השאלה שלי לא נוגעת לעוצמה המתמטית של סיסמאות, אשר ברור שתלוי בתוכן שנבחר וכיצד ניתן לבצע סיסמאות, אלא יותר לחיזוי הכמות הכוללת של סיסמאות אפשריות. סביר להניח שצצים בשיטה זו.

זו שאלה טובה, ואני הולך לצאת מהמקובל כאן, חבש את כובע נייר העץ שלי ואומר "לא, זה זה לא רעיון טוב. " למה? בואו נסתכל על זה בהקשר של דליפות סנודן.

מכיוון ש GCHQ מרגל אחר כל התנועה באינטרנט הבריטי, ו על פי דליפות סנודן, תעבורת האינטרנט שלך משותפת עם חמש העיניים. גם אם אתה משתמש ב- HTTPS, זה רעיון רע.

"אבל מארק באפלו, אתה שוב חובב נזיר מטורף!" תחשוב על זה. הזמן לפיצוח הסיסמה שלך הצטמצם לפתע ובאופן משמעותי. כיצד?

1. GCHQ לוקח היסטוריה של החיפושים המקוונים שלך. הם ככל הנראה יודעים מתי נרשמת לאתר מסוים בזכות XKeyscore.

2. אם הם יודעים מתי נרשמת לאתר זה, הם יראו שהלכת Google.com בערך באותה תקופה וחיפשה מילות שירים. גם אם אתה משתמש ב- HTTPS, העובדה שהתחברת ל- google.com באותה תקופה ואז ביקרת באתר שמארח מילות שירים, היא כל מה שהם צריכים כדי להתחיל לשבור את הסיסמה שלך.

   • גם אם הם לא יכולים לראות את התנועה, הם עדיין יכולים לראות שהתחברת. גם אם אתה משתמש ב- HTTPS, זה לא מונע מהם לארח אתרי ליריקה בעצמם. זה גם לא מונע מחברות לרשום את תוצאות החיפוש שלך, וזה לא מונע מהחברות לספק את התוצאות האלה לאף אחד. אם הם יודעים איזה סוג של שירים אתה אוהב, או לא אוהב, זה מקל עוד יותר.

3. עכשיו הם יכולים לכתוב אלגוריתם כדי לפצח את הסיסמאות שלך הרבה יותר קל מאשר לאלץ כל שילוב אפשרי. או אפילו יותר טוב, השתמש בפצח סיסמאות מוכן עם מילון מסופק של התוצאות האלה.

אבל מארק באפלו, הממשלה לא עוקבת אחרי!

כל זה בסדר גמור. בדרך כלל אינך צריך לדאוג לגביהם אלא אם כן אתה פושע. או שאתה מודע לפרטיות. או שאתה חוקר אבטחה.

יש עוד היבט חשוב שעליך לשקול, שלדעתי הוא גרוע בהרבה מהממשלה: חברות פרסומות והאקרים "אבל מארק באפלו , אני משתמש ב- NoScript (נהדר) ו- Ghostery (Ghostery מוכרת את המידע שלך)! " רוב האנשים לא משתמשים בהם. ואנשים רבים שעושים זאת, גם לא משתמשים בכלים אלה כשהם משתמשים בסמארטפון שלהם.

ישנם מסלולי נתונים בכל מקום, במיוחד אם אתה הבעלים של טלפון חכם (במיוחד אנדרואיד), ויש המון חברות שיווק מרושעות שימכרו את הנתונים שלך במורד הנהר את הסיכוי הראשון שהם מקבלים. או אולי הם לא חברות מרושעות, אבל הם נפרצים על ידי האקרים.

כל אדם עם "צורך" יכול לקנות את הנתונים האלה, והמי שמבוטל מספיק יכול לגנוב אותם. אמנם זה נראה כמו דאגה מטורפת לדבר כל כך קטן עבור רוב האנשים, אבל זה מחמיר הרבה יותר כשאתה מתעמק בתחום הקבלנות הפדרלית. זו אחת הדרכים שמתחילות הפרות אבטחה.

ניתן לבצע את כל השלבים שצוינו קודם ללא XKeyscore. ניתן לעשות זאת בקלות רבה באמצעות מאגרי שיווק עצומים.

עצור את נייר הזכוכית, סמן.

אם הייתי חובש את כובע נייר העץ שלי עכשיו, הייתי מאמין למאמר זה נעשה כחלק מתכנית להחלשת הסטנדרטים בכוונה. אני באופן אישי מאמין שהחלשת התקנים מהווה סיכון ביטחוני לאומי, במיוחד כאשר הקבלנים הפדרליים מאמצים את אותם סטנדרטים מוחלשים.

באופן אישי הייתי דואג יותר לחברות שיווק והאקרים מרושעים מאשר לממשלה . במיוחד כשסטנדרטים מוחלשים בכוונה הם ש עוזרים למדינות שעלולות להיות עוינות להשיג גישה בלתי מורשית לתשתית קריטית ולקניין רוחני.

אך ברצינות, הדבר מחליש את הסיסמה שלך

עכשיו בואו נדבר על מספרים והנדסה חברתית.

