Cách tạo và ghi nhớ một mật khẩu mạnh

2024 Tác giả: Malcolm Clapton | [email protected]. Sửa đổi lần cuối: 2023-12-17 04:15

Những cách tốt nhất để tạo một mật khẩu mà không ai có thể bẻ khóa.

Hầu hết những kẻ tấn công không bận tâm đến các phương pháp đánh cắp mật khẩu tinh vi. Họ kết hợp dễ đoán. Khoảng 1% trong số tất cả các mật khẩu hiện có có thể bị tấn công bằng bốn lần thử.

Sao có thể như thế được? Rất đơn giản. Bạn hãy thử bốn kết hợp phổ biến nhất trên thế giới: mật khẩu, 123456, 12345678, qwerty. Sau một hành trình như vậy, trung bình, 1% của tất cả các "rương" được mở.

Giả sử bạn nằm trong số 99% người dùng có mật khẩu không đơn giản như vậy. Mặc dù vậy, hiệu suất của phần mềm hack hiện đại vẫn phải được tính đến.

Chương trình John the Ripper miễn phí, có sẵn miễn phí xác minh hàng triệu mật khẩu mỗi giây. Một số ví dụ về phần mềm thương mại chuyên dụng yêu cầu dung lượng 2,8 tỷ mật khẩu mỗi giây.

Ban đầu, các chương trình bẻ khóa chạy qua danh sách các kết hợp phổ biến nhất đã được thống kê, và sau đó tham khảo từ điển đầy đủ. Theo thời gian, xu hướng mật khẩu của người dùng có thể thay đổi một chút và những thay đổi này được tính vào khi các danh sách đó được cập nhật.

Theo thời gian, tất cả các loại dịch vụ web và ứng dụng đã quyết định làm phức tạp thêm mật khẩu do người dùng tạo. Các yêu cầu đã được thêm vào, theo đó mật khẩu phải có độ dài tối thiểu nhất định, chứa số, chữ hoa và các ký tự đặc biệt. Một số dịch vụ đã coi trọng vấn đề này đến mức cần một nhiệm vụ thực sự dài và tẻ nhạt để tìm ra một mật khẩu mà hệ thống sẽ chấp nhận.

Vấn đề quan trọng là hầu như bất kỳ người dùng nào đều không tạo ra một mật khẩu thực sự thô bạo mà chỉ cố gắng đáp ứng các yêu cầu của hệ thống về thành phần của mật khẩu ở mức tối thiểu.

Kết quả là các mật khẩu như password1, password123, Password, PaSsWoRd, password! và p @ ssword cực kỳ khó đoán.

Hãy tưởng tượng bạn cần làm lại mật khẩu người nhện của mình. Nhiều khả năng nó sẽ giống như $ pider_Man1. Nguyên bản? Hàng nghìn người sẽ thay đổi nó bằng cách sử dụng cùng một thuật toán hoặc rất giống nhau.

Nếu cracker biết những yêu cầu tối thiểu này, thì tình hình chỉ trở nên tồi tệ hơn. Chính vì lý do này mà không phải lúc nào yêu cầu tăng độ phức tạp của mật khẩu cũng mang lại sự bảo mật tốt nhất và thường tạo ra cảm giác sai lầm về việc tăng cường bảo mật.

Mật khẩu càng dễ nhớ thì càng có nhiều khả năng xuất hiện trong từ điển bẻ khóa. Kết quả là, một mật khẩu thực sự mạnh chỉ đơn giản là không thể nhớ được, có nghĩa là nó cần được sửa ở đâu đó.

Theo các chuyên gia, ngay cả trong thời đại kỹ thuật số này, mọi người vẫn có thể dựa vào một mảnh giấy có ghi mật khẩu trên đó. Sẽ rất tiện lợi khi giữ một tờ giấy như vậy ở nơi khuất khỏi những con mắt tò mò, chẳng hạn như trong ví hoặc ví.

Tuy nhiên, bảng mật khẩu không giải quyết được vấn đề. Mật khẩu dài không chỉ khó nhớ mà còn khó nhập. Tình hình càng trở nên trầm trọng hơn bởi bàn phím ảo của thiết bị di động.

Tương tác với hàng chục dịch vụ và trang web, nhiều người dùng để lại một chuỗi mật khẩu giống hệt nhau. Họ cố gắng sử dụng cùng một mật khẩu cho mọi trang web, hoàn toàn bỏ qua những rủi ro.

Trong trường hợp này, một số trang web hoạt động như một bảo mẫu, buộc sự kết hợp sẽ phức tạp. Do đó, người dùng chỉ đơn giản là không thể nhớ mình đã phải sửa đổi mật khẩu đơn tiêu chuẩn của mình như thế nào cho trang web này.

