Керівництво OTT для створення сильного пароля

Зараз це так часто, що ми всі робимо це, навіть не замислюючись про це: створимо пароль щонайменше x символів, має принаймні один номер і один символ і не є вашим першим чи прізвищем. Якщо ви працюєте або створюєте ідентифікатор Apple, ці вимоги до пароля для "сильного" пароля знаходяться скрізь.

Створивши новий пароль на сайті одного дня, я почав думати про те, як відрізняються всі вимоги. Деякі сайти хочуть паролі не коротше, ніж 3 символи, а деякі вимагають мінімуму 8. Деякі хочуть символів, деякі - ні. Дехто дбає про ваше ім'я та попередні паролі, інші - ні. Отже, який пароль дійсно сильний?

Я зробив деякі дослідження і виявив дві речі, коли ви говорите про те, що хтось "тріщить" ваш пароль: по-перше, є сила вашого пароля, а по-друге, існує сила шифрування, що хеширує пароль на балакучі при зберіганні.

Я швидко зрозумів, що вся концепція надійного пароля дуже математична, і було проведено численні дослідження з цієї теми. Той, що привернув мою увагу, і що я згадую в цій посаді, з дослідження Карнегі-Меллона 2011 року.

Спочатку перевірте пароль

Перш ніж ми дізнаємося, який надійний пароль, давайте подивимося, скільки часу знадобиться, щоб зламати ваш нібито надійний пароль. Щоб перевірити це, ми будемо використовувати інструмент на сайті PassFault:

https://passfault.appspot.com/password_strength.html

Ось як це працює. Ви вводите свій пароль і натисніть Аналізувати. Він має два варіанти, які за замовчуванням приховані, але ви можете натиснути на Показати параметри. Давайте пояснимо, що вони означають.

Крекінг За замовчуванням апаратні засоби атакують пароль на $ 900, що було б можливим для легального хакера. Вони також мають можливість обрати нападника пароля на $ 180,000, який китайці можуть використовувати, якщо це так дорого. За допомогою спадного меню Захист паролем ви знайдете кілька варіантів типу шифрування, який використовується для зберігання пароля. Система Microsoft Windows є найслабшою, не дивно. Потім у вас є Бездротова точка доступу WPA, UNIX SHA1, UNIX Blowfish і 100 раундів SHA1.

Я спробував мій надійний пароль, який я використовую на декількох сайтах, і був приголомшений, коли побачив, що він може бути зламаний за 1 день!

Ого, це дуже погано. Тоді я вибрав більш сильні опції шифрування (Unix Blowfish і 100 раундів SHA1) і був щасливіший побачити, що результати займуть більше часу: 1 рік і 7 місяців для Unix Blowfish і 2 місяці і 2 дні зі 100 раундів SHA1 . Тим не менш, з $ 180,000 зловмисник пароль, він знизився до 11 днів і 3 днів, відповідно. Не прийнятно, я думав! Я хочу, щоб мій пароль зайняв багато років, щоб вийти з ладу навіть з надто дорогим зломщиком паролів. Але найкращий спосіб, оскільки я використовую пароль з 9 символів з цифрами та символом?

Що робить сильний пароль?

Ось де дослідження Carnegie-Mellon проливають світло на все це. В основному, вони виявили, що чим довший пароль ви використовуєте, тим сильніше він. Це не обов'язково означає, що довший пароль повинен мати багато символів або цифр, він просто повинен бути довгим. У 16 символів, все, що вам потрібно, щоб уникнути, використовує супер легкі словники словника.

Чи не переконаний, що це можливо? На сайті PassFault використовуйте наступний пароль, який складається лише з 15 символів і надзвичайно легкий для запам'ятовування:

ilovemywifealot

Потім, для варіантів, виберіть зловмисника паролем у розмірі $ 180,000 і оберіть найслабше шифрування (Microsoft Windows), і це ви отримаєте:

1 місяць і 7 днів! Це краще, ніж мій пароль тріснув за 1 день. Так що ж сталося з моїм паролем? Ну, мабуть, якщо ваш пароль коротший, то вам потрібно використовувати більше символів, випадкових букв і цифр для його зміцнення. Якщо він довший, наприклад, від 15 до 16 символів, то вам не доведеться турбуватися про додавання всіх видів цифр і символів. З більш довгим паролем ви можете навіть використовувати більше словника словника, і це все одно буде дуже безпечним. Очевидно, що пароль схожий Привіт привіт привіт все ще висмоктатиме, хоча це 15 символів:

Це смокче, тому що це буде в словнику і це те саме слово тричі. У моєму першому паролі, де я сповідую свою любов до моєї дружини, пропозиція швидко починає виглядати як тарабарщина до комп'ютера, і жоден словник з розтріскуванням не має цієї фрази з 15 символів як слово. Словники мають словник словника, тому якщо ви уникаєте прямих словників словника, ви будете добре йти. Мій пароль міг би бути ще кращим, якби я використовував ім'я своєї дружини або прізвисько для неї, замість слова "дружина". Отримати ідею?

Очевидно, що якщо ви можете вкласти ряд символів у довгий пароль, то пароль стає ще більш смішним. Наприклад, припустимо, що я поставив знак оклику перед паролем своєї дружини і додав один номер до кінця. Тоді, як довго треба зламати з тими ж опціями:

Свята корова! Таким чином це поїхало з 1 місяця 7 днів до whopping 4 віків та 1 десятиріччя !!! Та століття !! Тепер це безпечний пароль, і його не дуже важко запам'ятати. Таким чином, перевірте свій пароль, використовуючи цей безкоштовний онлайн-інструмент, і якщо ваш пароль стає тріщиною через кілька днів, можливо, прийде час подумати про щось нове, особливо для конфіденційної інформації, як-от банківські паролі тощо..

Пам'ятайте, що багато цих веб-сайтів постійно зламуються, тому ваш пароль ніколи не є безпечним. Однак, якщо ви користуєтеся справді надійним паролем, навіть якщо шифрування є дуже слабким, для того, щоб його зламати суперкомп'ютер, потрібно буде назавжди! Якщо ви пробували свій пароль на сайті під час читання цієї публікації, повідомте нам у коментарях, скільки часу знадобиться, щоб зламати його. Насолоджуйтесь!