Com crear i recordar una contrasenya segura

2024 Autora: Malcolm Clapton | [email protected]. Última modificació: 2023-12-17 03:49

Les millors maneres de crear una contrasenya que ningú pot descifrar.

La majoria dels atacants no es molesten amb mètodes sofisticats de robatori de contrasenyes. Prenen combinacions fàcils d'endevinar. Al voltant de l'1% de totes les contrasenyes existents actualment poden ser de força bruta amb quatre intents.

Com és possible? Molt simple. Proveu les quatre combinacions més habituals del món: contrasenya, 123456, 12345678, qwerty. Després d'aquest pas, de mitjana, s'obre l'1% de tots els "cofres".

Suposem que estàs entre aquells 99% dels usuaris la contrasenya dels quals no és tan senzilla. Tot i així, s'ha de tenir en compte el rendiment del programari de pirateria modern.

El programa John the Ripper gratuït i disponible de manera gratuïta verifica milions de contrasenyes per segon. Alguns exemples de programari comercial especialitzat afirmen una capacitat de 2.800 milions de contrasenyes per segon.

Inicialment, els programes de cracking s'executen a través d'una llista de les combinacions estadísticament més habituals i després es refereixen al diccionari complet. Amb el temps, les tendències de contrasenyes dels usuaris poden canviar lleugerament i aquests canvis es tenen en compte quan s'actualitzen aquestes llistes.

Amb el temps, tot tipus de serveis i aplicacions web van decidir complicar per força les contrasenyes creades pels usuaris. S'han afegit requisits, segons els quals la contrasenya ha de tenir una longitud mínima determinada, contenir números, majúscules i caràcters especials. Alguns serveis es van prendre això tan seriosament que es necessita una tasca molt llarga i tediosa per trobar una contrasenya que el sistema acceptaria.

El problema clau és que gairebé qualsevol usuari no genera una contrasenya de força bruta, sinó que només intenta complir els requisits del sistema per a la composició de la contrasenya al mínim.

El resultat són contrasenyes com password1, password123, Password, PASsWoRd, password! i la increïblement impredictible p @ ssword.

Imagina que has de refer la teva contrasenya de Spiderman. El més probable és que sembli $ pider_Man1. Original? Milers de persones ho canviaran utilitzant el mateix algorisme o molt similar.

Si el cracker coneix aquests requisits mínims, la situació només empitjora. És per aquest motiu que l'exigència imposada d'augmentar la complexitat de les contrasenyes no sempre ofereix la millor seguretat i sovint crea una falsa sensació d'augment de seguretat.

Com més fàcil sigui de recordar la contrasenya, més probable és que acabi en diccionaris de cracker. Com a resultat, resulta que una contrasenya molt forta és simplement impossible de recordar, el que significa que cal arreglar-la en algun lloc.

Segons els experts, fins i tot en aquesta era digital, la gent encara pot confiar en un tros de paper amb contrasenyes escrites. És convenient mantenir aquest full en un lloc amagat de mirades indiscretes, per exemple, en una cartera o cartera.

Tanmateix, el full de contrasenyes no resol el problema. Les contrasenyes llargues són difícils no només de recordar, sinó també d'introduir-les. La situació s'agreuja amb els teclats virtuals dels dispositius mòbils.

Interaccionant amb desenes de serveis i llocs, molts usuaris deixen enrere una sèrie de contrasenyes idèntiques. Intenten utilitzar la mateixa contrasenya per a tots els llocs, ignorant completament els riscos.

En aquest cas, alguns llocs actuen com a mainadera, forçant la combinació a ser complicada. Com a resultat, l'usuari simplement no recorda com va haver de modificar la seva contrasenya única estàndard per a aquest lloc.

L'envergadura del problema es va adonar completament el 2009. Aleshores, a causa d'un forat de seguretat, el pirata informàtic va aconseguir robar la base de dades d'inicis de sessió i contrasenyes de RockYou.com, l'empresa que publica jocs a Facebook. L'atacant va posar la base de dades a disposició pública. En total, contenia 32,5 milions d'entrades amb noms d'usuari i contrasenyes als comptes. Les filtracions ja s'han produït abans, però l'escala d'aquest esdeveniment en particular va mostrar tota la imatge.

