Izbira močnega gesla, ki si ga lahko zanesljivo zapomni, je lahko težava. Obstaja veliko polj za ustvarjanje gesel, ki imajo svoje zahteve – biti morajo sedem črk, morajo vsebovati številko in tako naprej. Upoštevanje teh navodil ne zagotavlja varnega gesla – sploh ne. Vendar pa obstaja nekaj pravil, ki jih je treba upoštevati, in nasvetov, kako zagotoviti najboljše možno geslo... medtem ko si ga še vedno lahko zapomnite.
Prvo pravilo testiranja moči gesla je, da ste izjemno previdni pri uporabi spletnih orodij za testiranje gesel. Spletna mesta ali naložljiva programska oprema lahko vzamejo geslo, ki ga poskušate preizkusiti, in ga dodajo na seznam besed. Besedni seznam je seznam znanih in splošno pogostih gesel. Besedni seznami lahko obsegajo na milijone vnosov in jih hekerji uporabljajo za premišljeno ugibanje gesel in ne za počasnejšo metodo preizkušanja vseh možnih kombinacij, ki se začnejo z "aaaaaa".
Z drugimi besedami, seznam besed hrani gesla, kot sta "Susie1202" in "Password12". Hekerji bodo zagnali seznam gesel na spletnih mestih v upanju, da se bodo ujemali. Ključnega pomena je, da imate geslo, ki ni na nobenem takem seznamu. Ti seznami besed so presenetljivo učinkoviti, saj veliko ljudi uporablja splošna ali običajna gesla. Na srečo niste sami – obstaja nekaj orodij, ki vam lahko pomagajo: Varnostni pregledovalniki gesla.
Te pregledovalnike običajno vodijo zanesljiva podjetja za kibernetsko varnost. Pri uporabi te vrste orodja bodite vedno previdni – vedno obstaja nekaj tveganja. Ne smete zaupati nobenemu spletnemu mestu ali programu, ki ponuja merjenje moči vaših gesel, ne da bi bili popolnoma prepričani, da je varno – pravzaprav celo nekaterim Podjetja za kibernetsko varnost, ki sama ponujajo ta orodja, priporočajo, da ne uporabljate vaših resničnih gesel, temveč samo preizkušate potencialna ali podobna gesla s svojimi orodji – za vsak slučaj.
Kako naj torej veste, kako močno je vaše geslo, ne da bi ga preverili s spletnim mestom ali aplikacijo?
Odgovor je presenetljivo preprost: če se naučite več o tem, kaj naredi geslo varno, in ga ustrezno oblikujete.
Vrste napadov
Ko poskušate oblikovati varno geslo, pomaga razumeti, kako hekerji poskušajo napadati. Obstajata dve glavni vrsti napadov; groba sila in slovar.
Napadi s surovo silo preizkusijo vse možne kombinacije znakov. Ob dovolj časa bi ta metoda sčasoma razbila vsa možna gesla. Glavna pomanjkljivost te vrste napada je, da potrebuje čas in več kombinacij je treba poskusiti, več časa je potrebno. Potreben čas je lahko astronomski – tudi če lahko program izvaja več deset tisoč možnosti na minuto, je možnih na milijone kombinacij, zaradi česar so ti napadi neučinkoviti. S to metodo je zelo malo verjetno, da bi bila dolga gesla razbita, saj bi izvajanje vseh možnosti in njihovo iskanje lahko trajalo desetletja.
Slovarski napadi uporabljajo zgoraj omenjene sezname besed za ugibanje, kakšna bi lahko bila gesla. Ta tehnika dramatično zmanjša število ugibanj, ki jih je treba narediti v primerjavi z napadi s surovo silo, kar močno pospeši proces. Besedni seznami na splošno temeljijo na znanih razkritih geslih. Programska oprema, zasnovana za izvajanje tovrstnih napadov, lahko vključuje tudi pravila »pogrešanja besed«, ki lahko spremenijo besede, da preizkusijo tudi običajne različice. Pravilo za spreminjanje besed lahko na primer poskusi zamenjati "o" z "0" ali dodati "!" do konca besede. Ta pravila na splošno temeljijo na običajnih zamenjavah ali dodatkih, ki jih ljudje naredijo – ni treba posebej poudarjati, da to ni zelo varno. Glavna pomanjkljivost te vrste napada je, da mora imeti napadalec geslo že na svojem seznamu besed, napad pa je tako dober kot seznam besed.
Kako narediti močno geslo
Obstajajo trije pomembni dejavniki za moč gesla: dolžina, edinstvenost in zapletenost.
Nasvet: NE uporabljajte nobenega od gesel ali delov gesel, omenjenih v tem članku, ker niso varna.