Quy mô của vấn đề đã được thực hiện đầy đủ vào năm 2009. Sau đó, do một lỗ hổng bảo mật, hacker đã đánh cắp cơ sở dữ liệu thông tin đăng nhập và mật khẩu của RockYou.com, công ty phát hành trò chơi trên Facebook. Kẻ tấn công đã công khai cơ sở dữ liệu. Tổng cộng, nó chứa 32,5 triệu mục nhập với tên người dùng và mật khẩu cho các tài khoản. Rò rỉ đã xảy ra trước đây, nhưng quy mô của sự kiện cụ thể này đã cho thấy toàn cảnh.

Mật khẩu phổ biến nhất trên RockYou.com là 123456, được gần 291.000 người sử dụng. Đàn ông dưới 30 tuổi thường thích các chủ đề tình dục và thô tục hơn. Những người lớn tuổi ở cả hai giới thường hướng đến một lĩnh vực văn hóa cụ thể khi chọn mật khẩu. Ví dụ, Epsilon793 có vẻ không phải là một lựa chọn tồi, chỉ có sự kết hợp này trong Star Trek. Bảy chữ số 8675309 xuất hiện nhiều lần vì con số này xuất hiện trong một trong những bài hát của Tommy Tutone.

Trên thực tế, việc tạo một mật khẩu mạnh là một nhiệm vụ đơn giản, chỉ cần soạn một tổ hợp các ký tự ngẫu nhiên là đủ.

Bạn không thể tạo ra một sự kết hợp hoàn toàn ngẫu nhiên trong các thuật ngữ toán học trong đầu, nhưng bạn không bắt buộc phải làm như vậy. Có những dịch vụ đặc biệt tạo ra các kết hợp ngẫu nhiên thực sự. Ví dụ: nó có thể tạo mật khẩu như sau:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Đây là một giải pháp đơn giản và thanh lịch, đặc biệt đối với những người sử dụng trình quản lý để lưu trữ mật khẩu.

Thật không may, hầu hết người dùng tiếp tục sử dụng mật khẩu đơn giản, yếu, thậm chí bỏ qua quy tắc "mật khẩu khác nhau cho mỗi trang web". Đối với họ, sự tiện lợi quan trọng hơn sự an toàn.

Các tình huống mà bảo mật mật khẩu có thể bị xâm phạm có thể được chia thành 3 loại lớn:

• Ngẫu nhiên, trong đó một người mà bạn biết đang cố gắng tìm ra mật khẩu, dựa vào thông tin anh ta biết về bạn. Thông thường, một kẻ phá đám như vậy chỉ muốn chơi một trò lừa, tìm hiểu điều gì đó về bạn hoặc gây rối.
• Tấn công hàng loạtkhi hoàn toàn bất kỳ người dùng của một số dịch vụ nhất định có thể trở thành nạn nhân. Trong trường hợp này, phần mềm chuyên dụng được sử dụng. Đối với cuộc tấn công, các trang web kém an toàn nhất sẽ được chọn, cho phép bạn nhập liên tục các tùy chọn mật khẩu trong một khoảng thời gian ngắn.
• Có mục đíchkết hợp việc nhận các gợi ý (như trong trường hợp đầu tiên) và sử dụng phần mềm chuyên dụng (như trong một cuộc tấn công hàng loạt). Đây là việc cố gắng nắm bắt những thông tin thực sự có giá trị. Chỉ một mật khẩu ngẫu nhiên đủ dài mới giúp bảo vệ chính bạn, việc lựa chọn mật khẩu đó sẽ mất thời gian tương đương với thời gian tồn tại của bạn.

Như bạn có thể thấy, hoàn toàn bất kỳ ai cũng có thể trở thành nạn nhân. Những tuyên bố như “mật khẩu của tôi sẽ không bị đánh cắp, vì không ai cần tôi” là không phù hợp, vì bạn có thể rơi vào tình huống tương tự một cách tình cờ, ngẫu nhiên, không rõ lý do.

Nghiêm trọng hơn nữa là áp dụng mật khẩu bảo vệ những người có thông tin có giá trị, có liên quan đến doanh nghiệp hoặc có mâu thuẫn với ai đó về lý do tài chính (ví dụ, phân chia tài sản trong quá trình ly hôn, cạnh tranh trong kinh doanh).

Năm 2009, Twitter (theo cách hiểu là toàn bộ dịch vụ) đã bị hack chỉ vì quản trị viên dùng từ hạnh phúc làm mật khẩu. Tin tặc đã nhặt nó và đăng nó trên trang web Digital Gangster, dẫn đến việc chiếm đoạt tài khoản của Obama, Britney Spears, Facebook và Fox News.

