Jak vytvořit a zapamatovat si silné heslo

2024 Autor: Malcolm Clapton | [email protected]. Naposledy změněno: 2023-12-17 03:50

Nejlepší způsoby, jak vytvořit heslo, které nikdo nedokáže prolomit.

Většina útočníků se neobtěžuje sofistikovanými metodami krádeže hesel. Berou snadno uhodnutelné kombinace. Přibližně 1 % všech aktuálně existujících hesel lze použít hrubou silou na čtyři pokusy.

Jak je tohle možné? Velmi jednoduché. Vyzkoušíte čtyři nejběžnější kombinace na světě: heslo, 123456, 12345678, qwerty. Po takovém průchodu se v průměru otevře 1 % všech „truhel“.

Řekněme, že patříte mezi těch 99 % uživatelů, jejichž heslo není tak jednoduché. I tak je ale třeba brát v úvahu výkon moderního hackerského softwaru.

Bezplatný, volně dostupný program John the Ripper ověřuje miliony hesel za sekundu. Některé příklady specializovaného komerčního softwaru uvádějí kapacitu 2,8 miliardy hesel za sekundu.

Zpočátku crackovací programy procházejí seznamem statisticky nejběžnějších kombinací a poté odkazují na úplný slovník. V průběhu času se trendy hesel uživatelů mohou mírně změnit a tyto změny jsou zohledněny při aktualizaci těchto seznamů.

Postupem času se všemožné webové služby a aplikace rozhodly násilně zkomplikovat hesla vytvářená uživateli. Přibyly požadavky, podle kterých musí mít heslo určitou minimální délku, obsahovat číslice, velká písmena a speciální znaky. Některé služby to vzaly tak vážně, že vymyslet heslo, které by systém přijal, zabere opravdu dlouhý a únavný úkol.

Klíčovým problémem je, že téměř žádný uživatel nevygeneruje heslo skutečně hrubou silou, ale pouze se snaží minimálně splnit požadavky systému na složení hesla.

Výsledkem jsou hesla jako heslo1, heslo123, heslo, heslo, heslo! a neuvěřitelně nepředvídatelný p @ ssword.

Představte si, že potřebujete předělat heslo pro spidermana. S největší pravděpodobností to bude vypadat jako $ pider_Man1. Originál? Tisíce lidí to změní pomocí stejného nebo velmi podobného algoritmu.

Pokud cracker zná tyto minimální požadavky, pak se situace jen zhorší. To je důvod, proč uložený požadavek na zvýšení složitosti hesel neposkytuje vždy nejlepší zabezpečení a často vytváří falešný pocit zvýšené bezpečnosti.

Čím snáze si heslo zapamatujete, tím je pravděpodobnější, že skončí v crackerových slovnících. Ve výsledku se ukazuje, že opravdu silné heslo je prostě nemožné si zapamatovat, což znamená, že je potřeba ho někde opravit.

Podle odborníků se i v této digitální době mohou lidé stále spolehnout na papír s napsanými hesly. Je vhodné uchovávat takový list na místě skrytém před zvědavýma očima, například v peněžence nebo peněžence.

List s hesly však problém neřeší. Dlouhá hesla je těžké nejen zapamatovat, ale i zadat. Situaci ztěžují virtuální klávesnice mobilních zařízení.

Při interakci s desítkami služeb a webů za sebou mnoho uživatelů zanechává řetězec identických hesel. Snaží se používat stejné heslo pro všechny stránky a zcela ignorují rizika.

V tomto případě některé stránky fungují jako chůva, což nutí ke komplikovanosti kombinace. V důsledku toho si uživatel jednoduše nemůže vzpomenout, jak musel upravit své standardní jednotné heslo pro tento web.

Rozsah problému se plně projevil v roce 2009. Poté se hackerovi kvůli bezpečnostní díře podařilo ukrást databázi přihlašovacích údajů a hesel společnosti RockYou.com, která vydává hry na Facebooku. Útočník zpřístupnil databázi veřejnosti. Celkem obsahoval 32,5 milionu záznamů s uživatelskými jmény a hesly k účtům. K únikům došlo již dříve, ale rozsah této konkrétní události ukázal celý obrázek.

