Так вы думаете, что ваши интернет-пароли надежны?

Так вы думаете, что ваши интернет-пароли надежны?
Пол Хаскелл-Доуленд
, Автор условии

Пароли использовались на протяжении тысяч лет как средство идентификации для других, а в последнее время и для компьютеров. Это простая концепция - общая информация, которая хранится в секрете между людьми и используется для «подтверждения» личности.

Пароли в ИТ-контексте возник в 1960-х с мэйнфрейма компьютеры - большие централизованно управляемые компьютеры с удаленными «терминалами» для доступа пользователей. Теперь они используются для всего, от PIN-кода, который мы вводим в банкомате, до входа в систему на наших компьютерах и на различных веб-сайтах.

Но зачем нам «доказывать» свою личность системам, к которым мы получаем доступ? И почему так сложно правильно подобрать пароли?

Что делает хороший пароль?

До относительно недавнего времени хорошим паролем могло быть слово или фраза длиной от шести до восьми символов. Но теперь у нас есть рекомендации по минимальной длине. Это из-за «энтропии».

Когда речь идет о паролях, энтропия - это мера предсказуемости. Математика, лежащая в основе этого, несложная, но давайте рассмотрим ее с помощью еще более простой меры: количество возможных паролей, иногда называемое «пространством паролей».

Если односимвольный пароль содержит только одну строчную букву, существует только 26 возможных паролей (от «a» до «z»). Включая прописные буквы, мы увеличиваем пространство для пароля до 52 возможных паролей.

Пространство пароля продолжает расширяться по мере увеличения длины и добавления других типов символов.


 Получите последние новости от InnerSelf


Увеличение длины или сложности пароля значительно увеличивает потенциальное «пространство для пароля». Больше места для пароля означает более надежный пароль.

Увеличение длины или сложности пароля значительно увеличивает потенциальное «пространство для пароля». (так что вы думаете, что ваши интернет-пароли надежны)

Глядя на приведенные выше цифры, легко понять, почему нам рекомендуется использовать длинные пароли с прописными и строчными буквами, цифрами и символами. Чем сложнее пароль, тем больше попыток нужно его угадать.

Однако проблема зависимости от сложности пароля заключается в том, что компьютеры очень эффективны при повторении задач, включая угадывание паролей.

В прошлом году рекорд был установлен для компьютера, пытающегося сгенерировать всевозможные пароли. Он достиг скорости, превышающей 100,000,000,000 предположений в секунду.

Используя эту вычислительную мощность, киберпреступники могут взламывать системы, забрасывая их как можно большим количеством комбинаций паролей в процессе, называемом атаки грубой силы.

А с облачными технологиями угадать пароль из восьми символов можно всего за 12 минут и стоит всего 25 долларов США.

Кроме того, поскольку пароли почти всегда используются для доступа к конфиденциальным данным или важным системам, это побуждает киберпреступников активно их искать. Он также стимулирует прибыльный онлайн-рынок продажи паролей, некоторые из которых имеют адреса электронной почты и / или имена пользователей.

Вы можете купить почти 600 миллионов паролей в Интернете всего за 14 австралийских долларов!

Как пароли хранятся на сайтах?

Пароли веб-сайтов обычно хранятся в защищенном виде с использованием математического алгоритма, называемого Хеширования. Хешированный пароль невозможно распознать, и его нельзя снова превратить в пароль (необратимый процесс).

Когда вы пытаетесь войти в систему, вводимый вами пароль хешируется с использованием того же процесса и сравнивается с версией, хранящейся на сайте. Этот процесс повторяется каждый раз при входе в систему.

Например, паролю «Pa $$ w0rd» присваивается значение «02726d40f378e716981c4321d60ba3a325ed6a4c» при вычислении с использованием алгоритма хеширования SHA1. Попытайся себя.

Когда вы сталкиваетесь с файлом, полным хешированных паролей, можно использовать атаку методом перебора, пробуя каждую комбинацию символов для диапазона длин паролей. Это стало настолько распространенной практикой, что есть веб-сайты, на которых перечислены общие пароли вместе с их (вычисленным) хешированным значением. Вы можете просто найти хэш, чтобы узнать соответствующий пароль.

Кража и продажа списков паролей сейчас настолько распространены, что специальный веб-сайт - haveibeenpwned.com - доступен, чтобы помочь пользователям проверить, находятся ли их учетные записи «в дикой природе». Это число выросло и теперь включает более 10 миллиардов учетных записей.