Các từ viết tắt

Như trong bất kỳ khía cạnh nào khác của cuộc sống, chúng ta luôn phải tìm ra sự dung hòa giữa sự an toàn tối đa và sự tiện lợi tối đa. Làm thế nào để tìm được một mặt bằng trung gian? Chiến lược nào để tạo mật khẩu sẽ cho phép bạn tạo ra các kết hợp mạnh mẽ có thể dễ dàng ghi nhớ?

Hiện tại, sự kết hợp tốt nhất giữa độ tin cậy và sự tiện lợi là chuyển một cụm từ hoặc cụm từ thành mật khẩu.

Một tập hợp các từ mà bạn luôn nhớ được chọn và tổ hợp các chữ cái đầu tiên của mỗi từ được sử dụng làm mật khẩu. Ví dụ, Cầu mong lực lượng ở bên bạn biến thành Mtfbwy.

Tuy nhiên, vì những từ nổi tiếng nhất sẽ được sử dụng làm cụm từ đầu tiên, các chương trình cuối cùng sẽ nhận những từ viết tắt này trong danh sách của chúng. Trên thực tế, từ viết tắt chỉ chứa các chữ cái, và do đó về mặt khách quan ít đáng tin cậy hơn so với sự kết hợp ngẫu nhiên của các ký tự.

Chọn đúng cụm từ sẽ giúp bạn thoát khỏi vấn đề đầu tiên. Tại sao lại biến một biểu thức nổi tiếng thế giới thành một mật khẩu viết tắt? Bạn có thể nhớ một số câu chuyện cười và câu nói chỉ liên quan đến những người thân thiết của bạn. Giả sử bạn đã nghe một cụm từ rất hấp dẫn từ một người pha chế tại một cơ sở địa phương. Sử dụng nó.

Tuy nhiên, mật khẩu viết tắt bạn đã tạo không chắc là duy nhất. Vấn đề với các từ viết tắt là các cụm từ khác nhau có thể được cấu tạo từ các từ bắt đầu bằng các chữ cái giống nhau và theo cùng một trình tự. Theo thống kê, trong các ngôn ngữ khác nhau, tần suất xuất hiện của một số chữ cái nhất định khi bắt đầu một từ ngày càng tăng. Các chương trình sẽ tính đến những yếu tố này và hiệu quả của các từ viết tắt trong phiên bản gốc sẽ bị giảm đi.

Ngược lại

Con đường thoát ra có thể là con đường ngược lại của thế hệ. Bạn tạo một mật khẩu hoàn toàn ngẫu nhiên tại random.org, sau đó biến các ký tự của nó thành một cụm từ dễ nhớ có ý nghĩa.

Thông thường, các dịch vụ và trang web cung cấp cho người dùng mật khẩu tạm thời, là những sự kết hợp hoàn toàn ngẫu nhiên giống nhau. Bạn sẽ muốn thay đổi chúng, bởi vì bạn sẽ không thể nhớ, nhưng chỉ cần xem xét kỹ hơn, bạn sẽ thấy rõ ràng: bạn không cần phải nhớ mật khẩu. Ví dụ: hãy lấy một tùy chọn khác từ random.org - RPM8t4ka.

Mặc dù nó có vẻ vô nghĩa, nhưng bộ não của chúng ta vẫn có thể tìm thấy một số mẫu và sự tương ứng nhất định ngay cả trong tình trạng hỗn loạn như vậy. Để bắt đầu, bạn có thể nhận thấy rằng ba chữ cái đầu tiên trong đó là chữ hoa và ba chữ cái tiếp theo là chữ thường. 8 là hai lần (trong tiếng Anh là hai lần - t) 4. Nhìn một chút vào mật khẩu này, và chắc chắn bạn sẽ tìm thấy các liên kết của riêng mình với bộ chữ cái và số được đề xuất.

Nếu bạn có thể ghi nhớ những bộ từ vô nghĩa, thì hãy sử dụng nó. Để mật khẩu chuyển thành số vòng quay mỗi phút 8 track 4 katty. Bất kỳ chuyển đổi nào mà bộ não của bạn tốt hơn sẽ thực hiện.

Mật khẩu ngẫu nhiên là tiêu chuẩn vàng trong bảo mật thông tin. Theo định nghĩa, nó tốt hơn bất kỳ mật khẩu nào do con người tạo ra.

