Jinsi ya kuunda na kukumbuka nenosiri kali

2024 Mwandishi: Malcolm Clapton | [email protected]. Mwisho uliobadilishwa: 2023-12-17 04:11

Njia bora za kuunda nenosiri ambalo hakuna mtu anayeweza kupasuka.

Washambuliaji wengi hawajisumbui na mbinu za kisasa za wizi wa nenosiri. Wanachukua mchanganyiko rahisi kukisia. Takriban 1% ya manenosiri yote yaliyopo sasa yanaweza kuwa ya kikatili kwa kujaribu mara nne.

Je, hili linawezekanaje? Rahisi sana. Unajaribu michanganyiko minne inayojulikana zaidi ulimwenguni: nenosiri, 123456, 12345678, qwerty. Baada ya kifungu hicho, kwa wastani, 1% ya "vifua" vyote vinafunguliwa.

Wacha tuseme wewe ni kati ya wale 99% ya watumiaji ambao nywila zao sio rahisi sana. Hata hivyo, utendaji wa programu ya kisasa ya hacking lazima izingatiwe.

Programu ya bure, inayopatikana kwa urahisi ya John the Ripper inathibitisha mamilioni ya nywila kwa sekunde. Baadhi ya mifano ya programu maalum za kibiashara inadai uwezo wa nywila bilioni 2.8 kwa sekunde.

Hapo awali, programu za kupasuka hupitia orodha ya mchanganyiko wa kawaida wa kitakwimu, na kisha kurejelea kamusi kamili. Baada ya muda, mitindo ya nenosiri ya watumiaji inaweza kubadilika kidogo, na mabadiliko haya yanazingatiwa wakati orodha kama hizo zinasasishwa.

Baada ya muda, kila aina ya huduma za wavuti na programu ziliamua kulazimisha manenosiri yaliyoundwa na watumiaji. Mahitaji yameongezwa, kulingana na ambayo nenosiri lazima iwe na urefu fulani wa chini, iwe na nambari, kesi ya juu na wahusika maalum. Baadhi ya huduma zilichukua hili kwa uzito sana hivi kwamba inachukua kazi ndefu na ya kuchosha kupata nenosiri ambalo mfumo ungekubali.

Shida kuu ni kwamba karibu mtumiaji yeyote hatoi nenosiri la nguvu ya kikatili, lakini anajaribu kukidhi mahitaji ya mfumo kwa utunzi wa nenosiri kwa kiwango cha chini.

Matokeo yake ni manenosiri kama password1, password123, Password, PaSsWoRd, password! na upanga usiotabirika sana wa p @.

Fikiria unahitaji kutengeneza tena nenosiri lako la spiderman. Uwezekano mkubwa zaidi itaonekana kama $ pider_Man1. Asili? Maelfu ya watu wataibadilisha kwa kutumia kanuni sawa au sawa sana.

Ikiwa cracker anajua mahitaji haya ya chini, basi hali inazidi kuwa mbaya zaidi. Ni kwa sababu hii kwamba mahitaji yaliyowekwa ya kuongeza utata wa nywila sio daima kutoa usalama bora, na mara nyingi hujenga hisia ya uongo ya kuongezeka kwa usalama.

Jinsi nenosiri linavyokuwa rahisi kukumbuka, ndivyo kuna uwezekano mkubwa wa kuishia kwenye kamusi za kupotosha. Kama matokeo, zinageuka kuwa nywila yenye nguvu sana haiwezekani kukumbuka, ambayo inamaanisha kwamba inahitaji kurekebishwa mahali fulani.

Kulingana na wataalamu, hata katika zama hizi za kidijitali, watu bado wanaweza kutegemea kipande cha karatasi kilicho na manenosiri yaliyoandikwa juu yake. Ni rahisi kuweka karatasi kama hiyo mahali pa siri kutoka kwa macho ya kupendeza, kwa mfano, kwenye mkoba au mkoba.

Hata hivyo, karatasi ya nenosiri haisuluhishi tatizo. Nywila ndefu ni ngumu sio kukumbuka tu, bali pia kuingia. Hali hiyo inazidishwa na kibodi pepe za vifaa vya rununu.

Kuingiliana na huduma na tovuti nyingi, watumiaji wengi huacha mfuatano wa nywila zinazofanana. Wanajaribu kutumia nenosiri sawa kwa kila tovuti, wakipuuza kabisa hatari.

