Güçlü bir parola nasıl oluşturulur ve hatırlanır

2024 Yazar: Malcolm Clapton | [email protected]. Son düzenleme: 2023-12-17 04:13

Kimsenin kıramayacağı bir şifre oluşturmanın en iyi yolları.

Çoğu saldırgan, karmaşık parola hırsızlığı yöntemleriyle uğraşmaz. Tahmin edilmesi kolay kombinasyonlar alırlar. Şu anda mevcut olan tüm parolaların yaklaşık %1'i dört denemeyle kaba kuvvet uygulanabiliyor.

Bu nasıl mümkün olabilir? Çok basit. Dünyadaki en yaygın dört kombinasyonu deniyorsunuz: şifre, 123456, 12345678, qwerty. Böyle bir geçişten sonra ortalama olarak tüm "sandıklar"ın %1'i açılır.

Diyelim ki şifresi o kadar basit olmayan kullanıcıların %99'u arasındasınız. Buna rağmen, modern bilgisayar korsanlığı yazılımının performansı dikkate alınmalıdır.

Ücretsiz, ücretsiz olarak kullanılabilen John the Ripper programı, saniyede milyonlarca parolayı doğrular. Bazı özel ticari yazılım örnekleri, saniyede 2,8 milyar parola kapasitesi olduğunu iddia ediyor.

Başlangıçta, kırma programları istatistiksel olarak en yaygın kombinasyonların bir listesini inceler ve ardından tam sözlüğe başvurur. Zamanla, kullanıcıların şifre eğilimleri biraz değişebilir ve bu değişiklikler, bu tür listeler güncellendiğinde dikkate alınır.

Zamanla, her türlü web hizmeti ve uygulaması, kullanıcılar tarafından oluşturulan şifreleri zorla karmaşıklaştırmaya karar verdi. Parolanın belirli bir minimum uzunluğa sahip olması, sayı, büyük harf ve özel karakterler içermesi gereken gereksinimler eklendi. Bazı servisler bunu o kadar ciddiye aldı ki, sistemin kabul edeceği bir şifre bulmak gerçekten uzun ve sıkıcı bir iş gerektiriyor.

Temel sorun, hemen hemen her kullanıcının gerçek bir kaba kuvvet parolası oluşturmaması, yalnızca parolanın oluşturulması için sistemin gereksinimlerini minimumda karşılamaya çalışmasıdır.

Sonuç password1, password123, Password, PaSsWoRd, password gibi şifreler! ve inanılmaz derecede tahmin edilemez p @ ssword.

Örümcek adam şifrenizi yeniden oluşturmanız gerektiğini hayal edin. Büyük olasılıkla $ pider_Man1 gibi görünecek. Orijinal mi? Binlerce kişi aynı veya çok benzer algoritmayı kullanarak bunu değiştirecek.

Kraker bu minimum gereksinimleri biliyorsa, durum daha da kötüleşir. Bu nedenle, parolaların karmaşıklığını artırma gereksinimi her zaman en iyi güvenliği sağlamaz ve çoğu zaman yanlış bir artırılmış güvenlik duygusu yaratır.

Parolayı hatırlamak ne kadar kolaysa, kraker sözlüklerine girme olasılığı o kadar yüksektir. Sonuç olarak, gerçekten güçlü bir şifrenin hatırlanmasının imkansız olduğu ortaya çıktı, bu da bir yere sabitlenmesi gerektiği anlamına geliyor.

Uzmanlara göre, bu dijital çağda bile insanlar, üzerinde şifrelerin yazılı olduğu bir kağıda güvenebilirler. Böyle bir sayfayı meraklı gözlerden gizlenmiş bir yerde, örneğin bir cüzdanda veya cüzdanda tutmak uygundur.

Ancak, şifre sayfası sorunu çözmez. Uzun şifrelerin sadece hatırlanması değil, aynı zamanda girilmesi de zordur. Durum, mobil cihazların sanal klavyeleri tarafından daha da kötüleşiyor.

Düzinelerce hizmet ve siteyle etkileşime giren birçok kullanıcı, arkalarında bir dizi özdeş parola bırakır. Riskleri tamamen göz ardı ederek her site için aynı şifreyi kullanmaya çalışırlar.