עם כוח ברוטלי רגיל של סיסמה זו, סביר להניח שתזדקק לתווים הבאים בהתבסס על מדיניות סיסמאות זו: pre> abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789! @ # $% ^ & * () -_ + =

זה 76 תווים אפשריים. בשיטת סיסמה זו, בהנחה שרוב האנשים ישתמשו ב-6-7 מילים כדי ליצור את הסיסמה, ואולי יוסיפו סמל אחד - ! @ # $% ^ & * () שהוא הנפוץ ביותר - בתוספת מספר , תצטרך לבדוק - עבור סיסמה בת 8 תווים - שילובים של 1,127,875,251,287,708 כדי למצות את שטח הסיסמה. זה יכול לקחת הרבה זמן בלתי תלוי בהתאם לאלגוריתם הגיבוב ו חומרה.

בואו נשתמש ב- md5 כדוגמה (זה נורא, אבל זה זול מבחינה חישובית. בבקשה אל תעשה ' לא להשתמש ב- md5; אני משתמש בו רק כדוגמה) . כדי למצות את מרחב הדמויות של סיסמה בת 8 תווים, ייקח 4 שנים לפצח אותה עם תחנת עבודה זולה. בערך 4 שנים 25 ימים 7 שעות 46 דקות 54 שניות. אם תעלה את אורך הסיסמה ל 9, זה ייקח יותר מ -309 שנים. זכור שכוח העיבוד גדל במהירות.

לימוד פרמטרים נוספים על סיסמת המשתמש מאפשר לך לפשט זאת. נניח שאתה בוחר בשיר הבא: תינוק היכה אותי פעם נוספת . זה השיר האהוב עליך, ואני יודע את זה מכיוון שהנדסתי אותך חברתית לספר לי. בואו לבחור ביטוי לירי צפוי ליצירת סיסמה עם: הכו לי תינוק פעם נוספת . זה הופך להיות HmBomT . עכשיו בואו נוסיף קצת עלה עם מספר. עכשיו יש לנו H @ BomT3 . עכשיו שאנחנו מכירים את השיר המועדף עליכם ואת הביטוי המועדף עליכם, זה מה שמרחב האלפבית של הסיסמה שלכם הופך להיות:

  hHmMbBoOmMtT1234567890! @ # $% ^ & * () -_ + =  

כפי שאתה יכול לראות, שטח האלף-בית הזה מצטמצם משמעותית. זה הרבה הרבה יותר מהיר אם אתה יודע באיזו אופי הסיסמה מתחילה, אבל נניח שלא. בואו נניח שזה עבר אקראי. עכשיו הפחתת את הזמן הדרוש למיצוי שטח הסיסמה לשילובי 2,901,713,047,668 , לוקח 3 ימים לפצח את הסיסמה עם תחנת עבודה זולה. בואו נשדרג אותו ל -9 תווים. עכשיו זה לוקח 137 יום 15 שעות 47 דקות.

אתה יכול לחשב זאת בעצמך (טקסט: מותאם אישית). כמו כן, כל זה מניח ש אין לכם אשכול GPU ייעודי.

EDIT :

הגעתי לתשומת ליבי שיש עדויות לפתרונות חומרה מותאמים אישית המוקדשים לפיצוח bcrypt, אחד מהם הוא הרבה פחות יקר ממערך 25-GPU, משתמש פחות בהספק, והוא עדיף בהרבה מכל הבחינות. אנא קרא את המאמר המדהים הזה אם אתה רוצה ללמוד עוד.

אך האם לא עלינו פשוט להגדיל את אורך הסיסמה?

כן, אתה יכול . למען האמת, זה מגביר מאוד את האנטרופיה כאשר אתה מגדיל את אורך הסיסמה.

עם זאת, אז זה הופך להיות מעצבן להיכנס - במיוחד עבור סביבות ארגוניות הדורשות ממך לצאת בכל פעם שאתה עוזב את המחשב. נוסף על כך, קשה מאוד לזכור את הסיסמה הזו.

בסופו של דבר אתה עלול לשכוח אותו לאחר הזנת סיסמאות שונות ונאלץ לשנות כל כמה חודשים. גרוע מכך, אתה יכול לשכוח את זה מיד ולהיאלץ לבקר בדלפק העזרה של ה- IT כדי לאפס את הסיסמה שלך. זה גורם לעלויות לעסק ולאיבוד התפוקה.

למעשה, שיטה טובה יותר תהיה xkcd מצרך נכון של סוללות סוסים . אתה יכול להשתמש באותיות גדולות איפשהו, ובמספר במקום אחר, או שאתה יכול להקל עוד יותר תוך כדי הגדלת האנטרופיה: משהו כמו בנזין מצרך לסוללה נכון . קל מאוד לזכור, קל מאוד להקליד וקשה מאוד למחשבים להישבר. זכור גם כי זה צריך להיות נוצר באופן אקראי מרשימת מילים משנת 2048.