Katika kesi hii, tovuti zingine hufanya kama nanny, na kulazimisha mchanganyiko kuwa ngumu. Kama matokeo, mtumiaji hawezi kukumbuka jinsi alilazimika kurekebisha nenosiri lake la kawaida la tovuti hii.

Kiwango cha tatizo kilifikiwa kikamilifu mwaka 2009. Kisha, kutokana na shimo la usalama, mdukuzi aliweza kuiba hifadhidata ya kumbukumbu na nywila za RockYou.com, kampuni inayochapisha michezo kwenye Facebook. Mshambulizi aliifanya hifadhidata ipatikane hadharani. Kwa jumla, ilikuwa na maingizo milioni 32.5 yenye majina ya watumiaji na nywila kwa akaunti. Uvujaji umetokea hapo awali, lakini ukubwa wa tukio hili ulionyesha picha nzima.

Nenosiri maarufu zaidi kwenye RockYou.com lilikuwa 123456, ambalo lilitumiwa na karibu watu 291,000. Wanaume walio na umri wa chini ya miaka 30 mara nyingi walipendelea mada za ngono na uchafu. Wazee wa jinsia zote mara nyingi waligeukia eneo fulani la kitamaduni wakati wa kuchagua nywila. Kwa mfano, Epsilon793 haionekani kuwa chaguo mbaya sana, ni mchanganyiko huu tu ulikuwa kwenye Star Trek. 8675309 yenye tarakimu saba ilionekana mara nyingi kwa sababu nambari hii ilionekana katika mojawapo ya nyimbo za Tommy Tutone.

Kwa kweli, kuunda nenosiri kali ni kazi rahisi, ni ya kutosha kutunga mchanganyiko wa wahusika wa random.

Huwezi kuunda mchanganyiko wa nasibu kikamilifu katika maneno ya hisabati katika kichwa chako, lakini hauhitajiki. Kuna huduma maalum zinazozalisha mchanganyiko wa nasibu. Kwa mfano, inaweza kuunda manenosiri kama haya:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Hii ni suluhisho rahisi na la kifahari, hasa kwa wale wanaotumia meneja kuhifadhi nywila.

Kwa bahati mbaya, watumiaji wengi wanaendelea kutumia nywila rahisi, dhaifu, hata kupuuza sheria ya "nenosiri tofauti kwa kila tovuti". Kwao, urahisi ni muhimu zaidi kuliko usalama.

Hali ambazo usalama wa nenosiri unaweza kuathiriwa zinaweza kugawanywa katika kategoria 3 pana:

• Nasibu, ambayo mtu unayemjua anajaribu kujua nenosiri, akitegemea habari anazojua kukuhusu. Mara nyingi, cracker vile anataka tu kucheza hila, kujua kitu kuhusu wewe, au kufanya fujo.
• Mashambulizi makubwawakati mtumiaji yeyote wa huduma fulani anaweza kuwa mwathirika. Katika kesi hii, programu maalum hutumiwa. Kwa shambulio hilo, tovuti zisizo salama zaidi huchaguliwa, ambayo inakuwezesha kuingia mara kwa mara chaguzi za nenosiri kwa muda mfupi.
• Yenye kusudizinazochanganya upokeaji wa vidokezo (kama ilivyo katika kesi ya kwanza) na matumizi ya programu maalum (kama katika shambulio la watu wengi). Hii ni juu ya kujaribu kupata habari muhimu sana. Nenosiri la muda mrefu tu la nasibu litasaidia kujilinda, uteuzi ambao utachukua muda kulinganishwa na muda wa maisha yako.

Kama unaweza kuona, mtu yeyote anaweza kuwa mwathirika. Kauli kama vile "nenosiri langu halitaibiwa, kwa sababu hakuna mtu anayenihitaji" sio muhimu, kwa sababu unaweza kupata hali kama hiyo kwa bahati mbaya, kwa bahati mbaya, bila sababu dhahiri.

Ni mbaya zaidi kuchukua ulinzi wa nenosiri kwa wale ambao wana habari muhimu, wanahusishwa na biashara au wana mgogoro na mtu kwa misingi ya kifedha (kwa mfano, mgawanyiko wa mali katika mchakato wa talaka, ushindani katika biashara).

