάν κάποιος αποκτήσει πρόσβαση σε δύο ή περισσότερους από τους κωδικούς πρόσβασής σας που δημιουργήθηκαν με αυτόν τον τρόπο.

μυστική ερώτηση

Μερικοί αεροπειρατές αγνοούν εντελώς τους κωδικούς πρόσβασης. Ενεργούν για λογαριασμό του κατόχου του λογαριασμού και προσομοιώνουν μια κατάσταση όπου ξεχάσατε τον κωδικό πρόσβασής σας και τον θέλετε για μια ερώτηση ασφαλείας. Σε αυτό το σενάριο, μπορεί να αλλάξει τον κωδικό πρόσβασης μετά από δικό του αίτημα και ο πραγματικός κάτοχος θα χάσει την πρόσβαση στον λογαριασμό του.

Το 2008, κάποιος απέκτησε πρόσβαση στο email της Σάρα Πέιλιν, κυβερνήτη της Αλάσκας, και εκείνη την εποχή επίσης υποψήφια πρόεδρος των ΗΠΑ. Ο διαρρήκτης απάντησε στην κρυφή ερώτηση, η οποία ακουγόταν ως εξής: «Πού γνώρισες τον άντρα σου;»

Μετά από 4 χρόνια, ο Μιτ Ρόμνεϊ, που ήταν και υποψήφιος πρόεδρος των ΗΠΑ εκείνη την περίοδο, έχασε αρκετούς λογαριασμούς του σε διάφορες υπηρεσίες. Κάποιος απάντησε στην ερώτηση ασφαλείας σχετικά με το όνομα του κατοικίδιου του Μιτ Ρόμνεϊ.

Έχετε ήδη μαντέψει την ουσία.

Δεν μπορείτε να χρησιμοποιήσετε δημόσια και εύκολα μαντέψιμα δεδομένα ως μυστική ερώτηση και απάντηση.

Το ερώτημα δεν είναι καν ότι αυτές οι πληροφορίες μπορούν να εξαχθούν προσεκτικά από το Διαδίκτυο ή από στενούς συνεργάτες. Οι απαντήσεις σε ερωτήσεις με στυλ "όνομα ζώου", "αγαπημένη ομάδα χόκεϋ" και ούτω καθεξής επιλέγονται τέλεια από τα αντίστοιχα λεξικά δημοφιλών επιλογών.

Ως προσωρινή επιλογή, μπορείτε να χρησιμοποιήσετε την τακτική της παράλογης απάντησης. Με απλά λόγια, η απάντηση δεν πρέπει να έχει καμία σχέση με την ερώτηση ασφαλείας. Το πατρικό όνομα της μητέρας; Διφαινυδραμίνη. Ονομα κατοικιδίου; 1991.

Ωστόσο, μια τέτοια τεχνική, αν γίνει ευρέως διαδεδομένη, θα ληφθεί υπόψη στα σχετικά προγράμματα. Οι παράλογες απαντήσεις είναι συχνά στερεότυπες, δηλαδή κάποιες φράσεις θα εμφανίζονται πολύ πιο συχνά από άλλες.

Στην πραγματικότητα, δεν υπάρχει τίποτα κακό με τη χρήση πραγματικών απαντήσεων, απλά πρέπει να επιλέξετε την ερώτηση με σύνεση. Εάν η ερώτηση είναι μη τυπική και η απάντηση σε αυτήν είναι γνωστή μόνο σε εσάς και δεν μπορείτε να μαντέψετε μετά από τρεις προσπάθειες, τότε όλα είναι εντάξει. Το πλεονέκτημα μιας αληθινής απάντησης είναι ότι δεν θα το ξεχάσετε με τον καιρό.

ΚΑΡΦΙΤΣΑ

Ο Προσωπικός Αριθμός Αναγνώρισης (PIN) είναι μια φθηνή κλειδαριά που μας . Κανείς δεν μπαίνει στον κόπο να δημιουργήσει έναν πιο αξιόπιστο συνδυασμό τουλάχιστον αυτών των τεσσάρων ψηφίων.