Nejpopulárnější heslo na RockYou.com bylo 123456, které použilo téměř 291 000 lidí. Muži do 30 let častěji preferovali sexuální témata a vulgarismy. Starší lidé obou pohlaví se při výběru hesla často obraceli na určitou oblast kultury. Například Epsilon793 mi nepřijde až tak špatná volba, jen tato kombinace byla ve Star Treku. Sedmimístné 8675309 se objevilo mnohokrát, protože se toto číslo objevilo v jedné z písní Tommy Tutone.

Ve skutečnosti je vytvoření silného hesla jednoduchý úkol, stačí sestavit kombinaci náhodných znaků.

Nemůžete vytvořit dokonale náhodnou kombinaci v matematických termínech ve své hlavě, ale není to po vás požadováno. Existují speciální služby, které generují skutečně náhodné kombinace. Může například vytvářet hesla takto:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Jedná se o jednoduché a elegantní řešení zejména pro ty, kteří k ukládání hesel používají správce.

Většina uživatelů bohužel nadále používá jednoduchá, slabá hesla, a to i při ignorování pravidla „pro každý web jiná hesla“. Pohodlí je pro ně důležitější než bezpečnost.

Situace, ve kterých může být ohroženo zabezpečení hesla, lze rozdělit do 3 širokých kategorií:

• Náhodný, ve kterém se osoba, kterou znáte, snaží zjistit heslo, přičemž se opírá o informace, které o vás ví. Často si takový práskač chce jen zahrát, něco o vás zjistit nebo udělat nepořádek.
• Hromadné útokykdy se obětí může stát naprosto každý uživatel určitých služeb. V tomto případě se používá specializovaný software. Pro útok se vybírají nejméně zabezpečené stránky, které umožňují opakovaně zadávat možnosti hesla v krátkém časovém úseku.
• Účelnékteré kombinují příjem nápověd (jako v prvním případě) a použití specializovaného softwaru (jako při hromadném útoku). Jde o snahu získat skutečně cenné informace. K ochraně pomůže pouze dostatečně dlouhé náhodné heslo, jehož výběr zabere čas srovnatelný s délkou vašeho života.

Jak vidíte, obětí se může stát úplně každý. Výroky typu „moje heslo mi nikdo neukradne, protože mě nikdo nepotřebuje“nejsou relevantní, protože do podobné situace se můžete dostat zcela náhodou, shodou okolností, bez zjevného důvodu.

Ještě vážnější je chránit heslem pro ty, kteří mají cenné informace, jsou spojeni s podnikáním nebo jsou s někým v konfliktu z finančních důvodů (například rozdělení majetku v procesu rozvodu, konkurence v podnikání).

V roce 2009 byl Twitter (v chápání celé služby) hacknut jen proto, že administrátor použil jako heslo slovo štěstí. Hacker to sebral a zveřejnil na webu Digital Gangster, což vedlo k únosu účtů Obamy, Britney Spears, Facebooku a Fox News.

Zkratky

Stejně jako v každém jiném aspektu života musíme vždy najít kompromis mezi maximální bezpečností a maximálním pohodlím. Jak najít střední cestu? Jaká strategie generování hesel vám umožní vytvářet silné kombinace, které lze snadno zapamatovat?

V tuto chvíli je nejlepší kombinací spolehlivosti a pohodlí převést frázi nebo frázi na heslo.

Vybere se sada slov, která si vždy pamatujete, a jako heslo se použije kombinace prvních písmen z každého slova. Například May the force be with you se promění v Mtfbwy.

Protože však budou jako počáteční fráze použity ty nejznámější, programy nakonec tyto zkratky do svých seznamů obdrží. Zkratka ve skutečnosti obsahuje pouze písmena, a proto je objektivně méně spolehlivá než náhodná kombinace znaků.

Výběr správné fráze vám pomůže zbavit se prvního problému. Proč měnit světoznámý výraz ve zkratkové heslo? Pravděpodobně si pamatujete na některé vtipy a výroky, které jsou relevantní pouze ve vašem blízkém okolí. Řekněme, že jste slyšeli velmi chytlavou frázi od barmana v místním podniku. Použij to.

Je však nepravděpodobné, že by vámi vygenerovaná zkratka hesla byla jedinečná. Problémem akronymů je, že různé fráze mohou být složeny ze slov začínajících na stejná písmena a ve stejném pořadí. Statisticky se v různých jazycích vyskytuje zvýšená frekvence výskytu určitých písmen jako začátku slova. Programy tyto faktory zohlední a účinnost zkratek v původní verzi se sníží.

