Η επιλογή ενός ισχυρού κωδικού πρόσβασης που μπορείτε να θυμάστε αξιόπιστα μπορεί να είναι επώδυνη. Υπάρχουν πολλά πεδία δημιουργίας κωδικού πρόσβασης που έχουν τις δικές τους απαιτήσεις – πρέπει να είναι επτά γράμματα, να περιέχουν έναν αριθμό και ούτω καθεξής. Η τήρηση αυτών των οδηγιών δεν εγγυάται έναν ασφαλή κωδικό πρόσβασης - καθόλου. Ωστόσο, υπάρχουν ορισμένοι κανόνες που πρέπει να ακολουθήσετε και συμβουλές για το πώς να βεβαιωθείτε ότι έχετε τον καλύτερο δυνατό κωδικό πρόσβασης… ενώ μπορείτε να τον θυμάστε.
Ο πρώτος κανόνας για τον έλεγχο της ισχύος ενός κωδικού πρόσβασης είναι να είστε εξαιρετικά προσεκτικοί όταν χρησιμοποιείτε ηλεκτρονικά εργαλεία για να δοκιμάσετε τους κωδικούς πρόσβασής σας. Οι ιστότοποι ή το λογισμικό με δυνατότητα λήψης θα μπορούσαν να λάβουν τον κωδικό πρόσβασης που προσπαθείτε να δοκιμάσετε και να τον προσθέσουν σε μια λίστα λέξεων. Μια λίστα λέξεων είναι μια λίστα γνωστών και γενικά κοινών κωδικών πρόσβασης. Οι λίστες λέξεων μπορούν να εκτελούνται σε εκατομμύρια καταχωρίσεις και χρησιμοποιούνται από χάκερ για να κάνουν μορφωμένες εικασίες σχετικά με τους κωδικούς πρόσβασης αντί για την πιο αργή μέθοδο δοκιμής όλων των πιθανών συνδυασμών ξεκινώντας από το "αααααα".
Με άλλα λόγια, μια λίστα λέξεων διατηρεί κωδικούς πρόσβασης όπως "Susie1202" και "Password12". Οι χάκερ θα τρέξουν τη λίστα κωδικών πρόσβασης σε ιστότοπους που ελπίζουν να ταιριάξουν. Είναι σημαντικό να έχετε έναν κωδικό πρόσβασης που δεν περιλαμβάνεται σε καμία τέτοια λίστα. Αυτές οι λίστες λέξεων είναι εκπληκτικά αποτελεσματικές, καθώς πολλοί άνθρωποι χρησιμοποιούν γενικούς ή κοινούς κωδικούς πρόσβασης. Ευτυχώς, δεν είστε μόνοι σας – υπάρχουν μερικά εργαλεία που θα σας βοηθήσουν: Έλεγχοι ασφαλείας κωδικού πρόσβασης.
Αυτά τα πούλια διοικούνται γενικά από αξιόπιστες εταιρείες κυβερνοασφάλειας. Ωστόσο, να είστε πάντα προσεκτικοί όταν χρησιμοποιείτε αυτό το είδος εργαλείου – υπάρχει πάντα κάποιος κίνδυνος. Δεν πρέπει απλώς να εμπιστεύεστε οποιονδήποτε ιστότοπο ή πρόγραμμα που προσφέρει τη μέτρηση της ισχύος των κωδικών πρόσβασής σας χωρίς να είστε απολύτως σίγουροι ότι είναι ασφαλής – στην πραγματικότητα, ακόμη και Οι εταιρείες κυβερνοασφάλειας που προσφέρουν οι ίδιες αυτά τα εργαλεία συνιστούν να μην χρησιμοποιείτε τους πραγματικούς σας κωδικούς πρόσβασης, αλλά μόνο να δοκιμάζετε πιθανούς κωδικούς πρόσβασης ή παρόμοιους κωδικούς πρόσβασης με τα εργαλεία τους – για παν ενδεχόμενο.
Λοιπόν, πώς υποτίθεται ότι γνωρίζετε πόσο ισχυρός είναι ο κωδικός πρόσβασής σας χωρίς να χρησιμοποιήσετε έναν ιστότοπο ή μια εφαρμογή για να τον ελέγξετε;
Η απάντηση είναι εκπληκτικά απλή: μαθαίνοντας περισσότερα για το τι κάνει έναν κωδικό πρόσβασης ασφαλή και σχεδιάζοντας έναν ανάλογα.
