הפוך את הסיסמאות לחזקות וארוכות

כמעט ולא עובר שבוע בלי חדשות על הפרת נתונים שחושפת מיליוני או מיליארדי סיסמאות. ברוב המקרים, מה שנחשף בפועל הוא גרסת הסיסמה המופעלת באמצעות אלגוריתם hashing, ולא הסיסמה עצמה. הדו"ח האחרון של Trustwave מראה כי חשיפה אינה עוזרת כאשר משתמשים מייצרים סיסמאות מטופשות, והאורך הזה חשוב יותר ממורכבות הסיסמאות.

האקרים יפצחו @ u8vRj & R3 * 4h לפני שהם יפצחו את StatelyPlumpBuckMulligan או ItWasTheBestOfTimes.

-

הרעיון שעומד מאחורי החשיפה הוא שהאתר המאובטח לעולם לא אוגר את סיסמת המשתמש. במקום זאת, היא מאחסנת את התוצאה של הפעלת הסיסמה באמצעות אלגוריתם hashing. Hashing הוא סוג של הצפנה חד כיוונית. אותה קלט מייצרת תמיד את אותה התוצאה, אך אין דרך לעבור מהתוצאה חזרה לסיסמה המקורית. כשאתה מתחבר, התוכנה בצד השרת ממהרת את מה שהזנת. אם זה תואם את ה- Hash שנשמר, אתה נמצא בתוך.

הבעיה בגישה זו היא שלבחורים הרעים יש גישה גם לאלגוריתמים עם חשיש. הם יכולים להריץ כל שילוב של תווים לאורך אורך סיסמה דרך האלגוריתם ולהתאים את התוצאות לרשימה של סיסמאות גנובות. עבור כל חשיש שמתאים, הם פענחו סיסמא אחת.

במהלך אלפי בדיקות חדירת רשתות בשנת 2013 ובתחילת 2014, חוקרים של Trustwave אספו מעל 600, 000 סיסמאות חיפזניות. כשהם מפעילים קוד לפיצוח חשיש ב- GPUs עוצמתיים, הם פיצחו למעלה ממחצית הסיסמאות בתוך דקות. הבדיקה נמשכה חודש, ובאותה עת הם פיצחו מעל 90 אחוז מהדגימות.

סיסמאות - אתה עושה את זה לא נכון

חכמה נפוצה גורסת כי קשה לפצח סיסמה המכילה אותיות גדולות, אותיות קטנות, ספרות וניקוד. מסתבר שזה לא לגמרי נכון. כן, זה יהיה קשה למטעה לנחש סיסמה כמו N ^ a & $ 1nG, אבל לפי Trustwave, התוקף יכול לפצח את הסיסמה הזו בפחות מארבעה ימים. לעומת זאת, פיצוח סיסמה ממושכת כמו GoodLuckGuessingThisPassword ידרוש כמעט 18 שנות עיבוד.

מחלקות IT רבות דורשות סיסמאות של לפחות שמונה תווים, הכוללות אותיות גדולות, אותיות קטנות וספרות. הדו"ח מציין כי למרבה הצער, "סיסמה 1" עומדת בדרישות אלה. לא במקרה, Password1 היה הסיסמא היחידה הנפוצה ביותר באוסף שנחקר.

החוקרים של TrustWave מצאו כי המשתמשים יעשו בדיוק את מה שהם נדרשים לעשות, לא יותר. על פי פירוט אוסף הסיסמאות שלהם לאורך הם גילו שכמעט מחציתם היו בדיוק שמונה תווים.

עשה אותם ארוכים

אמרנו את זה בעבר, אבל זה חוזר. ככל שסיסמתך (או ביטוי סיסמה) ארוכה יותר, כך קשה יותר להאקרים לפצח אותה. הקלד ציטוט או משפט מועדפים, השמטת רווחים ויש לך משפט סיסמה הגון.

כן, ישנם סוגים אחרים של התקפות פיצוח. במקום לחשוף כל שילוב תווים בודד, מתקפת מילון מכילה שילובים של מילים ידועות, מה שמצמצם את היקף החיפוש באופן משמעותי. אבל עם סיסמא ארוכה מספיק, פיצוח הכוח הזרוע עדיין ייקח מאות שנים.

הדוח המלא פורס את הנתונים בקוביות וגורם בדרכים שונות ומגוונות. לדוגמה, למעלה מ- 100, 000 מהסיסמאות הסדוקות כללו שש אותיות קטנות ושתי ספרות, כמו קוף 12. אם אתה מנהל מדיניות סיסמאות, או אם אתה סתם מעוניין להכין סיסמאות טובות יותר לעצמך, בהחלט כדאי לקרוא.