Bu durumda, bazı siteler dadı gibi davranarak kombinasyonu karmaşık olmaya zorlar. Sonuç olarak, kullanıcı bu site için standart tek şifresini nasıl değiştirmesi gerektiğini hatırlayamıyor.

Sorunun ölçeği 2009 yılında tam olarak anlaşıldı. Ardından, bir güvenlik açığı nedeniyle bilgisayar korsanı, Facebook'ta oyun yayınlayan RockYou.com'un oturum açma ve şifrelerinin veritabanını çalmayı başardı. Saldırgan, veritabanını herkese açık hale getirdi. Toplamda, hesaplara kullanıcı adları ve şifreler içeren 32,5 milyon giriş içeriyordu. Sızıntılar daha önce de oldu, ancak bu olayın ölçeği tüm resmi gösterdi.

RockYou.com'da en popüler şifre 123456 idi ve bu şifre neredeyse 291.000 kişi tarafından kullanılıyordu. 30 yaşın altındaki erkekler daha çok cinsel temaları ve kabalıkları tercih ediyor. Her iki cinsiyetten de yaşlı insanlar, şifre seçerken genellikle belirli bir kültür alanına yöneldiler. Örneğin Epsilon793 o kadar da kötü bir seçenek gibi görünmüyor, sadece Star Trek'te bu kombinasyon vardı. Yedi basamaklı 8675309 birçok kez göründü çünkü bu sayı Tommy Tutone şarkılarından birinde yer aldı.

Aslında güçlü bir parola oluşturmak basit bir iştir, rastgele karakterlerden oluşan bir kombinasyon oluşturmak yeterlidir.

Matematiksel terimlerle tamamen rastgele bir kombinasyon oluşturamazsınız, ancak buna mecbur değilsiniz. Gerçekten rastgele kombinasyonlar oluşturan özel hizmetler vardır. Örneğin, bunun gibi şifreler oluşturabilir:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Bu, özellikle parolaları saklamak için yönetici kullananlar için basit ve zarif bir çözümdür.

Ne yazık ki çoğu kullanıcı, "her site için farklı şifreler" kuralını göz ardı ederek basit, zayıf şifreler kullanmaya devam ediyor. Onlar için rahatlık güvenlikten daha önemlidir.

Parola güvenliğinin tehlikeye girebileceği durumlar 3 geniş kategoriye ayrılabilir:

• Rastgele, tanıdığınız bir kişinin sizin hakkınızda bildiği bilgilere dayanarak şifreyi bulmaya çalıştığı. Çoğu zaman, böyle bir kraker sadece bir oyun oynamak, hakkınızda bir şeyler öğrenmek veya ortalığı karıştırmak ister.
• toplu saldırılarkesinlikle belirli hizmetlerin herhangi bir kullanıcısı kurban olabilir. Bu durumda, özel yazılım kullanılır. Saldırı için, en az güvenli siteler seçilir, bu da kısa süre içinde tekrar tekrar şifre seçenekleri girmenize izin verir.
• amaçlıipuçlarının alınmasını (ilk durumda olduğu gibi) ve özel yazılım kullanımını (kitlesel bir saldırıda olduğu gibi) birleştiren. Bu, gerçekten değerli bilgileri ele geçirmeye çalışmakla ilgilidir. Yalnızca yeterince uzun bir rastgele şifre, seçimi hayatınızın süresiyle karşılaştırılabilir zaman alacak olan kendinizi korumaya yardımcı olacaktır.

Gördüğünüz gibi, kesinlikle herkes kurban olabilir. “Şifrem çalınmayacak, çünkü kimsenin bana ihtiyacı yok” gibi ifadeler konuyla ilgili değil, çünkü benzer bir duruma tamamen tesadüfen, tesadüfen, görünürde bir sebep olmadan girebilirsiniz.

Değerli bilgilere sahip olanlar, bir işletme ile ilişkili olanlar veya birisiyle mali sebeplerle (örneğin, boşanma sürecinde mal paylaşımı, iş rekabeti) bir anlaşmazlık içinde olanlar için parola koruması almak daha da ciddidir.