Τώρα σταματήστε. Τώρα αμέσως. Αυτήν τη στιγμή, χωρίς να διαβάσετε την επόμενη παράγραφο, προσπαθήστε να μαντέψετε τον πιο δημοφιλή κωδικό PIN. Ετοιμος;

Ο Nick Berry εκτιμά ότι το 11% του πληθυσμού των ΗΠΑ χρησιμοποιεί τον συνδυασμό 1234 ως κωδικό PIN (όπου είναι δυνατό να τον αλλάξετε μόνοι σας).

Οι χάκερ δεν δίνουν σημασία στους κωδικούς PIN γιατί χωρίς τη φυσική παρουσία της κάρτας ο κωδικός είναι άχρηστος (αυτό μπορεί εν μέρει να δικαιολογήσει το μικρό μήκος του κωδικού).

Ο Berry πήρε λίστες με κωδικούς πρόσβασης που εμφανίστηκαν μετά από διαρροές στο δίκτυο, οι οποίοι ήταν συνδυασμοί τεσσάρων αριθμών. Πιθανότατα, το άτομο που χρησιμοποιεί τον κωδικό πρόσβασης 1967 τον επέλεξε για κάποιο λόγο. Το δεύτερο πιο δημοφιλές PIN είναι το 1111, με το 6% των ατόμων να προτιμούν αυτόν τον κωδικό. Στην τρίτη θέση είναι 0000 (2%).

Ας υποθέσουμε ότι το άτομο που γνωρίζει αυτές τις πληροφορίες έχει τις πληροφορίες κάποιου άλλου στα χέρια του. Τρεις προσπάθειες πριν μπλοκαριστεί η κάρτα. Τα απλά μαθηματικά σάς επιτρέπουν να υπολογίσετε ότι αυτό το άτομο έχει 19% πιθανότητα να μαντέψει τον κωδικό PIN εάν εισαγάγει 1234, 1111 και 0000 με τη σειρά.

Αυτός είναι πιθανώς ο λόγος που η συντριπτική πλειοψηφία των τραπεζών ορίζουν οι ίδιες κωδικούς PIN για τις εκδοθείσες πλαστικές κάρτες.

Ωστόσο, πολλοί προστατεύουν τα smartphone με κωδικό PIN και εδώ ισχύει η ακόλουθη βαθμολογία δημοτικότητας: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3335,838, 5 4321, 2001, 1010.

Συχνά το PIN αντιπροσωπεύει ένα έτος (έτος γέννησης ή ιστορική ημερομηνία).

Σε πολλούς ανθρώπους αρέσει να δημιουργούν PIN με τη μορφή επαναλαμβανόμενων ζευγών αριθμών (και τα ζεύγη όπου το πρώτο και το δεύτερο ψηφίο διαφέρουν κατά ένα είναι ιδιαίτερα δημοφιλή).

Τα αριθμητικά πληκτρολόγια κινητών συσκευών εμφανίζουν συνδυασμούς όπως το 2580 στο επάνω μέρος - για να το πληκτρολογήσετε, απλώς κάντε ένα ίσιο πέρασμα από πάνω προς τα κάτω στο κέντρο.

Στην Κορέα, ο αριθμός 1004 είναι σύμφωνος με τη λέξη "άγγελος", γεγονός που κάνει αυτόν τον συνδυασμό αρκετά δημοφιλή εκεί.

Συμπέρασμα

1. Μεταβείτε στο random.org και δημιουργήστε 5-10 υποψήφιους κωδικούς πρόσβασης.
2. Επιλέξτε έναν κωδικό πρόσβασης που μπορείτε να μετατρέψετε σε μια αξέχαστη φράση.
3. Χρησιμοποιήστε αυτή τη φράση για να θυμάστε τον κωδικό πρόσβασής σας.