Күчтүү сырсөздү кантип түзүү жана эстеп калуу керек

2024 Автор: Malcolm Clapton | [email protected]. Акыркы өзгөртүү: 2023-12-17 04:03

Эч ким сындыра албаган сырсөздү түзүүнүн эң жакшы жолдору.

Көпчүлүк чабуулчулар сырсөз уурдоонун татаал ыкмалары менен убара болушпайт. Алар божомолдоого оңой комбинацияларды алышат. Учурдагы бардык сырсөздөрдүн болжол менен 1% төрт жолу аракет менен катаал күчкө ээ болушу мүмкүн.

Бул кантип мүмкүн? Өтө жөнөкөй. Сиз дүйнөдөгү эң кеңири таралган төрт комбинацияны сынап көрүңүз: сырсөз, 123456, 12345678, qwerty. Мындай өткөөлдөн кийин орто эсеп менен бардык "көкүрөктөрдүн" 1% ачылат.

Сиз 99% колдонуучулардын катарындасыз дейли, алардын сырсөзү анчалык деле жөнөкөй эмес. Ошондой болсо да, заманбап хакердик программалык камсыздоонун натыйжалуулугун эске алуу керек.

Бекер, эркин жеткиликтүү Джон Риппер программасы секундасына миллиондогон сырсөздөрдү текшерет. Адистештирилген коммерциялык программалык камсыздоонун кээ бир мисалдары секундасына 2,8 миллиард сырсөз сыйымдуулугун талап кылат.

Башында, крекинг программалары статистикалык жактан эң кеңири таралган комбинациялардын тизмеси аркылуу иштейт, андан кийин толук сөздүккө кайрылат. Убакыттын өтүшү менен колдонуучулардын сырсөз тенденциялары бир аз өзгөрүшү мүмкүн жана бул өзгөртүүлөр мындай тизмелер жаңыртылганда эске алынат.

Убакыттын өтүшү менен ар кандай желе кызматтары жана тиркемелери колдонуучулар тарабынан түзүлгөн сырсөздөрдү күч менен татаалдаштырууну чечишти. Талаптар кошулду, ага ылайык пароль белгилүү бир минималдуу узундукка ээ болушу керек, сандарды, чоң тамгаларды жана атайын белгилерди камтышы керек. Кээ бир кызматтар муну ушунчалык олуттуу кабыл алышкандыктан, система кабыл ала турган сырсөздү табыш үчүн чындап эле узак жана тажатма иш талап кылынат.

Негизги көйгөй - дээрлик бардык колдонуучу чыныгы катаал күч сырсөзүн жаратпайт, бирок системанын паролдун курамына болгон талаптарын минималдуу түрдө аткарууга аракет кылат.

Натыйжада password1, password123, Password, PaSsWoRd, пароль сыяктуу сырсөздөр! жана укмуштуудай күтүүсүз p @ ssword.

Сиз жөргөмүш адамдын сырсөзүн кайра жасашыңыз керек деп элестетиңиз. Бул $ pider_Man1 окшойт. Оригиналы? Миңдеген адамдар аны бир эле же абдан окшош алгоритм менен өзгөртүшөт.

Эгерде крекер бул минималдуу талаптарды билсе, анда абал ого бетер начарлайт. Дал ушул себептен улам, сырсөздөрдүн татаалдыгын жогорулатуу боюнча коюлган талап дайыма эле эң жакшы коопсуздукту камсыз кыла бербейт жана көбүнчө коопсуздуктун жогорулашынын жалган сезимин жаратат.

Сырсөздү эстеп калуу канчалык оңой болсо, анын крекер сөздүктөрүндө калышы ошончолук жогору болот. Натыйжада, чындап эле күчтүү сырсөздү эстеп калуу мүмкүн эмес экени белгилүү болду, демек, аны бир жерде оңдоо керек.

Эксперттердин айтымында, азыркы санариптик доордо деле адамдар паролдору жазылган кагазга таяна алышат. Мындай баракты кызыктар көрүнбөгөн жерде, мисалы, капчыкта же капчыкта сактоо ыңгайлуу.

Бирок, сырсөз барагы маселени чечпейт. Узун сырсөздөрдү эстеп калуу эле эмес, киргизүү да кыйын. Кырдаалды мобилдик түзүлүштөрдүн виртуалдык клавиатуралары курчутат.

Ондогон кызматтар жана сайттар менен иштешип, көптөгөн колдонуучулар артына окшош сырсөздөрдү калтырышат. Алар тобокелдиктерди толугу менен четке кагып, ар бир сайт үчүн бир эле сырсөздү колдонууга аракет кылышат.

