Ez annyira gyakori, hogy mindezt anélkül tesszük, hogy gondolkodnánk rajta: hozzon létre egy legalább x karakterű jelszót, legalább egy számot és egy szimbólumot, és nem az első vagy vezetékneved. Akár dolgozik, akár egy Apple ID-t létrehoz, ezek az "erős" jelszóra vonatkozó jelszavak mindenütt megtalálhatók.
Miután egy nap új jelszót hoztak létre egy webhelyen, elkezdtem gondolkodni arról, voltak. Egyes webhelyek legfeljebb 3 karakter hosszúságú jelszavakat és néhányat legalább 8-at kényszerítenek. Egyesek szimbólumokat akarnak, néhányan nem. Néhányan törődnek a neveddel és az előző jelszavakkal, mások nem. Tehát a jelszó valóban erős?
Néhány kutatást végeztem és két dolgot tudtam meg, amikor valaki "megrepedt" a jelszavadat: először a jelszavad ereje van, másodszor pedig van a titkosítás erőssége, amely tárolja a jelszavát.
Gyorsan rájöttem, hogy az erős jelszó fogalma nagyon matematikai, és számos tanulmány készült ebben a témában. Az egyik, aki felkeltette a figyelmemet, és amit ebben a bejegyzésben megemlítek, egy 2011 Carnegie-Mellon tanulmány.
Először teszteld meg a jelszavadat
erős jelszó, nézzük meg, mennyi ideig tart az állítólag erős jelszavának feltörése. Ennek ellenőrzéséhez egy eszközt fogunk használni a PassFault webhelyen:
https://passfault.appspot.com/password_strength.html
Így működik. Írja be a jelszavát, majd kattintson a Elemzésgombra. Két lehetőség van alapértelmezés szerint elrejtve, de rákattinthat az Opciók megjelenítéselehetőségre. Megmagyarázzuk, mit jelentenek.
A Cracking Hardver alapértelmezés szerint egy 900 dolláros jelszó-támadó, amely egy törvényes hacker számára lehetséges. Lehetőségük van 180 000 dolláros jelszó-támadó kiválasztására is, amelyet a kínaiak használhatnak, ha ez drága. A Jelszavas védelem legördülő listája néhány lehetőséget kínál a titkosítás tárolására használt titkosítás típusának. A Microsoft Windows rendszer a leggyengébb, nem meglepő. Vezeték nélküli WPA hozzáférési pontot, UNIX SHA1-et, UNIX Blowfish-ot és 100 SHA1-et használsz.
Megpróbáltam az erős jelszavamat, amelyet néhány helyen használok, és megdöbbentette, hogy megrepedhet 1 nap alatt!
Nagyon rossz. Tehát az erősebb titkosítási lehetőségeket (Unix Blowfish és 100 SHA1) választottam, és boldogabb volt látni, hogy az eredmények hosszabb ideig tartanak, mint egy nap: 1 év és 7 hónap a Unix Blowfish esetében, 2 hónap és 2 nap 100 fordulóban SHA1 . A 180.000 dolláros jelszó-támadóval azonban 11 napra és 3 napra csökkent. Nem elfogadható gondoltam! Azt akarom, hogy a jelszavam évekig tartson még egy szuper drága jelszó-cracker-el. De mi a legjobb módja annak, ha 9 karakteres jelszót használok számokkal és szimbólummal?
Mi a jelszó erõs?
A Carnegie-Mellon tanulmány fény derül az egész dolgon. Alapvetően azt találták, hogy minél hosszabb a használt jelszó, annál erősebb. Ez nem feltétlenül jelenti azt, hogy a hosszabb jelszónak sok szimbólummal vagy számokkal kell rendelkeznie, csak hosszúnak kell lennie. 16 karakterből csak annyit kell szednie, hogy szuper könnyű szavakat használjon.
Nem győzte meg, hogy lehetséges? A PassFault webhelyen használja a következő jelszót, amely mindössze 15 karaktert és szuper könnyen megjegyezhető:
ilovemywifealot
Ezután az opciókhoz válassza a $ 180,000 jelszó-támadót, és válassza ki a a leggyengébb titkosítás (Microsoft Windows) és ez az, amit kapsz:
1 hónap és 7 nap! Ez jobb, mint a jelszó 1 napos repedése. Mi a baj a jelszóval? Nos, nyilvánvalóan, ha a jelszava rövidebb, akkor több szimbólumot, véletlenszerű betűket és számokat kell használni a megerősítéshez. Ha hosszabb, mint 15-16 karakter, akkor nem kell aggódnia mindenféle szám és szimbólum hozzáadásával. Hosszabb jelszóval több szótárszót is használhat, és még mindig nagyon biztonságos. Nyilvánvaló, hogy a hellohellohellojelszó még akkor is szopni fog, ha 15 karakterből áll:
a szótárban, és ugyanaz a szó háromszor. Az első jelszóomban, ahol vallomást teszem a feleségemnek, a mondat hamarosan úgy néz ki, mintha valami gibberish volna egy számítógéphez, és egyetlen repedésszótár sem tartalmazta azt a 15 karakteres kifejezést, mint egy szót. A szótárak szótárszavakkal rendelkeznek, mindaddig, amíg elkerüljük az egyenes szavakat, akkor jó lesz. A jelszavam még jobb lehetne, ha feleségem nevét vagy becenevet használtam volna a "feleség" szó helyett. Kap az ötlet?
Nyilvánvaló, hogy ha több jelet is beírhat egy hosszú jelszóba, akkor a jelszó még nevetségesebbé válik. Például tegyük fel, hogy felkiáltójelet tettem a feleségem jelszava előtt, és egy számot egészítettem ki a végére. Akkor mennyi időbe telik ugyanazokkal a lehetőségekkel:
Szent tehén! Tehát az 1 hónapos 7 naptól egészen 4 évszázadig és egy évtizedig eltelt! Igen évszázadok! Most ez egy biztonságos jelszó, és nem nagyon nehéz emlékezni. Tehát ellenőrizze a jelszavát az ingyenes online eszköz használatával, és ha a jelszavát néhány nap múlva megrepedteti, akkor itt az ideje, hogy valami újat gondoljon, különösen az érzékeny információkat, például a banki jelszavakat stb.
Ne feledje, sok ilyen online webhelyet folyamatosan feltörnek, így a jelszó soha nem biztonságos. Ha azonban egy igazán erős jelszót használ, még akkor is, ha a titkosítás nagyon gyenge, akkor sztrájkolandóvá válik az örökre. Ha megpróbálta a jelszavát a webhelyen, amikor elolvasta ezt a bejegyzést, közölje velünk a megjegyzésekben, hogy mennyi időbe telik megszakítani. Enjoy!