Obrácená cesta

Cesta ven může být opačná cesta generace. Na random.org vytvoříte zcela náhodné heslo a jeho znaky pak proměníte ve smysluplnou zapamatovatelnou frázi.

Služby a stránky často poskytují uživatelům dočasná hesla, což jsou úplně stejné dokonale náhodné kombinace. Budete je chtít změnit, protože si nebudete moci pamatovat, ale stačí se podívat blíže a bude zřejmé: nemusíte si pamatovat heslo. Pro příklad si vezměme další možnost z random.org – RPM8t4ka.

Přestože se to zdá nesmyslné, náš mozek je schopen i v takovém chaosu najít určité vzorce a korespondence. Pro začátek si můžete všimnout, že první tři písmena jsou velká a další tři malá. 8 je dvakrát (v angličtině dvakrát - t) 4. Podívejte se trochu na toto heslo a jistě najdete své vlastní asociace s navrhovanou sadou písmen a číslic.

Pokud si dokážete zapamatovat nesmyslné sady slov, použijte to. Nechte heslo změnit na otáčky za minutu 8 stop 4 katty. Udělá každou konverzi, ve které je váš mozek lepší.

Náhodné heslo je zlatým standardem v informační bezpečnosti. Je z definice lepší než jakékoli heslo vytvořené člověkem.

Nevýhodou zkratek je, že časem rozšíření takové techniky sníží její účinnost a reverzní metoda zůstane stejně spolehlivá, i když ji budou všichni lidé na zemi používat tisíc let.

Náhodné heslo nebude zahrnuto do seznamu oblíbených kombinací a útočník používající metodu hromadného útoku si takové heslo vynutí pouze hrubou silou.

Vezměme si jednoduché náhodné heslo, které bere v úvahu velká písmena a čísla – to je 62 možných znaků pro každou pozici. Pokud uděláme heslo pouze 8místné, dostaneme 62 ^ 8 = 218 bilionů možností.

I když není počet pokusů v určitém časovém intervalu omezen, nejkomerčnější specializovaný software s kapacitou 2,8 miliardy hesel za sekundu stráví hledáním správné kombinace v průměru 22 hodin. Pro jistotu k takovému heslu přidáme pouze 1 znak navíc – a jeho prolomení bude trvat mnoho let.

Náhodné heslo není nezranitelné, protože může být ukradeno. Možností je spousta, od čtení vstupu z klávesnice až po kameru přes rameno.

Hacker může zasáhnout samotnou službu a získat data přímo z jejích serverů. V této situaci nic nezávisí na uživateli.

Jeden spolehlivý základ

Tak jsme se dostali k tomu hlavnímu. Jaké jsou taktiky náhodných hesel pro použití v reálném životě? Z hlediska vyváženosti spolehlivosti a pohodlnosti se dobře ukáže „filosofie jednoho silného hesla“.

Princip spočívá v tom, že používáte stejný základ – supersilné heslo (jeho variace) na služby a stránky, které jsou pro vás nejdůležitější.

Pamatujte na jednu dlouhou a obtížnou kombinaci pro všechny.

Nick Berry, poradce pro bezpečnost informací, umožňuje tento princip aplikovat za předpokladu, že heslo je velmi dobře chráněno.

Přítomnost malwaru v počítači, ze kterého zadáváte heslo, není povolena. Není povoleno používat stejné heslo pro méně důležité a zábavné stránky - pro ně stačí jednodušší hesla, protože hacknutí účtu zde nebude mít žádné fatální následky.

Je jasné, že spolehlivou základnu je třeba pro každou lokalitu nějak změnit. Jako jednoduchou možnost můžete přidat na začátek jediné písmeno, které končí název webu nebo služby. Pokud se vrátíme k tomu náhodnému heslu RPM8t4ka, změní se na kRPM8t4ka pro autorizaci Facebooku.

Útočník, který takové heslo uvidí, nebude schopen porozumět tomu, jak se generuje heslo k vašemu bankovnímu účtu. Problémy začnou, pokud někdo získá přístup ke dvěma nebo více vašim heslům vygenerovaným tímto způsobem.

tajná otázka

Někteří únosci hesla úplně ignorují. Jednají jménem majitele účtu a simulují situaci, kdy jste zapomněli heslo a chcete ho obnovit tajnou otázkou. V tomto scénáři může libovolně změnit heslo a skutečný vlastník ztratí přístup ke svému účtu.

