Share
Ihr Passwort basiert auf einem Wort mit etwa acht Zeichen. Sie haben ein paar Zahlen durch Buchstaben ersetzt ('3' für 'E' und '4' für 'a' usw.), Sie haben darauf geachtet, ein oder zwei Buchstaben in Großbuchstaben zu schreiben, und Sie haben ein Ausrufezeichen daran geschweißt das Ende, als ob Sie Ihre Einhaltung der unveränderlichen Checkliste der Passwortstärke betonen. Sie atmen erleichtert auf. Jeden Monat vergessen Sie dieses Passwort (oder Sie erinnern sich daran, weil Sie es überall verwenden). Aber es ist stark ... richtig? Sehen wir uns das Thema Passwortsicherheit an, um die Mythen, Mathematik und Methoden aufzudecken, die diesen entscheidenden Aspekt der Datenverarbeitung ausmachen.
Als Bürger und Entdecker des digitalen Raums können wir diese Diskussion als eine Suche gestalten. Wir suchen den heiligen Gral der Passwortsicherheit. ein Mittel zum Erstellen eines Passworts, das uns maximalen Schutz bei maximaler Einprägbarkeit bietet - schließlich sind wir nur Menschen.
Wenn die Formel, die ich in meiner Einführung beschrieben habe - die, die heute für die große Mehrheit der heute verwendeten Kennwörter verantwortlich ist - wie ein Ideal klingt, sind Sie vielleicht überrascht zu erfahren, dass sie nicht nur schwierig zu merkende Kennwörter erzeugt (offensichtlich), sondern Es ist auch weit weniger sicher als Sie vielleicht erwarten. Zu allem Überfluss ist ein sicheres Passwort nur die halbe Miete.
Um zu verstehen, warum das so ist, müssen wir einen kurzen Abstecher in die furchterregende Welt der Informationstheorie machen, um uns mit Grundkenntnissen auszustatten, mit denen wir verstehen können, wie die Passwortsicherheit gemessen und verglichen wird.
Im Allgemeinen wird die Integrität eines Kennworts in Bezug auf Folgendes diskutiert Stückchen Entropie, eine interessante Maßnahme in der Informationstheorie zur Beschreibung der mit dem Ergebnis einer Variablen verbundenen Unsicherheit. Je mehr Ungewissheit, oder anders gesagt, je unbekannter das zu messende Ereignis ist, desto höher ist die Entropie.
Wir müssen nur daran denken, dass je mehr Entropie ein Passwort hat, desto schwieriger ist es zu knacken.
Zum Beispiel würden wir einen Münzwurf betrachten, um ein einzelnes Entropie-Bit darzustellen, da der unsichere Wert nur eine von zwei Möglichkeiten ist. Die Formel, die den Entropiewert eines Passworts darstellt, ist abscheulich und wir müssen sie nicht verstehen, um Entropie im Allgemeinen zu verstehen.
Um dies wieder auf unsere Suche zu bringen, müssen wir nur daran denken, dass je mehr Entropiestücke ein Passwort hat, desto schwieriger ist es zu knacken.
Nun, da wir wissen, wie die Passwortstärke gemessen wird, müssen wir unsere Gegner untersuchen: die Hacker, Passwort-Cracker und andere digitale Missetäter, die Zugriff auf Ihre Konten suchen.
Das Cracken von Passwörtern ist ein Eckpfeiler der Hacking-Welt und bietet nicht überraschend eines der am weitesten entwickelten Arsenale im Repertoire des Hackers. Im Allgemeinen lassen sich Kennwort-Cracking-Methoden in zwei Kategorien einteilen: Muster-Cracking und Brute-Force-Angriffe.
Ein Passwort zu knacken ist heute weniger schwierig als Sie vielleicht denken Wenn Sie der Formel aus meiner Einführung gefolgt sind, ist Ihr Passwort wahrscheinlich sehr anfällig für musterbasierte Cracking-Methoden. Es gibt verschiedene Varianten, von einfachen Wörterbuchangriffen bis hin zu komplexeren Varianten, die gängige Techniken zur Kennworterstellung nutzen.