2009 yılında Twitter (tüm hizmet anlayışında) sadece yönetici mutluluk kelimesini şifre olarak kullandığı için hacklendi. Bilgisayar korsanı onu aldı ve Digital Gangster web sitesinde yayınladı ve bu da Obama, Britney Spears, Facebook ve Fox News hesaplarının ele geçirilmesine yol açtı.

Kısaltmalar

Hayatın herhangi bir alanında olduğu gibi, her zaman maksimum güvenlik ve maksimum rahatlık arasında bir uzlaşma bulmalıyız. Orta yol nasıl bulunur? Parola oluşturmak için hangi strateji, kolayca hatırlanacak güçlü kombinasyonlar oluşturmanıza olanak tanır?

Şu anda, güvenilirlik ve rahatlığın en iyi kombinasyonu, bir cümleyi veya cümleyi bir parolaya dönüştürmektir.

Her zaman hatırladığınız bir dizi kelime seçilir ve her kelimenin ilk harflerinin bir kombinasyonu şifre olarak kullanılır. Örneğin, Güç seninle olsun, Mtfbwy'ye dönüşür.

Ancak, en ünlüleri ilk ifadeler olarak kullanılacağından, programlar sonunda bu kısaltmaları listelerine alacaktır. Aslında, kısaltma yalnızca harfler içerir ve bu nedenle, rastgele bir karakter kombinasyonundan nesnel olarak daha az güvenilirdir.

Doğru ifadeyi seçmek, ilk sorundan kurtulmanıza yardımcı olacaktır. Neden dünyaca ünlü bir ifadeyi bir kısaltma şifresine çevirelim? Muhtemelen sadece yakın çevrenizle alakalı bazı şakaları ve sözleri hatırlıyorsunuzdur. Diyelim ki yerel bir kuruluştaki bir barmenden çok akılda kalıcı bir cümle duydunuz. Kullan.

Yine de, oluşturduğunuz kısaltma parolasının benzersiz olması pek olası değildir. Kısaltmalarla ilgili sorun, aynı harflerle ve aynı sırada başlayan kelimelerden farklı ifadelerin oluşturulabilmesidir. İstatistiksel olarak, çeşitli dillerde, belirli harflerin bir kelimenin başlangıcı olarak görülme sıklığı artmıştır. Programlar bu faktörleri dikkate alacak ve orijinal versiyondaki kısaltmaların etkinliği azalacaktır.

ters yol

Çıkış yolu, neslin tam tersi olabilir. Random.org'da tamamen rastgele bir şifre oluşturuyorsunuz ve ardından karakterlerini anlamlı ve akılda kalıcı bir cümleye dönüştürüyorsunuz.

Çoğu zaman, hizmetler ve siteler, kullanıcılara tamamen rastgele kombinasyonlar olan geçici şifreler sağlar. Bunları değiştirmek isteyeceksiniz, çünkü hatırlayamayacaksınız, ancak daha yakından bakın ve açıkça ortaya çıkıyor: şifreyi hatırlamanıza gerek yok. Örneğin, random.org - RPM8t4ka'dan başka bir seçenek alalım.

Her ne kadar anlamsız görünse de beynimiz böyle bir kaosta bile belli kalıpları ve karşılıkları bulabilmektedir. Başlangıç olarak, içindeki ilk üç harfin büyük, sonraki üç harfin küçük olduğunu fark edebilirsiniz. 8 iki kezdir (İngilizcede iki kez - t) 4. Bu parolaya biraz bakın ve önerilen harf ve rakamlarla kendi ilişkilerinizi kesinlikle bulacaksınız.

Saçma sapan kelime gruplarını ezberleyebiliyorsan, bunu kullan. Parolanın devir başına 8 parça 4 katty'ye dönüşmesine izin verin. Beyninizin daha iyi olduğu herhangi bir dönüşüm yapacaktır.

Rastgele şifre, bilgi güvenliğinde altın standarttır. Tanımı gereği, insan yapımı herhangi bir şifreden daha iyidir.