Mnamo 2009, Twitter (katika ufahamu wa huduma nzima) ilidukuliwa kwa sababu tu msimamizi alitumia neno furaha kama nenosiri. Mdukuzi huyo aliichukua na kuiweka kwenye tovuti ya Digital Gangster, ambayo ilisababisha kutekwa nyara kwa akaunti za Obama, Britney Spears, Facebook na Fox News.

Vifupisho

Kama ilivyo katika nyanja nyingine yoyote ya maisha, daima tunapaswa kupata maelewano kati ya usalama wa juu na urahisi wa juu. Jinsi ya kupata msingi wa kati? Je! ni mkakati gani wa kutengeneza nywila utakuwezesha kuunda michanganyiko yenye nguvu ambayo inaweza kukumbukwa kwa urahisi?

Kwa sasa, mchanganyiko bora wa kuegemea na urahisi ni kubadilisha kifungu au kifungu kuwa nywila.

Seti ya maneno ambayo unakumbuka kila wakati huchaguliwa, na mchanganyiko wa herufi za kwanza kutoka kwa kila neno hutumika kama nywila. Kwa mfano, Nguvu iwe na wewe inageuka kuwa Mtfbwy.

Walakini, kwa kuwa zile maarufu zaidi zitatumika kama misemo ya awali, programu hatimaye zitapokea vifupisho hivi katika orodha zao. Kwa kweli, kifupi kina herufi pekee, na kwa hivyo hakitegemewi sana kuliko mchanganyiko wa nasibu wa wahusika.

Kuchagua maneno sahihi itakusaidia kuondokana na tatizo la kwanza. Kwa nini ugeuze usemi maarufu duniani kuwa nenosiri la kifupi? Labda unakumbuka utani na maneno ambayo yanafaa tu kati ya mduara wako wa karibu. Hebu tuseme umesikia maneno ya kuvutia sana kutoka kwa mhudumu wa baa katika kituo cha ndani. Itumie.

Bado, nenosiri la kifupi ulilotengeneza haliwezekani kuwa la kipekee. Tatizo la vifupisho ni kwamba vishazi tofauti vinaweza kujumuisha maneno yanayoanza na herufi sawa na kwa mfuatano sawa. Kitakwimu, katika lugha mbalimbali, kuna ongezeko la marudio ya kuonekana kwa herufi fulani kama mwanzo wa neno. Programu zitazingatia mambo haya, na ufanisi wa vifupisho katika toleo la awali utapunguzwa.

Njia ya kurudi nyuma

Njia ya nje inaweza kuwa njia tofauti ya kizazi. Unaunda nenosiri nasibu kabisa kwa random.org, na kisha kugeuza herufi zake kuwa maneno yenye maana ya kukumbukwa.

Mara nyingi, huduma na tovuti huwapa watumiaji nywila za muda, ambazo ni mchanganyiko wa nasibu sawa. Utataka kuzibadilisha, kwa sababu hutaweza kukumbuka, lakini tu uangalie kwa karibu, na inakuwa dhahiri: huna haja ya kukumbuka nenosiri. Kwa mfano, hebu tuchukue chaguo jingine kutoka random.org - RPM8t4ka.

Ingawa inaonekana haina maana, ubongo wetu unaweza kupata mifumo fulani na mawasiliano hata katika machafuko kama haya. Kuanza, unaweza kugundua kuwa herufi tatu za kwanza ndani yake ni kubwa, na tatu zifuatazo ni herufi ndogo. 8 ni mara mbili (kwa Kiingereza mara mbili - t) 4. Angalia kidogo nenosiri hili, na hakika utapata vyama vyako na seti iliyopendekezwa ya barua na nambari.

Ikiwa unaweza kukariri seti zisizo na maana za maneno, basi tumia hiyo. Acha nenosiri ligeuke kuwa mapinduzi kwa dakika 8 fuatilia 4 katty. Uongofu wowote ambao ubongo wako ni bora utafanya.

Nenosiri la nasibu ni kiwango cha dhahabu katika usalama wa habari. Kwa ufafanuzi, ni bora kuliko nywila yoyote iliyoundwa na mwanadamu.

Ubaya wa vifupisho ni kwamba baada ya muda, kuenea kwa mbinu kama hiyo kutapunguza ufanisi wake, na njia ya kurudi nyuma itabaki kuwa ya kuaminika, hata ikiwa watu wote duniani wataitumia kwa miaka elfu.