Бул учурда, кээ бир сайттар нянянын милдетин аткарып, айкалыштыруу татаал болууга мажбурлайт. Натыйжада, колдонуучу бул сайт үчүн стандарттуу жалгыз сырсөзүн кантип өзгөртүү керектигин эстей албайт.

Көйгөйдүн масштабы 2009-жылы толугу менен ишке ашкан. Андан соң коопсуздук тешигинен улам хакер Facebookта оюндарды чыгарган RockYou.com компаниясынын логин жана сырсөздөр базасын уурдап алган. Чабуулчу маалымат базасын жалпыга ачык кылды. Бардыгы болуп, анда эсептерге колдонуучу аттары жана сырсөздөрү менен 32,5 миллион жазуу камтылган. Ачуулар мурда болгон, бирок бул окуянын масштабы бүт картинаны көрсөттү.

RockYou.com сайтында эң популярдуу сырсөз 123456 болгон, аны дээрлик 291 000 адам колдонгон. 30 жашка чейинки эркектер көбүнчө сексуалдык темаларды жана адепсиздиктерди жактырышат. Сырсөздү тандоодо эки жыныстагы улгайган адамдар көбүнчө маданияттын белгилүү бир тармагына кайрылышат. Мисалы, Epsilon793 анчалык жаман вариант эмес, бул айкалышы гана Star Trekте болгон. Жети орундуу 8675309 көп жолу пайда болгон, анткени бул сан Томми Тутондун ырларынын биринде кездешкен.

Чындыгында, күчтүү сырсөздү түзүү жөнөкөй иш, кокус символдордун айкалышын түзүү жетиштүү.

Сиз башыңызда математикалык жактан кемчиликсиз бир кокустук комбинацияны түзө албайсыз, бирок сизден талап кылынбайт. Чынында эле кокус комбинацияларды жараткан атайын кызматтар бар. Мисалы, ал төмөнкүдөй сырсөздөрдү түзө алат:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Бул жөнөкөй жана жарашыктуу чечим, айрыкча сырсөздөрдү сактоо үчүн менеджер колдонгондор үчүн.

Тилекке каршы, көпчүлүк колдонуучулар "ар бир сайт үчүн ар кандай сырсөздөр" эрежесин этибарга албай, жөнөкөй, начар сырсөздөрдү колдоно беришет. Алар үчүн коопсуздукка караганда ыңгайлуулук маанилүү.

Сырсөз коопсуздугу бузулушу мүмкүн болгон жагдайларды 3 чоң категорияга бөлүүгө болот:

• Random, анда сиз тааныган адам сиз жөнүндө билген маалыматка таянып, сырсөздү табууга аракет кылып жатат. Көбүнчө, мындай крекер трюк ойноону, сен жөнүндө бир нерсени билүүнү же баш аламандык кылууну каалайт.
• Массалык чабуулдар кандайдыр бир кызматтардын колдонуучусу курмандыгы болуп калышы мүмкүн болгондо. Бул учурда, атайын программалык камсыздоо колдонулат. Чабуул үчүн эң аз коопсуз сайттар тандалган, алар кыска убакыттын ичинде сырсөз варианттарын кайра-кайра киргизүүгө мүмкүндүк берет.
• Максаттуу кеңештерди алууну (биринчи окуядагыдай) жана атайын программалык камсыздоону колдонууну (массалык чабуулдагыдай) айкалыштырган. Бул чындап баалуу маалыматты алууга аракет кылуу жөнүндө. Жетиштүү узун кокус сырсөз гана өзүңүздү коргоого жардам берет, аны тандоо жашооңуздун узактыгына окшош убакытты талап кылат.

Көрүнүп тургандай, ар бир адам курмандыгы болуп калышы мүмкүн. "Менин паролум уурдалбайт, анткени мен эч кимге керегим жок" деген сыяктуу билдирүүлөр эч кандай мааниге ээ эмес, анткени сиз кокусунан, кокусунан, эч кандай себепсиз эле ушундай кырдаалга туш болушуңуз мүмкүн.

Баалуу маалыматы бар, бизнес менен байланышы бар же кимдир бирөө менен каржылык негизде чыр-чатактуу (мисалы, ажырашуу процессинде мүлктү бөлүштүрүү, бизнестеги атаандаштык) үчүн сырсөз менен коргоону алуу андан да олуттуу.