Τύποι επίθεσης
Όταν προσπαθείτε να σχεδιάσετε έναν ασφαλή κωδικό πρόσβασης, βοηθάτε να κατανοήσετε πώς οι χάκερ προσπαθούν να επιτεθούν. Υπάρχουν δύο κύριοι τύποι επίθεσης. ωμή βία και λεξικό.
Οι επιθέσεις ωμής δύναμης δοκιμάζουν όλους τους πιθανούς συνδυασμούς χαρακτήρων. Αν δοθεί αρκετός χρόνος, αυτή η μέθοδος θα σπάσει τελικά κάθε πιθανό κωδικό πρόσβασης. Το κύριο μειονέκτημα αυτού του τύπου επίθεσης είναι ότι χρειάζεται χρόνος και όσο περισσότεροι συνδυασμοί πρέπει να επιχειρήσετε, τόσο περισσότερος χρόνος χρειάζεται. Ο απαραίτητος χρόνος μπορεί να είναι αστρονομικός – ακόμα κι αν ένα πρόγραμμα μπορεί να εκτελεί δεκάδες χιλιάδες δυνατότητες ανά λεπτό, υπάρχουν εκατομμύρια συνδυασμοί δυνατοί, καθιστώντας αυτές τις επιθέσεις αναποτελεσματικές. Οι μεγάλοι κωδικοί πρόσβασης είναι πολύ απίθανο να σπάσουν χρησιμοποιώντας αυτή τη μέθοδο, καθώς η εκτέλεση όλων των δυνατοτήτων και η εύρεση τους μπορεί να χρειαστούν δεκαετίες.
Οι επιθέσεις λεξικών χρησιμοποιούν τις προαναφερθείσες λίστες λέξεων για να κάνουν εύστοχες εικασίες σχετικά με τους κωδικούς πρόσβασης. Αυτή η τεχνική μειώνει δραματικά τον αριθμό των εικασιών που πρέπει να γίνουν σε σύγκριση με επιθέσεις ωμής βίας, επιταχύνοντας τη διαδικασία με τεράστιο περιθώριο. Οι λίστες λέξεων βασίζονται γενικά σε γνωστούς κωδικούς πρόσβασης που διέρρευσαν. Το λογισμικό που έχει σχεδιαστεί για να εκτελεί αυτό το είδος επίθεσης μπορεί επίσης να περιλαμβάνει κανόνες «παραποίησης λέξεων» που μπορούν να αλλάξουν τις λέξεις για να δοκιμάσουν και κοινές παραλλαγές. Για παράδειγμα, ένας κανόνας παραποίησης λέξεων μπορεί να δοκιμάσει να αντικαταστήσει ένα "o" με ένα "0" ή να προσθέσει ένα "!" μέχρι το τέλος μιας λέξης. Αυτοί οι κανόνες βασίζονται γενικά σε κοινές αντικαταστάσεις ή προσθήκες που κάνουν οι άνθρωποι – περιττό να πούμε ότι αυτό δεν είναι πολύ ασφαλές. Το κύριο μειονέκτημα αυτού του τύπου επίθεσης είναι ότι ο εισβολέας πρέπει να έχει ήδη τον κωδικό πρόσβασης στη λίστα λέξεων του και η επίθεση είναι τόσο καλή όσο η λίστα λέξεων.
Πώς να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης
Υπάρχουν τρεις σημαντικοί παράγοντες στην ισχύ του κωδικού πρόσβασης: μήκος, μοναδικότητα και πολυπλοκότητα.
Συμβουλή: ΜΗΝ χρησιμοποιείτε κανέναν από τους κωδικούς πρόσβασης ή κομμάτια των κωδικών πρόσβασης που αναφέρονται σε αυτό το άρθρο, καθώς δεν είναι ασφαλείς.