Wenn sie anwendbar sind, sind musterbasierte Cracking-Ansätze vorzuziehen, da sie die Anzahl der Möglichkeiten, die ein Hacker versuchen muss, erheblich reduzieren, bevor er auf das eigentliche Passwort stößt.
Wenn Sie der Formel aus meiner Einführung gefolgt sind, ist Ihr Passwort wahrscheinlich sehr anfällig für musterbasierte Cracking-Methoden.
Dieses achtstellige Passwort, das Sie verwenden und aus Zahlen, Großbuchstaben und Sonderzeichen bestehen? Es würde wahrscheinlich eine halbe Stunde dauern, um zu knacken.
Diese zweite Kategorie von Angriffen repräsentiert die barbarische Herangehensweise an das Hacken von Passwörtern. Im Wesentlichen bedeutet ein Brute-Force-Angriff, dass der Hacker einen unglaublich leistungsfähigen Computer (oder ein Computernetzwerk) verwendet, um systematisch jede mögliche Kombination von Zeichen auszuprobieren, um Ihr Kennwort zu ermitteln.
Dies scheint eindeutig entmutigend zu sein, da jedes zusätzliche Zeichen, das Sie einem Kennwort hinzufügen, eine Unmenge zusätzlicher Kennwortmöglichkeiten erfordert. Abhängig von den Fähigkeiten und der Hardware, die Ihrem Angreifer zur Verfügung stehen, können Sie leider davon ausgehen, dass ein Hacker zwischen mehreren Hunderttausend und etwa einer Million möglicher Kennwortkombinationen testen kann pro Sekunde.
Dieses achtstellige Passwort, das Sie verwenden und aus Zahlen, Großbuchstaben und Sonderzeichen bestehen? Es hat wahrscheinlich einen Entropiewert zwischen 30 und 50 Bit. Es würde wahrscheinlich nur eine halbe Stunde dauern, um aufbrechen zu können.
Unabhängig von der Vorgehensweise erfordert das Knacken eines Kennworts die Möglichkeit, viele verschiedene Kennwörter zu verwenden, um eine Übereinstimmung zu finden. Hier kommt die andere Hälfte der Kennwortintegrität ins Spiel: die Sicherheitsmaßnahmen des Kontoanbieters.
Wenn Sie jemals auf einer Website ein CAPTCHA gefunden haben (diejenigen Formulare, bei denen Sie dunkle Ziffern oder Wörter entschlüsseln müssen, um fortfahren zu können), sind Sie möglicherweise zu dem Schluss gekommen, dass die Website Sie, Ihre Augen und Ihre Freizeit hasst. Dies ist höchstwahrscheinlich nicht der Fall.
Tatsächlich dienen diese erschwerenden CAPTCHAs einem entscheidenden Zweck in der Welt der Kontosicherheit: Sie verhindern nicht nur, dass automatisierte Bots die Anmeldeformulare ausfüllen, sie fügen auch ein zusätzliches Hindernis hinzu, das die Fähigkeit eines Hackers verlangsamt, die Tausenden von Passwörtern je zu testen Sekunde erforderlich, um einen erfolgreichen Crack durchzuführen. Sie sind natürlich nicht unfehlbar, aber sie sind eine zusätzliche Schutzschicht.
Neben anderen serverseitigen Sicherheitsmaßnahmen wie automatischen Login-Timeouts nach zu vielen fehlgeschlagenen Versuchen bilden CAPTCHAs die andere Seite der Kennwortschutzmünze.
Es lohnt sich häufig, die Sicherheitsvorkehrungen eines Dienstes zu erkunden, bevor Sie zu viele Ihrer privaten Daten zur Verfügung stellen, denn unabhängig davon, wie sicher Ihr Kennwort ist, spielt es keine Rolle, ob die Hintertür geöffnet ist.
