Share
Uw wachtwoord is gebaseerd op een woord van ongeveer acht tekens lang. Je hebt enkele cijfers vervangen voor letters ('3' voor 'E' en '4' voor 'a', enz.), Je hebt ervoor gezorgd dat je een brief of twee in hoofdletters hebt geschreven, en je hebt een uitroepteken gelast aan het einde, alsof je wilt benadrukken dat je vasthoudt aan de onveranderlijke checklist met wachtwoordsterkte. Je slaakt een zucht van opluchting. Elke maand of zo vergeet je dit wachtwoord (of je herinnert het je omdat je het overal gebruikt). Maar het is sterk ... toch? Laten we ingaan op het onderwerp wachtwoordbeveiliging om de mythen, wiskunde en methoden bloot te leggen die dit cruciale aspect van computergebruik definiëren.
Als bewoners en ontdekkingsreizigers van de digitale ruimte kunnen we deze discussie als een zoektocht beschouwen. We zijn op zoek naar de heilige graal van wachtwoordbeveiliging; een manier om een wachtwoord te construeren dat ons maximale bescherming biedt met maximale bewaarbaarheid - we zijn tenslotte maar een mens.
Als de formule die ik in mijn inleiding beschreef - degene die verantwoordelijk is voor de overgrote meerderheid van de wachtwoorden die vandaag worden gebruikt - klinkt als het ideaal, dan zal het u misschien verbazen dat het niet alleen moeilijk te onthouden wachtwoorden oplevert (uiteraard), maar het is ook veel minder veilig dan je zou verwachten. Om de zaken nog erger te maken, is het hebben van een sterk wachtwoord slechts de helft van de strijd.
Om te begrijpen waarom dit zo is, moeten we een korte omweg maken naar de enge wereld van de informatietheorie om ons wat basiskennis te verschaffen waarmee we kunnen begrijpen hoe wachtwoordbeveiliging wordt gemeten en vergeleken..
Over het algemeen wordt de integriteit van een wachtwoord besproken in termen van stukjes entropie, een interessante maat gebruikt in de informatietheorie om de onzekerheid te beschrijven die samenhangt met de uitkomst van een variabele. Hoe meer onzekerheid, of met andere woorden, hoe meer er onbekend is over de gebeurtenis die wordt gemeten, hoe hoger de entropie.
We hoeven alleen te onthouden dat, hoe meer stukjes entropie een wachtwoord heeft, hoe moeilijker het is om te kraken.
We zouden bijvoorbeeld een toss met munten beschouwen als een enkele bit van entropie, omdat de onzekere waarde slechts een van de twee mogelijkheden is. De formule die de entropiewaarde van een wachtwoord vertegenwoordigt, is afschuwelijk, en we hoeven dit niet te begrijpen om entropie in het algemeen te begrijpen.
Als we dit terugbrengen naar onze zoektocht, hoeven we ons alleen dat te herinneren: hoe meer stukjes entropie een wachtwoord heeft, des te moeilijker het is om te kraken.
Nu we het basisprincipe kennen van hoe de wachtwoordsterkte wordt gemeten, moeten we onze tegenstanders in dit streven onderzoeken: de hackers, wachtwoordcrackers en andere digitale miscreanten die toegang zoeken tot uw accounts.
Password cracking is een hoeksteen van de hackwereld en het is niet verwonderlijk dat het een van de meest uitgebreid ontwikkelde arsenalen in het repertoire van de hacker bevat. Over het algemeen vallen wachtwoordscheurmethoden in een van de twee categorieën: patroonscheuren en brute-kracht aanvallen.
Een wachtwoord kraken is minder moeilijk dan je tegenwoordig denkt Als u de formule uit mijn inleiding hebt gevolgd, is uw wachtwoord waarschijnlijk erg gevoelig voor op patronen gebaseerde kraakmethoden. Deze zijn er in verschillende smaken, variërend van de eenvoudige woordenboekaanval tot meer geavanceerde varianten die gebruikmaken van veelgebruikte technieken voor het maken van wachtwoorden.
Wanneer ze van toepassing zijn, hebben op patronen gebaseerde kraakbenaderingen de voorkeur omdat ze het aantal mogelijkheden dat een hacker moet proberen, sterk verminderen voordat ze het daadwerkelijke wachtwoord tegenkomen.
Als u de formule uit mijn inleiding hebt gevolgd, is uw wachtwoord waarschijnlijk erg gevoelig voor op patronen gebaseerde kraakmethoden.
