Күшті құпия сөзді қалай жасауға және есте сақтауға болады

2024 Автор: Malcolm Clapton | [email protected]. Соңғы өзгертілген: 2023-12-17 04:02

Ешкім бұза алмайтын құпия сөзді жасаудың ең жақсы тәсілдері.

Көптеген шабуылдаушылар құпия сөзді ұрлаудың күрделі әдістерімен алаңдамайды. Олар болжау оңай комбинацияларды қабылдайды. Қазіргі уақытта бар барлық құпия сөздердің шамамен 1% төрт әрекетпен дөрекі күш қолдануы мүмкін.

Бұл қалай мүмкін? Өте оңай. Сіз әлемдегі ең көп таралған төрт комбинацияны қолданып көріңіз: құпия сөз, 123456, 12345678, qwerty. Осындай өтуден кейін орта есеппен барлық «кеуделердің» 1% ашылады.

Құпия сөз қарапайым емес пайдаланушылардың 99%-ының қатарындасыз делік. Осыған қарамастан, қазіргі заманғы бұзу бағдарламалық құралының өнімділігін ескеру қажет.

Тегін, еркін қолжетімді Джон Риппер бағдарламасы секундына миллиондаған құпия сөздерді тексереді. Мамандандырылған коммерциялық бағдарламалық қамтамасыз етудің кейбір мысалдары секундына 2,8 миллиард құпия сөз сыйымдылығын талап етеді.

Бастапқыда крекинг бағдарламалары статистикалық ең көп тараған комбинациялар тізімінде жұмыс істейді, содан кейін толық сөздікке сілтеме жасайды. Уақыт өте келе пайдаланушылардың құпия сөз трендтері аздап өзгеруі мүмкін және бұл өзгерістер мұндай тізімдер жаңартылған кезде ескеріледі.

Уақыт өте келе веб-қызметтер мен қолданбалардың барлық түрлері пайдаланушылар жасаған құпия сөздерді мәжбүрлеп қиындату туралы шешім қабылдады. Талаптар қосылды, оларға сәйкес пароль белгілі бір минималды ұзындыққа ие болуы керек, сандардан, бас әріптерден және арнайы таңбалардан тұруы керек. Кейбір қызметтер мұны байыпты қабылдағаны сонша, жүйе қабылдайтын құпия сөзді ойлап табу өте ұзақ және жалықтыратын тапсырманы қажет етеді.

Басты мәселе - кез келген пайдаланушы дерлік шын мәнінде қатыгез күш паролін жасамайды, бірақ жүйенің пароль құрамының талаптарын минимумға дейін қанағаттандыруға тырысады.

Нәтиже - password1, password123, Password, PaSsWoRd, пароль сияқты парольдер! және керемет күтпеген p @ ssword.

Сізге Spiderman құпия сөзін қайта жасау керек деп елестетіп көріңіз. Бұл $ pider_Man1 сияқты көрінеді. Түпнұсқа? Мыңдаған адамдар оны бірдей немесе өте ұқсас алгоритмді пайдаланып өзгертеді.

Егер крекер осы минималды талаптарды білсе, онда жағдай тек нашарлайды. Дәл осы себепті парольдердің күрделілігін арттыруға қойылатын талап әрқашан ең жақсы қауіпсіздікті қамтамасыз ете бермейді және жиі қауіпсіздіктің жоғарылауы туралы жалған түсінік тудырады.

Құпия сөзді есте сақтау қаншалықты оңай болса, оның крекерлік сөздіктерге түсу ықтималдығы соғұрлым жоғары болады. Нәтижесінде шынымен күшті парольді есте сақтау мүмкін емес, яғни оны бір жерде түзету керек.

Сарапшылардың пікірінше, қазіргі цифрлық дәуірде де адамдар парольдер жазылған қағазға сене алады. Мұндай парақты бейтаныс көздерден жасырын жерде, мысалы, әмиян немесе әмиянда сақтау ыңғайлы.

Дегенмен, құпия сөз парағы мәселені шешпейді. Ұзын парольдерді есте сақтау ғана емес, енгізу де қиын. Жағдайды мобильді құрылғылардың виртуалды пернетақталары қиындатады.

Ондаған қызметтермен және сайттармен өзара әрекеттесе отырып, көптеген пайдаланушылар бірдей құпия сөздердің қатарын қалдырады. Олар тәуекелдерді мүлдем елемей, әрбір сайт үшін бірдей құпия сөзді қолдануға тырысады.