עבור אתרים, אמליץ על מנהל סיסמאות כגון KeePass. לא הייתי משתמש ב- LastPass מכיוון שהוא חשוף להתקפות דיוג. אתרי אינטרנט יכולים לדעת שהפעלת LastPass, מכיוון שהדפדפן שלך שולח מידע זה לאתר אם נדרש זאת! זה חלק מאופן טביעת אצבעות הדפדפן עובד.

עבור כניסות ארגוניות ואחרות שאינך מסוגל להשתמש איתן במנהל סיסמאות, אמליץ על גרסה של מצרך נכון לסוללות סוסים עם מילה נוספת. אולי נכון בנזין מצרך לסוללות סוס ? הרבה יותר קל לזכור.

זה נורא :) לספק כמה מספרים לגיבוי טענות על ידי תשובות אחרות:

זה מספק כמה מספרים של כמה שירים פופולריים בשנה. בעשור האחרון הוא הגיע ל -300-400 להיטי Top40 בשנה! ספירת מילים ממוצעת לשיר היא 300-600, תלוי בסגנון, והם עושים 7-10 מילים למשפט (ואני מתאר לעצמי שזה האורך הנוח של הסיסמה בימינו).

כל זה הסתכם - קורפוס בסיסי הסיסמאות לאנשים שמאזינים למוזיקה פופולרית יעמוד על כ- 40,000 בשנה, לא כולל חזרות (וכולנו יודעים שלשירים פופולריים אין ולו שורה חוזרת!).

ככזה, פשוט בחירת מילה אקראית נפוצה ויומיומית והוספת הספרה המועדפת עליך עד הסוף היא בסיס בסיסי באותה מידה (בהנחה שהשיר האהוב עליך הוא בן פחות משנה - נכון מאוד עבור כל כך הרבה אנשים!). אשר, אם תשאלו אנשי IT או אבטחה כלשהם, אינה מאובטחת כלל. למעשה, זה גרוע יותר מ tr0ub4dor&3 המפורסם של XKCD, בגלל קורפוס קטן יותר ואורך מילים ממוצע קטן יותר, וזה נדון בהמוניו.

כדי להוסיף עלבון לפציעה - אף אחד מהשלבים בעצה אינו טוב באמת.

• רוב האנשים נוטים להאזין לאותה מוזיקה. פשוט לך לקונצרט של להקת בנים ותסתכל על גודל הקהל העצום (לעומת מספר המילים שהזמר ימלמל).

• אני בספק ספק רוב האנשים יקחו את האמצע הפסוק ביותר. אני מוצא את זה הרבה יותר מתקבל על הדעת שזה הפזמון הקליט שייבחר (אחרי הכל, אתה צריך לזכור את השורה מילה במילה, ולא רק את המשמעות הכללית או הקצב!)

• לקחת את אות המילים הראשונה זה נורא. 7 אותיות מכסות 65% מהשפה בצורה כזו. כמובן שזה לא ניתח מילים באופן ספציפי, אבל אני בספק אם עדיף שיש שם ¹ .

• תלוי רישיות הוא בסדר, אך רק אם אתה הופך את מיקומי האותיות לאקראיים באמת. מה שלא. זה קל מדי אם הראשון הוא הון. ואתה לא מרכיב אותם יחד, נונו. וצריך להיות מספר הגון, אבל לא יותר מדי, נכון?

• אי-שימוש בסיסמה הוא בעיקר חסר משמעות. מבין האותיות הנפוצות ביותר, ניתן להחליף רק זוג, וההחלפה ידועה מראש. ולא תקראי באופן אקראי אילו תווים מוחלפים ואילו - לא. חישבה את האנטרופיה של שאנון מהמאמר לעיל. התברר שזה ~ 4.075, לעומת 4.7 להפצת אותיות אקראית. זה לא רע כמו שציפיתי, אם כי פירוש הדבר שלסיסמה של 10 תווים קל יותר לנחש אם היא נעשית באותיות ראשונות, ולא באותיות אקראיות

זה בטוח יותר ממה שרוב האנשים עושים, כלומר להשתמש במילים מילוניות אחת. השיטה של ​​ה- BBC מתחילה במשפט אחד או שניים, במקום מילה בלבד. עם זאת, הוא פחות מאובטח ממה שהיה יכול להיות.

ראשית, אם אתה משתמש במקהלה ידועה, אתה מגדיל את הסיכוי שאנשים אחרים יקבלו סיסמאות דומות לך.

שנית, באופן אישי אני חושב שקל יותר להקליד מילים שלמות מאשר אותיות מנותקות, גם אם זה מגדיל את מספר המקשים שאתה צריך ללחוץ עליהם. השימוש באותיות הראשונות ממשפט בלבד זורק אנטרופיה.

העצה שלי אם אתה זקוק לסיסמה שנועדה להיזכר (כלומר לא ניתן לשמור במנהל סיסמאות) היא ליצור באופן אקראי ביטוי באמצעות משהו כמו כלי תוכנה.

חלופה נוספת היא להתחיל ביצירת סיסמה אקראית של אותיות n. אבל אז נסה למצוא לזה מנמון. הבדל זה בסדר הוא מכריע; אם אתה מתחיל עם המנמוניק ואז סיסמא את המננומיק, אתה צפוי להיות פחות אקראי מאשר אם היית מייצר את הסיסמה תחילה.