Dat wachtwoord van acht tekens dat u gebruikt dat nummers, meervoudige letters en speciale tekens gebruikt? Het duurt waarschijnlijk een half uur om te kraken.
Deze tweede categorie aanvallen representeert de barbaarse benadering van wachtwoord-hacking. In essentie betekent een brute-force aanval dat de hacker een ongelooflijk krachtige computer (of een netwerk van computers) zal gebruiken om systematisch elke mogelijke combinatie van karakters uit te proberen om je wachtwoord te achterhalen.
Het is duidelijk dat dit ontmoedigend lijkt, aangezien elk extra teken dat je toevoegt aan een wachtwoord enorme hoeveelheden extra wachtwoordmogelijkheden vereist. Helaas, afhankelijk van de vaardigheden en hardware die beschikbaar zijn voor uw aanvaller, kunt u verwachten dat een hacker tussen enkele honderdduizenden en ongeveer een miljoen mogelijke wachtwoordcombinaties kan testen per seconde.
Dat wachtwoord van acht tekens dat u gebruikt dat nummers, meervoudige letters en speciale tekens gebruikt? Het heeft waarschijnlijk een entropiewaarde van tussen de 30 en 50 bits. Dat zou waarschijnlijk een half uur duren om wijd open te breken.
Ongeacht de aanpak vereist het kraken van een wachtwoord de mogelijkheid om veel verschillende wachtwoorden uit te proberen om een overeenkomst te vinden. Dit is waar de andere helft van wachtwoordintegriteit in komt: beveiligingsmaatregelen van de accountprovider.
Als u ooit een CAPTCHA op een website bent tegengekomen (die formulieren waarvoor u obscure cijfers of woorden moet ontcijferen om door te gaan), dan bent u misschien tot de conclusie gekomen dat de website u, uw ogen en uw vrije tijd haat. Dit is waarschijnlijk niet het geval.
In feite dienen die verzwarende CAPTCHA's een cruciaal doel in de accountbeveiligingswereld: niet alleen voorkomen ze dat geautomatiseerde bots de inlogformulieren invullen, ze voegen ook een extra belemmering toe die het vermogen van een hacker om de duizenden wachtwoorden per test uit te testen, vertraagt. tweede nodig om een succesvolle scheur uit te voeren. Ze zijn natuurlijk niet onfeilbaar, maar ze vormen een extra beschermingslaag.
Samen met andere beveiligingsmaatregelen aan de serverzijde, zoals automatische inlog-time-outs na te veel mislukte pogingen, vertegenwoordigt CAPTCHA's de andere kant van de wachtwoordbeschermingsmunt.
Het is vaak de moeite waard om te onderzoeken welke beveiligingsmaatregelen een service heeft geïmplementeerd voordat u te veel van uw persoonlijke gegevens aan hen besteedt, want hoe sterk uw wachtwoord ook is, het maakt niet uit of de achterdeur open is.
Voor het grootste deel biedt onze inleidende formule voor het maken van een wachtwoord zeer goed advies. Meerdere cases, speciale karakters, cijfers; dit zijn allemaal geluidstechnieken die u kunt gebruiken als onderdeel van uw wachtwoord.
Er zijn andere technieken die je waarschijnlijk aan je hebt aanbevolen en die gewoonweg slecht zijn om je account veilig te houden.
Maar er zijn enkele richtlijnen die de effectiviteit ervan beïnvloeden en er zijn andere technieken die je waarschijnlijk aan je hebt aanbevolen en die gewoonweg slecht zijn om je account veilig te houden. Laten we enkele van deze richtlijnen bekijken en voorbeelden van slechte wachtwoordtechnieken identificeren.
Het lijkt misschien alsof het spel op u is gestapeld, maar het is de moeite waard om te onthouden dat de meesten van ons niet het doelwit worden van toegewijde hackers - onze prioriteit is het maken van weloverwogen keuzes over de diensten die we willen vertrouwen met onze gegevens, en om ervoor te zorgen dat onze accounts zo veilig mogelijk maken zonder onszelf onnodige hoofdpijnen te doen proberen om obscure tekenreeksen te onthouden.
Er zijn een aantal slimme manieren om veilige wachtwoorden te maken die aan deze criteria voldoen, maar we gaan ons concentreren op twee primaire wachtwoorden die niet alleen populair zijn, maar ook extreem effectief en flexibel genoeg om overal gebruikt te worden.
Onze prioriteit is om weloverwogen keuzes te maken over de services die we kiezen om te vertrouwen op onze gegevens en om ervoor te zorgen dat onze accounts zo veilig mogelijk zijn.
