Φαίνεται ότι κάθε μέρα, κάποιος έρχεται σε ένα φόρουμ που γράφει για τον τρόπο με τον οποίο οι λογαριασμοί του χάρισαν με κάποιο τρόπο και δεν καταλαβαίνει γιατί. Ένας από τους λόγους που οι άνθρωποι παίρνουν λογαριασμούς συμβιβάζονται τόσο συχνά είναι επειδή δεν καταλαβαίνουν ακριβώς πώς συμβαίνει. Μόλις καταστεί σαφής η διαδικασία λήψης του κωδικού πρόσβασης κάποιου (είναι απλό, λοιπόν), τότε μπορούμε να κατανοήσουμε πώς μπορούμε να τροποποιήσουμε τους κωδικούς πρόσβασης για να αποτρέψουμε αποτελεσματικά τους εισβολείς από τους λογαριασμούς μας. Μια πρόταση που οι εμπειρογνώμονες ασφαλείας έχουν κάνει πρόσφατα ήταν να χρησιμοποιούν σύντομες προτάσεις ως κωδικούς πρόσβασης, αντί να χρησιμοποιούν μια συνεχή σειρά χαρακτήρων (όπως "blablabla"). Θα ρίξουμε μια ματιά σε αυτό και γιατί μπορεί ή δεν μπορεί να είναι πιο ασφαλής.

Κατανόηση κλοπής κωδικού πρόσβασης

Εδώ στο MTE, έχω ήδη καλύψει τους τρόπους με τους οποίους οι χάκερ μπορούν να πάρουν το password σας. Ωστόσο, ο κατάλογος αυτός αποτελείται κυρίως από μεθόδους που χρησιμοποιούνται για να ξεμπερδεύουν και να λαμβάνουν εύκολα τα διαπιστευτήρια σας. Αυτή τη στιγμή, θέλω να καλύψω μαζί σας τις μεθόδους που χρησιμοποιούν οι χάκερ για να σπάσουν το λογαριασμό σας από το εξωτερικό παρά να διεισδύσουν στην κίνηση των πακέτων σας. Αυτές οι μέθοδοι είναι λίγο πιο απλές αλλά πιο χρονοβόρες. Ας ρίξουμε μια ματιά:

  • Βίαιες βίαιες επιθέσεις: Η μέθοδος αυτής της τρέλας συνεπάγεται απλά να περάσει κανείς από έναν τόνο μεταλλάξεων πολλών χαρακτήρων. Έτσι, ένας χάκερ με ένα εργαλείο ωμής βίας θα δοκιμάσει απλά χιλιάδες παραλλαγές, ελπίζοντας να χτυπήσει το σωστό μετά από λίγο. Το εργαλείο θα μαντέψει τυχαία συνδυασμούς χαρακτήρων (όπως "jif2 $ F"). Δεδομένου ότι οι κωδικοί πρόσβασης είναι συνήθως περισσότερο από έξι γράμματα, αυτή η μέθοδος θα χρειαστεί λίγο χρόνο! Ωστόσο, ένας αποφασισμένος χάκερ θα καθίσει σε μια ολόκληρη μέρα αξίας κωδικού πρόσβασης μαντεύοντας μόνο για να μπει στον λογαριασμό σας.
  • Κοινές επιθέσεις λέξεων: Ο χάκερ θα χρησιμοποιήσει από μια λίστα κοινές καθημερινές λέξεις (όπως "φράουλα" ή "ουίσκι"), θα τις φορτώσει σε ένα ειδικό εργαλείο και θα δοκιμάσει το καθένα. Χρειάζονται μόνο λίγα λεπτά (πολλές φορές, ακόμη και μερικά δευτερόλεπτα) για να σπάσουν έναν λογαριασμό χρησιμοποιώντας μια κοινή λέξη ως κωδικό πρόσβασης.
  • Επιθέσεις λεξικού: Όπως υποδηλώνει το όνομα, ο χάκερ βγάζει ένα αντίγραφο του Λεξικού της Οξφόρδης και προσπαθεί κάθε λέξη. Χρησιμοποιώντας ένα αυτοματοποιημένο εργαλείο, αυτό παίρνει λίγο περισσότερο από μια κοινή επίθεση λέξη, αλλά θα πάρει ένα μεγάλο ποσό των λογαριασμών ραγισμένα.