Kako dolžina vpliva na moč gesla, je precej preprosto razumeti. Več znakov ima geslo, več kombinacij črk je treba preizkusiti, preden bo heker statistično verjetno pravilno uganil. Na primer, šestčrkovnih besed je veliko več kot štiričrkovnih. Pravzaprav se za vsak dodan znak število vseh možnih kombinacij eksponentno poveča.
Dolžina je najboljša zaščita pred napadi brutalne sile, a zapomniti si recimo 64-mestno geslo ni ravno enostavno. Prav tako ni potrebno. Idealna situacija je, da geslo naredite tako dolgo, da je preprosto nemogoče porabiti čas in energijo, da bi ga morda kdaj razbili. Idealno je 10 znakov ali več – v skoraj vseh primerih bo to dovolj.
Nekateri ljudje bi lahko pripravili načrt za uporabo noro dolgega gesla, tako dolgo, da bi ga bilo nemogoče kdaj nasilno vsiliti. Na primer pesem, besedilo pesmi ali celotno delo Shakespeara. Ob predpostavki, da spletno mesto to omogoča, bi to nekako delovalo, vendar lahko heker na neki točki doda te znane primere na svoj seznam besed "za vsak slučaj" in potem ideja propade. Tu nastopi edinstvenost.
Edinstvenost je težko oceniti. Od več kot sedmih milijard ljudi na Zemlji je težko izmisliti nekaj povsem edinstvenega, a vseeno je vredno poskusiti. Nekaj najpogostejših gesel, ki so še vedno v uporabi, so: “admin”, “password”, “123qwe” in “qwerty”. To so grozna gesla, ne samo zato, ker so kratka, ampak zato, ker so dobro znana, zato bodo na vsakem seznamu besed, verjetno kot eno prvih ugibanj. Nekateri poskušajo ta gesla nekoliko zakomplicirati z uporabo »Geslo1!« vendar je to preveč predvidljivo in je tudi na večini seznamov besed.
Če želite premagati napad, ki temelji na seznamu besed, morate oblikovati geslo, ki ga ne boste poznali ali pomislili nanj. Najboljši primer je, da uporabite popolnoma naključni izbor znakov, vendar si ga je verjetno pretežko zapomniti.
»UdGlw3sLDAu8KLYu%duTmi1$$@WijMw6ln#*%cyu4n9%DTrXO« bi bilo VARNO geslo, vendar ne bo praktično.
Dostojna rešitev je, da uporabite izbor besed, ki skupaj ne pomenijo ničesar. En primer, populariziran s spletnim stripom XKCD, je “CorrectHorseBatteryStaple”. Ta koncept je precej močan, spodbuja tako dolžino kot naključnost, rezultat pa bi si moral biti lažje zapomniti kot naključni niz znakov in simbolov. Izberete lahko poljubne besede – živali, ki so vam všeč, rože, ime najljubšega igralca, celo, če si lahko zapomnite več stvari. Celo pet stvari, ki jih trenutno sedite na svoji mizi, bi delovalo!
Kar zadeva kompleksnost: to je nujno - zagotovo je eden najpomembnejših vidikov ustvarjanja gesla. Spreminjanje črk v številke in dodajanje simbolov lahko poveča zapletenost vaših gesel. Niz desetih znakov naključnih črk, številk in simbolov je boljše geslo in manj verjetno uganili, kot stokrat zaporedoma črka "a", ki pa je še vedno boljše geslo kot "Geslo 12!".
Kompleksnost je dober način, da gesla težje uganiti, vendar jih je tudi težje zapomniti. Vse je v iskanju zdravega ravnovesja. Na splošno je dodajanje majhne količine zapletenosti, tako da nekje vključite številko in simbol, dovolj za izboljšanje, da resnično spremenite moč vašega gesla. V resnici ni treba spremeniti čim več znakov v številke ali simbole – zaradi tega si je težje zapomniti.
Zaključki
Če povzamemo tri zahteve, si zapomnite nekaj dobrih pravil za gesla:
- Gesla morajo imeti 10 znakov kot razumno najmanjšo dolžino, vendar je bolje, da je več.
- Gesla ne smejo biti preproste ali običajne kombinacije besed; morajo biti edinstveni.
- Gesla morajo vsebovati vrsto znakov, vključno s številkami in simboli
Nasvet: če ste radovedni in želite vizualno predstavitev v živo, kako dolžina in zapletenost vplivata na splošno moč gesla, uporaba spletnega testerja moči gesla ni slaba ideja. Naslednji primeri so zaupanja vredna spletna mesta. Vedno bodite previdni, kam vnašate svoja gesla in podatke – nekatera spletna mesta morda poskušajo ukrasti vaša gesla. Znano je, da so naslednja spletna mesta zanesljiva:
- https://www.uic.edu/apps/strong-password/
- https://password.kaspersky.com/
- https://lastpass.com/howsecure.php