Nhược điểm của các từ viết tắt là theo thời gian, sự phổ biến của kỹ thuật như vậy sẽ giảm hiệu quả của nó, và phương pháp đảo ngược sẽ vẫn đáng tin cậy, ngay cả khi tất cả mọi người trên trái đất sẽ sử dụng nó trong một nghìn năm.

Một mật khẩu ngẫu nhiên sẽ không được đưa vào danh sách các kết hợp phổ biến và kẻ tấn công sử dụng phương pháp tấn công hàng loạt sẽ chỉ cưỡng bức một mật khẩu như vậy.

Hãy lấy một mật khẩu ngẫu nhiên đơn giản có tính đến chữ hoa và số - đó là 62 ký tự khả thi cho mỗi vị trí. Nếu chúng ta đặt mật khẩu chỉ có 8 chữ số, thì chúng ta nhận được 62 ^ 8 = 218 nghìn tỷ tùy chọn.

Ngay cả khi số lần thử trong một khoảng thời gian nhất định không bị giới hạn, phần mềm chuyên dụng thương mại nhất với dung lượng 2,8 tỷ mật khẩu mỗi giây sẽ dành trung bình 22 giờ để tìm ra sự kết hợp phù hợp. Để chắc chắn, chúng tôi chỉ thêm 1 ký tự bổ sung vào mật khẩu như vậy - và sẽ mất nhiều năm để bẻ khóa mật khẩu đó.

Mật khẩu ngẫu nhiên không phải là bất khả xâm phạm, vì nó có thể bị đánh cắp. Các tùy chọn rất phong phú, từ đọc nhập liệu bằng bàn phím đến đặt máy ảnh trên vai.

Một hacker có thể tấn công chính dịch vụ và lấy dữ liệu trực tiếp từ các máy chủ của nó. Trong tình huống này, không có gì phụ thuộc vào người dùng.

Một nền tảng đáng tin cậy

Vì vậy, chúng ta vào việc chính. Các chiến thuật mật khẩu ngẫu nhiên để sử dụng trong cuộc sống thực là gì? Từ quan điểm của sự cân bằng giữa độ tin cậy và sự tiện lợi, "triết lý của một mật khẩu mạnh" sẽ thể hiện tốt bản thân nó.

Nguyên tắc là bạn sử dụng cùng một cơ sở - mật khẩu siêu mạnh (các biến thể của nó) trên các dịch vụ và trang web quan trọng nhất đối với bạn.

Hãy nhớ một sự kết hợp dài và khó khăn cho tất cả mọi người.

Nick Berry, một nhà tư vấn bảo mật thông tin, cho phép áp dụng nguyên tắc này, với điều kiện mật khẩu được bảo vệ rất tốt.

Không cho phép sự hiện diện của phần mềm độc hại trên máy tính mà bạn nhập mật khẩu. Không được phép sử dụng cùng một mật khẩu cho các trang web kém quan trọng và giải trí - mật khẩu đơn giản hơn là đủ cho chúng, vì việc hack tài khoản ở đây sẽ không dẫn đến bất kỳ hậu quả chết người nào.

Rõ ràng là cơ sở đáng tin cậy cần được thay đổi bằng cách nào đó cho mỗi trang web. Là một tùy chọn đơn giản, bạn có thể thêm một chữ cái vào đầu, kết thúc tên của trang web hoặc dịch vụ. Nếu chúng ta quay lại mật khẩu RPM8t4ka ngẫu nhiên đó, nó sẽ chuyển thành kRPM8t4ka để Facebook ủy quyền.

Kẻ tấn công khi nhìn thấy mật khẩu như vậy sẽ không thể hiểu cách tạo mật khẩu cho tài khoản ngân hàng của bạn. Vấn đề sẽ bắt đầu nếu ai đó có quyền truy cập vào hai hoặc nhiều mật khẩu của bạn được tạo theo cách này.

Câu hỏi bí mật

Một số kẻ tấn công bỏ qua mật khẩu hoàn toàn. Họ thay mặt chủ sở hữu tài khoản và mô phỏng một tình huống khi bạn quên mật khẩu và muốn khôi phục mật khẩu bằng một câu hỏi bí mật. Trong trường hợp này, anh ta có thể thay đổi mật khẩu theo ý muốn và chủ sở hữu thực sự sẽ mất quyền truy cập vào tài khoản của anh ta.

Năm 2008, một người nào đó đã truy cập được email của Sarah Palin, thống đốc Alaska, và lúc đó cũng là ứng cử viên tổng thống. Tên trộm đã trả lời câu hỏi bí mật, nghe như sau: "Bạn đã gặp chồng mình ở đâu?"