כן העצה הלא רעה שלה, אם כי זה תלוי עד כמה אנשים עוקבים אחריה, בניגוד לאני העצמי, לא הייתי מטיח את האמן האהוב עלי שם (כולנו יודעים שאתה אוהב את JB ..)

בעקבות העצה הזו הכי טוב סביר להניח שגורמים לרבים לבחור באמן ה- FAVORITE שלהם ובשיר ה- FAVORITE שלהם וככל הנראה במקהלה או בשורה הידועה מאוד (אלה שאתה שר איתם ולא ממלמל) מה שמקל מאוד על איתור סיסמת האנשים הממוצעים, אך, כפי שהיא נראית בעקבות שיטה זו יהיה הרבה יותר קשה לנחש, אבל הרבה יותר קשה לזכור. יצירת סיסמאות טובות וזכירתן היא מתנה שיש אנשים שאינם מחזיקים בה.

העצה הנגדית שלי תהיה ליצור באופן אקראי את כל הסיסמאות שלך ולאחסן אותן במחזיק מפתחות תוך שמירה על סיסמת הדוא"ל הראשית והסיסמה שלך למחזיק המפתחות שלך המאוחסן בראשך.

אך שוב רק כדי שלא נראה לי שלילי כל כך, זו אפשרות טובה יותר מ- ilovejb2016 ... העצה הלא רעה שלה לאנשים שאינם טק.

רציתי לדבר על זה שוב, עדכן את תשובתי.

אני לא אומר שזה טוב למישהו כמונו באתר זה שיודע אבטחה ומודע לאבטחה למלא אחר עצה זו, סביר להניח שזה יחליש את הסיסמאות שלנו בשיטה זו. אבל אבל עצה זו תעזור לאנשים כמו הורי, ילדי. מי שסיסמאות יכולות להיות, ככל הנראה, מילים איומות העוקבות אחר אות הקפיטול הסטנדרטית אחת בתור האותיות הקטנות והמספר (ככל הנראה גילן, שנת הלידה, 1, 11, 123, 321) והסיסמה שהיא עצמה היא מילה רגילה המתייחסת לחיי היומיום שלהם. לְמָשָׁל שם היפופוטם של חיית המחמד שלהם .. שמנמן 123 למשל!

זוהי ייעוץ טוב לאנשים האלה. אבל לא אנחנו, אתה צריך לזכור אנשים, אנשים לא מאוד טובים עם מחשבים או להיות מאובטחים. אני יכול לפרוץ את כל הסבתות שלך על ידי כתיבת מילים נפוצות.

כמו רוב הדברים באבטחה, זה תלוי במה אתה מנסה להגן וממי אתה מנסה להגן עליו.

תשובה קצרה היא: לכניסה לרוב האתרים, סביר להניח מאובטח עבור תוקפים המנסים לנחש סיסמאות על ידי ניסיון כניסות מרובות.

בכל תרחיש בו תוקף יכול לבצע התקפה לא מקוונת אין זה סביר שיטה טובה למנוע תוקף נחוש שכן התקפות לא מקוונות יכולות לבצע מיליונים, לפעמים מיליארדי ניסיונות בשנייה. זה נכון לגבי סיסמאות wifi, ביטויי סיסמה להצפנה, או אם תוקף משיג את החשיפות מאתר אינטרנט.

אורך הסיסמאות חשוב יותר ממורכבות בכל הנוגע לאבטחה.

1Iw&iNLy3 ולכן הסיסמה הזו כוללת 9 תווים שהיא נמוכה למדי וניתנת לפיצוח תוך זמן.

אנא בדוק כאן את העוצמה:

https://howsecureismypassword.net/

סיסמה זו 1Iw&iNLy3 ניתנת לפיצוח תוך 275 ימים בעוד שמשפט הסיסמה הזה I_Like_Sausages_and_Eggs_For_Dinner ייקח 64 קוואטר-מאות מיליוני שנים לפיצוח.

אז לענות על שאלתך זו עצה רעה מאוד.

https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength

http://crambler.com/password-security-why-secure-passwords-need-length-over-complexity/ https://stormpath.com/blog/5 -myths-password-security /

בעולם שבו אנשים חושפים בתדירות גבוהה מידע ברשתות החברתיות אודות אמני המוזיקה האהובים עליהם, שירים, ז'אנרים ואפילו מילים מועדפות ספציפיות, האם זו אסטרטגיית סיסמא טובה לשימוש?

אום .. לא.

האם היא תעמוד במתקפת ניחוש פשוטה באמצעות, למשל, 500 סיסמאות שנמצאות בתדירות גבוהה מאוד? בטוח. (אלא אם כן יוצר המילון היה חכם לטקטיקה הזו ובחרת ממש, באמת, באמת ליריקה שנבחרה בדרך כלל, אני מניח.) אבל אם היית מעוניין לעצור תוקף שהיה מוכן לעשות אפילו מיקוד בסיסי מאוד לאיתור / איסוף מידע אודותיך - או שכבר הכרת אותך במידה מסוימת (למשל, עמית לעבודה) - זו תהיה אסטרטגיית בחירת סיסמא מחורבנת.