Kısaltmaların dezavantajı, zaman içinde böyle bir tekniğin yayılmasının etkinliğini azaltacağı ve dünyadaki tüm insanlar bin yıl boyunca kullansa bile ters yöntemin aynı derecede güvenilir kalmasıdır.

Rastgele bir parola, popüler kombinasyonlar listesine dahil edilmeyecek ve toplu saldırı yöntemi kullanan bir saldırgan, böyle bir parolayı yalnızca kaba kuvvet uygulayacaktır.

Büyük harf ve sayıları hesaba katan basit bir rastgele şifre alalım - bu, her konum için 62 olası karakterdir. Şifreyi sadece 8 haneli yaparsak 62 ^ 8 = 218 trilyon seçenek elde ederiz.

Belirli bir zaman aralığındaki deneme sayısı sınırlı olmasa bile, saniyede 2,8 milyar şifre kapasitesine sahip en ticari özel yazılım, doğru kombinasyonu bulmaya çalışmak için ortalama 22 saat harcar. Emin olmak için böyle bir şifreye sadece 1 karakter daha ekliyoruz - ve onu kırmak uzun yıllar alacak.

Rastgele bir parola, çalınabileceğinden dokunulmaz değildir. Klavye girişini okumaktan omzunuzun üzerinden bir kameraya sahip olmaya kadar seçenekler bol.

Bir bilgisayar korsanı hizmetin kendisine vurabilir ve doğrudan sunucularından veri alabilir. Bu durumda, hiçbir şey kullanıcıya bağlı değildir.

Güvenilir bir temel

Böylece asıl konuya geldik. Gerçek hayatta kullanılacak rastgele şifre taktikleri nelerdir? Güvenilirlik ve kolaylık dengesi açısından, "tek güçlü parola felsefesi" kendini iyi gösterecektir.

İlke, aynı temeli kullanmanızdır - sizin için en önemli olan hizmetlerde ve sitelerde süper güçlü bir şifre (varyasyonları).

Herkes için uzun ve zor bir kombinasyonu hatırlayın.

Bir bilgi güvenliği danışmanı olan Nick Berry, parolanın çok iyi korunması koşuluyla bu ilkenin uygulanmasına izin verir.

Parolayı girdiğiniz bilgisayarda kötü amaçlı yazılım bulunmasına izin verilmez. Daha az önemli ve eğlenceli siteler için aynı şifrenin kullanılmasına izin verilmez - daha basit şifreler onlar için yeterlidir, çünkü burada bir hesabı hacklemek ölümcül sonuçlara yol açmayacaktır.

Her site için güvenilir tabanın bir şekilde değiştirilmesi gerektiği açıktır. Basit bir seçenek olarak, sitenin veya hizmetin adını bitiren başına tek bir harf ekleyebilirsiniz. Bu rastgele RPM8t4ka şifresine geri dönersek, Facebook yetkilendirmesi için kRPM8t4ka'ya dönüşecektir.

Böyle bir şifre gören bir saldırgan, banka hesabınızın şifresinin nasıl oluşturulduğunu anlayamayacaktır. Birisi bu şekilde oluşturulan iki veya daha fazla şifrenize erişirse sorunlar başlar.

Gizli Soru

Bazı korsanlar parolaları tamamen yok sayar. Hesap sahibi adına hareket ederler ve şifrenizi unuttuğunuzda ve gizli bir soru ile geri yüklemek istediğinizde bir durumu simüle ederler. Bu senaryoda, istediği zaman şifreyi değiştirebilir ve gerçek sahip, hesabına erişimi kaybeder.

2008'de birisi, Alaska valisi ve o zamanlar aynı zamanda bir başkan adayı olan Sarah Palin'in e-postasına erişti. Hırsız, kulağa şöyle gelen gizli soruyu yanıtladı: "Kocanızla nerede tanıştınız?"

4 yıl sonra, o sırada ABD başkan adayı olan Mitt Romney, çeşitli servislerdeki hesaplarından birkaçını kaybetti. Birisi Mitt Romney'nin evcil hayvanının adıyla ilgili gizli bir soruyu yanıtladı.

Konuyu zaten tahmin ettiniz.

