Come creare e ricordare una password sicura

2024 Autore: Malcolm Clapton | [email protected]. Ultima modifica: 2023-12-17 04:01

I modi migliori per creare una password che nessuno può decifrare.

La maggior parte degli aggressori non si preoccupa di metodi sofisticati per il furto di password. Prendono combinazioni facili da indovinare. Circa l'1% di tutte le password attualmente esistenti può essere a forza bruta con quattro tentativi.

Com'è possibile? Molto semplice. Provi le quattro combinazioni più comuni al mondo: password, 123456, 12345678, qwerty. Dopo tale passaggio, in media, viene aperto l'1% di tutti i "scrigni".

Diciamo che sei tra quel 99% di utenti la cui password non è così semplice. Anche così, le prestazioni dei moderni software di hacking devono essere prese in considerazione.

Il programma gratuito John the Ripper verifica milioni di password al secondo. Alcuni esempi di software commerciale specializzato rivendicano una capacità di 2,8 miliardi di password al secondo.

Inizialmente, i programmi di cracking eseguono un elenco delle combinazioni statisticamente più comuni, quindi fanno riferimento al dizionario completo. Nel tempo, le tendenze delle password degli utenti possono cambiare leggermente e queste modifiche vengono prese in considerazione quando tali elenchi vengono aggiornati.

Nel tempo, tutti i tipi di servizi Web e applicazioni hanno deciso di complicare forzatamente le password create dagli utenti. Sono stati aggiunti dei requisiti, secondo i quali la password deve avere una certa lunghezza minima, contenere numeri, maiuscole e caratteri speciali. Alcuni servizi l'hanno preso così seriamente che ci vuole un compito molto lungo e noioso per trovare una password che il sistema accetterebbe.

Il problema principale è che quasi tutti gli utenti non generano una password veramente a forza bruta, ma cercano solo di soddisfare al minimo i requisiti del sistema per la composizione della password.

Il risultato sono password come password1, password123, Password, PaSsWoRd, password! e l'incredibilmente imprevedibile p@ssword.

Immagina di dover rifare la tua password di Spiderman. Molto probabilmente assomiglierà a $ pider_Man1. Originale? Migliaia di persone lo cambieranno usando lo stesso algoritmo o molto simile.

Se il cracker conosce questi requisiti minimi, la situazione non fa che peggiorare. È per questo motivo che il requisito imposto di aumentare la complessità delle password non sempre fornisce la migliore sicurezza e spesso crea un falso senso di maggiore sicurezza.

Più è facile ricordare la password, più è probabile che finisca nei dizionari cracker. Di conseguenza, si scopre che una password davvero forte è semplicemente impossibile da ricordare, il che significa che deve essere riparata da qualche parte.

Secondo gli esperti, anche in questa era digitale, le persone possono ancora fare affidamento su un pezzo di carta su cui sono scritte le password. È conveniente tenere un foglio del genere in un luogo nascosto da occhi indiscreti, ad esempio in un portafoglio o in un portafoglio.

Tuttavia, il foglio delle password non risolve il problema. Le password lunghe sono difficili non solo da ricordare, ma anche da inserire. La situazione è aggravata dalle tastiere virtuali dei dispositivi mobili.

Interagendo con dozzine di servizi e siti, molti utenti lasciano una stringa di password identiche. Cercano di utilizzare la stessa password per ogni sito, ignorando completamente i rischi.

In questo caso, alcuni siti fungono da tata, costringendo a complicare la combinazione. Di conseguenza, l'utente semplicemente non riesce a ricordare come ha dovuto modificare la sua singola password standard per questo sito.

La portata del problema è stata pienamente realizzata nel 2009. Poi, a causa di una falla di sicurezza, l'hacker è riuscito a rubare il database di login e password di RockYou.com, la società che pubblica giochi su Facebook. L'autore dell'attacco ha reso il database pubblicamente disponibile. In totale, conteneva 32,5 milioni di voci con nomi utente e password per gli account. Le perdite sono già avvenute in precedenza, ma la portata di questo particolare evento ha mostrato l'intero quadro.

