Tugeva parooli valimine, mida saate usaldusväärselt meeles pidada, võib olla valus. Seal on palju parooli loomise välju, millel on oma nõuded – peab olema seitse tähte, peab sisaldama numbrit ja nii edasi. Nende juhiste järgimine ei taga turvalist parooli – üldsegi mitte. Siiski tuleb järgida mõningaid reegleid ja näpunäiteid selle kohta, kuidas tagada, et teil on parim võimalik parool, kuid saate seda siiski meeles pidada.
Parooli tugevuse testimise esimene reegel on paroolide testimiseks võrgutööriistade kasutamisel olla äärmiselt ettevaatlik. Veebisaidid või allalaaditav tarkvara võivad võtta parooli, mida proovite testida, ja lisada selle sõnaloendisse. Sõnaloend on tuntud ja üldiselt levinud paroolide loend. Sõnaloendid võivad koosneda miljonitest kirjetest ja häkkerid kasutavad neid paroolide teadlikuks arvamiseks, selle asemel, et proovida aeglasemat meetodit kõiki võimalikke kombinatsioone, alustades "aaaaa".
Teisisõnu sisaldab sõnaloend selliseid paroole nagu "Susie1202" ja "Password12". Häkkerid käitavad saitidel parooliloendit, lootes leida vaste. Väga oluline on omada parooli, mida üheski sellises loendis pole. Need sõnaloendid on üllatavalt tõhusad, kuna paljud inimesed kasutavad üldisi või tavalisi paroole. Õnneks ei ole te üksi – teid aitavad mõned tööriistad: parooli turvakontrollid.
Neid kontrollijaid haldavad tavaliselt usaldusväärsed küberturbe ettevõtted. Olge seda tüüpi tööriistade kasutamisel alati ettevaatlik – sellega kaasneb alati teatud risk. Te ei tohiks lihtsalt usaldada ühtegi veebisaiti või programmi, mis pakub teie paroolide tugevuse mõõtmist, ilma et oleksite täiesti kindel, et see on ohutu – tegelikult isegi mõned Küberturvalisuse ettevõtted, kes neid tööriistu ise pakuvad, soovitavad mitte kasutada teie tegelikke paroole ja testida oma tööriistadega ainult potentsiaalseid või sarnaseid paroole – igaks juhuks.
Niisiis, kuidas peaksite teadma, kui tugev on teie parool, ilma et peaksite selle kontrollimiseks veebisaiti või rakendust kasutama?
Vastus on üllatavalt lihtne: uurides rohkem selle kohta, mis muudab parooli turvaliseks, ja kujundades selle vastavalt.
Rünnakute tüübid
Turvalise parooli loomisel aitab see mõista, kuidas häkkerid rünnata üritavad. Rünnakuid on kahte peamist tüüpi; toore jõud ja sõnastik.
Jõhja jõu rünnakud proovivad kõiki võimalikke tähemärkide kombinatsioone. Piisava aja korral murrab see meetod lõpuks kõik võimalikud paroolid. Selle rünnakutüübi peamine negatiivne külg on see, et see võtab aega ja mida rohkem kombinatsioone proovitakse, seda rohkem aega kulub. Vajalik aeg võib olla astronoomiline – isegi kui programm suudab töötada kümneid tuhandeid võimalusi minutis, on võimalikud miljonid kombinatsioonid, mis muudavad need rünnakud ebatõhusaks. Pikkade paroolide lahtimurdmine seda meetodit kasutades on ebatõenäoline, kuna kõigi võimaluste käivitamine ja seega nende leidmine võib võtta aastakümneid.
Sõnastikurünnakud kasutavad ülalnimetatud sõnaloendeid, et teha teadlikke oletusi, millised paroolid võivad olla. See tehnika vähendab järsult tehtavate oletuste arvu võrreldes toore jõu rünnakutega, kiirendades protsessi tohutult. Sõnaloendid põhinevad üldiselt teadaolevatel lekkinud paroolidel. Seda tüüpi rünnakute sooritamiseks loodud tarkvara võib sisaldada ka "sõnade segamise" reegleid, mis võivad sõnu muuta, et proovida ka tavalisi variatsioone. Näiteks võib sõnade segamise reegel proovida asendada "o" tähega "0" või lisada "!" sõna lõpuni. Need reeglid põhinevad üldiselt tavalistel asendustel või täiendustel, mida inimesed teevad – ütlematagi selge, et see pole kuigi turvaline. Seda tüüpi ründe peamine negatiivne külg on see, et ründaja parool peab olema juba sõnaloendis ja rünnak on sama hea kui sõnaloend.
Kuidas teha tugevat parooli
Parooli tugevusel on kolm olulist tegurit: pikkus, unikaalsus ja keerukus.
Näpunäide. ÄRGE kasutage selles artiklis mainitud paroole ega paroolide tükke, kuna need pole turvalised.
