OTT útmutató egy erős jelszó létrehozásához
Mostanra olyan gyakori, hogy mindezt anélkül csináljuk, hogy gondolkodnánk róla: hozzon létre egy legalább x karakterből álló jelszót, legalább egy számot és egy szimbólumot, és nem az első vagy utónév. Legyen szó akár munkahelyről, akár egy Apple-azonosító létrehozásáról, ezek az „erős” jelszó jelszavas követelmények mindenhol megtalálhatók.
Miután egy napon létrehozott egy új jelszót egy webhelyen, elkezdtem elgondolkodni arról, hogy mennyire különböznek a követelmények. Néhány webhely 3 karakternél rövidebb jelszót szeretne, és néhányan legalább 8-at érvényesítenek. Néhány szimbólumot szeretne, néhány nem. Néhány érdekel a neved és a korábbi jelszavak, más nem. Tehát melyik jelszó nagyon erős?
Néhány kutatást végeztem és két dolgot találtam meg, amikor valaki „megreped” a jelszavamról: először is, van a jelszó erőssége, másodszor pedig a titkosítás ereje, ami a jelszót tárolva tárolja.
Gyorsan rájöttem, hogy az erős jelszó egész koncepciója nagyon matematikai, és számos tanulmány készült ezen a területen. Az, amelyik felhívta a figyelmet, és ezt a hozzászólást megemlítem egy 2011-es Carnegie-Mellon tanulmányból.
Először ellenőrizze a jelszót
Mielőtt belépnénk egy erős jelszóba, lássuk, mennyi ideig tart a feltétlenül erős jelszavának feltörése. Ennek ellenőrzéséhez egy eszközt fogunk használni a PassFault webhelyen:
https://passfault.appspot.com/password_strength.html
Így működik. Írja be a jelszavát, majd kattintson a gombra elemez. Két lehetőség van, amelyek alapértelmezés szerint rejtve vannak, de rákattinthat Opciók megjelenítése. Magyarázzuk el, mit jelentenek.
A krakkoló hardver alapértelmezés szerint egy $ 900 jelszó támadó, ami egy jogos hacker számára lehetséges. Lehetőségük van arra is, hogy válasszanak egy $ 180,000 jelszó támadót, amit a kínai használhat, ha ez drága. A jelszóvédelem legördülő listája néhány lehetőséget biztosít a jelszó tárolásához használt titkosítás típusára. A Microsoft Windows rendszer a leggyengébb, nincs meglepetés. Ezután van vezeték nélküli WPA hozzáférési pont, UNIX SHA1, UNIX Blowfish és 100 forduló SHA1.
Megpróbáltam az erős jelszavamat, amit néhány webhelyen használok, és megdöbbentem, hogy 1 nap alatt megrepedhet!
Wow, ez elég rossz. Tehát akkor választottam az erősebb titkosítási lehetőségeket (Unix Blowfish és 100 forduló SHA1), és boldogabb voltam, hogy az eredmények több mint egy napig tarthassanak: 1 év és 7 hónap Unix Blowfish esetében és 2 hónap és 2 nap 100 forduló SHA1 . Azonban a $ 180,000 jelszó támadóval 11 napra és 3 napra csökkent. Nem elfogadható, gondoltam! Azt akarom, hogy a jelszavam évekig eltörjön, még egy szuper drága jelszó krakkolóval is. De mi a legjobb mód, mivel 9 karakterből álló jelszót használok számokkal és szimbólummal?
Mi erősíti a jelszót?
Ez az, ahol a Carnegie-Mellon tanulmány megvilágította az egészet. Alapvetően azt találták, hogy minél hosszabb a jelszó, annál erősebb. Ez nem jelenti azt, hogy a hosszabb jelszónak sok szimbólumot vagy számot kell tartalmaznia, csak hosszúnak kell lennie. 16 karakterrel el kell kerülnie a szuper egyszerű szótárszavakat.
Nem meggyőződött róla, hogy ez lehetséges? A PassFault webhelyen használja a következő jelszót, amely mindössze 15 karakterből áll és nagyon könnyen emlékezhető:
ilovemywifealot
Ezután az opciókhoz válassza ki a 180 000 dolláros jelszó támadót, és válassza ki a leggyengébb titkosítás (Microsoft Windows), és ez az, amit kap:
1 hónap és 7 nap! Ez jobb, mint a jelszavam, hogy 1 napon belül megrepedtem. Szóval mi a baj a jelszavammal? Nos, nyilvánvalóan, ha a jelszava rövidebb, akkor több szimbólumot, véletlenszerű betűket és számokat kell használni annak megerősítéséhez. Ha hosszabb, mint 15-16 karakter, akkor nem kell aggódnia mindenféle szám és szimbólum hozzáadásával. Hosszabb jelszóval még több szótárszót is használhat, és még mindig nagyon biztonságos lesz. Nyilvánvalóan egy jelszó Helló helló helló még mindig szopni fog, bár 15 karakter:
Szívás, mert a szótárban lesz, és háromszor ugyanaz a szó. Az első jelszavamban, ahol a feleségem iránti szeretetemet vallom, a mondat gyorsan elkezd úgy nézni, mint egy gibberish egy számítógépre, és egyetlen krakkoló szótárnak sincs szó 15 karakteres kifejezése. A szótárak szavakkal rendelkeznek, így mindaddig, amíg elkerüljük az egyenes szótárszavakat, jó lesz menni. A jelszavam még jobb lett volna, ha feleségem nevét vagy becenevét használnám neki a „feleség” szó helyett. Szerezd meg az ötletet?
Nyilvánvaló, hogy ha egy hosszú jelszót is megadhat egy hosszú jelszóhoz, akkor a jelszó még erőteljesebbé válik. Tegyük fel például, hogy felkiáltójelet tettem fel a feleségem jelszava előtt, és egy számot adtam hozzá. Akkor mennyi időt vesz igénybe, hogy ugyanazokkal a lehetőségekkel repedjen:
Szent tehén! Tehát 1 hónap 7 nap és egy 4 évszázad és egy évtized !!! Igen évszázadok! Most ez egy biztonságos jelszó, és nem nagyon nehéz emlékezni. Ellenőrizze a jelszavát ezzel az ingyenes online szerszámmal, és ha a jelszavát néhány nap múlva megreped, lehet, hogy ideje valami újra gondolni, különösen az érzékeny információk, például a banki jelszavak stb..
Ne feledje, hogy az online oldalak sokasága mindig szaggatott, így a jelszavát soha nem tudja biztosítani. Ha azonban valóban erős jelszót használ, még akkor is, ha a titkosítás nagyon gyenge, örökké tartaná a szuper számítógépet, hogy feltörje! Ha megpróbálta a jelszót a webhelyen, olvassa el ezt a hozzászólást, tudassa velünk a megjegyzéseket, hogy mennyi ideig tart a repedés. Élvez!