כדי לשחק בעו"ד השטן, ניתן להשתמש בטכניקה זו אם בסופו של דבר תהיה לך סיסמה ארוכה מספיק (ייתכן שתרצה להשתמש בשתי שורות לצורך כך). וזה בהחלט שיפור אם הסיסמה הישנה שלך היא harry1990 או qwerty123 . עם זאת, טכניקה זו היא (א) מורכבת מדי, ו- (ב) הסיסמה המתקבלת אינה אופטימלית. אני מאמין ש הקומיקס המפורסם הזה של XKCD מסביר בצורה הטובה ביותר מה רע בכללים מורכבים ומורכבים המגדירים את הסיסמה שלך:

בהתחשב בכך שרוב האנשים יבחרו במקהלה של שיר פופולרי (במיוחד מכיוון שאתה רוצה 'התופס יותר טוב') וישתנו רק אותיות כמו E ו- A ל- 3 ו- 4 בהתאמה, זה לא יהיה מעבר לגבולות הסיבה ליצור רשימת מילים משירים פופולריים בצורה זו בהצלחה יחסית.

בני אדם אכן צפויים מאוד, הרבה יותר ממה שאנחנו חושבים שאנחנו כבר בדרך כלל, ראה למשל. כאן. לכן, לעולם אל תבחר את הסיסמאות שלך באמצעות תכנית הכוללת מידע משמעותי עבורך.

התשובה הקצרה היא "לא". מאמר זה מאת ג'ף אטווד מהווה מקרה טוב למדי ש כל סיסמה בת פחות מ 12 תווים אינה בטוחה.

סיכום: האמור לעיל הוא בסדר בתרחיש של מישהו שמנסה סיסמאות (~ 1000 ניחושים לשנייה), אך כך פשוט היה משתמש בביטוי "אם הייתי חבר שלך, לעולם לא הייתי נותן לך ללכת כסיסמה שלך. לרוב האנשים יש כל כך הרבה סיסמאות, בשלב מסוים בשירות כלשהו שהם משתמשים בו, יושלך כל חשיפת הסיסמאות שלהם. זהו התרחיש "לא מקוון" של בדיקת hashes. אם השירות משתמש בחשיש לא בטוח, הסיסמה שלך לא משנה. אם הם משתמשים בכזו מאובטחת, אך מישהו חושב שיש כסף בפיצוח הסיסמאות, הזמן במכונות "ענן" עם GPUs לחישובי חשיש מהירים הוא זול. דף זה מגדיר את הזמן להטיל כוח על הסיסמה לדוגמה שלך בפחות משעתיים בתרחיש כזה.

לא זו לא עצה טובה ליצירת סיסמה. אני לא באמת יכול לראות יתרון ספציפי לשיטת הסיסמה בכלל.

קל יותר לנחש מכיוון שהוא כנראה משתמש בביטוי נפוץ (זכור, כעבריינים אנו מנסים לפצח כמה שיותר סיסמאות בתוך מסד נתונים ככל האפשר, לא אחד ספציפי. כן אתה אולי ישתמש בביטוי לא ברור, אבל אני מתערב שרוב האנשים ישתמשו בלירית מקהלה משיר פופולרי).

זה גם לא בטוח להתקפות כוח אכזריות. אורך הסיסמה שהיא מייצרת קצר, כך שתוכלו להכריח אותה במהירות יחסית. אולי זה יחזיק מעמד נגד כוח אכזרי קצת יותר מאשר סיסמה באורך שווה ללא תווים, כיוון שהפושעים עשויים להפעיל כוח ברוטאלי רק על תווים אלפאנומריים.

זה גם פחות בטוח כי קשה זכור. אם אתה זוכר את הסיסמה שלך בקלות, אתה לא רושם אותה על פתק ההודעה שמתחת לשולחן העבודה שלך או בקובץ passwords.txt על שולחן העבודה שלך.

היתרון היחיד שיש לשיטה זו הוא התנגדות. להתקפות מילוניות, מכיוון שהוא אינו מכיל מילים מילוניות.

כפי שאחרים הזכירו, שיטת סיכות הסוללה הנכונה של סוס היא השיטה הטובה ביותר ליצירת סיסמה בלתי נשכחת העמידה כמעט כל התקפה. כרגע יש 1,025,109 מילים באנגלית לבחירה. 4 מילים נותנות 1.1 ^ 24 אפשרויות ו -7 מילים נותנות לך יותר צירופים ממספר החשיפות MD5 האפשריות. אם תבחר אפילו סיסמה בת 4 מילים ותחליף תו אקראי בתו / סמל ascii אקראי, למעשה הפכת התקפות מילוניות לבלתי אפשריות ורק כוח אכזרי ישים. בהנחה שאורך מילים ממוצע של 5 תווים, המספר הכולל של צירופים יהיה ~ 20 ^ 254, שהוא גדול מדי לחישוב אפילו על ידי המחשבון של גוגל.

