Сега е толкова обичайно, че всички ние го правим, без дори да мислим за него: създайте парола, която е най-малко х, има поне един номер и един символ и не е вашето първо или фамилно име. Независимо дали работите или създавате идентификатор на Apple, тези изисквания за парола за "силна" парола са навсякъде.
След като създадох нова парола на сайт един ден, започнах да мисля за това колко различни са всички изисквания. Някои сайтове искат пароли не по-малко от 3 символа, а някои изискват минимум 8. Някои искат символи, други не. Някои се грижат за вашето име и предишни пароли, други не го правят. Така че коя парола е наистина силна?
Направих няколко проучвания и разбрах две неща, когато говорим за някой, който "счупи" паролата ви: първо, има силата на паролата ви и второ, има силата на криптиране, която съдържа паролата, когато се съхранява.
Бързо разбрах, че цялата концепция за силна парола е много математическа и има многобройни проучвания по тази тема. Този, който привлече вниманието ми и който ще спомена в този пост, е от проучването на Carnegie-Mellon от 2011 година.
Преди да видим коя е силната парола, нека видим колко време ще отнеме да се справиш с предполагаемата си силна парола. За да проверите това, ще използваме инструмент на сайта PassFault:
https://passfault.appspot.com/password_strength.html
Ето как работи. Въведете паролата си и кликнете Анализирам, Има две опции, които са скрити по подразбиране, но можете да кликнете върху Показване на опциите, Нека обясним какво означават те.
Cracking хардуера по подразбиране на $ 900 парола нападател, което би било възможно за легитимен хакер. Те също така имат възможност да изберат парола за нападение на стойност 180 000 щ.д., което китайците може да използват, ако това е толкова скъпо. Падащото меню Парола за защита ви дава няколко опции за типа криптиране, използвано за съхраняване на паролата. Microsoft Windows System е най-слабата, без изненада там. След това имате Wireless WPA точка за достъп, UNIX SHA1, UNIX Blowfish и 100 кръга SHA1.
Опитах моята силна парола, която използвам на няколко сайтове и бях шокиран да видя, че може да се счупи за 1 ден!
Уау, това е доста лошо. След това избрах по-силните опции за шифроване (Unix Blowfish и 100 кръга на SHA1) и бях по-щастлив да видя резултатите да отнемат повече от един ден: 1 година и 7 месеца за Unix Blowfish и 2 месеца и 2 дни със 100 кръга SHA1 , Въпреки това, с нападателя с парола за $ 180,000, той спадна съответно до 11 дни и 3 дни. Неприемливо си помислих! Искам паролата ми да отнеме години, за да се справи дори със супер скъп парол за крекер. Но какъв е най-добрият начин, тъй като използвам 9-знакова парола с цифри и символ?
Това е мястото, където изследването "Карнеги-Мелън" хвърля светлина върху всичко. Всъщност това, което са открили, е, че колкото по-дълга е паролата, която използвате, толкова по-силна е. Това не означава непременно, че по-дългата парола трябва да има много символи или числа, просто трябва да е дълга. На 16 знака, всичко, което трябва да избягвате, се използва с думи със супер лесен речник.
Не съм убеден, че това е възможно? В сайта PassFault използвайте следната парола, която е само 15 символа и е супер лесна за запомняне:
ilovemywifealot
След това, за опциите, изберете нападателя с парола за $ 180,000 и изберете най-слабото криптиране (Microsoft Windows) и това е, което получавате:
1 месец и 7 дни! Това е по-добре, отколкото паролата ми да се напука за 1 ден. И така, какво не е наред с моята парола? Е, очевидно, ако паролата ви е по-къса, тогава трябва да използвате повече символи, произволни букви и цифри, за да я укрепите. Ако е по-дълъг, като над 15-16 знака, тогава не е нужно да се притеснявате за добавянето на всякакви числа и символи. С по-дълга парола можете дори да използвате повече думи от речника и пак ще бъдете много сигурни. Очевидно парола като Здравей Здравей Здравей все още ще суче, въпреки че е 15 знака:
Това е гадно, защото ще бъде в речника и това е същата дума три пъти. В първата ми парола, в която изповядвам любовта си към съпругата ми, изречението бързо започва да изглежда безумно с компютъра, а репликиращият речник няма тази 15-знакова фраза като дума. Речниците съдържат думи от речника, стига да избягвате думи с речни думи, ще бъдете добре да отидете. Паролата ми би могла да бъде още по-добра, ако използвах името на жена ми или псевдоним за нея, вместо думата "съпруга". Добивам представа?
Очевидно е, че ако можете да вмъкнете и няколко символа в дълга парола, тогава паролата става още по-абсурдно силна. Например, да кажем, че поставям удивителен знак пред паролата на жена ми и добавям един номер до края. Тогава колко време ще отнеме да се справим със същите опции:
Свещенна крава! Така че тя измина от 1 месец 7 дни до огромните 4 века и 1 десетилетие !!! Да векове! Сега това е сигурна парола и не е много трудно да се помни. Затова проверете паролата си с този безплатен онлайн инструмент и ако паролата ви се разбие в рамките на няколко дни, може да е време да помислите за нещо ново, особено за вашата чувствителна информация като банкови пароли и т.н.
Не забравяйте, че много от тези онлайн сайтове се опробиват през цялото време, така че паролата ви никога не е безопасна. Въпреки това, ако използвате наистина силна парола, дори ако криптирането е много слабо, щеше да отнеме завинаги, за да може супер компютър да я пропука! Ако сте пробвали паролата си на сайта, докато четете тази публикация, кажете ни в коментарите колко време ще отнеме, за да го пропуснете. Наслади се!