Het lijkt erop dat elke dag iemand naar een forum komt om te schrijven over hoe zijn accounts op de een of andere manier zijn gehackt en hij begrijpt niet waarom. Een van de redenen waarom mensen accounts zo vaak in gevaar brengen, is omdat ze niet precies begrijpen hoe het gebeurt. Zodra het proces om iemands wachtwoord te bemachtigen duidelijk wordt (het is eenvoudig, trouwens), dan kunnen we begrijpen hoe we onze wachtwoorden kunnen aanpassen om te voorkomen dat hackers onze accounts kunnen betreden. Een van de voorstellen die beveiligingsexperts onlangs hebben gedaan, was om korte zinnen als wachtwoorden te gebruiken, in plaats van een continue reeks tekens (zoals 'blablabla') te gebruiken. We zullen dit bekijken en waarom het misschien wel of niet veiliger is.

Wachtwoorddiefstal begrijpen

Hier bij MTE heb ik al de manieren besproken waarop hackers uw wachtwoorden kunnen achterhalen. Die lijst bestaat echter voornamelijk uit methoden die worden gebruikt om te snuffelen en om gemakkelijk uw referenties te achterhalen . Op dit moment wil ik met u de methoden bespreken die hackers gebruiken om uw account van buitenaf open te breken in plaats van te infiltreren in uw pakketverkeer. Deze methoden zijn een beetje eenvoudiger, maar meer tijdrovend. Laten we eens kijken:

  • Brute-Force-aanvallen: de methode om deze waanzin aan te pakken, bestaat uit het doorlopen van een massa permutaties van strings van meerdere karakters. Dus een hacker met een brute-force-tool zal gewoon duizenden permutaties proberen, in de hoop de goede na een tijdje te raken. De tool zal willekeurig combinaties van tekens raden (zoals "jif2 $ F"). Aangezien wachtwoorden meestal meer dan zes letters lang zijn, duurt deze methode een tijdje! Een vastberaden hacker heeft echter wel de hele dag de moeite om het wachtwoord te raden, alleen maar om toegang te krijgen tot uw account.
  • Common Word Attacks: de hacker gebruikt gewone, alledaagse woorden (zoals "strawberry" of "whisky") uit een lijst, laadt ze op een speciale tool en probeert ze allemaal uit. Het kost maar een paar minuten (vaak, zelfs enkele seconden) om een ​​account te kraken met een gewoon woord als wachtwoord.
  • Woordenboekaanvallen: zoals de naam doet vermoeden, zwipt de hacker een kopie van de Oxford Dictionary uit en probeert elk woord. Met behulp van een geautomatiseerd hulpmiddel duurt dit iets langer dan een gebruikelijke woordaanval, maar het zal een groot aantal accounts kapot maken.

Beveiligingsexperts zijn al lang tot de conclusie gekomen dat het veiligste wachtwoord een combinatie is van een combinatie van alfanumerieke tekens (inclusief hoofdletters) en speciale tekens (zoals "$ @ (% #"). Dit is vandaag niet ver van de waarheid. zoals "ff9jF # D" is veel veiliger dan "caramel". Het nadeel is dat het heel moeilijk is om willekeurige karakters te onthouden. Onze hersenen zijn gewoon niet zo bedraad.

En, terwijl we nog steeds bezig zijn met dit onderwerp, wil ik je een geheim vertellen: als een expert je vertelt dat een wachtwoord met een karakterreeks een paar jaar nodig heeft om te kraken, heeft hij waarschijnlijk het over brute dwingen met een CPU. Hackers doen dat niet meer. In plaats daarvan gebruiken ze dingen als nVidia's CUDA-technologie, waarmee ze de enorm snellere GPU van een grafische kaart kunnen aanboren, waardoor ze binnen een paar uur kunnen doen wat een computer in een week doet door een hoop hardware aan elkaar te ketenen ( via een SLI-brug).

Zijn zinnen nog beter?