עם זאת, אם אתה זוכר ארבע מילים והחלפה. , קל מאוד לזכור את הסיסמה.

אז בעצם, השיטה של ​​BBC פחות מאובטחת מאשר יצירת סיסמא באופן אקראי. אל תשתמש בו.

השתמש במנהל סיסמאות.

מנהל סיסמאות פופולרי מאוד בקרב הטכנוקרטים הוא KeePass .

מנהל ה- IT שלי אומר " LastPass לתינוקות" (רומז שהכי קל).

עריכות: קישור הוסר בגלל התנגדויות לכתבה אֲמִינוּת. תשובה ישירה שנוספה על ידי בקשה.

באשר לשאלה, אני אגיד ש עצה טובה (אך לא מעולה). בהחלט יש סיסמאות גרועות יותר מאשר 1Iw&iNLy3 , וזה יותר קו מנחה מאשר אלגוריתם: בזמן שאתה משתמש בג'סטין בייבר, אוכל להשתמש בציטוטים מה- I Ching, Yogi Barra או Rocky IV, ו- 'הסיסמה' שלי יכולה להיות מורכבת פחות או יותר משלך. אז העצות שלהם הן נקודת התחלה טובה לחלוטין לאנשים שמסרבים להשתמש במנהל סיסמאות.

במילה אחת, לא. זה טיפשי ביותר. כל מה שמצמצם את שטח החיפוש אחר תוקפים אינו בטוח. אל תעשו את זה. מישהו צריך להחזיק את ה- BBC כדי לתת דין וחשבון לכך.

זו עצה ממש גרועה אני מסכים עם הקונצנזוס הכללי.

אבל, קהל היעד לעצה זו הוא אנשים שמשתמשים בסיסמאות כמו password123 או il0vecarr0ts כך שזה ישפר את הסיסמאות שלהם, אם כי עם פגמים סיסמה ... אבל פחות פגומה. וזה דבר טוב.

יש לקחת בחשבון גם את הסיכון במה שאתה מגן, למשל אם ילדה בת 14 משתמשת בשיר JB כדי לזרוע את הסיסמה שלה לפייסבוק, אז זה כנראה סיכון סביר לקחת.

אם לעומת זאת, אם מישהו כמו BA אובמה משתמש בכל הנשים הרווקות של ביונסה כדי לזרוע את הסיסמה המגנה על הכפתור האדום והגדול בארסנל הגרעיני בארה"ב .. ובכן זה יהיה קצת מסוכן מדי.

האם סיסמה זו טובה יותר מתכניות נאיביות אחרות המייצרות סיסמאות כמו Texas89, ddddd, zxczxc, Judges12: 6, purple1 או 65432? כן, הרבה יותר טוב. האם אמליץ עליו לחבר? כנראה שלא.

תוכנית יצירת סיסמאות טובה מאזנת את סדרי העדיפויות של טריליון או סיסמאות ייחודיות יותר (לא רק אלפים), וקל לזכור ולהקליד. ערכת סיסמאות זו, במיוחד כפי שתוארה על ידי BBC, מקלה על הכנת סיסמה לא בטוחה בכדי לזכור את הסיסמאות.

מהו מודל האיום שלנו?

• האם האקר משתמש בסיסמה שהודלפה ממקום אחר כדי לראות אם אתה משתמש בה? התוכנית המוצעת מקלה על יצירת הרבה סיסמאות ייחודיות לזכירה מאשר תוכניות אחרות (כמו הוספת 0 למילה arandom), כך שתוכל להגן על עצמך כאן כל עוד זכרת את מאות הסיסמאות שאתה יוצר.
• האם חבר, קולגה או מהנדס חברתי מנסה לנחש את הסיסמה שלך על סמך הידע שלהם עליך? במקרה זה הם לעולם לא ינחשו את הסיסמה גם אם הם מנחשים כהלכה שהיא התבססה על אחד השירים המועדפים עליך.
• האם האקר מנסה לפצח את הסיסמה שלך במצב לא מקוון (למשל לאחר דליפת מסד נתונים)? זהו האיום המסוכן ביותר, וזה שיש לו השלכות מדיניות סיסמה מורכבות ביותר. נדון בכך בפירוט רב יותר.
• יש גם שיטות כמו התחזות, השתלטות על איפוס הסיסמה וגניבת מסד נתונים לטקסט רגיל. בכל אותם איומים זה לא משנה כמה הסיסמה שלך מסובכת; זה נעלם בכל מקרה.

עם זאת, כדאי לציין ש שימוש יעיל במנהל סיסמאות הוא פיתרון טוב יותר לכל האיומים הנ"ל, למרות שהוא מכניס איום נוסף קל של הדלפת מסד הנתונים של מנהל הסיסמאות שלך.

איזה יתרון יש להשתמש רק באות הראשונה?