Unsere Einführungsformel für die Passworterstellung bietet zumeist sehr kluge Ratschläge. Mehrere Fälle, Sonderzeichen, Zahlen; Dies sind alles Soundtechniken, die Sie als Teil Ihres Passworts verwenden können.
Es gibt andere Techniken, die Sie wahrscheinlich empfohlen haben, die einfach nur daran scheuen, Ihr Konto sicher zu halten.
Es gibt jedoch einige Richtlinien, die sich auf deren Wirksamkeit auswirken, und es gibt andere Techniken, die Sie wahrscheinlich empfohlen haben. Lassen Sie uns einige dieser Richtlinien untersuchen und Beispiele für schlechte Kennworttechniken finden.
Das Deck mag sich gegen Sie anhäufen, aber es lohnt sich zu bedenken, dass die meisten von uns nicht das Ziel dedizierter Hacker sein werden - unsere Priorität ist es, fundierte Entscheidungen über die Dienste zu treffen, die wir unseren Daten anvertrauen, und sicherzustellen, dass unsere Konten so sicher wie möglich, ohne uns unnötige Kopfschmerzen zu bereiten, die versuchen, sich dunkle Zeichenketten zu merken.
Es gibt eine Reihe intelligenter Möglichkeiten, sichere Kennwörter zu erstellen, die diesen Kriterien entsprechen. Wir werden uns jedoch auf zwei Hauptmerkmale konzentrieren, die nicht nur beliebt, sondern auch äußerst effektiv und flexibel genug sind, um überall eingesetzt zu werden.
Unsere Priorität ist es, fundierte Entscheidungen über die Dienste zu treffen, denen wir unsere Daten anvertrauen, und sicherzustellen, dass unsere Konten so sicher wie möglich sind.
Eines der faszinierendsten Paradoxien der Passwortsicherheit ist die Tatsache, dass ein Wort zwar als Passwort nur schwer zu kompromittieren ist, die Verwendung mehrerer Wörter nacheinander jedoch eine der sichersten möglichen Passworterstellungsmethoden darstellt, die auch den Vorteil bietet Es ist wesentlich einfacher zu merken als eine gleich lange Reihe von zufälligen Zeichen.
Eine der primären Methoden zum Erzeugen einer solchen Wortliste wird als "Diceware" bezeichnet. Diese Bezeichnung wird benannt, weil Sie ein Würfelset verwenden, um das Kennwort aus einer Liste von Wörtern wie diesem englischen Beispiel zu generieren.
Für jedes Wort im Passwort (oder in diesem Fall in der Passphrase) würfeln Sie fünf Mal. Die sich ergebenden Zahlen würden aneinandergereiht - sagen wir 61345 - und dann wird das entsprechende Wort aus der Liste ausgewählt, in meinem Fall 'toad'..
Nehmen wir als Beispiel ein typisches "starkes" Passwort: 7YmP @ ni5 (Timpanis, für Sie nicht-musikalisches Volk). Dieses Passwort bietet uns etwa 50 Bit Entropie. Es ist nicht schlecht, aber es ist auch nicht besonders einprägsam - welcher Buchstabe wurde durch welchen Buchstaben oder die Nummer ersetzt? Welche Buchstaben wurden groß geschrieben??
Als ich mit der Wortliste von Diceware eine Passphrase mit 5 Wörtern abschloss, kam ich mit 'toadloafsteamwhackethos'. Das gibt uns eine Basis von ungefähr 65 Bit Entropie - eine viel schwierigere Herausforderung für Hacker (jedes zusätzliche Bit Entropie bedeutet doppelt so viele Möglichkeiten, die durchlaufen werden müssen)..