Ο τρόπος με τον οποίο το μήκος επηρεάζει την ισχύ ενός κωδικού πρόσβασης είναι πολύ απλό να κατανοηθεί. Όσο περισσότερους χαρακτήρες έχει ένας κωδικός πρόσβασης, τόσο περισσότερους συνδυασμούς γραμμάτων πρέπει να δοκιμαστούν για να είναι στατιστικά πιθανό ένας χάκερ να μαντέψει σωστά. Για παράδειγμα, υπάρχουν πολύ περισσότερες λέξεις με έξι γράμματα από ό, τι οι λέξεις με τέσσερα γράμματα. Στην πραγματικότητα, για κάθε χαρακτήρα που προστίθεται ο αριθμός των συνολικών δυνατών συνδυασμών αυξάνεται εκθετικά.
Το Length είναι η καλύτερη προστασία από επιθέσεις Brute force, αλλά το να θυμάστε, ας πούμε, έναν κωδικό πρόσβασης 64 χαρακτήρων δεν είναι ακριβώς εύκολο. Επίσης δεν είναι απαραίτητο. Η ιδανική κατάσταση είναι να δημιουργήσετε έναν κωδικό πρόσβασης τόσο μεγάλο ώστε να είναι απλώς αδύνατο να ξοδέψετε χρόνο και ενέργεια για να τον σπάσετε. Το ιδανικό είναι 10 χαρακτήρες ή περισσότεροι – σχεδόν σε όλες τις περιπτώσεις, αυτό θα είναι αρκετό.
Μερικοί άνθρωποι μπορεί να καταλήξουν σε ένα σχέδιο να χρησιμοποιήσουν έναν εξαιρετικά μεγάλο κωδικό πρόσβασης, τόσο καιρό που θα ήταν αδύνατο να τον εξαναγκάσουν ποτέ. Για παράδειγμα, ένα ποίημα, στίχοι τραγουδιών ή τα πλήρη έργα του Σαίξπηρ. Αν υποθέσουμε ότι ο ιστότοπος το επιτρέπει, αυτό θα λειτουργούσε κάπως, αλλά σε κάποιο σημείο, ένας χάκερ μπορεί να προσθέσει αυτά τα γνωστά παραδείγματα στη λίστα λέξεων του «για κάθε περίπτωση» και στη συνέχεια η ιδέα καταρρέει. Εδώ παίζει ρόλο η μοναδικότητα.
Η μοναδικότητα είναι δύσκολο να κριθεί. Από τα περισσότερα από επτά δισεκατομμύρια ανθρώπους στη Γη, μπορεί να είναι δύσκολο να βρεις κάτι εντελώς μοναδικό, αλλά εξακολουθεί να αξίζει να το δοκιμάσεις. Μερικοί από τους πιο συνηθισμένους κωδικούς πρόσβασης που εξακολουθούν να χρησιμοποιούνται ακόμη και τώρα είναι: «admin», «password», «123qwe» και «qwerty». Αυτοί είναι τρομεροί κωδικοί πρόσβασης, όχι μόνο επειδή είναι σύντομοι, αλλά επειδή είναι γνωστοί, επομένως θα βρίσκονται σε κάθε λίστα λέξεων, πιθανώς ως μια από τις πρώτες εικασίες. Μερικοί άνθρωποι προσπαθούν να κάνουν αυτούς τους κωδικούς πρόσβασης λίγο πιο περίπλοκους χρησιμοποιώντας το "Password1!" αλλά αυτό είναι πολύ προβλέψιμο και υπάρχει και στις περισσότερες λίστες λέξεων.
Για να νικήσετε μια επίθεση που βασίζεται σε λίστα λέξεων, πρέπει να σχεδιάσετε έναν κωδικό πρόσβασης που δεν θα είναι γνωστός ή δεν θα σκεφτείτε. Η καλύτερη περίπτωση είναι να χρησιμοποιήσετε μια εντελώς τυχαία επιλογή χαρακτήρων, αλλά αυτό είναι πολύ δύσκολο να το θυμάστε.
Το "UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" θα ήταν ένας ΑΣΦΑΛΗΣ κωδικός πρόσβασης, αλλά δεν θα είναι πρακτικός.