Если ваш адрес электронной почты указан на этом сайте, вам обязательно следует изменить обнаруженный пароль, а также на любых других сайтах, для которых вы используете те же учетные данные.

Более сложное решение?

Вы можете подумать, что с таким большим количеством взломов паролей, происходящих ежедневно, мы бы улучшили нашу практику выбора паролей. К сожалению, прошлогодний ежегодный Обзор паролей SplashData за пять лет мало изменилось.

Ежегодный опрос паролей SplashData 2019 года выявил самые распространенные пароли с 2015 по 2019 год.Ежегодный опрос паролей SplashData 2019 года выявил самые распространенные пароли с 2015 по 2019 год.

По мере увеличения вычислительных возможностей решение будет становиться все более сложным. Но, как люди, мы не умеем запоминать очень сложные пароли (и не имеем мотивации).

Мы также прошли момент, когда мы используем только две или три системы, требующие пароля. Сейчас обычным явлением является доступ к многочисленным сайтам, для каждого из которых требуется пароль (часто разной длины и сложности). Недавний опрос показывает, что в среднем 70-80 паролей на человека.

Хорошая новость в том, что есть инструменты для решения этих проблем. Большинство компьютеров теперь поддерживают хранение паролей либо в операционной системе, либо в веб-браузере, обычно с возможностью обмена сохраненной информацией на нескольких устройствах.

Примеры включают Apple ICloud брелок и возможность сохранять пароли в Internet Explorer, Chrome и Firefox (хотя менее надежный).

Менеджеры паролей такие как KeePassXC, могут помочь пользователям генерировать длинные сложные пароли и хранить их в безопасном месте, когда они понадобятся.

Хотя это место по-прежнему необходимо защищать (обычно с помощью длинного «главного пароля»), использование диспетчера паролей позволяет иметь уникальный сложный пароль для каждого посещаемого веб-сайта.

Это не предотвратит кражу пароля с уязвимого веб-сайта. Но если он будет украден, вам не придется беспокоиться об изменении одного и того же пароля на всех других сайтах.

В этих решениях, конечно, тоже есть уязвимости, но, возможно, это отдельная история.

Об авторах

Пол Хаскелл-Доуланд, заместитель декана (вычислительная техника и безопасность), Университет Эдит Коуэн и Брианна О'Ши, лектор по вопросам этического взлома и защиты, Университет Эдит Коуэн

Эта статья переиздана из Беседа под лицензией Creative Commons. Прочтите оригинал статьи.

enafarzh-CNzh-TWnltlfifrdehiiditjakomsnofaptruessvtrvi

Следуйте за InnerSelf

facebook-значокTwitter-значокНовости-значок

 Получить последнее по электронной почте

{Emailcloak = выкл}

ВНУТРЕННИЕ ГОЛОСЫ

Прицепить наш мир к звездам?
Америка: на повозке к миру и к звездам
by Мари Т. Рассел и Роберт Дженнингс, InnerSelf.com
Я получаю немного помощи от моих друзей

САМОЕ ЧИТАЕМОЕ

ОТ РЕДАКТОРОВ

Почему я должен игнорировать COVID-19 и почему я не буду
by Роберт Дженнингс, InnerSelf.com
Моя жена Мари и я смешанная пара. Она канадка, а я американец. Последние 15 лет мы проводили зимы во Флориде, а летом - в Новой Шотландии.
InnerSelf Newsletter: ноябрь 15, 2020
by InnerSelf персонала
На этой неделе мы размышляем над вопросом: «Куда нам идти дальше?» Как и в случае любого обряда посвящения, будь то окончание школы, брак, рождение ребенка, решающие выборы или потеря (или нахождение)…
Америка: на повозке к миру и к звездам
by Мари Т. Рассел и Роберт Дженнингс, InnerSelf.com
Итак, президентские выборы в США остались позади, и пора подвести итоги. Мы должны найти общий язык между молодыми и старыми, демократами и республиканцами, либералами и консерваторами, чтобы действительно сделать ...
InnerSelf Информационный бюллетень: октябрь 25, 2020
by InnerSelf персонала
«Слоган» или подзаголовок веб-сайта InnerSelf - «Новые отношения --- новые возможности», и это как раз тема информационного бюллетеня на этой неделе. Цель наших статей и авторов -…
InnerSelf Информационный бюллетень: октябрь 18, 2020
by InnerSelf персонала
В наши дни мы живем в мини-пузырях ... в наших собственных домах, на работе и в общественных местах, и, возможно, в нашем собственном уме и со своими эмоциями. Однако жить в пузыре или чувствовать себя…