יש אלפי מילים בשפה האנגלית, אך רק עשרים ושש אותיות. אפילו ביטויים טבעיים באנגלית, לא אקראיים, נותנים לך יותר אנטרופיה מאשר אוסף האותיות הראשונות שלהם (ראה עוד בהמשך). "ijamwnsasth" יכול לעמוד על "אני פשוט אדם שהיה זקוק למישהו ובאיזשהו מקום להסתיר", "זה פשוט חולצה וחצאית חדשים ומופלאים ביותר שהיו להם" או "דמיין שמישהו יכול לעבוד ליד סיאטל ולהראות להם כאן", "באופן שבא סיפוק ונראה לה", או מאות משפטים אחרים.

כמובן שלפצחלי סיסמאות יש לפעמים מאגרי מידע של מילות שירים שאפשר לשאוב מהן, ולכן תוכנית הסיסמאות המוצעת הזו כנראה מנסה לעקוף התקפות על בסיס מאגרי מידע כאלה. הבעיה היא שהם חותכים משמעותית את המורכבות בתהליך. אתה יכול להוסיף כוח לסיסמה על ידי הסרת אותיות (לדוגמה, letein עדיף על הסיסמה הנפוצה ביותר letmein), אך נראה כי תוכנית זו מוציאה מפשיטה יותר מדי אקראיות בכדי להפוך את הסיסמה לחזקה יותר.

הסיבה המציאותית היחידה שאני יכול לראות להשתמש בתכנית זו במקום להשתמש במילים המלאות היא אם לשירות המשמש אורך סיסמא מרבי. מכיוון שסיסמאות רבות נפגעות בשיטות שאינן פיצוח במצב לא מקוון, אורך סיסמא מקסימאלי גבוה נתפס לעתים כמיותר על ידי חברות. להרבה חברות עדיין יש 16 תווים או נמוכים יותר לאורך הסיסמה המרבי, למרות המלצות OWASP בנושא.

אנטרופיית סיסמאות

בני אדם די גרועים בלספר עד כמה סיסמה מורכבת על ידי הסתכלות עליה, אז אל תסמוך רק על שיקול דעתך. אנו יכולים למדוד את מורכבות הסיסמה בפיסות אנטרופיה, וישנן מספר דרכים לעשות זאת. הדרך הנאיבית ביותר היא להניח שהתוקף מנסה להכריע את הסיסמה באמצעות כל התווים בערכת התווים המותרת, ובמקרה זה אורך הסיסמה ומערכת התווים המותרים הם הקריטריונים היחידים. לעומת זאת, אנטרופיה של ידע מלא מניחה את התרחיש הגרוע ביותר שבו התוקף מבין היטב את ערכת יצירת הסיסמאות שלך. בפועל הקושי האמיתי של הסיסמה שלך בדרך כלל נמצא איפשהו בין השניים, בדרך כלל קרוב יותר לאנטרופיה של ידע מלא בשל התחכום של פריכיות מודרניות.

באשר לאנטרופיה עיוורת, נראה כי תוכנית זו מספיקה כאשר סיסמה ארוכה. משמש. עם זאת, ב המאמר של BBC אין הצעות לגבי אורך הסיסמה שאותן אני רואה פיקוח גדול. מכיוון שהקושי בפיצוח סיסמאות עולה באופן אקספוננציאלי, במיוחד כשמכריחים מערך תווים גדול, הוספת רק שתי תווים אקראיות לסיסמה שלך יכולה להקשות על הסיסמה שלך פי 1000. גם הסיסמה המוצעת כאן וגם באתר ה- BBC אורכת לפחות עשרה תווים, ומספקת כמות גדולה של אנטרופיה.

האם האות הראשונה באמת טובה יותר מכל המילה?

אנחנו דע מ- קלוד שאנון ותוצאות מודרניות יותר שלשפה האנגלית יש לפחות 1.1 סיביות אנטרופיה לכל תו שאינו רווח, אולי עד 1.75 סיביות (ראה גם כאן). מחקרים אחרים מראים כי ניתן להעריך שכל מילה תוסיף 5.97 סיביות אנטרופיה.

לשם השוואה, האנטרופיה של אותיות אקראיות באלפבית האנגלי היא 4.7 סיביות והאנטרופיה של האותיות הראשונות היא כ -4.1 סיביות לאות. כלומר, האותיות הראשונות בביטוי שנבחר באופן אקראי בן 6 מילים הן אקראיות בערך כמו ארבע המילים הראשונות שלמות באותו ביטוי, או שאפילו אות אקראית אחת מורכבת רק כארבע אותיות של ביטוי רגיל. (שים לב שנתונים אלה אינם חלים כאשר מילים בודדות נבחרות באופן אקראי, כמו בתכנית xkcd.)

אך האם מילות השיר אינן צפויות יותר? לא הרבה יותר צפוי מביטויים באנגלית אחרים כל עוד הטקסטים נבחרו באופן אקראי. ניתוח מדוקדק של התפלגות התדרים של מערך MusixMatch מול קורפורות אנגליות אחרות מראה כי ההבדלים אינם עצומים, וכנראה ניתן לייחס חלק מההבדלים להבדלים בשיטות הספירה. . ראה את התרשים למטה. עם זאת, הכל בהנחה שאנו בוחרים את הביטויים שלנו באופן אקראי לחלוטין מכל מקור. אם אתה בוחר ביטוי נפוץ מאחד מהם אתה עלול להיות פרוץ.

