Pasirinkus tvirtą slaptažodį, kurį galėtumėte patikimai atsiminti, gali būti sunku. Yra daugybė slaptažodžio kūrimo laukų, kurie turi savo reikalavimus – turi būti septynių raidžių, turi būti skaičius ir pan. Šių nurodymų laikymasis negarantuoja saugaus slaptažodžio – visai ne. Tačiau yra keletas taisyklių, kurių reikia laikytis, ir patarimų, kaip įsitikinti, kad turite geriausią įmanomą slaptažodį... ir vis tiek jį atsiminti.
Pirmoji slaptažodžio stiprumo tikrinimo taisyklė yra būti ypač atsargiems naudojant internetinius įrankius slaptažodžiams tikrinti. Svetainės arba atsisiunčiama programinė įranga gali paimti slaptažodį, kurį bandote išbandyti, ir įtraukti jį į žodžių sąrašą. Žodžių sąrašas yra žinomų ir paprastai įprastų slaptažodžių sąrašas. Žodžių sąrašus gali sudaryti milijonai įrašų, o įsilaužėliai juos naudoja norėdami spėlioti slaptažodžius, o ne lėtesnį būdą bandyti visus įmanomus derinius, pradedant nuo „aaaaa“.
Kitaip tariant, žodžių sąraše saugomi tokie slaptažodžiai kaip „Susie1202“ ir „Password12“. Įsilaužėliai paleidžia slaptažodžių sąrašą svetainėse, tikėdamiesi rasti atitiktį. Labai svarbu turėti slaptažodį, kurio nėra tokiame sąraše. Šie žodžių sąrašai yra stebėtinai veiksmingi, nes daugelis žmonių naudoja bendruosius arba įprastus slaptažodžius. Laimei, jūs nesate vieni – yra keletas įrankių, kurie jums padės: Slaptažodžio saugos tikrintuvai.
Šiuos tikrintuvus paprastai valdo patikimos kibernetinio saugumo įmonės. Tačiau visada būkite atsargūs naudodami tokio tipo įrankius – visada yra tam tikra rizika. Jūs neturėtumėte tik pasitikėti bet kokia svetaine ar programa, siūlančia išmatuoti slaptažodžių stiprumą, nebūdami visiškai tikri, kad tai saugu – iš tikrųjų net kai kurios Kibernetinio saugumo įmonės, kurios pačios siūlo šiuos įrankius, rekomenduoja nenaudoti jūsų tikrų slaptažodžių, o tik išbandyti potencialius ar panašius slaptažodžius su savo įrankiais – dėl viso pikto.
Taigi, kaip jūs turėtumėte žinoti, koks stiprus yra jūsų slaptažodis, jo netikrindami naudodami svetainę ar programą?
Atsakymas stebėtinai paprastas: sužinoję daugiau apie tai, kas daro slaptažodį saugų, ir atitinkamai jį sukūrę.
Atakos tipai
Bandant sukurti saugų slaptažodį, jis padeda suprasti, kaip įsilaužėliai bando atakuoti. Yra du pagrindiniai atakų tipai; brutali jėga ir žodynas.
Brute force atakos išbando visas įmanomas simbolių kombinacijas. Suteikus pakankamai laiko, šis metodas galiausiai nulaužtų visus įmanomus slaptažodžius. Pagrindinis šio tipo atakos trūkumas yra tai, kad tai užtrunka, ir kuo daugiau derinių reikia bandyti, tuo daugiau laiko reikia. Reikalingas laikas gali būti astronominis – net jei programa gali paleisti dešimtis tūkstančių galimybių per minutę, galimi milijonai derinių, todėl šios atakos tampa neveiksmingos. Labai mažai tikėtina, kad naudojant šį metodą bus nulaužti ilgi slaptažodžiai, nes visų galimybių įgyvendinimas ir jų radimas gali užtrukti dešimtmečius.
Žodynų atakos naudoja pirmiau minėtus žodžių sąrašus, kad būtų galima pagrįstai spėlioti, kokie slaptažodžiai gali būti. Ši technika žymiai sumažina spėjimų skaičių, palyginti su žiaurios jėgos atakomis, ir labai pagreitina procesą. Žodžių sąrašai paprastai sudaromi pagal žinomus nutekėjusius slaptažodžius. Programinė įranga, sukurta tokiai atakai atlikti, taip pat gali apimti „žodžių sumaišymo“ taisykles, kurios gali pakeisti žodžius ir išbandyti bendrus variantus. Pavyzdžiui, taikant žodžių maišymo taisyklę gali būti bandoma „o“ pakeisti „0“ arba pridėti „! iki žodžio pabaigos. Šios taisyklės paprastai yra pagrįstos įprastais žmonių atliekamais pakaitalais ar papildymais – nereikia sakyti, kad tai nėra labai saugu. Pagrindinis šio tipo atakų trūkumas yra tas, kad užpuolikas turi turėti slaptažodį jau savo žodžių sąraše, o ataka yra tokia pat gera, kaip žodžių sąrašas.
Kaip sukurti stiprų slaptažodį
Yra trys svarbūs slaptažodžio stiprumo veiksniai: ilgis, unikalumas ir sudėtingumas.
Patarimas: NENAUDOKITE jokių šiame straipsnyje paminėtų slaptažodžių ar slaptažodžių dalių, nes jie nėra saugūs.
