Отже, сьогодні ми поговоримо про паролі, вірніше про те, що помилково вважаємо, ніби знаємо, як створити хороший пароль. Коли ви думаєте про те, що робите все правильно, ваші пальці набирають щось на зразок цього: J@cal0pe3: поєднання малих і великих літер, символів і цифр.
Але насправді ви помиляєтеся. Було б набагато краще, якщо б ви написали це: iboughtthejackalopeatwalldrugstoreinsouthdakota. І зараз ви зрозумієте чому.
У 2003 році Білл Берр (Bill Burr) працював у Національному інституті стандартів і технологій США (NIST), коли йому було доручено написати кілька коротких посібників із забезпечення безпеки паролів. Тоді він рекомендував, щоб паролі мали не менше восьми символів, складалися з великих літер, цифр і символів, і часто оновлювалися.
Незабаром правила Берра були прийняті організаціями по всьому світу. Тепер він шкодує про свої рекомендації, оскільки ненавмисно спонукає людей вибирати погані паролі, які насправді найлегше зламати.
Читайте: 11 кроків руйнування Інтернету
Як хакери зламують ваш пароль
Суть правил Берра полягала в тому, щоб перемогти потужні атаки — це коли хакери використовують повну обчислювальну потужність, щоб випробувати тисячі можливих паролів, поки не натраплять на правильну комбінацію. Додаючи в пароль більшу кількість різних символів, ви експоненціально збільшуєте кількість можливих комбінацій, які атакуючий повинен підбирати.
Розглянемо восьмисимвольний пароль (наприклад, слово password). Якщо він містить тільки малі літери, число можливих комбінацій становить 26^8, близько 208,8 мільярда. Звучить вражаюче, поки не зрозумієте, що сучасний суперкомп’ютер або бот-мережа зламати такий пароль зможе всього за 1,8 секунд.
Додайте великі літери (наприклад, PassWord), і кількість комбінацій множиться в 256 разів, до 52^8. Додайте цифри та символи (наприклад, P@$$w0rd), і це досягає значення 95^8, що вимагає набагато більше часу, щоб зламати, навіть для кращої армії ботів.
Проблема, говорить Гернот Хейзер (Gernot Heiser), професор в області комп’ютерних наук та інженерії, полягає в тому, що сьогоднішні хакери рідко починають з чистого аркуша. Замість цього вони починають з пошуку схожих символів в англійських словах, таких як $ і S. І це робить їх дуже добре пристосованими до розгадування паролів, створених за всіма правилами Берра.
Читайте: стратегія роботи з прайс-агрегаторами: що просувати і скільки витрачати
Як вибрати надійний пароль
Рішення, говорить Хейзер, полягає у використанні довгих фраз, які можна запам’ятати, а не паролів. В ідеальному випадку це комбінація самих різних слів, а не передбачуване речення. Чим більше символів ви додасте, тим важче буде зламати ваш пароль.
«Якщо ви вибираєте довші, більш складні фрази з випадковими словами, хакерська атака математично стає значно складнішою», — говорить Хейзер.
Він також каже, що початкова порада Берра щодо зміни паролів є помилковою, хоча б тому, що спонукає користувачів вибирати коротші та простіші паролі, які можуть вносити відносно невеликі зміни (наприклад, P@ssw0rd1 у січні та P@ssw0rd2 у лютому).
«Подібна зміна паролів нічого не дає, — пояснює Хейзер. — Безпечніше зберігати довший і складний пароль, ніж регулярно змінювати його на простий, з варіантами, які легше запам’ятати, але простіше зламати».
Читайте: в першу чергу-звільнити всіх керівників
Використовуйте менеджер паролів
Оскільки все наше життя — в Інтернеті, ми збираємо все більше і більше паролів. Дублювання їх на різних сайтах небезпечно, оскільки витік даних на одному з них може привести до відкриття доступу і до інших. Отже, як же нам запам’ятати всі паролі?
Доцент Марк Грегорі (Mark Gregory) зі школи інженерії в RMIT використовує метод, з яким він працює починаючи з 90-х років: поміщає свої паролі в текстовий файл, а потім шифрує його.
«Зараз у мене близько 1000 паролів, тому їх неможливо запам’ятати, — говорить Грегорі. — Шифруючи їх, я повинен пам’ятати тільки один супер пароль, що надає доступ до всіх них».
Більш формальна версія цієї ж ідеї-використання системи управління паролями, яка доступна онлайн. Вона зберігає всі ваші паролі в одному місці в зашифрованому вигляді. Вам потрібно всього лише запам’ятати один пароль для доступу до системи-система подбає про все інше. Звичайно, такі програми не безкоштовні, але Грегорі вважає, що в порівнянні з потенційною катастрофою, викликаної хакерською атакою, ця оплата не так вже й велика. Тільки подумайте, що буде, якщо хакери отримають доступ до ваших банківських карт і почнуть їх активно використовувати.
Читайте: година розплати » користувацьких угод»
Як посилити безпеку паролів
Метью Бірн (Matthew Byrne), головний консультант в області попередження загроз і кіберзахисту в Mandiant, пропонує додати ще один рівень захисту, включивши опцію багатофакторної аутентифікації, пропоновану більшістю онлайн-банків і основними постачальниками послуг, включаючи Facebook, Gmail, Skype і LinkedIn.
«Використання багатофакторної функції автентифікації означає, що ви повинні використовувати принаймні два кроки для доступу до вашої інформації», пояснює Бірн.
«Це може бути введення коду, відправлений на ваш телефон, або відповідь на питання, яке знаєте тільки ви. Тому, якщо хтось отримає ваш пароль, у нього буде тільки половина того, що потрібно для злому системи і крадіжки вашої особистості».
Обидва експерти погоджуються, що найкраща доступна безпека-це поєднання паролів, багатофакторної аутентифікації та біометрії, таких як відбиток пальця або розпізнавання обличчя. Це дуже ускладнює завдання хакерам, але все ж не є абсолютно бездоганним методом. Згадаймо хоча б злом системи аутентифікації по райдужці ока смартфона Samsung 8 групою хакерів в 2017 році.
&Nbsp;
10 Найгірших паролів
Це частина зі списку 100 кращих найгірших паролів 2017 року: від найпоширеніших до більш рідкісних. Під час дослідження компанія SplashData проаналізувала більше п’яти мільйонів паролів і вибрала ті, які були зламані найчастіше. Отже, ніколи не використовуйте наступне:
- 123456
- Password
- Qwerty
- Letmein
- Football
- Iloveyou
- Admin
- Welcome
- Monkey
- Login
За матеріалами INTHEBLACK , The Washington Post