Οι εμπειρογνώμονες στον τομέα της ασφάλειας έχουν φτάσει στο συμπέρασμα ότι ο ασφαλέστερος κωδικός πρόσβασης είναι ένας συνδυασμός αλφαριθμητικών χαρακτήρων (συμπεριλαμβανομένων κεφαλαίων) και ειδικών χαρακτήρων (όπως "$ @ (% #")) .Αυτό δεν απέχει πολύ από την αλήθεια σήμερα. όπως το "ff9jF # D" είναι πολύ πιο ασφαλές από το "καραμέλα". Το μειονέκτημα είναι ότι είναι δύσκολο να θυμηθούμε τυχαίους χαρακτήρες.

Και ενώ είμαστε ακόμα σε αυτό το θέμα, επιτρέψτε μου να σας πω ένα μυστικό: Εάν κάποιος εμπειρογνώμονας σας λέει ότι ένας κωδικός χαρακτήρων χαρακτήρων θα χρειαστούν αρκετά χρόνια για να σπάσει, μάλλον μιλάει για βίαιη επιβολή με CPU. Οι χάκερ δεν το κάνουν πια. Αντ 'αυτού, χρησιμοποιούν τεχνολογίες CUDA της nVidia, οι οποίες τους επιτρέπουν να αξιοποιούν την εξαιρετικά ταχύτερη GPU μιας κάρτας γραφικών, επιτρέποντάς τους να κάνουν ό, τι κάνει ένας υπολογιστής σε μια εβδομάδα μέσα σε μια ώρα, συνδυάζοντας ένα σωρό υλικό μαζί ( μέσω γέφυρας SLI).

Είναι οι καταδίκες καλύτερο;

Ο χώρος ("") είναι νομικός χαρακτήρας στις περισσότερες φόρμες κωδικού πρόσβασης. Αυτό σημαίνει ότι μπορείτε να διαχωρίσετε τις λέξεις ο ένας από τον άλλο. Απλά έχοντας μια πρόταση ως κωδικός πρόσβασης μπορεί να δημιουργήσει έναν εφιάλτη για τους χάκερ, σύμφωνα με έναν αριθμό ειδικών ασφαλείας, ένας από τους οποίους είναι ο Thomas Baekdal. Το πλεονέκτημα της χρήσης μιας φράσης είναι ότι είναι πολύ πιο εύκολο να θυμάστε από το 8fa @! * FaicC και είναι επίσης πιο ασφαλές όταν χρησιμοποιείται σωστά.

Το 2007, ο Baekdal έγραψε ότι "αυτό είναι διασκεδαστικό" είναι 10 φορές πιο ασφαλές από το "J4fS <2". Δεν είμαι σίγουρος ποια είναι η γνώμη του για αυτό τώρα, αλλά δεν νομίζω ότι χρησιμοποιώντας κάτι απλό όπως " αυτό είναι διασκέδαση "είναι τόσο ασφαλής που θα χρειαζόταν έναν υπολογιστή, σύμφωνα με το γραπτό του κομμάτι, 2.537 χρόνια για να το σπάσει.

Για έναν, ας πούμε ότι ένας χάκερ χρησιμοποιεί μια λίστα με τις χιλιάδες πιο κοινές λέξεις στην αγγλική γλώσσα για να σπάσει "αυτό είναι διασκεδαστικό". Επειδή ο κωδικός πρόσβασης χρησιμοποιεί τρεις ξεχωριστές λέξεις, θα πρέπει να αγωνιστούμε με 1.000 * 1.000 * 1.000 πιθανές μεταβολές. Αυτό μας δίνει ένα δισεκατομμύριο παραλλαγές στον κύκλο. Ακούγεται σαν πολλά, αλλά για έναν υπολογιστή, αυτό είναι πολύ απλό.