Herkese açık ve kolay tahmin edilen verileri gizli soru cevap olarak kullanamazsınız.

Soru, bu bilgilerin İnternetten veya kişinin yakın arkadaşlarından dikkatli bir şekilde elde edilip edilemeyeceği bile değildir. "Hayvan adı", "favori hokey takımı" ve benzeri tarzdaki soruların cevapları, ilgili popüler seçeneklerin sözlüklerinden mükemmel bir şekilde seçilir.

Geçici bir seçenek olarak, cevabın saçmalığı taktiğini kullanabilirsiniz. Basitçe söylemek gerekirse, cevabın gizli soruyla hiçbir ilgisi olmamalıdır. Anne Kızlık Soyadı? Difenhidramin. Evcil Hayvan adı? 1991.

Ancak, böyle bir teknik, yaygın bulunursa, ilgili programlarda dikkate alınacaktır. Saçma cevaplar genellikle kalıplaşmıştır, yani bazı ifadelerle diğerlerinden çok daha sık karşılaşılacaktır.

Aslında, gerçek cevapları kullanmanın yanlış bir tarafı yok, sadece soruyu akıllıca seçmen gerekiyor. Soru standart değilse ve cevabı sadece sizin tarafınızdan biliniyorsa ve üç denemeden sonra tahmin edilemiyorsa, her şey yolunda demektir. Dürüst olmanın avantajı, zamanla unutmayacağınızdır.

TOPLU İĞNE

Kişisel Kimlik Numarası (PIN), paramızın emanet edildiği ucuz bir kilittir. Hiç kimse en azından bu dört sayının daha güvenilir bir kombinasyonunu oluşturmaya zahmet etmez.

Şimdi dur. Şimdi. Şu anda, bir sonraki paragrafı okumadan en popüler PIN'i tahmin etmeye çalışın. Hazır?

Nick Berry, ABD nüfusunun %11'inin PIN kodu olarak 1234 kullandığını (kendileri değiştirebilecekleri) tahmin ediyor.

Bilgisayar korsanları PIN kodlarına dikkat etmezler çünkü kod, kartın fiziksel varlığı olmadan işe yaramaz (bu, kodun küçük uzunluğunu kısmen haklı çıkarabilir).

Berry, ağdaki sızıntıların ardından ortaya çıkan dört haneli şifrelerin listesini aldı. 1967 şifresini kullanan kişi muhtemelen bir sebepten dolayı seçmiştir. İkinci en popüler PIN 1111'dir ve insanların %6'sı bu kodu tercih etmektedir. Üçüncü sırada 0000 (% 2) yer almaktadır.

Bu bilgiyi bilen bir kişinin elinde bir banka kartı olduğunu varsayalım. Kartı bloke etmek için üç deneme. Basit matematik, bu kişinin sırayla 1234, 1111 ve 0000 girerse PIN kodunu tahmin etme şansının %19 olduğunu gösterir.

Muhtemelen bu nedenle, bankaların büyük çoğunluğu, verilen plastik kartlara PIN kodlarını kendileri atar.

Bununla birlikte, birçok kişi akıllı telefonları bir PIN koduyla korur ve burada şu popülerlik derecesi geçerlidir: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

PIN genellikle bir yılı temsil eder (doğum yılı veya tarihi tarih).

Birçok kişi PIN'leri tekrar eden sayı çiftleri şeklinde yapmayı sever (ayrıca, birinci ve ikinci sayıların birbirinden farklı olduğu çiftler özellikle popülerdir).

Mobil cihazların sayısal tuş takımları üstte 2580 gibi kombinasyonları gösterir - yazmak için merkezde yukarıdan aşağıya doğrudan geçiş yapmak yeterlidir.

Kore'de 1004 sayısı "melek" kelimesiyle uyumludur ve bu kombinasyonu orada oldukça popüler hale getirir.

Sonuç

1. Random.org'a gidin ve orada 5-10 aday şifre oluşturun.
2. Unutulmaz bir cümleye dönüştürebileceğiniz bir şifre seçin.
3. Parolanızı hatırlamak için bu ifadeyi kullanın.