Een van de meest fascinerende paradoxen van wachtwoordbeveiliging is het feit dat, hoewel één woord verlammend gemakkelijk in te korten is als wachtwoord, het gebruik van meerdere woorden achter elkaar eigenlijk een van de veiligste methoden voor het maken van wachtwoorden is die ons ook het voordeel biedt veel eenvoudiger te onthouden zijn dan een equivalente lange reeks willekeurige tekens.
Een van de belangrijkste methoden voor het genereren van zo'n woordenlijst is 'Diceware', zo genoemd omdat je een dobbelsteen gebruikt om het wachtwoord te genereren uit een woordenlijst, zoals dit Engelse voorbeeld.
Voor elk woord in het wachtwoord (of wachtwoord, in dit geval) zou je vijf keer een dobbelsteen gooien. De resulterende getallen worden aan elkaar geregen - laten we zeggen 61345 - en dan wordt het overeenkomstige woord uit de lijst geselecteerd, in mijn geval 'toad'.
Laten we nu als voorbeeld een typisch "sterk" wachtwoord nemen: 7YmP @ ni5 (pauken, voor u niet-muzikale folk). Dat wachtwoord biedt ons ongeveer 50 stukjes entropie. Het is niet slecht, maar het is ook niet erg gedenkwaardig - welke letter werd vervangen door welk speciaal karakter of nummer? Welke letters zijn met een hoofdletter geschreven?
Ik sloot een wachtwoordzin van 5 woorden af met behulp van de Diceware-woordenlijst en kwam met 'toadloafsteamwhackethos'. Dat geeft ons een baseline van ongeveer 65 stukjes entropie - een veel grotere uitdaging voor hackers (elk bijkomend bit van entropie betekent twee keer zoveel mogelijkheden die moeten worden doorlopen).
Normaal gesproken worden vijf woorden beschouwd als de minimale haalbare lengte voor een Diceware-wachtzin en het mooie van het systeem is dat de entropiewaarde wordt berekend met de aanname dat uw hacker niet alleen weet dat u een Diceware-woordenlijst gebruikt, maar dat ze ook weet zelfs welke je hebt gebruikt en hoeveel woorden in je wachtwoordzin staan. Met andere woorden, als ze iets minder dan dat weten, of helemaal blind zijn, is de entropie van je wachtwoordzin nog hoger!
En omdat het een eenvoudige lijst met veelvoorkomende woorden is, is het veel gemakkelijker om te onthouden, vooral als je een frase genereert (of verzint) die humoristisch is of je geheugen op een andere manier aanspoort: 'Hé, luister!' is eenvoudig voor Zelda-fans. 70 stukjes nostalgische entropie daar.
Een slinkse en zeer effectieve methode voor het genereren van sterke wachtwoorden omvat het gebruik van zinsdelen op een enigszins onconventionele manier die gebeurt door het aanvinken van veel van de selectievakjes voor het maken van sterke wachtwoorden - het samenstellen van de eerste letters en alle interpunctie in een wachtwoord.
Laten we bijvoorbeeld een gedicht als The Jabberwocky van Lewis Carroll nemen. Vanaf de eerste strofe nemen we de eerste twee regels, namelijk:
'Twas brillig, en de slithy toves
GYRE en greep in de wabe;
Vervolgens, als we deze methode toepassen, zouden we eindigen met "'Tb, atstDgagitw;". Dat geweldige stukje wachtwoordtechnologie vertegenwoordigt maar liefst 100 stukjes entropie.
Laten we eens kijken naar de voordelen: het lijkt aan de oppervlakte volledig willekeurig en dus ongevoelig voor op patronen gebaseerde aanvallen; het gebruikt zowel meervoudige letters als speciale tekens; het is meer dan 12 tekens lang (een algemene richtlijn); en ondanks zijn schijnbare onbekendheid, is het onmogelijk om het te vergeten, omdat het is afgeleid van een stuk literatuur dat inherent gemakkelijk te onthouden is - een gedicht!
Ervan uitgaande dat je een hekel hebt aan poëzie, kun je natuurlijk gebruik maken van een regel uit je favoriete speech, een citaat uit een boek of een andere zin die je waarschijnlijk nooit zult vergeten.
Persoonlijk adviseer ik poëzie om twee redenen: een, het is vaak rijk aan interpunctie en hoofdletters, en twee, het is bijna altijd heel gemakkelijk om te onthouden (denk maar aan hoeveel populaire liedjes je mee kunt zingen).