La contrasenya més popular a RockYou.com era 123456, que va ser utilitzada per gairebé 291.000 persones. Els homes menors de 30 anys preferien més sovint els temes sexuals i les vulgaritats. Les persones grans d'ambdós sexes sovint es recorren a una àrea determinada de la cultura a l'hora de triar una contrasenya. Per exemple, Epsilon793 no sembla una opció tan dolenta, només que aquesta combinació estava a Star Trek. El 8675309 de set dígits va aparèixer moltes vegades perquè aquest número apareixia en una de les cançons de Tommy Tutone.

De fet, crear una contrasenya segura és una tasca senzilla, n'hi ha prou amb compondre una combinació de caràcters aleatoris.

No podeu crear una combinació perfectament aleatòria en termes matemàtics al vostre cap, però no esteu obligats a fer-ho. Hi ha serveis especials que generen combinacions realment aleatòries. Per exemple, pot crear contrasenyes com aquesta:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Aquesta és una solució senzilla i elegant, especialment per a aquells que utilitzen un gestor per emmagatzemar contrasenyes.

Malauradament, la majoria dels usuaris continuen utilitzant contrasenyes senzilles i febles, fins i tot ignorant la regla de "contrasenyes diferents per a cada lloc". Per a ells, la comoditat és més important que la seguretat.

Les situacions en què la seguretat de la contrasenya es pot veure compromesa es poden dividir en 3 grans categories:

• Aleatori, en què una persona que coneixes intenta esbrinar la contrasenya, basant-se en la informació que coneix sobre tu. Sovint, aquest cracker només vol jugar una mala passada, esbrinar alguna cosa sobre tu o fer un embolic.
• Atacs massiusquan absolutament qualsevol usuari de determinats serveis pot convertir-se en víctima. En aquest cas, s'utilitza programari especialitzat. Per a l'atac, es seleccionen els llocs menys segurs, que us permeten introduir opcions de contrasenya repetidament en un curt període de temps.
• Propòsitque combinen la recepció de pistes (com en el primer cas) i l'ús de programari especialitzat (com en un atac massiu). Es tracta d'intentar obtenir informació realment valuosa. Només una contrasenya aleatòria prou llarga us ajudarà a protegir-vos, la selecció de la qual trigarà un temps comparable a la durada de la vostra vida.

Com podeu veure, qualsevol persona pot convertir-se en víctima. Afirmacions com "no em robaran la contrasenya, perquè ningú em necessita" no són rellevants, perquè pots arribar a una situació semblant per casualitat, per casualitat, sense cap motiu aparent.

És encara més greu protegir amb contrasenya per a aquells que tenen informació valuosa, estan associats amb un negoci o estan en conflicte amb algú per motius financers (per exemple, divisió de propietat en procés de divorci, competència empresarial).

L'any 2009, Twitter (en el sentit de tot el servei) va ser piratejat només perquè l'administrador va utilitzar la paraula felicitat com a contrasenya. El pirata informàtic el va recollir i el va penjar al lloc web de Digital Gangster, fet que va provocar el segrest dels comptes d'Obama, Britney Spears, Facebook i Fox News.

Acrònims

Com en qualsevol altre aspecte de la vida, sempre hem de trobar un compromís entre la màxima seguretat i la màxima comoditat. Com trobar un terme mitjà? Quina estratègia per generar contrasenyes us permetrà crear combinacions fortes que es puguin recordar fàcilment?

De moment, la millor combinació de fiabilitat i comoditat és convertir una frase o frase en una contrasenya.

Es selecciona un conjunt de paraules que sempre recordeu i s'utilitza una combinació de les primeres lletres de cada paraula com a contrasenya. Per exemple, May the force be with you es converteix en Mtfbwy.

Tanmateix, com que s'utilitzaran les més famoses com a frases inicials, els programes acabaran rebent aquestes sigles a les seves llistes. De fet, l'acrònim només conté lletres i, per tant, és objectivament menys fiable que una combinació aleatòria de caràcters.

Escollir la frase adequada us ajudarà a desfer-vos del primer problema. Per què convertir una expressió de fama mundial en una contrasenya d'acrònim? Probablement recordeu alguns acudits i refranys que només són rellevants entre el vostre cercle proper. Suposem que has sentit una frase molt enganxosa d'un cambrer d'un establiment local. Utilitza-ho.

Tot i així, és poc probable que la contrasenya d'acrònim que heu generat sigui única. El problema de les sigles és que diferents frases es poden compondre de paraules que comencen per les mateixes lletres i en la mateixa seqüència. Estadísticament, en diversos idiomes, hi ha una freqüència més gran de l'aparició de certes lletres com a principi d'una paraula. Els programes tindran en compte aquests factors i es reduirà l'eficàcia de les sigles en la versió original.

