Fájdalom lehet egy erős jelszó kiválasztása, amelyet megbízhatóan megjegyezhet. Rengeteg jelszó-létrehozó mező van, amelyeknek saját követelményei vannak – hét betűből kell állnia, tartalmaznia kell egy számot és így tovább. Ezen utasítások követése nem garantálja a biztonságos jelszót – egyáltalán nem. Van azonban néhány szabály, amelyet be kell tartani, és tippeket kell adni arra vonatkozóan, hogyan biztosíthatja, hogy a lehető legjobb jelszóval rendelkezzen… miközben képes megjegyezni azt.
A jelszó erősségének tesztelésének első szabálya az, hogy rendkívül óvatosnak kell lenni, amikor online eszközöket használ jelszavai tesztelésére. A webhelyek vagy letölthető szoftverek elvehetik a tesztelni kívánt jelszót, és hozzáadhatják egy szólistához. A szólista az ismert és általában elterjedt jelszavak listája. A szólisták több millió bejegyzést is tartalmazhatnak, és a hackerek arra használják, hogy megalapozottan találgassanak jelszavakat, ahelyett, hogy lassabb módszerrel próbálnák ki az összes lehetséges kombinációt az „aaaaaa”-tól kezdve.
Más szavakkal, a szólista olyan jelszavakat tárol, mint a „Susie1202” és a „Password12”. A hackerek a jelszólistát futtatják a webhelyeken, remélve, hogy egyezést találnak. Nagyon fontos, hogy olyan jelszóval rendelkezzen, amely nem szerepel ilyen listán. Ezek a szólisták meglepően hatékonyak, mivel sokan használnak általános vagy általános jelszavakat. Szerencsére nincs egyedül – van néhány eszköz a segítségére: Jelszóbiztonsági ellenőrzők.
Ezeket az ellenőrzőket általában megbízható kiberbiztonsági cégek működtetik. Mindig legyen óvatos az ilyen típusú szerszámok használatakor – mindig van némi kockázat. Nem szabad megbíznia egyetlen olyan webhelyben vagy programban sem, amely a jelszavai erősségének mérését kínálja anélkül, hogy teljesen biztos lenne a biztonságában – sőt, még néhány Az ilyen eszközöket kínáló kiberbiztonsági cégek azt javasolják, hogy ne használjanak valódi jelszavait, és eszközeikkel csak potenciális vagy hasonló jelszavakat teszteljenek – csak abban az esetben.
Tehát honnan kellene tudnia, milyen erős a jelszava anélkül, hogy webhelyet vagy alkalmazást használna annak ellenőrzésére?
A válasz meglepően egyszerű: ha többet megtud arról, mi teszi biztonságossá a jelszót, és ennek megfelelően alakítja ki azt.
A támadás típusai
A biztonságos jelszó megtervezésekor segít megérteni, hogyan próbálnak megtámadni a hackerek. A támadásoknak két fő típusa van; nyers erő, és szótár.
A brute force támadások a karakterek minden lehetséges kombinációját kipróbálják. Ha elegendő időt adunk, ez a módszer végül minden lehetséges jelszót feltör. Ennek a támadástípusnak a fő hátránya, hogy időbe telik, és minél több kombinációt kell megkísérelni, annál több időbe telik. A szükséges idő csillagászati is lehet – még ha egy program percenként több tízezer lehetőséget is le tud futtatni, több millió kombináció lehetséges, így ezek a támadások hatástalanok. Nagyon valószínűtlen, hogy ezzel a módszerrel feltörik a hosszú jelszavakat, mivel minden lehetőség futtatása és így megtalálása akár évtizedekig is eltarthat.
A szótári támadások a fent említett szólistákat használják, hogy megalapozott találgatásokat végezzenek a jelszavakról. Ez a technika drámaian csökkenti a találgatások számát a nyers erő támadásokhoz képest, és nagy mértékben felgyorsítja a folyamatot. A szólisták általában ismert kiszivárgott jelszavakon alapulnak. Az ilyen jellegű támadások végrehajtására tervezett szoftverek „szózavaró” szabályokat is tartalmazhatnak, amelyek megváltoztathatják a szavakat, hogy kipróbálják a gyakori változatokat is. Például egy szókeverési szabály megpróbálhatja az „o”-t „0”-ra cserélni, vagy hozzáadni egy „!”-t. egy szó végére. Ezek a szabályok általában az emberek által végrehajtott általános helyettesítéseken vagy kiegészítéseken alapulnak – mondanom sem kell, ez nem túl biztonságos. Az ilyen típusú támadások fő hátránya, hogy a támadó jelszónak már szerepelnie kell a szólistában, és a támadás csak olyan jó, mint a szólista.
Hogyan készítsünk erős jelszót
A jelszó erősségének három fontos tényezője van: hosszúság, egyediség és összetettség.
Tipp: Kérjük, NE használja az ebben a cikkben említett jelszavakat vagy jelszavak darabjait, mivel azok nem biztonságosak.