Бұл жағдайда кейбір сайттар күтуші ретінде әрекет етеді, бұл комбинацияны күрделі етуге мәжбүр етеді. Нәтижесінде пайдаланушы осы сайт үшін өзінің стандартты жалғыз құпия сөзін қалай өзгерту керектігін есіне түсіре алмайды.

Мәселенің ауқымы 2009 жылы толығымен жүзеге асты. Содан кейін қауіпсіздік саңылауының кесірінен хакер Facebook-те ойындар жариялайтын RockYou.com компаниясының логиндері мен парольдер базасын ұрлап үлгерген. Шабуыл жасаушы дерекқорды жалпыға қолжетімді етті. Барлығы тіркелгілерге пайдаланушы аттары мен құпия сөздері бар 32,5 миллион жазбаны қамтыды. Ағып кетулер бұрын болған, бірақ бұл нақты оқиғаның ауқымы бүкіл суретті көрсетті.

RockYou.com сайтындағы ең танымал құпия сөз 123456 болды, оны шамамен 291 000 адам пайдаланды. 30 жасқа толмаған ерлер көбінесе сексуалдық тақырыптар мен арсыздықты жақсы көреді. Екі жыныстағы егде жастағы адамдар құпия сөзді таңдағанда мәдениеттің белгілі бір саласына жиі жүгінеді. Мысалы, Epsilon793 соншалықты жаман опция сияқты емес, тек бұл комбинация Star Trek-те болды. Жеті саннан тұратын 8675309 саны бірнеше рет пайда болды, себебі бұл нөмір Томми Тутон әндерінің бірінде пайда болды.

Шын мәнінде, күшті құпия сөзді жасау - қарапайым тапсырма, кездейсоқ таңбалардың комбинациясын құрастыру жеткілікті.

Сіз өзіңіздің басыңызда математикалық терминдерде тамаша кездейсоқ комбинацияны жасай алмайсыз, бірақ сізге қажет емес. Шынымен кездейсоқ комбинацияларды жасайтын арнайы қызметтер бар. Мысалы, ол келесідей құпия сөздерді жасай алады:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Бұл қарапайым және талғампаз шешім, әсіресе құпия сөздерді сақтау үшін менеджерді пайдаланатындар үшін.

Өкінішке орай, пайдаланушылардың көпшілігі «әр сайт үшін әртүрлі құпия сөздер» ережесін елемей, қарапайым, әлсіз құпия сөздерді пайдалануды жалғастыруда. Олар үшін қауіпсіздіктен гөрі ыңғайлылық маңыздырақ.

Құпия сөз қауіпсіздігін бұзуға болатын жағдайларды 3 кең санатқа бөлуге болады:

• Кездейсоқ, онда сіз білетін адам сіз туралы білетін ақпаратқа сүйене отырып, құпия сөзді табуға тырысады. Көбінесе мұндай крекер тек трюк ойнауды, сіз туралы бірдеңе білуді немесе шатасуды қалайды.
• Жаппай шабуылдар белгілі бір қызметтердің кез келген пайдаланушысы құрбан болуы мүмкін кезде. Бұл жағдайда арнайы бағдарламалық қамтамасыз ету қолданылады. Шабуыл үшін ең аз қорғалған сайттар таңдалады, олар қысқа уақыт ішінде құпия сөз опцияларын қайталап енгізуге мүмкіндік береді.
• Мақсатты кеңестер алуды (бірінші жағдайдағыдай) және арнайы бағдарламалық қамтамасыз етуді пайдалануды (жаппай шабуылдағыдай) біріктіретін. Бұл шынымен құнды ақпаратты алуға тырысу туралы. Тек жеткілікті ұзын кездейсоқ құпия сөз өзіңізді қорғауға көмектеседі, оны таңдау сіздің өміріңіздің ұзақтығымен салыстырылатын уақытты алады.

Көріп отырғаныңыздай, кез келген адам құрбан бола алады. «Менің паролім ұрланбайды, өйткені мен ешкімге керек емеспін» сияқты мәлімдемелер маңызды емес, өйткені сіз кездейсоқ, кездейсоқ, ешқандай себепсіз осындай жағдайға тап болуыңыз мүмкін.

Құнды ақпараты бар, бизнеспен байланысы бар немесе қаржылық себептер бойынша біреумен жанжалдасып жүргендер үшін (мысалы, ажырасу процесінде мүлікті бөлу, бизнестегі бәсекелестік) құпия сөзбен қорғауды қабылдау одан да маңызды.