Nenosiri nasibu halitajumuishwa kwenye orodha ya michanganyiko maarufu, na mshambuliaji anayetumia mbinu ya kushambulia watu wengi atalazimisha tu nenosiri kama hilo kwa ukatili.

Hebu tuchukue nenosiri rahisi la nasibu ambalo linazingatia herufi kubwa na nambari - hiyo ni herufi 62 zinazowezekana kwa kila nafasi. Ikiwa tunafanya nenosiri tarakimu 8 tu, basi tunapata chaguo 62 ^ 8 = trilioni 218.

Hata kama idadi ya majaribio ndani ya muda fulani sio mdogo, programu maalum zaidi ya kibiashara yenye uwezo wa nenosiri bilioni 2.8 kwa sekunde itatumia wastani wa saa 22 kujaribu kupata mchanganyiko unaofaa. Ili kuwa na uhakika, tunaongeza herufi 1 pekee kwa nenosiri kama hilo - na itachukua miaka mingi kulivunja.

Nenosiri la nasibu haliwezi kuathiriwa, kwani linaweza kuibiwa. Chaguo ni nyingi, kuanzia kusoma kibodi hadi kuwa na kamera begani mwako.

Mdukuzi anaweza kugonga huduma yenyewe na kupata data moja kwa moja kutoka kwa seva zake. Katika hali hii, hakuna kitu kinategemea mtumiaji.

Msingi mmoja wa kuaminika

Kwa hivyo, tulifika kwenye jambo kuu. Je, ni mbinu gani za siri za kutumia katika maisha halisi? Kutoka kwa mtazamo wa usawa wa kuaminika na urahisi, "falsafa ya nenosiri moja kali" itajionyesha vizuri.

Kanuni ni kwamba unatumia msingi sawa - nenosiri lenye nguvu zaidi (tofauti zake) kwenye huduma na tovuti ambazo ni muhimu zaidi kwako.

Kumbuka mchanganyiko mmoja mrefu na mgumu kwa kila mtu.

Nick Berry, mshauri wa usalama wa habari, anaruhusu kanuni hii kutumika, mradi nenosiri limelindwa vizuri sana.

Uwepo wa programu hasidi kwenye kompyuta ambayo unaingiza nenosiri hairuhusiwi. Hairuhusiwi kutumia nenosiri lile lile kwa tovuti zisizo muhimu na za kuburudisha - manenosiri rahisi zaidi yanawatosha, kwani kudukua akaunti hapa hakutakuwa na matokeo yoyote mabaya.

Ni wazi kwamba msingi wa kuaminika unahitaji kubadilishwa kwa namna fulani kwa kila tovuti. Kama chaguo rahisi, unaweza kuongeza herufi moja mwanzoni, ambayo inamaliza jina la tovuti au huduma. Tukirejea nenosiri hilo nasibu la RPM8t4ka, litageuka kuwa kRPM8t4ka kwa uidhinishaji wa Facebook.

Mshambulizi, akiona nenosiri kama hilo, hataweza kuelewa jinsi nenosiri la akaunti yako ya benki linatolewa. Matatizo yataanza ikiwa mtu atapata ufikiaji wa manenosiri yako mawili au zaidi yaliyotolewa kwa njia hii.

swali la siri

Baadhi ya watekaji nyara hupuuza manenosiri kabisa. Wanatenda kwa niaba ya mmiliki wa akaunti na kuiga hali wakati umesahau nenosiri lako na wanataka kuirejesha kwa swali la siri. Katika hali hii, anaweza kubadilisha nenosiri apendavyo, na mmiliki wa kweli atapoteza ufikiaji wa akaunti yake.

Mnamo 2008, mtu alipata ufikiaji wa barua pepe ya Sarah Palin, gavana wa Alaska, na wakati huo pia mgombea urais. Mwizi alijibu swali la siri, ambalo lilisikika hivi: "Ulikutana wapi na mume wako?"

Baada ya miaka 4, Mitt Romney, ambaye pia alikuwa mgombea urais wa Marekani wakati huo, alipoteza akaunti zake kadhaa za huduma mbalimbali. Mtu alijibu swali la siri kuhusu jina la kipenzi cha Mitt Romney.

Tayari umekisia uhakika.

Huwezi kutumia data ya umma na inayokisiwa kwa urahisi kama swali na jibu la siri.