אז לסיכום, גם אם התוקף יודע שאתה בוחר 10 אותיות אקראיות למדי והשכן שלך בוחר 10 שלמות מילים ממילים, הסיסמה של השכן שלך מורכבת יותר, בהנחה שהמילים נבחרות באופן אקראי. שינוי באותיות רישיות או שימוש בהחלפת תווים נפוצה מסווה רק בעיה זו.

מדוע להחליף תווים למספרים ולשנות את האותיות?

אתה יכול לומר לעצמך "אנגלית בת 26 תווים היא ערכת תווים קטנה מדי. אני רק אחליף @ בתור והתוקף ייאלץ להשתמש בעשרות סמלים בערכת התווים". במציאות, האקרים יודעים שתבצע תחליפים כאלה ולכן p @ ssw0rd היא עדיין סיסמה איומה. אז כן, שינוי המקרה באופן אקראי והחלפת תווים יהפוך את הסיסמה שלך לאקראית יותר, אך אל תצפה שהסיסמה שלך תהיה קשה פי 2-4 לנחש לכל תו כאשר משתמשים בשתי השיטות הללו.

עם זאת, מרבית השירותים מכריחים אותך כעת להשתמש בסיסמה אלפאנומרית וזה מבטיח שתעמוד באילוצים האלה. עם זאת, אני נזהר משימוש בסמלים כשיטה העיקרית לאכיפת מורכבות סיסמאות מכיוון שהם מקשים הרבה יותר על זיכרון הסיסמה שלך, האקרים יודעים שאתה הולך לבצע את ההחלפות האלה, וכמה מחקרים הראו כי הגדלת האורך אינה מורכבות אופי, היא לעתים קרובות הדרך הטובה יותר ליצור סיסמאות מאובטחות. (ראה מחקר זה או זה)

פיצוח סיסמאות בפועל

סיסמת תוכנית ה- BBC שלך תיסדק ככל הנראה באמצעות רגיל בכוח הזרוע. סיסמה בדרך כלל נסדקת על ידי הפעלת כל שילוב של קבוצה של כללי קומפוזיציה על כל סיסמת גיבוב במסד הנתונים הגנוב שלהם. כללי הרכב סיסמאות כוללים מילונים של מילים נפוצות, מספרים והחלפות תווים. תוכל ללמוד עוד כאן.

לדוגמה, אם השתמשת בכמה מילים שלמות והסיסמה שלך הייתה קצרה מספיק, התוקף יכול לפצח אותה באמצעות התקפה מילונית. בספר קריפטוגרפיה פיננסית ואבטחת נתונים החוקרים ערכו ניסוי בו 37% מהסיסמאות הסדוקות שלהם תואמות מילים אך רק 5% מסיסמאות הליריקה הללו לא נמצאו באמצעות התקפות מבוססות מילון או מאגרי סיסמאות אחרים.

עם זאת, מכיוון שהדמויות שלך אקראיות למדי, אני לא חושב שאף אחד מהכללים הנפוצים יעזור כאן. הגישה הטובה ביותר תהיה כוח אכזרי על פני קבוצת התווים של תווים אלפאנומריים וסמלי החלפה נפוצים כמו @. אני לא מומחה בהערכת זמן הפיצוח, אך בהתבסס על תוצאות כאלה כל סיסמה כזו של 6 תווים או פחות תהיה מאוד לא בטוחה, אך כל סיסמה בתכנית זו של 11 תווים ומעלה צריכה להיות בסדר למשתמש הממוצע. סיסמה כזו תהיה קשה כל כך בכוח, עד שתוקף יצטרך להריץ חומרה מותאמת אישית, יהיה לו הרבה זמן / כסף עצום ו / או לפצח חשיש לא בטוח כמו md5.

אז לסיכום: כן אם תבחר מילות שירה בצורה אקראית ככל האפשר ותוודא שהיא ארוכה מספיק, תוכנית זו שהציעה BBC תיצור מאובטח (אך קשה לזכור ) סיסמה. זה טוב יותר מרוב התוכניות הנאיביות שאנשים משתמשים בממוצע עבור סיסמאות. עם זאת, הוא מבוסס על כמה עקרונות מטלטלים, כמו בהנחה שהאות הראשונה טובה יותר מכל המילה, ובמאמר של BBC משמיטים כמה מהנקודות החשובות ביותר כמו חשיבות האורך. ישנן דרכים טובות יותר להמציא ולנהל סיסמאות. לא הייתי ממליץ על זה לחבר.

ביצוע המתמטיקה הסיסמה שלך נעשית מאובטחת יותר (אנטרופיה גבוהה יותר) אם היא כבר לא מורכבת יותר. באופן אידיאלי זה ארוך ומורכב אבל מי יכול לזכור את זה. כך שתמיד יש פשרה בין שמישות לביטחון.

הנה שני פוסטים טובים בבלוג שדנים בזה בפירוט:

https://pthree.org / 2011/03/07 / סיסמאות חזקות-זקוק לאנטרופיה /

http://crambler.com/password-security-why-secure-passwords-need-length -מורכבות /