Nagyon egyszerű megérteni, hogy a hosszúság hogyan befolyásolja a jelszó erősségét. Minél több karakterből áll a jelszó, annál több betűkombinációt kell kipróbálni, mielőtt a hacker statisztikailag valószínűleg helyesen tippelne. Például sokkal több a hatbetűs szó, mint a négybetűs. Valójában minden hozzáadott karakter esetén a lehetséges kombinációk száma exponenciálisan növekszik.
A hossz a legjobb védelem a brute force támadásokkal szemben, de mondjuk egy 64 karakteres jelszó megjegyezése nem éppen egyszerű. Szintén nem szükséges. Az ideális helyzet az, ha egy jelszót olyan hosszúra készítünk, hogy egyszerűen lehetetlen időt és energiát fordítani a feltörésére. Az ideális 10 vagy több karakter – ez szinte minden esetben elég lesz.
Vannak, akik kitalálnak egy őrülten hosszú jelszót, olyan hosszút, hogy lehetetlen lenne erőszakkal erőszakkal kikényszeríteni. Például egy vers, dalszöveg vagy Shakespeare teljes művei. Feltételezve, hogy a webhely lehetővé teszi, ez működne, de egy hacker „minden esetre” hozzáadhatja ezeket az ismert példákat a szólistájához, és akkor az ötlet szétesik. Itt jön képbe az egyediség.
Az egyediséget nehéz megítélni. A Földön élő több mint hétmilliárd ember közül nehéz lehet valami teljesen egyedit kitalálni, de azért érdemes megpróbálni. A legelterjedtebb jelszavak közül néhány, amelyet még ma is használnak: „admin”, „password”, „123qwe” és „qwerty”. Szörnyű jelszavak ezek, nem csak azért, mert rövidek, hanem mert jól ismertek, így minden szólistán szerepelni fognak, valószínűleg az első találgatások egyikeként. Vannak, akik megpróbálják bonyolultabbá tenni ezeket a jelszavakat a „Password1!” használatával. de ez túlságosan kiszámítható, és a legtöbb szólistában is benne van.
A szólista-alapú támadások leküzdéséhez olyan jelszót kell megtervezni, amelyet nem ismerünk vagy gondolunk. A legjobb eset az, ha teljesen véletlenszerűen kiválasztott karaktereket használunk, de ezt valószínűleg túl nehéz megjegyezni.
Az „UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO” BIZTONSÁGOS jelszó lenne, de nem praktikus.
Tisztességes megoldás a szavak kiválasztása, ez együtt nem jelent semmit. Egy példa, amelyet a webcomic népszerűsített XKCD, a „CorrectHorseBatteryStaple”. Ez az elgondolás meglehetősen erős, ösztönzi mind a hosszúságot, mind a véletlenszerűséget, és az eredménynek könnyebben megjegyezhetőnek kell lennie, mint egy véletlenszerű karakter- és szimbólumsorra. Bármelyik szót kiválaszthatja – kedvenc állatokat, virágokat, kedvenc színész nevét vagy akár, mindaddig, amíg több dologra emlékszik. Még öt olyan dolog is működne, amelyek most az asztalodon ülnek!
Ami a komplexitást illeti: kötelező – határozottan ez az egyik legfontosabb szempont a jelszó létrehozásában. A betűk számokká változtatása és szimbólumok hozzáadása növelheti a jelszavak összetettségét. A véletlenszerű betűkből, számokból és szimbólumokból álló tízkarakteres sorozat jobb jelszó, és kevésbé valószínű, hogy kitalálta, mint százszor egymás után az „a” betű, ami viszont még mindig jobb jelszó, mint „Jelszó12!”.
Az összetettség jó módja annak, hogy a jelszavakat nehezebb kitalálni, de meg is nehezíti a megjegyezhetőségüket. Minden az egészséges egyensúly megtalálásáról szól. Általánosságban elmondható, hogy egy kis komplexitás hozzáadásával egy szám és egy szimbólum valahova beillesztésével elegendő előrelépés ahhoz, hogy valóban megváltozzon a jelszó erőssége. Nem igazán szükséges a lehető legtöbb karaktert számokra vagy szimbólumokra cserélni – ez csak megnehezíti az emlékezést.
Következtetések
Összefoglalva a három követelményt, néhány jó szabály, amelyet meg kell jegyezni a jelszavakkal kapcsolatban:
- A jelszavaknak legalább 10 karakterből kell állniuk, de a több jobb.
- A jelszavak nem lehetnek egyszerű vagy gyakori szavak kombinációi; egyedinek kell lenniük.
- A jelszavaknak számos karaktertípust kell tartalmazniuk, beleértve a számokat és a szimbólumokat
Tipp: Ha kíváncsi, és szeretne egy élő vizuális bemutatót arról, hogy a hosszúság és a bonyolultság hogyan befolyásolja az általános jelszóerősséget, az online jelszóerősség-tesztelő használata nem vészes ötlet. A következő példák megbízható webhelyek. Mindig legyen óvatos a jelszavak és adatok megadásával kapcsolatban – előfordulhat, hogy egyes webhelyek megpróbálják ellopni jelszavait. Az alábbi webhelyek megbízhatóak:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php