De spatie ("") is een legaal teken in de meeste wachtwoordvormen. Dit betekent dat je woorden van elkaar kunt scheiden. Alleen al het hebben van een zin als wachtwoord kan een nachtmerrie voor hackers opleveren, volgens een aantal beveiligingsexperts, waaronder Thomas Baekdal. Het voordeel van het gebruik van een zin is dat het veel gemakkelijker te onthouden is dan 8fa @! * FaicC en het is ook veiliger wanneer het op de juiste manier wordt gebruikt.

In 2007 schreef Baekdal dat "dit is leuk" tien keer veiliger is dan "J4fS <2." Ik weet niet zeker wat zijn mening hierover op dit moment is, maar ik denk niet dat het gebruik van iets simpels zoals " dit is plezier "is zo veilig dat het volgens zijn geschreven stuk 2, 537 jaar kost om het te kraken.

Laten we stellen dat een hacker een lijst gebruikt van de duizend meest voorkomende woorden in de Engelse taal om 'dit is leuk' te kraken. Aangezien het wachtwoord drie verschillende woorden gebruikt, zouden we te maken hebben met 1.000 * 1.000 * 1.000 mogelijke permutaties. Dat geeft ons een miljard permutaties om te fietsen. Het klinkt als veel, maar voor een computer is dit heel eenvoudig.

Ik zeg niet dat Thomas Baekdal ongelijk heeft. Ik zeg gewoon dat je enkele richtlijnen moet volgen bij het maken van je keuze. Ik zal je een paar ideeën laten zien die ik heb bedacht terwijl ik een paar dagen aan dit probleem dacht:

  • Gebruik niet-spatie scheidingstekens, zoals het streepje ("-"). Als je wat meer durft, probeer dan iets heel moeilijks uit, zoals het handelsmerksymbool ("™", Alt + 0153).
  • Gebruik niet-conversationele ongewone woorden, zoals ' quantumtheorie is een essentiële ontwikkeling. "U kunt ook een zin in een andere taal maken, zoals het Latijn (" repetitio est mater studiorum "). Dit is vooral handig als Engels niet je eerste taal is. De meeste hackers zullen met Engelse woorden zoeken naar wachtwoorden, maar slechts weinigen denken bijvoorbeeld aan Roemeens of Tsjechisch.
  • Maak zinnen van willekeurige woorden. Een voorbeeld zou zijn " paraphernalia photon cephalopod ."

Het volgen van deze regels kan resulteren in een wachtwoord dat in eerste instantie moeilijk te onthouden is. Maar u moet het Latijnse spreekwoord dat ik gebruikte beschouwen als een voorbeeld van een niet-Engels wachtwoord. De vertaling: herhaling is de moeder van studie. Als je je wachtwoord blijft gebruiken, zul je het in een handomdraai onthouden. Onthouden " faji2o # ($ FCCineF) 9f (# ", denk ik, is veel moeilijker dan het onthouden van " paraphernalia photon cephalopod " of wat deze woorden ook in uw moedertaal kunnen zijn.

Vergeet niet dat hoe langer je de zin maakt, hoe veiliger het wordt! Het gebruik van een kortere zin kan u nog steeds een hoog niveau van beveiliging bieden, zolang u maar iets gebruikt dat in een gemeenschappelijke woordenlijst kan worden gevangen. Woordenboekaanvallen op uw wachtwoord zijn nog steeds mogelijk, maar zullen waarschijnlijk geen resultaten opleveren vanwege de enorme hoeveelheid tijd die het zou kosten om uw wachtwoord open te kraken.

Beperking

De enige beperking voor de bovenstaande methode is dat sommige sites geen wachtwoorden van meer dan 20 tekens toestaan. Enkelen staan ​​ook geen spaties of andere speciale tekens toe in wachtwoorden, hoewel dit steeds zeldzamer wordt. Ik ben zelfs een platform voor online bankieren tegengekomen dat maximaal 14 alfanumerieke tekens toestaat. Op deze sites werken zinswachtwoorden helemaal niet.

Het is tijd voor jou om te spreken!

Ik heb nu veel besproken. Een deel ervan is een beetje in strijd met de conventionele kennis over wachtwoorden, dus het is normaal dat je meningen, vragen en gedachten hebt over de kwestie. Het is tijd voor jou om je open te stellen. Ga met mij en collega-lezers in een gesprek om alles te verduidelijken door hieronder een reactie achter te laten!