Μια αξιοπρεπής λύση είναι να χρησιμοποιήσετε μια επιλογή λέξεων, που δεν σημαίνει τίποτα μαζί. Ένα παράδειγμα, δημοφιλές από το webcomic XKCD, είναι το "CorrectHorseBatteryStaple". Αυτή η ιδέα είναι αρκετά ισχυρή, ενθαρρύνει τόσο το μήκος όσο και την τυχαιότητα και το αποτέλεσμα θα πρέπει να θυμάται πιο εύκολα από μια τυχαία σειρά χαρακτήρων και συμβόλων. Μπορείτε να διαλέξετε όποιες λέξεις σας αρέσουν – ζώα που σας αρέσουν, λουλούδια, όνομα αγαπημένου ηθοποιού, ακόμη, αρκεί να θυμάστε πολλά πράγματα. Ακόμη και πέντε πράγματα που κάθεστε στο γραφείο σας αυτή τη στιγμή θα λειτουργούσαν!
Όσο για την πολυπλοκότητα: Είναι απαραίτητο - είναι σίγουρα μια από τις πιο σημαντικές πτυχές της δημιουργίας κωδικού πρόσβασης. Η αλλαγή γραμμάτων σε αριθμούς και η προσθήκη συμβόλων μπορεί να αυξήσει την πολυπλοκότητα των κωδικών πρόσβασής σας. Μια συμβολοσειρά δέκα χαρακτήρων από τυχαία γράμματα, αριθμούς και σύμβολα είναι καλύτερος κωδικός πρόσβασης και λιγότερο πιθανό να είναι μαντέψαμε, από το γράμμα "a" εκατό φορές στη σειρά, το οποίο, με τη σειρά του, εξακολουθεί να είναι καλύτερος κωδικός πρόσβασης από "Κωδικός πρόσβασης 12!".
Η πολυπλοκότητα είναι ένας καλός τρόπος για να κάνετε τους κωδικούς πρόσβασης πιο δύσκολους να μαντέψετε, αλλά καθιστά επίσης πιο δύσκολο να τους θυμάστε. Όλα έχουν να κάνουν με την εύρεση μιας υγιούς ισορροπίας. Γενικά, η προσθήκη μιας μικρής πολυπλοκότητας συμπεριλαμβάνοντας έναν αριθμό και ένα σύμβολο κάπου, είναι αρκετή βελτίωση για να κάνει πραγματικά τη διαφορά στην ισχύ του κωδικού πρόσβασής σας. Δεν είναι πραγματικά απαραίτητο να αλλάξετε όσο το δυνατόν περισσότερους χαρακτήρες σε αριθμούς ή σύμβολα – αυτό απλώς κάνει πιο δύσκολο να θυμάστε.
συμπεράσματα
Για να συνοψίσουμε τις τρεις απαιτήσεις, ορισμένοι καλοί κανόνες που πρέπει να θυμάστε για τους κωδικούς πρόσβασης είναι:
- Οι κωδικοί πρόσβασης θα πρέπει να έχουν 10 χαρακτήρες ως εύλογο ελάχιστο μήκος, αλλά περισσότερο είναι καλύτερο.
- Οι κωδικοί πρόσβασης δεν πρέπει να είναι απλοί ή συνηθισμένοι συνδυασμοί λέξεων. θα πρέπει να είναι μοναδικά.
- Οι κωδικοί πρόσβασης πρέπει να περιέχουν μια σειρά τύπων χαρακτήρων, συμπεριλαμβανομένων αριθμών και συμβόλων
Συμβουλή: Εάν είστε περίεργοι και θέλετε μια ζωντανή οπτική επίδειξη σχετικά με το πώς το μήκος και η πολυπλοκότητα επηρεάζουν τη συνολική ισχύ του κωδικού πρόσβασης, η χρήση ενός διαδικτυακού ελεγκτή ισχύος κωδικού πρόσβασης δεν είναι τρομερή ιδέα. Τα ακόλουθα παραδείγματα είναι αξιόπιστοι ιστότοποι. Να είστε πάντα προσεκτικοί σχετικά με το πού εισάγετε τους κωδικούς πρόσβασης και τις πληροφορίες σας – ορισμένοι ιστότοποι μπορεί να προσπαθούν να υποκλέψουν τους κωδικούς πρόσβασής σας. Οι παρακάτω ιστότοποι είναι γνωστό ότι είναι αξιόπιστοι:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php