To jest tak powszechne, że wszyscy robimy to bez myślenia o tym: utwórz hasło, które ma co najmniej x znaków, ma co najmniej jedną cyfrę i jeden symbol i nie jest twoim pierwszym ani ostatnim imieniem. Niezależnie od tego, czy pracujesz, czy tworzysz identyfikator Apple ID, te wymagania dotyczące hasła "silnego" hasła są wszędzie.
Po utworzeniu nowego hasła na stronie pewnego dnia zacząłem myśleć o tym, jak różne są wszystkie wymagania byli. Niektóre witryny wymagają haseł nie krótszych niż 3 znaki, a niektóre wymuszają minimum 8. Niektóre z nich wymagają symboli, inne nie. Niektórzy dbają o twoje imię i poprzednie hasła, inni nie. Jakie hasło jest naprawdę mocne?
Zrobiłem kilka badań i odkryłem dwie rzeczy, gdy mówisz o "złamaniu" twojego hasła: po pierwsze, jest siła twojego hasła, a po drugie, jest siła szyfrowania, która miesza hasło do bełkotu.
Szybko zdałem sobie sprawę, że cała koncepcja silnego hasła jest bardzo matematyczna i przeprowadzono wiele badań na ten temat. Ten, który przykuł moją uwagę i wspomnę w tym poście, pochodzi z 2011 Badanie Carnegie-Mellon.
Najpierw sprawdź swoje hasło
Zanim przejdziemy do silne hasło to, zobaczmy, ile czasu zajmie złamanie twojego rzekomo silnego hasła. Aby to sprawdzić, użyjemy narzędzia na stronie PassFault:
https://passfault.appspot.com/password_strength.html
Oto jak to działa. Wpisz swoje hasło i kliknij Analiza. Ma dwie opcje, które są domyślnie ukryte, ale możesz kliknąć Pokaż opcje. Wyjaśnijmy, co one oznaczają.
Cracking Hardware domyślnie atakuje hasło za 900 $, co jest możliwe dla legalnego hakera. Mają także opcję wyboru osoby atakującej hasłem o wartości 180 000 USD, z której mogą korzystać Chińczycy, jeśli jest ona tak droga. Lista rozwijana Ochrona hasłem zawiera kilka opcji określających rodzaj szyfrowania używanego do przechowywania hasła. System Microsoft Windows jest najsłabszy, nic dziwnego. Następnie masz bezprzewodowy punkt dostępowy WPA, UNIX SHA1, Blowfish UNIX i 100 rund SHA1.
Próbowałem mojego silnego hasła, które używam na kilku stronach i byłam zszokowana widząc, że może być pęknięta za 1 dzień!
Wow, to bardzo źle. Tak więc wybrałem mocniejsze opcje szyfrowania (Blowfish unikowy i 100 rund SHA1) i byłem szczęśliwszy, gdy wyniki potrwają dłużej niż jeden dzień: 1 rok i 7 miesięcy w przypadku Uniksa Blowfish oraz 2 miesiące i 2 dni w 100 rundach SHA1 . Jednak w przypadku hakera o wartości 180 000 USD spadł on odpowiednio do 11 dni i 3 dni. Nie do przyjęcia Myślałem! Chcę, aby moje hasło zabrało lata, nawet z super kosztownym crackerem. Ale jaki jest najlepszy sposób, odkąd używam 9-znakowego hasła z liczbami i symbolem?
Co sprawia, że hasło jest mocne?
Tu właśnie lekceważyło się badanie Carnegie-Mellon na całość. Zasadniczo stwierdzili, że im dłuższe jest hasło, tym silniejsze. Nie musi to oznaczać, że dłuższe hasło musi mieć wiele symboli lub liczb, po prostu musi być długie. Przy 16 znakach, jedyne, czego musisz unikać, to użycie super łatwych słowników słownikowych.
Nie jesteś przekonany, że to możliwe? W witrynie PassFault użyj następującego hasła, które ma tylko 15 znaków i jest bardzo łatwe do zapamiętania:
ilovemywifealot
Następnie, dla opcji, wybierz atakującego hasło o wartości 180 000 $ i wybierz Najsłabsze szyfrowanie (Microsoft Windows) i oto, co otrzymujesz:
1 miesiąc i 7 dni! To lepsze rozwiązanie niż złamanie mojego hasła za 1 dzień. Co jest nie tak z moim hasłem? Najwyraźniej, jeśli twoje hasło jest krótsze, musisz użyć większej liczby symboli, losowych liter i cyfr, aby go wzmocnić. Jeśli jest dłuższy, np. Od 15 do 16 znaków, nie musisz się martwić o dodanie wszystkich liczb i symboli. Dzięki dłuższemu hasłu możesz nawet użyć więcej słów ze słownika i nadal będzie bardzo bezpieczny. Oczywiście hasło takie jak hellohellohellobędzie nadal ssać, mimo że ma 15 znaków:
Jest do bani, ponieważ będzie w słowniku i to samo słowo trzy razy. W moim pierwszym haśle, w którym wyznaję moją miłość mojej żonie, zdanie szybko zaczyna wyglądać jak bełkot na komputerze i żaden pęknięty słownik nie ma tego 15-znakowego wyrażenia jako słowa. Słowniki mają słowa słownikowe, więc dopóki unikasz prostych słów słownika, będziesz dobry. Moje hasło mogłoby być nawet lepsze, gdybym użył imienia i nazwiska mojej żony lub jej imienia zamiast słowa "żona". Wpadnij na pomysł?
Oczywiście, jeśli możesz wrzucić wiele symboli do długich haseł, wtedy hasło stanie się jeszcze bardziej absurdalnie mocne. Na przykład, powiedzmy, że wstawiłem wykrzyknik przed hasłem mojej żony i dodałem jedną cyfrę na końcu. Następnie, ile czasu zajmie pęknięcie z tymi samymi opcjami:
Święta krowa! Tak więc trwało to od 1 miesiąca 7 dni do ogromnych 4 wieków i 1 dekady !!! Tak wieki !! To bezpieczne hasło i nie jest trudne do zapamiętania. Sprawdź swoje hasło za pomocą tego bezpłatnego narzędzia online i jeśli hasło zostanie złamane za kilka dni, być może nadszedł czas, aby wymyślić coś nowego, szczególnie w przypadku poufnych informacji, takich jak hasła bankowe itp.
Pamiętaj, że wiele z tych witryn internetowych jest ciągle atakowanych przez hakerów, więc twoje hasło nigdy nie jest bezpieczne. Jeśli jednak używasz naprawdę silnego hasła, nawet jeśli szyfrowanie jest bardzo słabe, jego złamanie zajęłoby całą wieczność! Jeśli wypróbowałeś swoje hasło na stronie podczas czytania tego posta, daj nam znać w komentarzach, ile czasu zajmie jego złamanie. Ciesz się!