полезные статьи

Использование общих фраз делает ваш пароль парольной фразы бесполезным: вот как выбрать лучшую фразу

Мы обсудили, как использование парольных фраз в качестве паролей может повысить вашу безопасность, но если вы выбрали фразу, используемую в повседневной речи, вы не оказываете себе - или своим данным - никаких преимуществ. Согласно новому исследованию в Кембридже, обычная фраза, например, «outofthepark», лишь чуть более безопасна, чем словарное слово, и любой, кто хочет взломать ваш пароль, уже знает, что он может использовать общие фразы вместе с общими словами. Если вы предпочитаете парольные фразы, вот как сделать их более безопасными.

Почему обычные парольные фразы не так безопасны, как вы думаете

Причина, по которой многие системы паролей не позволяют вам выбирать слова из слов в качестве паролей - или, по крайней мере, требовать добавления цифр, прописных или специальных символов к этим словам - в том, что первое, что хакер сделает, чтобы попытаться угадать пароль - это пробовать каждое слово в словаре, чтобы увидеть, могут ли они войти. Даже замены «i» на «1» или «e» на «3» часто недостаточно - тот факт, что эти приемы уже давно если они имеют, это означает, что эти общие замены легко добавляются в ваш словарный список и включаются в атаку грубой силой. Вместо этого цель поощрения парольных фраз состоит в том, чтобы создать учетные данные, которые абсолютно бессмысленны для утилиты взлома паролей, но запоминаются для человека, которому нужен ежедневный доступ к определенной системе.

Проблема, однако, в том, что очень многие люди, когда они используют парольные фразы, используют общие фразы из книг, популярных фильмов, памятных цитат, спортивных команд или других имен, которые легко угадать. Группа исследователей из Кембриджского университета недавно опубликовала исследование (ссылка в формате PDF), в котором выяснилось, что использование словаря этих общих фраз позволило им взломать около 8000 парольных фраз в старой системе PayPhrase Amazon. Они пришли к выводу, что парольные фразы в качестве системы паролей в конечном итоге обеспечивают менее 30 бит безопасности, что, по их мнению, слишком слабо, чтобы противостоять большинству сетевых атак. Ars Technica объясняет, что это значит, простыми словами:

«30 бит безопасности» означает, что вероятность того, что одно предположение взломает ключевую фразу из четырех слов, будет 1 к 2 ^ 30. Более того, взломанные в исследовании фразы из двух слов обеспечили всего 2 ^ 20, 8 (или 20 656 / 0, 0113) бит безопасности. Еще один способ выразить то же самое заключение заключается в том, что словаря из чуть менее 21 000 фраз достаточно, чтобы угадать учетные данные для входа, которые будут использовать чуть более 1 процента людей в реальном мире.

По общему признанию, 1 процент фраз - это очень небольшое число, но это все еще вызывает беспокойство и говорит о том, что любая система безопасности, даже если она хорошо построена и достаточно сложна, может легко стать жертвой введенных пользователем шаблонов. В конце концов, пользователь и его пароль почти всегда являются самым слабым звеном.

Как улучшить ваши парольные фразы

Это не означает, что теряются все надежды на парольные фразы или что вам следует отказаться от них и вернуться к стандартным надежным паролям. Честно говоря, если вы можете объединить их, вы должны - надежность надежного пароля с буквами, цифрами, регистром и специальными символами значительно улучшается, если их объединить в одну фразу. Ключевым моментом является выбор фразы, которую вам легко запомнить, но не, например, ваша любимая спортивная команда, или название вашего города и штата, соединенных вместе, или марка и модель вашего автомобиля. Да, это уменьшает легкость запоминания, но значительно повышает вашу безопасность.

В исследовании четко указывается, что «фразы из нескольких слов, выбранные наивно в соответствии с тенденциями естественного языка, не так эффективны для смягчения атак угадывания, как альтернативные варианты, такие как выбор 2 случайных слов или выбор случайного имени». Итак, чтобы повысить безопасность вашей парольной фразы, вам нужно выбрать слова, которые важны для вас, но не имеют значения для кого-либо еще. Например, «NissanAltima» может не быть словарным словом, но это собственное существительное, которое легко угадать. Вместо этого вы можете попробовать «My03AltimaIsBlue».

Когда мы обсуждали генератор парольной фразы XKCD, мы указали на другой более безопасный метод, который стоит повторить. Если вы хотите использовать свою любимую лирику из песни, возьмите первые пару символов из слов в вашей любимой строке, вместо того, чтобы связать всю лирику вместе. Мы предложили, чтобы любитель Jackson 5 мог извлечь пароль из текста «О, детка, дай мне еще один шанс показать тебе, что я тебя люблю», и придумать «obgmomctsytily», что значительно более безопасно.

XKCD Password Generator сам по себе является надежным инструментом для генерации паролей, главным образом потому, что слова, которые он объединяет, случайны - они не имеют смысла, и их будет трудно сломать при атаке по словарю, и еще сложнее, если вы смешаете регистр и специальный персонажи. Вы также можете взять его на себя и использовать метод смещения вправо для ваших паролей, что действительно делает их непонятными.

Наконец, после того, как вы сделали все это и создали отличную фразу-пароль, которую трудно взломать и трудно взломать, сделайте себе одолжение и подключите ее к системе управления паролями, такой как LastPass, KeePass или 1Password, чтобы вы могли использовать разные надежные пароли для каждой службы, которую вы используете, и одна запоминающаяся, чтобы попасть в хранилище паролей.

Используете ли вы парольные фразы или придерживаетесь надежных паролей? Может быть, вы их перепутали? Поделитесь своими советами и рекомендациями по паролю в комментариях ниже.