La password più popolare su RockYou.com era 123456, utilizzata da quasi 291.000 persone. Gli uomini sotto i 30 anni preferivano più spesso temi e volgarità sessuali. Le persone anziane di entrambi i sessi si rivolgevano spesso a una particolare area della cultura quando sceglievano una password. Ad esempio, Epsilon793 non sembra una cattiva opzione, solo che questa combinazione era in Star Trek. Il sette cifre 8675309 è apparso molte volte perché questo numero è apparso in una delle canzoni di Tommy Tutone.

In effetti, creare una password complessa è un compito semplice, è sufficiente comporre una combinazione di caratteri casuali.

Non puoi creare una combinazione perfettamente casuale in termini matematici nella tua testa, ma non sei obbligato a farlo. Esistono servizi speciali che generano combinazioni veramente casuali. Ad esempio, può creare password come questa:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Si tratta di una soluzione semplice ed elegante, soprattutto per chi utilizza un gestore per memorizzare le password.

Sfortunatamente, la maggior parte degli utenti continua a utilizzare password semplici e deboli, ignorando persino la regola "password diverse per ogni sito". Per loro, la comodità è più importante della sicurezza.

Le situazioni in cui la sicurezza della password può essere compromessa possono essere suddivise in 3 grandi categorie:

• A caso, in cui una persona che conosci sta cercando di scoprire la password, basandosi su informazioni che conosce su di te. Spesso, un tale cracker vuole solo fare uno scherzo, scoprire qualcosa su di te o fare un pasticcio.
• Attacchi di massaquando assolutamente qualsiasi utente di determinati servizi può diventare una vittima. In questo caso, viene utilizzato un software specializzato. Per l'attacco vengono selezionati i siti meno sicuri, che consentono di inserire ripetutamente le opzioni della password in un breve periodo di tempo.
• Intenzionaleche combinano la ricezione di suggerimenti (come nel primo caso) e l'uso di software specializzato (come in un attacco di massa). Si tratta di cercare di ottenere informazioni davvero preziose. Solo una password casuale sufficientemente lunga ti aiuterà a proteggerti, la cui selezione richiederà tempo paragonabile alla durata della tua vita.

Come puoi vedere, chiunque può diventare una vittima. Dichiarazioni come "la mia password non verrà rubata, perché nessuno ha bisogno di me" non sono rilevanti, perché puoi entrare in una situazione simile quasi per caso, per coincidenza, senza una ragione apparente.

È ancora più serio adottare la protezione tramite password per coloro che dispongono di informazioni preziose, sono associati a un'azienda o sono in conflitto con qualcuno per motivi finanziari (ad esempio, divisione di proprietà in fase di divorzio, concorrenza negli affari).

Nel 2009, Twitter (nella comprensione dell'intero servizio) è stato violato solo perché l'amministratore ha usato la parola felicità come password. L'hacker lo ha raccolto e pubblicato sul sito web di Digital Gangster, il che ha portato al dirottamento degli account di Obama, Britney Spears, Facebook e Fox News.

acronimi

Come in ogni altro aspetto della vita, dobbiamo sempre trovare un compromesso tra la massima sicurezza e la massima comodità. Come trovare una via di mezzo? Quale strategia per generare password ti consentirà di creare combinazioni forti che possono essere facilmente ricordate?

Al momento, la migliore combinazione di affidabilità e convenienza è convertire una frase o una frase in una password.

Viene selezionato un insieme di parole che ricordi sempre e come password viene utilizzata una combinazione delle prime lettere di ciascuna parola. Ad esempio, che la forza sia con te si trasforma in Mtfbwy.

Tuttavia, poiché le frasi più famose verranno utilizzate come frasi iniziali, i programmi alla fine riceveranno questi acronimi nelle loro liste. L'acronimo infatti contiene solo lettere, e quindi è oggettivamente meno affidabile di una combinazione casuale di caratteri.

Scegliere la frase giusta ti aiuterà a sbarazzarti del primo problema. Perché trasformare un'espressione famosa in tutto il mondo in una password di acronimo? Probabilmente ricordi alcune battute e detti che sono rilevanti solo nella tua cerchia ristretta. Diciamo che hai sentito una frase molto orecchiabile da un barista in un locale. Usalo.

Tuttavia, è improbabile che la password dell'acronimo che hai generato sia unica. Il problema con gli acronimi è che frasi diverse possono essere composte da parole che iniziano con le stesse lettere e nella stessa sequenza. Statisticamente, in varie lingue, c'è una maggiore frequenza della comparsa di alcune lettere come inizio di una parola. I programmi terranno conto di questi fattori e l'efficacia degli acronimi nella versione originale sarà ridotta.