Swali sio kwamba habari hii inaweza kuvuliwa kwa uangalifu kwenye mtandao au kutoka kwa washirika wa karibu wa mtu huyo. Majibu ya maswali katika mtindo wa "jina la mnyama", "timu ya hockey ya favorite" na kadhalika huchaguliwa kikamilifu kutoka kwa kamusi zinazofanana za chaguo maarufu.

Kama chaguo la muda, unaweza kutumia mbinu ya upuuzi wa jibu. Ili kuiweka kwa urahisi, jibu haipaswi kuwa na uhusiano wowote na swali la siri. Jina la kuzaliwa la mama? Diphenhydramine. Jina la kipenzi? 1991.

Hata hivyo, mbinu hiyo, ikiwa imeenea sana, itazingatiwa katika programu zinazofanana. Majibu ya kipuuzi mara nyingi huwa yanafanana, yaani, misemo mingine itakutana mara nyingi zaidi kuliko zingine.

Kwa kweli, hakuna chochote kibaya kwa kutumia majibu halisi, unahitaji tu kuchagua swali kwa busara. Ikiwa swali sio la kawaida, na jibu lake linajulikana kwako tu na haliwezi kukisiwa baada ya majaribio matatu, basi kila kitu kiko katika mpangilio. Faida ya kuwa mkweli ni kwamba hutasahau baada ya muda.

PIN

Nambari ya Kitambulisho cha Kibinafsi (PIN) ni kufuli ya bei nafuu ambayo pesa zetu hukabidhiwa. Hakuna mtu anayejisumbua kuunda mchanganyiko wa kuaminika zaidi wa angalau nambari hizi nne.

Sasa acha. Sasa hivi. Hivi sasa, bila kusoma aya inayofuata, jaribu kukisia PIN maarufu zaidi. Tayari?

Nick Berry anakadiria kuwa 11% ya wakazi wa Marekani wanatumia 1234 kama PIN yao (ambapo wanaweza kuibadilisha wenyewe).

Wadukuzi hawazingatii misimbo ya PIN kwa sababu msimbo hauna maana bila uwepo wa kadi halisi (hii inaweza kuhalalisha urefu mdogo wa msimbo).

Berry alichukua orodha za nywila zenye tarakimu nne ambazo zilionekana baada ya kuvuja kwenye mtandao. Mtu anayetumia nenosiri la 1967 huenda alilichagua kwa sababu fulani. PIN ya pili maarufu ni 1111, na 6% ya watu wanapendelea msimbo huu. Katika nafasi ya tatu ni 0000 (2%).

Tuseme kwamba mtu anayejua habari hii ana kadi ya benki mikononi mwake. Majaribio matatu ya kuzuia kadi. Hesabu rahisi huonyesha kuwa mtu huyu ana nafasi ya 19% ya kubahatisha PIN yake ikiwa ataweka 1234, 1111, na 0000 kwa mfuatano.

Labda kwa sababu hii, benki nyingi hupeana nambari za siri kwa kadi za plastiki zilizotolewa zenyewe.

Hata hivyo, watu wengi hulinda simu mahiri na msimbo wa PIN, na hapa ukadiriaji wa umaarufu ufuatao unatumika: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 5658, 3358, 3358, 3358, 3358, 3568, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3358, 3568, 358, 358., 4321, 2001, 1010.

Mara nyingi, PIN inawakilisha mwaka (mwaka wa kuzaliwa au tarehe ya kihistoria).

Watu wengi wanapenda kutengeneza PIN kwa namna ya kurudia jozi za nambari (zaidi ya hayo, jozi ambapo nambari za kwanza na za pili hutofautiana kwa moja ni maarufu sana).

Vibodi vya nambari za vifaa vya rununu huonyesha michanganyiko kama 2580 juu - ili kuiandika, inatosha kutengeneza kifungu cha moja kwa moja kutoka juu hadi chini katikati.

Huko Korea, nambari 1004 inalingana na neno "malaika", ambayo inafanya mchanganyiko huu kuwa maarufu sana huko.

Matokeo

1. Nenda kwa random.org na uunde nenosiri la mgombea 5-10 hapo.
2. Chagua nenosiri ambalo unaweza kugeuza kuwa maneno ya kukumbukwa.
3. Tumia kifungu hiki kukumbuka nenosiri lako.