Δεν λέω ότι ο Thomas Baekdal είναι λάθος. Απλώς λέω ότι πρέπει να ακολουθήσετε ορισμένες οδηγίες όταν κάνετε την επιλογή σας. Επιτρέψτε μου να σας παρουσιάσω κάποιες ιδέες που έχω μαγειρέψει ενώ σκέφτομαι αυτό το πρόβλημα για αρκετές ημέρες:

  • Χρησιμοποιήστε χωριστές διαχωριστές, όπως το παύλα ("-"). Εάν είστε λίγο πιο τολμηροί, δοκιμάστε κάτι πραγματικά δύσκολο να το καταλάβετε, όπως το σύμβολο εμπορικού σήματος ("™", Alt + 0153).
  • Χρησιμοποιήστε μη γραμμικές λέξεις που δεν συνομιλούν, όπως η " κβαντική θεωρία είναι πρωταρχική εξέλιξη. "Μπορείτε επίσης να δημιουργήσετε μια πρόταση σε άλλη γλώσσα, όπως η λέξη Latin (" repetitio est mater studiorum "). Αυτό είναι ιδιαίτερα χρήσιμο όταν τα αγγλικά δεν είναι η πρώτη σας γλώσσα. Οι περισσότεροι χάκερ θα αναζητήσουν κωδικούς πρόσβασης με αγγλικές λέξεις, αλλά πολύ λίγοι από αυτούς θα σκεφτούν, για παράδειγμα, ρουμανικά ή τσέχικα.
  • Κάνετε προτάσεις με τυχαίες λέξεις. Ένα παράδειγμα θα μπορούσε να είναι " παραφυσικό φωτόνιο κεφαλόποδα ".

Ακολουθώντας αυτούς τους κανόνες μπορεί να καταλήξετε σε έναν κωδικό που είναι, αρχικά, δύσκολο να θυμηθεί. Αλλά θα πρέπει να εξετάσετε τη λατινική παροιμία που χρησιμοποίησα ως παράδειγμα μη κωδικού αγγλικής γλώσσας. Η μετάφρασή της: Η επανάληψη είναι η μητέρα της μελέτης. Εάν συνεχίσετε να χρησιμοποιείτε τον κωδικό πρόσβασής σας, θα το θυμάστε με ένα άγγιγμα. Η ανάμνηση του " faji2o # ($ FCCineF) 9f (# ", νομίζω, είναι πολύ πιο δύσκολη από το να θυμάσαι το " paraphernalia photon cephalopod " ή οτιδήποτε μπορεί να είναι αυτές οι λέξεις στη μητρική σου γλώσσα.

Θυμηθείτε, όσο περισσότερο κάνετε την πρόταση, τόσο πιο ασφαλής γίνεται! Χρησιμοποιώντας μια συντομότερη πρόταση ενδέχεται να σας επιτρέψει να έχετε κάποιο υψηλό επίπεδο ασφάλειας, εφόσον δεν χρησιμοποιείτε κάτι που μπορεί να συλληφθεί σε μια κοινή λίστα λέξεων. Επιθέσεις με λεξικό για τον κωδικό πρόσβασής σας εξακολουθούν να είναι δυνατές, αλλά δεν είναι πιθανό να αποδώσουν αποτελέσματα λόγω του τεράστιου χρόνου που θα χρειαστεί για το εργαλείο του χάκερ να σπάσει τον κωδικό πρόσβασής σας.

Περιορισμός

Ο μόνος περιορισμός στην παραπάνω μέθοδο είναι ότι ορισμένοι ιστότοποι δεν επιτρέπουν κωδικούς πρόσβασης που να υπερβαίνουν τους 20 χαρακτήρες. Μερικοί επίσης δεν επιτρέπουν χώρους ή άλλους ειδικούς χαρακτήρες στους κωδικούς πρόσβασης, αν και αυτό γίνεται όλο και πιο σπάνιο. Έχω συναντήσει ακόμη και μια ηλεκτρονική πλατφόρμα τραπεζικών συναλλαγών που επιτρέπει μόνο έως και 14 αλφαριθμητικούς χαρακτήρες. Σε αυτούς τους ιστότοπους, οι κωδικοί ποινών δεν θα λειτουργήσουν απολύτως.

Ήρθε η ώρα να μιλήσετε!

Συζητήθηκα πολύ τώρα. Μερικά από αυτά είναι λίγο αντιφατικά με την συμβατική γνώση σχετικά με τους κωδικούς πρόσβασης, οπότε είναι φυσιολογικό να έχετε απόψεις, ερωτήσεις και σκέψεις σχετικά με το θέμα. Ήρθε η ώρα να ανοίξετε. Ελάτε μαζί μου και τους συναδέλφους αναγνώστες σε μια συζήτηση που θα μπορούσε να βοηθήσει να διευκρινίσει τα πάντα αφήνοντας ένα σχόλιο παρακάτω!