Gana paprasta suprasti, kaip ilgis veikia slaptažodžio stiprumą. Kuo daugiau slaptažodžio simbolių, tuo daugiau raidžių derinių reikia išbandyti, kad įsilaužėlis statistiškai atspėtų teisingai. Pavyzdžiui, šešių raidžių žodžių yra daug daugiau nei keturių raidžių. Tiesą sakant, kiekvienam pridėtam simboliui bendras galimų kombinacijų skaičius didėja eksponentiškai.
Ilgis yra geriausia apsauga nuo žiaurios jėgos atakų, tačiau prisiminti, tarkime, 64 simbolių slaptažodį nėra labai lengva. Tai taip pat nėra būtina. Ideali situacija yra padaryti slaptažodį tokį ilgą, kad būtų tiesiog neįmanoma išleisti laiko ir energijos tam, kad jį kada nors nulaužti. Idealu yra 10 ar daugiau simbolių – beveik visais atvejais to pakaks.
Kai kurie žmonės gali sugalvoti naudoti beprotiškai ilgą slaptažodį, tokį ilgą, kad būtų neįmanoma jo priverstinai priverstinai panaudoti. Pavyzdžiui, eilėraštis, dainų tekstai ar visi Šekspyro kūriniai. Darant prielaidą, kad svetainė tai leidžia, tai tikrai veiktų, tačiau tam tikru momentu įsilaužėlis gali įtraukti šiuos žinomus pavyzdžius į savo žodžių sąrašą „tik tuo atveju“, o tada idėja subyrės. Čia atsiranda unikalumas.
Sunku spręsti apie unikalumą. Iš daugiau nei septynių milijardų žmonių Žemėje gali būti sunku sugalvoti ką nors visiškai unikalaus, bet vis tiek verta pabandyti. Kai kurie iš labiausiai paplitusių slaptažodžių, vis dar naudojami ir dabar: „admin“, „password“, „123qwe“ ir „qwerty“. Tai baisūs slaptažodžiai ne tik dėl to, kad jie trumpi, bet ir dėl to, kad jie gerai žinomi, todėl jie bus kiekviename žodžių sąraše, tikriausiai kaip vienas iš pirmųjų spėjimų. Kai kurie žmonės bando padaryti šiuos slaptažodžius šiek tiek sudėtingesnius naudodami „Password1! bet tai per daug nuspėjama ir yra daugumoje žodžių sąrašų.
Norėdami įveikti žodžių sąrašu pagrįstą ataką, turite sukurti slaptažodį, kuris nebus žinomas ar negalvotas. Geriausias atvejis yra naudoti visiškai atsitiktinį simbolių pasirinkimą, bet greičiausiai tai per sunku prisiminti.
„UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO“ būtų SAUGUS slaptažodis, tačiau jis nebus praktiškas.
Tinkamas sprendimas yra pasirinkti žodžius, kurie kartu nieko nereiškia. Vienas pavyzdys, išpopuliarintas internetinio komikso XKCD, yra „CorrectHorseBatteryStaple“. Ši koncepcija yra gana stipri, skatinanti ilgį ir atsitiktinumą, o rezultatas turėtų būti lengviau įsimenamas nei atsitiktinė simbolių ir simbolių eilutė. Galite pasirinkti bet kokius jums patinkančius žodžius – jums patinkančius gyvūnus, gėles, mėgstamo aktoriaus vardą ir netgi, jei tik galite prisiminti keletą dalykų. Tiktų net penki dalykai, kuriuos šiuo metu sėdite ant savo stalo!
Kalbant apie sudėtingumą: tai būtina – tai tikrai vienas iš svarbiausių slaptažodžio kūrimo aspektų. Pakeitus raides į skaičius ir pridėjus simbolius, slaptažodžiai gali tapti sudėtingesni. Dešimties simbolių atsitiktinių raidžių, skaičių ir simbolių eilutė yra geresnis slaptažodis ir mažesnė tikimybė, kad atspėjo, nei šimtą kartų iš eilės raidė „a“, o tai, savo ruožtu, vis tiek yra geresnis slaptažodis nei "Slaptažodis 12!".
Sudėtingumas yra geras būdas apsunkinti slaptažodžių atspėjimą, tačiau taip pat juos sunkiau įsiminti. Viskas apie sveikos pusiausvyros radimą. Apskritai, šiek tiek sudėtingumo įtraukus skaičių ir simbolį, pakanka patobulinimo, kad slaptažodžio stiprumas tikrai pasikeistų. Tikrai nebūtina kuo daugiau simbolių pakeisti skaičiais ar simboliais – tai tik apsunkina įsimenimą.
Išvados
Apibendrinant tris reikalavimus, reikia prisiminti keletą gerų slaptažodžių taisyklių:
- Mažiausias slaptažodžių ilgis turi būti 10 simbolių, bet geriau daugiau.
- Slaptažodžiai neturėtų būti paprasti ar įprasti žodžių junginiai; jie turi būti unikalūs.
- Slaptažodžiuose turi būti įvairių tipų simbolių, įskaitant skaičius ir simbolius
Patarimas: jei jums įdomu ir norite tiesiogiai parodyti, kaip ilgis ir sudėtingumas veikia bendrą slaptažodžio stiprumą, naudoti internetinį slaptažodžio stiprumo tikrintuvą nėra baisi idėja. Toliau pateikti pavyzdžiai yra patikimos svetainės. Visada būkite atsargūs, kur įvedate slaptažodžius ir informaciją – kai kurios svetainės gali bandyti pavogti jūsų slaptažodžius. Toliau nurodytos svetainės yra patikimos:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php