Manera inversa

La sortida pot ser la manera oposada de generació. Creeu una contrasenya completament aleatòria a random.org i, a continuació, convertiu els seus caràcters en una frase memorable i significativa.

Sovint, els serveis i els llocs proporcionen als usuaris contrasenyes temporals, que són les mateixes combinacions perfectament aleatòries. Voldràs canviar-los, perquè no podràs recordar-ho, però només has de fer una ullada més de prop, i es fa evident: no cal que recordis la contrasenya. Per exemple, prenem una altra opció de random.org: RPM8t4ka.

Tot i que sembla sense sentit, el nostre cervell és capaç de trobar certs patrons i correspondències fins i tot en aquest caos. Per començar, podeu notar que les tres primeres lletres estan en majúscules i les tres següents en minúscules. 8 és dues vegades (en anglès dues vegades - t) 4. Mireu una mica aquesta contrasenya i segur que trobareu les vostres pròpies associacions amb el conjunt de lletres i números proposats.

Si podeu memoritzar conjunts de paraules sense sentit, feu servir-ho. Deixa que la contrasenya es converteixi en revolucions per minut 8 pista 4 katty. Qualsevol conversió en la qual el teu cervell sigui millor ho farà.

Una contrasenya aleatòria és l'estàndard d'or en seguretat de la informació. És, per definició, millor que qualsevol contrasenya creada per humans.

L'inconvenient de les sigles és que amb el temps, la difusió d'aquesta tècnica reduirà la seva eficàcia i el mètode invers es mantindrà igual de fiable, fins i tot si tota la gent de la terra l'utilitzarà durant mil anys.

Una contrasenya aleatòria no s'inclourà a la llista de combinacions populars i un atacant que utilitzi un mètode d'atac massiu només farà una força bruta d'aquesta contrasenya.

Prenem una contrasenya aleatòria senzilla que tingui en compte majúscules i números, és a dir, 62 caràcters possibles per a cada posició. Si fem que la contrasenya només tingui 8 dígits, obtenim 62 ^ 8 = 218 bilions d'opcions.

Encara que el nombre d'intents en un interval de temps determinat no estigui limitat, el programari especialitzat més comercial amb una capacitat de 2.800 milions de contrasenyes per segon passarà una mitjana de 22 hores intentant trobar la combinació adequada. Per assegurar-nos, només afegim 1 caràcter addicional a aquesta contrasenya, i trigaran molts anys a trencar-la.

Una contrasenya aleatòria no és invulnerable, ja que es pot robar. Les opcions són nombroses, des de llegir l'entrada del teclat fins a tenir una càmera sobre l'espatlla.

Un pirata informàtic pot colpejar el propi servei i obtenir dades directament dels seus servidors. En aquesta situació, res depèn de l'usuari.

Una base fiable

Així doncs, hem arribat al principal. Quines són les tàctiques de contrasenyes aleatòries per utilitzar a la vida real? Des del punt de vista de l'equilibri de fiabilitat i comoditat, la "filosofia d'una contrasenya segura" es mostrarà bé.

El principi és que utilitzeu la mateixa base: una contrasenya molt forta (les seves variacions) als serveis i llocs que són més importants per a vosaltres.

Recordeu una combinació llarga i difícil per a tothom.

Nick Berry, consultor de seguretat de la informació, permet aplicar aquest principi, sempre que la contrasenya estigui molt ben protegida.

No es permet la presència de programari maliciós a l'ordinador des del qual introduïu la contrasenya. No està permès utilitzar la mateixa contrasenya per a llocs menys importants i entretinguts: amb contrasenyes més senzilles n'hi ha prou, ja que piratejar un compte aquí no comportarà cap conseqüència fatal.

Està clar que la base fiable s'ha de canviar d'alguna manera per a cada lloc. Com a opció senzilla, podeu afegir una sola lletra al començament, que acaba amb el nom del lloc o servei. Si tornem a aquesta contrasenya aleatòria RPM8t4ka, es convertirà en kRPM8t4ka per a l'autorització de Facebook.