V roce 2008 se někdo dostal k emailu Sarah Palinové, guvernérky Aljašky a v té době také prezidentské kandidátky. Lupič odpověděl na tajnou otázku, která zněla takto: "Kde jste potkala svého manžela?"

Po 4 letech ztratil Mitt Romney, který byl v té době také kandidátem na amerického prezidenta, několik svých účtů v různých službách. Někdo odpověděl na tajnou otázku ohledně jména mazlíčka Mitta Romneyho.

Pointu jste již uhodli.

Nemůžete použít veřejná a snadno uhodnutelná data jako tajnou otázku a odpověď.

Otázkou není ani to, že tyto informace lze pečlivě vylovit na internetu nebo od blízkých spolupracovníků dané osoby. Odpovědi na otázky ve stylu „jméno zvířete“, „oblíbený hokejový tým“a tak dále jsou dokonale vybrány z odpovídajících slovníků oblíbených možností.

Jako dočasnou možnost můžete použít taktiku absurdity odpovědi. Jednoduše řečeno, odpověď by neměla mít nic společného s tajnou otázkou. Jméno matky za svobodna? Difenhydramin. Jméno mazlíčka? 1991.

Pokud však bude taková technika rozšířena, bude zohledněna v odpovídajících programech. Absurdní odpovědi jsou často stereotypní, to znamená, že s některými frázemi se setkáte mnohem častěji než s jinými.

Ve skutečnosti není nic špatného na použití skutečných odpovědí, stačí jen moudře volit otázku. Pokud je otázka nestandardní a odpověď na ni znáte pouze vy a nelze ji uhodnout po třech pokusech, pak je vše v pořádku. Výhoda pravdomluvnosti je, že na to časem nezapomenete.

KOLÍK

Osobní identifikační číslo (PIN) je levný zámek, kterému jsou svěřeny naše peníze. Nikdo se neobtěžuje vytvořit spolehlivější kombinaci alespoň těchto čtyř čísel.

Teď přestaň. Právě teď. Právě teď, bez čtení dalšího odstavce, zkuste uhodnout nejoblíbenější PIN. připraveni?

Nick Berry odhaduje, že 11 % americké populace používá jako svůj PIN číslo 1234 (kde si ho mohou sami změnit).

Hackeři nevěnují pozornost PIN kódům, protože bez fyzické přítomnosti karty je kód k ničemu (tím lze částečně ospravedlnit malou délku kódu).

Berry vzal seznamy čtyřmístných hesel, které se objevily po únikech na síti. Osoba používající heslo z roku 1967 si ho pravděpodobně zvolila z nějakého důvodu. Druhý nejoblíbenější PIN je 1111 a tento kód preferuje 6 % lidí. Na třetím místě je 0000 (2 %).

Předpokládejme, že osoba, která zná tyto informace, má v rukou bankovní kartu. Tři pokusy o zablokování karty. Jednoduchá matematika ukazuje, že tato osoba má 19% šanci uhodnout svůj PIN, pokud zadá postupně 1234, 1111 a 0000.

Zřejmě z tohoto důvodu si naprostá většina bank přiděluje PIN-kódy vydávaným plastovým kartám sama.

Mnoho lidí však chrání smartphony pomocí PIN kódu a zde platí následující hodnocení oblíbenosti: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 66588, 4321, 2001, 1010.

PIN často představuje rok (rok narození nebo historické datum).

Mnoho lidí si rádo vyrábí PINy ve formě opakujících se dvojic čísel (oblíbené jsou navíc dvojice, kde se první a druhé číslo liší o jednu).

Číselné klávesnice mobilních zařízení zobrazují kombinace jako 2580 nahoře - pro psaní stačí udělat přímý přechod shora dolů uprostřed.

V Koreji je číslo 1004 v souladu se slovem „anděl“, díky čemuž je tam tato kombinace docela oblíbená.

Výsledek

1. Přejděte na stránku random.org a vytvořte tam 5–10 kandidátských hesel.
2. Vyberte si heslo, které můžete proměnit v zapamatovatelnou frázi.
3. Použijte tuto frázi k zapamatování hesla.