2009 жылы Twitter (бүкіл сервис түсінігінде) әкімші бақыт сөзін құпия сөз ретінде пайдаланғаны үшін ғана бұзылды. Хакер оны алып, Digital Gangster веб-сайтында жариялады, бұл Обаманың, Бритни Спирстің, Facebook пен Fox News аккаунттарының ұрлануына әкелді.

Акронимдер

Өмірдің кез келген басқа аспектілері сияқты, біз әрқашан максималды қауіпсіздік пен максималды ыңғайлылық арасында ымыраға келуіміз керек. Орта жолды қалай табуға болады? Құпия сөздерді жасаудың қандай стратегиясы оңай есте сақтауға болатын күшті комбинацияларды жасауға мүмкіндік береді?

Қазіргі уақытта сенімділік пен ыңғайлылықтың ең жақсы үйлесімі - сөз тіркесін немесе сөз тіркесін құпия сөзге түрлендіру.

Сіз әрқашан есте сақтайтын сөздер жинағы таңдалады және құпия сөз ретінде әр сөздің бірінші әріптерінің тіркесімі пайдаланылады. Мысалы, күш сенімен бірге болсын Mtfbwy-ге айналады.

Дегенмен, ең танымалдары бастапқы фразалар ретінде қолданылатындықтан, бағдарламалар соңында бұл аббревиатураларды өз тізімдерінде алады. Шын мәнінде, аббревиатурада тек әріптер бар, сондықтан таңбалардың кездейсоқ комбинациясына қарағанда объективті түрде сенімді емес.

Дұрыс сөз тіркесін таңдау бірінші мәселеден құтылуға көмектеседі. Неліктен әлемге әйгілі өрнекті қысқартылған құпия сөзге айналдыру керек? Жақын ортаңызға ғана қатысты әзілдер мен нақыл сөздерді есіңізде ұстайтын шығарсыз. Сіз жергілікті мекемедегі барменнен өте әсерлі сөз естідіңіз делік. Оны қолданыңыз.

Дегенмен, сіз жасаған аббревиатуралық құпия сөздің бірегей болуы екіталай. Акронимдердің проблемасы әртүрлі сөз тіркестерінің бірдей әріптерден басталатын сөздерден және бір реттілікпен жасалуы мүмкін. Статистикаға сүйенсек, әртүрлі тілдерде сөздің басы ретінде белгілі бір әріптердің пайда болу жиілігі жоғарылайды. Бағдарламалар осы факторларды ескереді және бастапқы нұсқадағы қысқартулардың тиімділігі төмендейді.

Кері жол

Шығу жолы ұрпақтың қарсы жолы болуы мүмкін. Сіз random.org сайтында мүлдем кездейсоқ құпия сөз жасайсыз, содан кейін оның кейіпкерлерін мағыналы есте қалатын фразаға айналдырасыз.

Көбінесе қызметтер мен сайттар пайдаланушыларға өте бірдей кездейсоқ комбинациялар болып табылатын уақытша құпия сөздерді ұсынады. Сіз оларды өзгерткіңіз келеді, өйткені сіз есте сақтай алмайсыз, бірақ мұқият қарап шығыңыз және бұл анық болады: парольді есте сақтаудың қажеті жоқ. Мысалы, random.org сайтынан басқа нұсқаны алайық - RPM8t4ka.

Бұл мағынасыз болып көрінгенімен, біздің миымыз тіпті осындай хаос кезінде де белгілі бір заңдылықтар мен сәйкестіктерді таба алады. Бастау үшін ондағы алғашқы үш әріп бас әріп, ал келесі үш әріп кіші әріп екенін байқай аласыз. 8 екі есе (ағылшын тілінде екі рет – t) 4. Осы құпия сөзге аздап қарасаңыз, ұсынылған әріптер мен сандар жиынтығымен өз байланыстарыңызды табасыз.

Егер сіз мағынасыз сөздерді жаттай алсаңыз, оны қолданыңыз. Құпия сөз минутына 8 трек 4 катты айналымға айналсын. Сіздің миыңыз жақсырақ болатын кез келген түрлендіруді жасайды.

Кездейсоқ пароль – ақпараттық қауіпсіздікте алтын стандарт. Бұл, анықтамасы бойынша, кез келген адам жасаған құпия сөзден жақсы.