Normalerweise werden fünf Wörter als die minimal mögliche Länge für eine Diceware-Passphrase betrachtet, und der Vorteil des Systems besteht darin, dass der Entropiewert unter der Annahme berechnet wird, dass Ihr Hacker nicht nur weiß, dass Sie eine Diceware-Wortliste verwenden, sondern diese Sie wissen sogar, welches Sie verwendet haben und wie viele Wörter in Ihrer Passphrase enthalten sind. Mit anderen Worten, wenn sie etwas weniger wissen oder völlig blind sind, ist die Entropie Ihrer Passphrase noch höher!
Und weil es sich um eine einfache Liste gebräuchlicher Wörter handelt, ist es viel einfacher, sich daran zu erinnern, vor allem, wenn Sie eine Phrase generieren (oder erfinden), die humorvoll ist oder Ihr Gedächtnis auf andere Weise joggt - "Hey, hören Sie!" ist einfach für Zelda-Fans. 70 Bits nostalgische Entropie genau dort.
Eine weit verbreitete und sehr effektive Methode zur Erzeugung sicherer Kennwörter besteht in der Verwendung von Phrasen auf eine etwas unkonventionelle Art und Weise, die viele Kontrollkästchen für die Erstellung sicherer Kennwörter abhakt - die ersten Buchstaben und alle Interpunktionszeichen in einem Kennwort.
Nehmen wir zum Beispiel ein Gedicht wie The Jabberwocky von Lewis Carroll. Von der ersten Strophe nehmen wir die ersten beiden Zeilen, und zwar:
'Twas brillig und die schlampigen Happen
Habe im Wabe Schreien und Spielereien gemacht;
Bei Anwendung dieser Methode würden wir am Ende "'Tb, atstDgagitw;" Dieses wunderbare Stück Passwort-Engineering repräsentiert eine erstaunliche Entropie von 100 Bit.
Schauen wir uns die Vorteile an: Sie erscheinen auf der Oberfläche völlig zufällig und sind daher für musterbasierte Angriffe unempfindlich. Es werden sowohl Großbuchstaben als auch Sonderzeichen verwendet. es ist mehr als 12 Zeichen lang (eine gemeinsame Richtlinie); und trotz seiner scheinbaren Dunkelheit ist es unmöglich zu vergessen, weil sie aus einem Literaturstück stammt, das von Natur aus leicht zu merken ist - ein Gedicht!
Vorausgesetzt, Sie mögen Poesie nicht, können Sie natürlich eine Zeile aus Ihrer Lieblingsrede, ein Zitat aus einem Buch oder einen anderen Satz verwenden, den Sie wahrscheinlich nie vergessen werden.
Ich persönlich empfehle Poesie aus zwei Gründen: Erstens ist sie oft reich an Interpunktion und Großschreibung, und zweitens ist es fast immer sehr einfach, sich auswendig zu lernen (man denke nur an, zu wie vielen populären Songs man mitsingen kann)..
Der letzte Teil des starken Passwort-Puzzles ist Variabilität: Verwenden Sie nicht überall dasselbe Passwort, es ist der größte Fehler, den Sie machen können. Zehn schwache Passwörter sind sicherer als eines, das zehnmal verwendet wird. Denn wenn es kompromittiert wird, wird jedes Konto, das Sie haben, auch sofort gefährdet.
Verwenden Sie nicht überall dasselbe Passwort, es ist der größte Fehler, den Sie machen können.
Mit den beiden oben beschriebenen Methoden können Sie leicht nach Wegen suchen, um die Dinge konsistent zu halten, und Sie haben immer noch unterschiedliche Kennwörter für verschiedene Dienste. Ändern Sie das letzte Wort in Ihrer Diceware-Liste oder verwenden Sie verschiedene Verse aus den Liedtexten des gleichen Songs.
Wir sollten kurz über das Problem sprechen, Kennwörter aufzuschreiben, um sich an sie zu erinnern. Dies ist ein Sicherheitsrisiko, das viele Menschen eingehen, indem sie wichtige Passwörter in ein Notizbuch oder einen Zettel in die Brieftasche stecken.