Un atacant, en veure aquesta contrasenya, no podrà entendre com es genera la contrasenya del vostre compte bancari. Els problemes començaran si algú accedeix a dues o més de les vostres contrasenyes generades d'aquesta manera.

pregunta secreta

Alguns segrestadors ignoren les contrasenyes per complet. Actuen en nom del propietari del compte i simulen una situació en què heu oblidat la vostra contrasenya i voleu restaurar-la amb una pregunta secreta. En aquest escenari, pot canviar la contrasenya a voluntat i el veritable propietari perdrà l'accés al seu compte.

El 2008, algú va tenir accés al correu electrònic de Sarah Palin, la governadora d'Alaska, i en aquell moment també candidata a la presidència. El lladre va respondre a la pregunta secreta, que sonava així: "On vas conèixer el teu marit?"

Després de 4 anys, Mitt Romney, que també era candidat a la presidència dels Estats Units en aquell moment, va perdre diversos dels seus comptes en diversos serveis. Algú va respondre a una pregunta secreta sobre el nom de la mascota de Mitt Romney.

Ja has endevinat el punt.

No podeu utilitzar dades públiques i fàcils d'endevinar com a pregunta i resposta secreta.

La qüestió no és ni tan sols que aquesta informació es pugui buscar acuradament a Internet o als col·laboradors propers de la persona. Les respostes a preguntes a l'estil de "nom d'animal", "equip d'hoquei favorit" i així successivament estan perfectament seleccionades dels diccionaris corresponents d'opcions populars.

Com a opció temporal, podeu utilitzar la tàctica de l'absurd de la resposta. Per dir-ho simplement, la resposta no hauria de tenir res a veure amb la pregunta secreta. Nom de soltera de la mare? Difenhidramina. Nom de mascota? 1991.

Tanmateix, aquesta tècnica, si es troba molt estesa, es tindrà en compte en els programes corresponents. Les respostes absurdes sovint són estereotipades, és a dir, algunes frases es trobaran molt més sovint que altres.

De fet, no hi ha res dolent en utilitzar respostes reals, només cal triar la pregunta amb prudència. Si la pregunta no és estàndard i la resposta només la coneixeu i no es pot endevinar després de tres intents, aleshores tot està en ordre. L'avantatge de ser veraç és que no ho oblidaràs amb el temps.

PIN

El número d'identificació personal (PIN) és un pany barat que ens confien els nostres diners. Ningú es molesta a crear una combinació més fiable d'almenys aquests quatre nombres.

Ara pare. Ara mateix. Ara mateix, sense llegir el paràgraf següent, intenteu endevinar el PIN més popular. Preparat?

Nick Berry calcula que l'11% de la població dels EUA utilitza 1234 com a PIN (on poden canviar-lo ells mateixos).

Els pirates informàtics no presten atenció als codis PIN perquè el codi és inútil sense la presència física de la targeta (això pot justificar en part la petita longitud del codi).

Berry va agafar les llistes de contrasenyes de quatre dígits que van aparèixer després de les filtracions a la xarxa. És probable que la persona que utilitza la contrasenya de 1967 l'hagi escollit per algun motiu. El segon PIN més popular és el 1111 i el 6% de la gent prefereix aquest codi. En tercer lloc hi ha 0000 (2%).

Suposem que una persona que coneix aquesta informació té una targeta bancària a les seves mans. Tres intents de bloquejar la targeta. Les matemàtiques senzilles mostren que aquesta persona té un 19% de possibilitats d'endevinar el seu PIN si introdueix 1234, 1111 i 0000 en seqüència.

Probablement per aquest motiu, la gran majoria dels bancs assignen codis PIN a les mateixes targetes de plàstic emeses.

No obstant això, moltes persones protegeixen els telèfons intel·ligents amb un codi PIN, i aquí s'aplica la classificació de popularitat següent: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 865, 863, 863, 863, 4321, 2001, 1010.

Sovint, el PIN representa un any (any de naixement o data històrica).

A molta gent els agrada fer PIN en forma de parells de números repetits (a més, els parells on el primer i el segon nombre difereixen en un són especialment populars).

Els teclats numèrics dels dispositius mòbils mostren combinacions com 2580 a la part superior; per escriure'l, n'hi ha prou amb fer un pas directe de dalt a baix al centre.

A Corea, el número 1004 és consonant amb la paraula "àngel", la qual cosa fa que aquesta combinació sigui força popular allà.

Resultat

1. Aneu a random.org i creeu-hi entre 5 i 10 contrasenyes de candidats.
2. Tria una contrasenya que puguis convertir en una frase memorable.
3. Utilitzeu aquesta frase per recordar la vostra contrasenya.