Modo inverso

La via d'uscita può essere la via di generazione opposta. Crei una password completamente casuale su random.org e poi trasformi i suoi caratteri in una frase significativa e memorabile.

Spesso i servizi e i siti forniscono agli utenti password temporanee, che sono le stesse combinazioni perfettamente casuali. Dovrai cambiarli, perché non sarai in grado di ricordare, ma basta dare un'occhiata più da vicino e diventa ovvio: non è necessario ricordare la password. Ad esempio, prendiamo un'altra opzione da random.org - RPM8t4ka.

Sebbene sembri privo di significato, il nostro cervello è in grado di trovare determinati schemi e corrispondenze anche in un tale caos. Per cominciare, puoi notare che le prime tre lettere sono maiuscole e le tre successive sono minuscole. 8 è due volte (in inglese due volte - t) 4. Guarda un po' questa password e troverai sicuramente le tue associazioni con l'insieme proposto di lettere e numeri.

Se riesci a memorizzare serie di parole senza senso, usa quelle. Lascia che la password si trasformi in giri al minuto 8 traccia 4 katty. Qualsiasi conversione in cui il tuo cervello è più bravo lo farà.

Una password casuale è il gold standard nella sicurezza delle informazioni. È, per definizione, migliore di qualsiasi password creata dall'uomo.

Lo svantaggio degli acronimi è che nel tempo la diffusione di tale tecnica ridurrà la sua efficacia e il metodo inverso rimarrà altrettanto affidabile, anche se tutte le persone sulla terra lo utilizzeranno per mille anni.

Una password casuale non sarà inclusa nell'elenco delle combinazioni popolari e un utente malintenzionato che utilizza un metodo di attacco di massa eseguirà solo la forza bruta di tale password.

Prendiamo una semplice password casuale che tenga conto di maiuscole e numeri: sono 62 possibili caratteri per ogni posizione. Se rendiamo la password solo 8 cifre, otteniamo 62 ^ 8 = 218 trilioni di opzioni.

Anche se il numero di tentativi entro un certo intervallo di tempo non è limitato, il software specializzato più commerciale con una capacità di 2,8 miliardi di password al secondo impiegherà in media 22 ore a cercare la giusta combinazione. Per essere sicuri, aggiungiamo solo 1 carattere in più a tale password e ci vorranno molti anni per decifrarla.

Una password casuale non è invulnerabile, in quanto può essere rubata. Le opzioni sono abbondanti, dalla lettura dell'input della tastiera all'avere una fotocamera sulla spalla.

Un hacker può colpire il servizio stesso e ottenere dati direttamente dai suoi server. In questa situazione, nulla dipende dall'utente.

Una base affidabile

Quindi, siamo arrivati alla cosa principale. Quali sono le tattiche di password casuali da utilizzare nella vita reale? Dal punto di vista dell'equilibrio tra affidabilità e convenienza, la "filosofia di una password forte" si mostrerà bene.

Il principio è che usi la stessa base: una password super forte (le sue varianti) sui servizi e sui siti che sono più importanti per te.

Ricorda una combinazione lunga e difficile per tutti.

Nick Berry, un consulente per la sicurezza delle informazioni, consente l'applicazione di questo principio, a condizione che la password sia molto ben protetta.

Non è consentita la presenza di malware sul computer da cui si immette la password. Non è consentito utilizzare la stessa password per siti meno importanti e divertenti: per loro sono sufficienti password più semplici, poiché l'hacking di un account qui non comporterà conseguenze fatali.

È chiaro che la base affidabile deve essere modificata in qualche modo per ogni sito. Come semplice opzione, puoi aggiungere una singola lettera all'inizio, che termina il nome del sito o del servizio. Se torniamo a quella password RPM8t4ka casuale, si trasformerà in kRPM8t4ka per l'autorizzazione di Facebook.

Un utente malintenzionato, vedendo una tale password, non sarà in grado di capire come viene generata la password per il tuo conto bancario. I problemi inizieranno se qualcuno ottiene l'accesso a due o più delle tue password generate in questo modo.