Dies ist zwar praktisch, eröffnet aber auch einen völlig neuen Gefahrenweg. Wenn jemand Ihre Brieftasche stiehlt, flieht er normalerweise mit etwas Geld und Ihrem Personalausweis. Jetzt können sie auch auf alle Konten zugreifen, für die Sie ein Kennwort notiert haben. Kannst du dich erinnern, sie alle zeitlich zu ändern??
Wenn wir unsere ideale Passwortlösung vorschlagen, möchten wir darauf hinweisen, dass sie ein einprägsames Ergebnis hervorbringen sollte, damit Sie sich nicht aufgeschrieben haben, um sich daran zu erinnern.
Wenn sich die Formel, die Sie verwenden, leicht abrufen lässt, müssen Sie möglicherweise nur obskure Erinnerungen aufschreiben, die für jeden nutzlos sind, der versucht, Ihr Kennwort zu knacken. Wenn Sie die Abkürzungsmethode für die Poesie verwenden, können Sie eine Notiz aufbewahren, in der lediglich angegeben ist, welchen Vers Sie für jeden Dienst verwendet haben - ein Dieb würde nicht wissen, wovon Sie sprechen.
Wer ist ein Hacker, der häufiger ins Visier kommt: eine zufällige Person oder ein Unternehmen, das stolz darauf ist, einen starken Passwortschutz für Millionen von Benutzern bereitzustellen?
An diesem Punkt fragen Sie sich vielleicht, warum Sie keinen dedizierten Passwortdienst wie LastPass verwenden sollten, um Ihre sicheren Passwörter sowohl zu verwalten als auch zu generieren.
Da es sich sowohl um seriöse als auch um flexible Werkzeuge handelt, sollten Sie sie sicherlich in Betracht ziehen. Es zahlt sich aus, dass Sie Ihre eigenen sicheren Kennwörter generieren können, da diese auch von Unternehmen betriebene Dienste sind, die angreifbar sind, sich selbst anzugreifen - und sie sind weitaus häufiger Angriffspunkte eines Kennwortangriffs als ein einzelner Einzelner. Denn wer ist ein Hacker, der häufiger ins Visier kommt: eine zufällige Person oder ein Unternehmen, das stolz darauf ist, einen starken Passwortschutz für Millionen von Benutzern bereitzustellen?
Da sie es sich zur Aufgabe gemacht haben, genau das zu tun, sind viele dieser Dienste es wert, ihr Vertrauen zu schenken, aber wenn Sie vorsichtiger sind oder nicht alles in einer App gespeichert haben möchten, oder Sie wollen einfach nur ein Mittel dazu Erstellen Sie ein starkes Master-Passwort für diese anderen Lösungen. Es lohnt sich zu wissen, wie man ein solches erstellt - und jetzt tun Sie es!
Es versteht sich von selbst, dass die stärksten Kennwörter die 20-stelligen randomisierten Riesen sind, für die Sie leicht einen Generator im Web finden können. Diese sind grundsätzlich stärker als alle anderen, die Sie wahrscheinlich formulieren. Sie sind aber auch nur für Maschinen und Menschen mit einer lächerlichen Fähigkeit zum Auswendigmachen komplizierter Zeichenketten von Nutzen - sie sind einfach nicht für den täglichen Gebrauch geeignet.
Die Idee eines idealen Passworts, das wir in diesem Tutorial untersucht haben, ist eine, die ein glückliches Gleichgewicht zwischen Integrität und Speicherfähigkeit findet. Sie sind jetzt gerüstet, um die gefährlichsten Fallstricke bei der Passworterstellung zu erkennen und starke, einprägsame und variable Passwörter für sich selbst zu erstellen. Machen Sie sich also auf den Weg zu Ihren wertvollen digitalen Assets.
Vergessen Sie nicht, sie ab und zu zu ändern - es ist immer schwieriger, ein bewegliches Ziel zu treffen.
Hast du eine bessere Methode? Wir wollen davon hören! Passwörter sind wichtig, also springen Sie in die Kommentare und teilen Sie Ihre Gedanken.
Accentsconagua