Акронимдердің кемшілігі - уақыт өте келе мұндай әдістің таралуы оның тиімділігін төмендетеді, ал кері әдіс жер бетіндегі барлық адамдар оны мың жыл бойы қолданса да, дәл солай сенімді болып қала береді.

Кездейсоқ құпия сөз танымал комбинациялар тізіміне қосылмайды, ал жаппай шабуыл әдісін пайдаланатын шабуылдаушы мұндай құпия сөзді тек дөрекі түрде қолданады.

Бас әріптер мен сандарды ескеретін қарапайым кездейсоқ құпия сөзді алайық - бұл әр позиция үшін 62 мүмкін таңба. Егер парольді тек 8 цифрдан жасасақ, онда біз 62 ^ 8 = 218 триллион опцияны аламыз.

Белгілі бір уақыт аралығындағы әрекеттер саны шектелмесе де, секундына 2,8 миллиард парольді құрайтын ең коммерциялық мамандандырылған бағдарламалық қамтамасыз ету дұрыс комбинацияны табу үшін орта есеппен 22 сағат жұмсайды. Әрине, біз мұндай құпия сөзге тек 1 қосымша таңба қосамыз - және оны бұзу үшін көп жылдар қажет.

Кездейсоқ құпия сөзге зиян келтірілмейді, өйткені ол ұрлануы мүмкін. Пернетақтадан енгізуді оқудан бастап иығыңызда камераға дейін опциялар өте көп.

Хакер қызметтің өзін ұрып, оның серверлерінен деректерді тікелей ала алады. Бұл жағдайда пайдаланушыға ештеңе байланысты емес.

Бір сенімді негіз

Сонымен, біз басты нәрсеге жеттік. Шынайы өмірде қандай кездейсоқ құпия сөз тактикасы қолданылады? Сенімділік пен ыңғайлылық тепе-теңдігі тұрғысынан «бір күшті пароль философиясы» өзін жақсы көрсетеді.

Принцип мынада: сіз бірдей негізді пайдаланасыз - сіз үшін ең маңызды қызметтер мен сайттарда өте күшті құпия сөзді (оның нұсқалары).

Барлығы үшін бір ұзақ және қиын комбинацияны есте сақтаңыз.

Ақпараттық қауіпсіздік бойынша кеңесші Ник Берри құпия сөз өте жақсы қорғалған жағдайда бұл принципті қолдануға мүмкіндік береді.

Құпия сөзді енгізген компьютерде зиянды бағдарламаның болуына жол берілмейді. Бірдей құпия сөзді маңызды емес және қызықты сайттар үшін пайдалануға рұқсат етілмейді - олар үшін қарапайым парольдер жеткілікті, өйткені мұнда тіркелгіні бұзу өлімге әкелетін салдарға әкелмейді.

Әрбір сайт үшін сенімді базаны қандай да бір жолмен өзгерту керек екені анық. Қарапайым опция ретінде сайттың немесе қызметтің атауын аяқтайтын басына бір әріп қосуға болады. Егер біз сол кездейсоқ RPM8t4ka құпия сөзіне оралсақ, ол Facebook авторизациясы үшін kRPM8t4ka-ға айналады.

Мұндай құпия сөзді көрген қаскүнем сіздің банктік шотыңыздың құпия сөзі қалай жасалғанын түсіне алмайды. Егер біреу осы жолмен жасалған екі немесе одан да көп құпиясөздеріңізге қол жеткізсе, мәселелер басталады.

құпия сұрақ

Кейбір ұрлаушылар құпия сөздерді мүлде елемейді. Олар тіркелгі иесінің атынан әрекет етеді және құпия сөзді ұмытып қалған және оны құпия сұрақпен қалпына келтіргіңіз келген жағдайды имитациялайды. Бұл сценарийде ол парольді өз қалауы бойынша өзгерте алады және шынайы иесі өз есептік жазбасына кіру мүмкіндігін жоғалтады.

2008 жылы біреу Аляска губернаторы және сол кезде президенттікке үміткер Сара Пэйлиннің электрондық поштасына қол жеткізді. «Күйеуіңді қай жерде кездестірдің?» деп естілген құпия сұраққа ұры жауап берді.

4 жылдан кейін сол кезде АҚШ президенттігіне кандидат болған Митт Ромни әртүрлі қызметтердегі бірнеше аккаунттарынан айырылды. Митт Ромнидің үй жануарының аты туралы құпия сұраққа біреу жауап берді.