Domanda segreta

Alcuni dirottatori ignorano del tutto le password. Agiscono per conto del proprietario dell'account e simulano una situazione in cui hai dimenticato la password e desideri ripristinarla con una domanda segreta. In questo scenario, può cambiare la password a piacimento e il vero proprietario perderà l'accesso al suo account.

Nel 2008, qualcuno ha avuto accesso all'e-mail di Sarah Palin, il governatore dell'Alaska e a quel tempo anche un candidato presidenziale. Il ladro ha risposto alla domanda segreta, che suonava così: "Dove hai incontrato tuo marito?"

Dopo 4 anni, Mitt Romney, che all'epoca era anche un candidato alla presidenza degli Stati Uniti, ha perso molti dei suoi account su vari servizi. Qualcuno ha risposto a una domanda segreta sul nome dell'animale domestico di Mitt Romney.

Hai già indovinato il punto.

Non è possibile utilizzare dati pubblici e facilmente indovinabili come domanda e risposta segrete.

La questione non è nemmeno che queste informazioni possano essere accuratamente ripescate su Internet o dagli stretti collaboratori della persona. Le risposte alle domande nello stile di "nome animale", "squadra di hockey preferita" e così via sono perfettamente selezionate dai dizionari corrispondenti di opzioni popolari.

Come opzione temporanea, puoi usare la tattica dell'assurdità della risposta. Per dirla semplicemente, la risposta non dovrebbe avere nulla a che fare con la domanda segreta. Cognome della madre da nubile? Difenidramina. Nome del cucciolo? 1991.

Tuttavia, tale tecnica, se riscontrata diffusa, verrà presa in considerazione nei programmi corrispondenti. Le risposte assurde sono spesso stereotipate, cioè alcune frasi si incontreranno molto più spesso di altre.

In effetti, non c'è niente di sbagliato nell'usare risposte reali, devi solo scegliere la domanda con saggezza. Se la domanda non è standard e la risposta è nota solo a te e non può essere indovinata dopo tre tentativi, allora tutto è in ordine. Il vantaggio di essere sinceri è che non lo dimenticherai nel tempo.

SPILLO

Il numero di identificazione personale (PIN) è un lucchetto economico a cui è affidato il nostro denaro. Nessuno si preoccupa di creare una combinazione più affidabile di almeno questi quattro numeri.

Adesso fermati. Proprio adesso. In questo momento, senza leggere il paragrafo successivo, prova a indovinare il PIN più popolare. Pronto?

Nick Berry stima che l'11% della popolazione degli Stati Uniti utilizzi 1234 come PIN (dove possono cambiarlo da soli).

Gli hacker non prestano attenzione ai codici PIN perché il codice è inutile senza la presenza fisica della carta (questo può in parte giustificare la piccola lunghezza del codice).

Berry ha preso gli elenchi delle password a quattro cifre che sono apparsi dopo le fughe di notizie sulla rete. È probabile che la persona che utilizza la password del 1967 l'abbia scelta per un motivo. Il secondo PIN più popolare è 1111 e il 6% delle persone preferisce questo codice. Al terzo posto c'è 0000 (2%).

Supponiamo che una persona che conosce queste informazioni abbia in mano una carta bancaria. Tre tentativi di blocco della carta. La semplice matematica mostra che questa persona ha una probabilità del 19% di indovinare il proprio PIN se inserisce 1234, 1111 e 0000 in sequenza.

Probabilmente per questo motivo, la stragrande maggioranza delle banche assegna i codici PIN alle stesse carte di plastica emesse.

Tuttavia, molte persone proteggono gli smartphone con un codice PIN e qui si applica il seguente indice di popolarità: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Spesso il PIN rappresenta un anno (anno di nascita o data storica).

A molte persone piace creare PIN sotto forma di coppie ripetute di numeri (inoltre, le coppie in cui il primo e il secondo numero differiscono di uno sono particolarmente popolari).

I tastierini numerici dei dispositivi mobili visualizzano combinazioni come 2580 in alto: per digitarlo, è sufficiente effettuare un passaggio diretto dall'alto verso il basso al centro.

In Corea, il numero 1004 è in consonanza con la parola "angelo", il che rende questa combinazione molto popolare lì.

Risultato

1. Vai su random.org e crea lì 5-10 password candidate.
2. Scegli una password che puoi trasformare in una frase memorabile.
3. Usa questa frase per ricordare la tua password.