Sau 4 năm, Mitt Romney, người cũng là ứng cử viên tổng thống Hoa Kỳ vào thời điểm đó, đã mất một số tài khoản của mình trên các dịch vụ khác nhau. Ai đó đã trả lời một câu hỏi bí mật về tên của thú cưng của Mitt Romney.

Bạn đã đoán được điểm rồi.

Bạn không thể sử dụng dữ liệu công khai và dễ đoán làm câu hỏi và câu trả lời bí mật.

Câu hỏi thậm chí không phải là thông tin này có thể được tìm kiếm một cách cẩn thận trên Internet hoặc từ các cộng sự thân thiết của người đó. Câu trả lời cho các câu hỏi theo kiểu "tên động vật", "đội khúc côn cầu yêu thích", v.v. được lựa chọn hoàn hảo từ các từ điển tương ứng với các tùy chọn phổ biến.

Như một lựa chọn tạm thời, bạn có thể sử dụng chiến thuật đánh giá sự vô lý của câu trả lời. Nói một cách đơn giản, câu trả lời không nên liên quan gì đến câu hỏi bí mật. Tên thời con gái của mẹ? Diphenhydramine. Tên thú nuôi? Năm 1991.

Tuy nhiên, một kỹ thuật như vậy, nếu được phát hiện phổ biến, sẽ được tính đến trong các chương trình tương ứng. Các câu trả lời phi lý thường bị rập khuôn, tức là một số cụm từ sẽ được gặp thường xuyên hơn nhiều so với những cụm từ khác.

Trên thực tế, không có gì sai khi sử dụng các câu trả lời thực, bạn chỉ cần chọn câu hỏi một cách khôn ngoan. Nếu câu hỏi không chuẩn và câu trả lời cho nó chỉ có bạn biết và không thể đoán được sau ba lần thử, thì mọi thứ sẽ theo thứ tự. Ưu điểm của việc trung thực là bạn sẽ không quên nó theo thời gian.

GHIM

Mã số nhận dạng cá nhân (PIN) là một loại khóa rẻ tiền mà chúng tôi được ủy thác. Không ai bận tâm để tạo ra một sự kết hợp đáng tin cậy hơn của ít nhất bốn con số này.

Bây giờ dừng lại. Ngay lập tức. Ngay bây giờ, không cần đọc đoạn tiếp theo, hãy thử đoán mã PIN phổ biến nhất. Sẵn sàng?

Nick Berry ước tính rằng 11% dân số Hoa Kỳ sử dụng 1234 làm mã PIN (nơi họ có thể tự thay đổi).

Tin tặc không chú ý đến mã PIN bởi vì mã này vô dụng nếu không có sự hiện diện vật lý của thẻ (điều này có thể phần nào biện minh cho độ dài nhỏ của mã).

Berry lấy danh sách các mật khẩu 4 chữ số xuất hiện sau khi rò rỉ trên mạng. Người sử dụng mật khẩu năm 1967 có thể đã chọn nó vì một lý do. Mã PIN phổ biến thứ hai là 1111 và 6% người thích mã này. Ở vị trí thứ ba là 0000 (2%).

Giả sử rằng một người biết thông tin này có thẻ ngân hàng trong tay. Ba lần cố gắng chặn thẻ. Phép toán đơn giản cho thấy rằng người này có 19% cơ hội đoán được mã PIN của họ nếu họ nhập 1234, 1111 và 0000 theo thứ tự.

Có thể vì lý do này mà đại đa số các ngân hàng tự gán mã PIN cho thẻ nhựa đã phát hành.

Tuy nhiên, nhiều người bảo vệ điện thoại thông minh bằng mã PIN và ở đây xếp hạng mức độ phổ biến sau đây được áp dụng: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Thông thường, mã PIN đại diện cho một năm (năm sinh hoặc ngày lịch sử).

Nhiều người thích tạo mã PIN dưới dạng các cặp số lặp lại (hơn nữa, các cặp số mà số đầu tiên và số thứ hai khác nhau một cái là đặc biệt phổ biến).

Bàn phím số của thiết bị di động hiển thị các tổ hợp như 2580 ở trên cùng - để nhập nó, chỉ cần tạo một lối đi trực tiếp từ trên xuống dưới ở trung tâm là đủ.

Ở Hàn Quốc, số 1004 được phụ âm với từ "thiên thần", điều này làm cho sự kết hợp này khá phổ biến ở đó.

Kết quả

1. Truy cập random.org và tạo 5-10 mật khẩu ứng viên ở đó.
2. Chọn một mật khẩu mà bạn có thể biến thành một cụm từ dễ nhớ.
3. Sử dụng cụm từ này để ghi nhớ mật khẩu của bạn.