Seda, kuidas pikkus parooli tugevust mõjutab, on üsna lihtne mõista. Mida rohkem märke paroolis on, seda rohkem tähekombinatsioone tuleb proovida, enne kui häkker statistiliselt tõenäoliselt õigesti ära arvab. Näiteks kuuetähelisi sõnu on palju rohkem kui neljatähelisi. Tegelikult suureneb iga lisatud tähemärgi võimalike kombinatsioonide arv eksponentsiaalselt.
Pikkus on parim kaitse jõhkrate jõurünnakute eest, kuid näiteks 64-kohalise parooli meeldejätmine pole just lihtne. Samuti pole see vajalik. Ideaalne olukord on muuta parool nii pikaks, et on lihtsalt võimatu kulutada aega ja energiat selle võimalikuks murdmiseks. Ideaalne on 10 tähemärki või rohkem – peaaegu kõigil juhtudel piisab sellest.
Mõned inimesed võivad tulla plaaniga kasutada hullumeelselt pikka parooli, mis on nii pikk, et seda oleks võimatu kunagi toorelt sundida. Näiteks luuletus, laulusõnad või Shakespeare'i terviklikud teosed. Eeldusel, et veebisait seda võimaldab, see toimiks, kuid ühel hetkel võib häkker lisada need tuntud näited oma sõnaloendisse "igaks juhuks" ja siis see idee laguneb. Siin tulebki mängu ainulaadsus.
Ainulaadsust on raske hinnata. Rohkem kui seitsmest miljardist inimesest Maal võib olla raske välja mõelda midagi täiesti ainulaadset, kuid see on siiski proovimist väärt. Mõned kõige levinumad paroolid, mis on endiselt kasutusel, on: "admin", "password", "123qwe" ja "qwerty". Need on kohutavad paroolid, mitte ainult sellepärast, et nad on lühikesed, vaid seetõttu, et need on hästi teada, nii et need on igas sõnaloendis, tõenäoliselt ühena esimestest arvamistest. Mõned inimesed püüavad neid paroole pisut keerulisemaks muuta, kasutades "Password1!" kuid see on liiga etteaimatav ja esineb ka enamikus sõnaloendites.
Sõnaloendipõhise rünnaku ületamiseks peate kujundama parooli, mida ei teata ega mõelda. Parimal juhul on kasutada täiesti juhuslikku tegelaste valikut, kuid seda on tõenäoliselt liiga raske meeles pidada.
"UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO" oleks TURVALINE parool, kuid see pole praktiline.
Hea lahendus on kasutada sõnavalikut, see ei tähenda koos midagi. Üks näide, mille on populariseerinud veebikoomiks XKCD, on "CorrectHorseBatteryStaple". See kontseptsioon on üsna tugev, julgustades nii pikkust kui ka juhuslikkust ning tulemust peaks olema lihtsam meeles pidada kui juhuslikku tähemärkide ja sümbolite jada. Saate valida mis tahes sõnu, mis teile meeldivad – loomad, mis teile meeldivad, lilled, lemmiknäitleja nimi, isegi, kui see on mitu asja, mida saate meeles pidada. Isegi viis asja, mis sul praegu laual istud, toimiksid!
Mis puudutab keerukust: see on kohustuslik – see on parooli loomisel kindlasti üks olulisemaid aspekte. Tähtede muutmine numbriteks ja sümbolite lisamine võib teie paroolide keerukust muuta. Kümnekohaline juhuslike tähtede, numbrite ja sümbolite jada on parem parool ja vähem tõenäoliselt arvasin, kui sada korda järjest täht “a”, mis omakorda on ikka parem parool kui "Parool12!".
Keerukus on hea viis paroolide äraarvamiseks, kuid muudab need ka raskemini meeldejäävaks. See kõik seisneb tervisliku tasakaalu leidmises. Üldiselt piisab väikese keerukuse lisamisest, lisades kuhugi numbri ja sümboli, parooli tugevuse tegelikuks muutmiseks. Pole vaja muuta nii palju märke kui võimalik numbriteks või sümboliteks – see teeb meeldejätmise lihtsalt raskemaks.
Järeldused
Kolme nõude kokkuvõtteks on mõned head reeglid, mida paroolide puhul meeles pidada:
- Paroolide mõistlik minimaalne pikkus peaks olema 10 tähemärki, kuid parem on rohkem.
- Paroolid ei tohiks olla lihtsad või levinud sõnade kombinatsioonid; need peaksid olema ainulaadsed.
- Paroolid peaksid sisaldama erinevaid märgitüüpe, sealhulgas numbreid ja sümboleid
Näpunäide. Kui olete uudishimulik ja soovite reaalajas visuaalset demonstratsiooni selle kohta, kuidas pikkus ja keerukus mõjutavad üldist parooli tugevust, pole võrgus oleva parooli tugevuse testija kasutamine kohutav mõte. Järgmised näited on usaldusväärsed saidid. Olge alati ettevaatlik paroolide ja teabe sisestamisel – mõned saidid võivad üritada teie paroole varastada. Järgmised saidid on teadaolevalt usaldusväärsed:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php