Teraz jest tak powszechne, że wszyscy to robimy, nawet o tym nie myśląc: utwórz hasło, które ma co najmniej x znaków, ma co najmniej jedną cyfrę i jeden symbol i nie jest twoją pierwszą ani ostatnią nazwą. Niezależnie od tego, czy pracujesz, czy tworzysz identyfikator Apple ID, te wymagania dotyczące hasła "silnego" hasła są wszędzie.
Po stworzeniu nowego hasła na stronie pewnego dnia zacząłem myśleć o tym, jak różne są wszystkie wymagania. Niektóre witryny wymagają haseł nie krótszych niż 3 znaki, a niektóre wymuszają minimum 8. Niektóre z nich wymagają symboli, inne nie. Niektórzy dbają o twoje imię i poprzednie hasła, inni nie. Jakie hasło jest naprawdę silne?
Zrobiłem kilka badań i dowiedziałem się dwóch rzeczy, gdy mówisz o "złamaniu" twojego hasła: po pierwsze, jest siła twojego hasła, a po drugie, jest moc szyfrowania, które haszuje hasło do bełkotu, gdy jest przechowywane.
Szybko zdałem sobie sprawę, że cała koncepcja silnego hasła jest bardzo matematyczna i przeprowadzono wiele badań na ten temat. Ten, który przykuł moją uwagę i wspomnę w tym poście, pochodzi z badania Carnegie-Mellon z 2011 roku.
Zanim przejdziemy do silnego hasła, zobaczmy, ile czasu zajmie złamanie rzekomo silnego hasła. Aby to sprawdzić, użyjemy narzędzia na stronie PassFault:
https://passfault.appspot.com/password_strength.html
Oto jak to działa. Wpisz swoje hasło i kliknij Analizować. Ma dwie opcje, które są domyślnie ukryte, ale możesz kliknąć Pokaż opcje. Wyjaśnijmy, co mają na myśli.
Cracking Hardware domyślnie atakuje hasła za 900 $, co jest możliwe dla legalnego hakera. Mają także opcję wyboru osoby atakującej hasłem o wartości 180 000 USD, z której mogą korzystać Chińczycy, jeśli jest ona tak droga. Lista rozwijana Ochrona hasłem zawiera kilka opcji określających rodzaj szyfrowania używanego do przechowywania hasła. System Microsoft Windows jest najsłabszy, nic dziwnego. Następnie masz bezprzewodowy punkt dostępowy WPA, UNIX SHA1, Blowfish UNIX i 100 rund SHA1.
Wypróbowałem swoje silne hasło, którego używam w kilku witrynach i byłem zszokowany widząc, że może to zostać złamane w ciągu 1 dnia!
Wow, to bardzo źle. Tak więc wybrałem mocniejsze opcje szyfrowania (Blowfish unikowy i 100 rund SHA1) i byłem szczęśliwszy, gdy wyniki potrwają dłużej niż jeden dzień: 1 rok i 7 miesięcy w przypadku Uniksa Blowfish oraz 2 miesiące i 2 dni w 100 rundach SHA1 . Jednak w przypadku hakera o wartości 180 000 USD spadł on odpowiednio do 11 dni i 3 dni. Nie do przyjęcia Myślałem! Chcę, aby moje hasło zabrało lata, nawet z super kosztownym crackerem. Ale jaki jest najlepszy sposób, odkąd używam 9-znakowego hasła z cyframi i symbolem?
W tym miejscu badanie Carnegie-Mellon rzuciło nieco światła na całą sprawę. Zasadniczo stwierdzili, że im dłuższe jest hasło, tym silniejsze. Nie musi to oznaczać, że dłuższe hasło musi mieć wiele symboli lub liczb, po prostu musi być długie. Przy 16 znakach, jedyne, czego musisz unikać, to używanie bardzo łatwych słów słownikowych.
Nie jesteś przekonany, że to możliwe? W witrynie PassFault użyj następującego hasła, które ma tylko 15 znaków i jest bardzo łatwe do zapamiętania:
ilovemywifealot
Następnie dla opcji wybierz atak haseł o wartości 180 000 $ i wybierz najsłabsze szyfrowanie (Microsoft Windows) i oto, co otrzymujesz:
1 miesiąc i 7 dni! To lepsze rozwiązanie niż złamanie mojego hasła za 1 dzień. Co jest nie tak z moim hasłem? Najwyraźniej, jeśli twoje hasło jest krótsze, musisz użyć większej liczby symboli, losowych liter i cyfr, aby go wzmocnić. Jeśli jest dłuższy, np. Od 15 do 16 znaków, nie musisz się martwić o dodanie wszystkich liczb i symboli. Dzięki dłuższemu hasłu możesz nawet użyć więcej słów ze słownika i nadal będzie bardzo bezpieczny. Oczywiście hasło takie jak Witam Witam Witam nadal będzie ssać, mimo że ma 15 znaków:
To jest do bani, bo znajdzie się w słowniku i trzy razy to samo słowo. W moim pierwszym haśle, w którym wyznaję moją miłość mojej żonie, zdanie szybko zaczyna wyglądać jak bełkot na komputerze i żaden pęknięty słownik nie ma tego 15-znakowego wyrażenia jako słowa. Słowniki mają słowa słownikowe, więc dopóki unikasz prostych słów słownika, będziesz dobry. Moje hasło mogłoby być nawet lepsze, gdybym użył imienia i nazwiska mojej żony lub jej imienia zamiast słowa "żona". Masz pomysł?
Oczywiście, jeśli możesz wrzucić wiele symboli w długie hasło, to hasło stanie się jeszcze bardziej absurdalnie silne. Na przykład, powiedzmy, że wstawiłem wykrzyknik przed hasłem mojej żony i dodałem jedną cyfrę na końcu. Następnie, ile czasu zajmie pęknięcie z tymi samymi opcjami:
Święta krowa! Tak więc trwało to od 1 miesiąca 7 dni do ogromnych 4 wieków i 1 dekady !!! Tak wieki !! To bezpieczne hasło i nie jest trudne do zapamiętania. Dlatego sprawdź hasło za pomocą tego bezpłatnego narzędzia online i jeśli hasło zostanie złamane za kilka dni, być może nadszedł czas, aby wymyślić coś nowego, szczególnie w przypadku poufnych informacji, takich jak hasła bankowe itp.
Pamiętaj, że wiele z tych witryn internetowych jest ciągle atakowanych przez hakerów, więc twoje hasło nigdy nie jest bezpieczne. Jeśli jednak używasz naprawdę silnego hasła, nawet jeśli szyfrowanie jest bardzo słabe, jego złamanie zajęłoby całą wieczność! Jeśli wypróbowałeś swoje hasło na stronie podczas czytania tego posta, daj nam znać w komentarzach, ile czasu zajmie jego złamanie. Cieszyć się!
