ทำรหัสผ่านให้แข็งแรงและยาวนาน

แทบจะทุกสัปดาห์ผ่านไปโดยไม่มีการรั่วไหลของข้อมูลซึ่งทำให้มีการเปิดเผยรหัสผ่านนับล้านหรือหลายพันล้านครั้ง ในกรณีส่วนใหญ่สิ่งที่เปิดเผยจริง ๆ คือรหัสผ่านเวอร์ชันที่ถูกเรียกใช้ผ่านอัลกอริทึมการแปลงแป้นพิมพ์ไม่ใช่รหัสผ่าน รายงานล่าสุดจาก Trustwave แสดงให้เห็นว่าการแฮ็ชไม่ได้ช่วยเมื่อผู้ใช้สร้างรหัสผ่านโง่และความยาวนั้นมีความสำคัญมากกว่าความซับซ้อนในรหัสผ่าน

แฮกเกอร์จะถอดรหัส @ u8vRj & R3 * 4 ชม. ก่อนที่พวกเขาจะแตก StatelyPlumpBuckMulligan หรือ ItWasTheBestOfTimes

Hashing มันออกมา

แนวคิดที่อยู่เบื้องหลังการแฮชคือเว็บไซต์ที่ปลอดภัยจะไม่เก็บรหัสผ่านของผู้ใช้ แต่จะเก็บผลลัพธ์ของการเรียกใช้รหัสผ่านผ่านอัลกอริทึมการแปลงแป้นพิมพ์ การแฮชคือการเข้ารหัสแบบทางเดียว อินพุตเดียวกันจะสร้างผลลัพธ์เดียวกันเสมอ แต่ไม่มีทางที่จะเปลี่ยนจากผลลัพธ์กลับไปเป็นรหัสผ่านเดิมได้ เมื่อคุณเข้าสู่ระบบซอฟต์แวร์ฝั่งเซิร์ฟเวอร์จะแฮชสิ่งที่คุณป้อน หากตรงกับแฮชที่บันทึกไว้คุณจะเข้า

ปัญหาด้วยวิธีนี้คือคนเลวก็สามารถเข้าถึงอัลกอริทึมการแฮช พวกเขาสามารถเรียกใช้ชุดอักขระทุกชุดสำหรับความยาวรหัสผ่านที่กำหนดผ่านอัลกอริทึมและจับคู่ผลลัพธ์กับรายการรหัสผ่านที่ถูกแฮชที่ถูกขโมย สำหรับแฮชแต่ละอันที่ตรงกันพวกเขาถอดรหัสหนึ่งรหัสผ่าน

จากการทดสอบการเจาะเครือข่ายหลายพันครั้งในปี 2556 และต้นปี 2557 นักวิจัย Trustwave ได้รวบรวมรหัสผ่านที่แฮชมากกว่า 600, 000 รหัส ใช้รหัสแฮชถอดรหัสบน GPU ที่มีประสิทธิภาพพวกเขาถอดรหัสรหัสผ่านครึ่งหนึ่งในไม่กี่นาที การทดสอบต่อเนื่องเป็นเวลาหนึ่งเดือนซึ่งในเวลานั้นพวกเขาแตกกว่า 90 เปอร์เซ็นต์ของตัวอย่าง

รหัสผ่าน - คุณทำผิด

ภูมิปัญญาสามัญถือได้ว่ารหัสผ่านที่มีตัวอักษรตัวพิมพ์ใหญ่ตัวอักษรตัวพิมพ์เล็กตัวเลขและเครื่องหมายวรรคตอนยากที่จะถอดรหัส ปรากฎว่าไม่จริงทั้งหมด ใช่มันเป็นเรื่องยากสำหรับผู้กระทำผิดที่จะ เดา รหัสผ่านเช่น N ^ a & $ 1nG แต่ตาม Trustwave ผู้โจมตีสามารถถอดรหัสรหัสผ่านได้ภายในเวลาไม่ถึงสี่วัน ในทางตรงกันข้ามการถอดรหัสรหัสผ่านที่มีความยาวเช่น GoodLuckGuessingThisPassword จะต้องใช้เวลาในการประมวลผลเกือบ 18 ปี

แผนกไอทีหลายแห่งต้องการรหัสผ่านอย่างน้อยแปดตัวอักษรประกอบด้วยตัวอักษรตัวพิมพ์ใหญ่ตัวอักษรตัวพิมพ์เล็กและตัวเลข รายงานชี้ให้เห็นว่าน่าเศร้าที่ "รหัสผ่าน 1" ตรงตามข้อกำหนดเหล่านี้ ไม่ใช่บังเอิญรหัสผ่าน 1 เป็นรหัสผ่านเดียวที่พบบ่อยที่สุดในการรวบรวมภายใต้การศึกษา

นักวิจัยของ TrustWave ยังพบว่าผู้ใช้จะทำสิ่งที่ต้องการโดยไม่ต้องทำอีกต่อไป การทำลายการเก็บรหัสผ่านของพวกเขาตามความยาวพวกเขาพบว่าเกือบครึ่งหนึ่งมีอักขระทั้งหมดแปดตัว

ทำให้มันยาว

เราเคยพูดเรื่องนี้มาก่อน แต่มันซ้ำรอย รหัสผ่านของคุณยิ่งยาวขึ้น (หรือวลีรหัสผ่าน) ยิ่งยากสำหรับแฮกเกอร์ในการถอดรหัส พิมพ์คำพูดหรือประโยคที่คุณโปรดปรานเว้นวรรคและคุณมีข้อความรหัสผ่านที่ดี

ใช่มีการโจมตีแบบแคร็ก แทนที่จะแฮชอักขระทุกตัวผสมกันการโจมตีพจนานุกรมจะแฮชคำศัพท์ที่รู้จักกันทำให้ขอบเขตของการค้นหาแคบลงอย่างมาก แต่ด้วยรหัสผ่านที่ยาวพอสมควรการแตกร้าวด้วยเดรัจฉานก็ยังคงใช้เวลานานหลายศตวรรษ

รายงานฉบับเต็มแบ่งส่วนและ dices ข้อมูลในหลากหลายวิธี ตัวอย่างเช่นรหัสผ่านที่ถอดรหัสมากกว่า 100, 000 รายการประกอบด้วยตัวอักษรตัวเล็กหกตัวและตัวเลขสองหลักเช่น monkey12 หากคุณจัดการนโยบายรหัสผ่านหรือหากคุณสนใจที่จะสร้างรหัสผ่านที่ดีกว่าสำหรับตัวคุณเองมันก็คุ้มค่าที่จะอ่าน