Het laatste stuk in de puzzel met een sterk wachtwoord is variabiliteit: gebruik niet overal hetzelfde wachtwoord, het is de grootste fout die je kunt maken. Tien zwakke wachtwoorden zijn veiliger dan één sterkere die tien keer worden gebruikt, want als het in gevaar komt, is elke account die je hebt ook meteen in gevaar.
Gebruik niet overal hetzelfde wachtwoord, het is de grootste fout die u kunt maken.
Met behulp van de twee methoden die we hierboven hebben beschreven, kunt u gemakkelijk manieren vinden om de zaken consistent te houden en nog steeds verschillende wachtwoorden voor verschillende services te hebben. Het laatste woord in uw Diceware-lijst wijzigen of bijvoorbeeld verschillende verzen van de songtekst van dezelfde song gebruiken.
We moeten kort iets zeggen over het probleem van het schrijven van wachtwoorden om ze te onthouden. Dit is een beveiligingsrisico dat veel mensen nemen en hun cruciale wachtwoorden in een notitieblok of een stuk papier in hun portemonnee steken.
Hoewel het handig is, opent het ook een geheel nieuwe weg van gevaar - als iemand je portemonnee steelt, zouden ze normaal met wat geld en je ID ontsnappen. Nu hebben ze ook toegang tot elk account waarvoor je een wachtwoord hebt genoteerd. Kun je eraan denken ze allemaal op tijd te veranderen??
Wanneer we onze ideale wachtwoordoplossing voorstellen, benadrukken we dat het iets gedenkwaardigs moet produceren, zodat u niet hoeft terug te vallen op het schrijven van dingen om het te onthouden.
Als de formule die u gebruikt, iets is dat u gemakkelijk kunt terughalen, hoeft u misschien alleen obscure herinneringen te schrijven die nutteloos zijn voor iedereen die probeert uw wachtwoord te kraken. Als je de poëzie-acroniemmethode hebt gebruikt, kun je een notitie bijhouden die aangeeft welk vers je hebt gebruikt voor elke service - een dief zou niet weten waar je het over hebt.
Wie is een hacker die zich meer gaat richten: een willekeurige persoon of een bedrijf dat trots is op het bieden van sterke wachtwoordbeveiliging voor miljoenen gebruikers?
Op dit punt vraagt u zich wellicht af waarom u geen speciale wachtwoordservice zoals LastPass moet gebruiken om uw beveiligde wachtwoorden te beheren en te genereren.
Omdat het zowel gerenommeerde als flexibele hulpmiddelen zijn, moet u zeker overwegen ze te gebruiken. De reden dat het loont om je eigen sterke wachtwoorden te kunnen genereren, is omdat, omdat ook die services worden gerund door bedrijven, ze kwetsbaar zijn om zichzelf aan te vallen - en het zijn veel meer waarschijnlijke doelen van een wachtwoordaanval dan een eenzaam persoon is. Immers, wie is een hacker die zich meer op de doelgroep richt: een willekeurige persoon of een bedrijf dat trots is op het bieden van sterke wachtwoordbeveiliging voor miljoenen gebruikers?
Omdat ze het hun taak hebben gemaakt om dat te doen, zijn veel van deze services het vertrouwen waard, maar als je voorzichtiger bent, of als je niet alles in een app wilt laten opslaan, of als je gewoon een middel wilt om creëer een sterk hoofdwachtwoord voor die andere oplossingen, het loont om te weten hoe je er een kunt maken - en nu doe je het!
Vanzelfsprekend zijn de sterkste wachtwoorden die 20-tekenige gerandomiseerde reuzen die je gemakkelijk op het web kunt vinden. Deze zijn categorisch sterker dan elke andere formule die u waarschijnlijk formuleert. Maar ze zijn ook alleen nuttig voor machines en mensen met een belachelijke vaardigheid voor het onthouden van ingewikkelde tekenreeksen - ze zijn simpelweg niet praktisch voor dagelijks gebruik.
Het idee van een ideaal wachtwoord dat we in deze tutorial hebben onderzocht, was er een die een gelukkig evenwicht vindt tussen integriteit en onthoudbaarheid. Je bent nu uitgerust om de meest grove valkuilen voor wachtwoordcreatie te ontdekken en zelf sterke, gedenkwaardige en variabele wachtwoorden te maken. Dus ga heen en vang de luiken op uw waardevolle digitale assets.
Terwijl je bezig bent, vergeet niet om ze af en toe te veranderen - het is immers moeilijker om een bewegend doelwit te raken.
Heb je een betere methode? We willen erover horen! Wachtwoorden zijn belangrijk, dus spring in de opmerkingen en deel uw mening.
Accentsconagua