Сіз нүктені қазірдің өзінде болжайсыз.

Жалпыға ортақ және оңай болжанатын деректерді құпия сұрақ пен жауап ретінде пайдалана алмайсыз.

Мәселе тіпті бұл ақпаратты Интернеттен немесе адамның жақын адамдарынан мұқият алуға болатынында емес. «Жануарлардың аты», «сүйікті хоккей командасы» және т.б. стиліндегі сұрақтарға жауаптар танымал нұсқалардың сәйкес сөздіктерінен тамаша таңдалған.

Уақытша нұсқа ретінде сіз жауаптың абсурдтық тактикасын пайдалана аласыз. Қарапайым тілмен айтқанда, жауаптың құпия сұраққа еш қатысы болмауы керек. Анаңыздың қыз кезіндегі тегі? Димедрол. Үй жануарларының аты? 1991 жыл.

Дегенмен, мұндай әдіс кең таралған болса, тиісті бағдарламаларда ескерілетін болады. Абсурдтық жауаптар көбінесе стереотипті, яғни кейбір тіркестер басқаларына қарағанда жиі кездеседі.

Шындығында, нақты жауаптарды пайдаланудың қатесі жоқ, тек сұрақты ақылмен таңдау керек. Егер сұрақ стандартты емес болса және оған жауап тек сізге белгілі болса және үш әрекеттен кейін болжау мүмкін болмаса, онда бәрі тәртіппен. Шыншыл болудың артықшылығы - оны уақыт өте келе ұмытпайсыз.

PIN

Жеке сәйкестендіру нөмірі (PIN) - бұл біздің ақшамыз сеніп тапсырылған арзан құлып. Кем дегенде осы төрт санның сенімді комбинациясын жасау үшін ешкім алаңдамайды.

Енді тоқта. Дәл қазір. Дәл қазір, келесі абзацты оқымай-ақ, ең танымал PIN кодын табуға тырысыңыз. Дайын ба?

Ник Берри АҚШ халқының 11%-ы PIN коды ретінде 1234 кодын пайдаланады (оны өздері өзгерте алады) деп есептейді.

Хакерлер PIN-кодтарға назар аудармайды, себебі картаның физикалық қатысуынсыз код пайдасыз (бұл кодтың шағын ұзындығын ішінара ақтай алады).

Берри желідегі ақпарат тарағаннан кейін пайда болған төрт таңбалы парольдердің тізімін алды. 1967 жылғы құпия сөзді пайдаланатын адам оны белгілі бір себептермен таңдаған болуы мүмкін. Екінші танымал PIN коды - 1111, ал адамдардың 6% бұл кодты қалайды. Үшінші орында 0000 (2%).

Бұл ақпаратты білетін адамның қолында банк картасы бар делік. Картаны блоктауға үш рет әрекет жасау. Қарапайым математика бұл адамның 1234, 1111 және 0000 сандарын ретімен енгізсе, оның PIN кодын анықтау мүмкіндігі 19% болатынын көрсетеді.

Сондықтан болар, банктердің басым көпшілігі шығарылған пластикалық карталарға PIN-кодтарды өздері тағайындайды.

Дегенмен, көптеген адамдар смартфондарды PIN-кодпен қорғайды және бұл жерде келесі танымалдық рейтингі қолданылады: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33353, 6186, 3553, 6186, 4321, 2001, 1010.

Көбінесе PIN код бір жылды білдіреді (туған жылы немесе тарихи күн).

Көптеген адамдар PIN кодтарын қайталанатын сандар жұбы түрінде жасауды ұнатады (сонымен қатар, бірінші және екінші сандар бір-бірінен ерекшеленетін жұптар әсіресе танымал).

Мобильді құрылғылардың сандық пернетақталары жоғарғы жағында 2580 сияқты комбинацияларды көрсетеді - оны теру үшін орталықта жоғарыдан төменге тікелей өту жеткілікті.

Кореяда 1004 саны «періште» сөзімен үйлеседі, бұл комбинацияны сол жерде өте танымал етеді.

Нәтиже

1. random.org сайтына өтіп, сол жерде 5-10 үміткер құпиясөзін жасаңыз.
2. Есте қалатын сөз тіркесіне айналдыруға болатын құпия сөзді таңдаңыз.
3. Құпия сөзіңізді есте сақтау үшін осы фразаны пайдаланыңыз.