2009-жылы администратор бакыт деген сөздү сырсөз катары колдонгону үчүн гана Twitter (бүт сервистин түшүнүгү боюнча) хакерликке кабылган. Хакер аны көтөрүп алып Digital Gangster сайтына жайгаштырган, бул Обаманын, Бритни Спирстин, Фейсбуктун жана Fox Newsтун аккаунттарын басып алууга алып келген.

Акронимдер

Жашоонун башка аспектилериндегидей эле, биз ар дайым максималдуу коопсуздук менен максималдуу ыңгайлуулуктун ортосунда компромисс табышыбыз керек. Орто жерди кантип тапса болот? Сырсөздөрдү түзүүнүн кандай стратегиясы эсиңизде оңой сактала турган күчтүү комбинацияларды түзүүгө мүмкүндүк берет?

Учурда ишенимдүүлүк менен ыңгайлуулуктун эң жакшы айкалышы - бул сөз айкашын же сөз айкашын сырсөзгө айландыруу.

Сиз ар дайым эстеп жүргөн сөздөрдүн жыйындысы тандалып, ар бир сөздүн биринчи тамгаларынын айкалышы сырсөз катары колдонулат. Мисалы, күч сени менен болсун Mtfbwy айланат.

Бирок, эң атактуулары баштапкы фразалар катары колдонула тургандыктан, программалар акыры бул кыскартууларды өз тизмелеринде алышат. Чынында, аббревиатура тамгаларды гана камтыйт, демек, символдордун кокус айкалышына караганда объективдүү түрдө анча ишенимдүү эмес.

Туура фразаны тандоо биринчи көйгөйдөн арылууга жардам берет. Эмне үчүн дүйнөгө белгилүү сөз айкашын аббревиатура сырсөзүнө айландырыңыз? Сиздин жакын чөйрөңүзгө гана тиешелүү болгон кээ бир тамашаларды жана сөздөрдү эсиңизде болсо керек. Сиз жергиликтүү мекеменин барменинен абдан жагымдуу сөз уктуңуз дейли. Аны колдон.

Ошентсе да, сиз түзгөн акроним сырсөз уникалдуу болушу күмөн. Акронимдердин көйгөйү – ар кандай сөз айкаштары бир тамгалар менен башталган сөздөрдөн жана бир катарда түзүлүшү мүмкүн. Статистика боюнча, ар кайсы тилдерде сөздүн башталышы катары айрым тамгалардын пайда болушунун жыштыгы көбөйгөн. Программалар ушул факторлорду эске алып, түпнускадагы аббревиатуралардын эффективдүүлүгү төмөндөйт.

Тескери жол

Чыгуу жолу муундун карама-каршы жолу болушу мүмкүн. Сиз random.org сайтында толугу менен кокус сырсөз түзүп, андан кийин анын каармандарын эсте каларлык маанидеги фразага айлантасыз.

Көбүнчө, кызматтар жана сайттар колдонуучуларга убактылуу сырсөздөрдү беришет, алар абдан бирдей кемчиликсиз кокустук айкалыштар. Сиз аларды өзгөртүүнү каалайсыз, анткени сиз эстей албай каласыз, бирок жөн гана жакшылап карасаңыз, айкын болуп калат: сырсөздү эстеп калуунун кереги жок. Мисалы, random.org сайтынан башка вариантты алалы - RPM8t4ka.

Мааниси жоктой көрүнгөнү менен, мээбиз ушундай башаламандыкта да белгилүү калыптарды жана дал келүүлөрдү таба алат. Баштоо үчүн, андагы биринчи үч тамга чоң, ал эми кийинки үч тамга кичине экенин байкай аласыз. 8 эки жолу (англис тилинде эки жолу - t) 4. Бул сырсөздү бир аз карап көрүңүз, ошондо сиз сунуш кылынган тамгалардын жана сандардын топтому менен өзүңүздүн байланышыңызды табасыз.

Эгер сиз маанисиз сөздөрдү жаттай алсаңыз, анда аны колдонуңуз. Сырсөз мүнөтүнө 8 трек 4 катты революцияларга айлансын. Сиздин мээңиз жакшыраак болгон бардык конверсияны жасайт.

Кокус сырсөз маалымат коопсуздугунун алтын стандарты болуп саналат. Бул, аныктамасы боюнча, ар кандай адам жасаган сырсөзгө караганда жакшыраак.

Акронимдердин кемчилиги - убакыттын өтүшү менен мындай ыкманын жайылуусу анын эффективдүүлүгүн төмөндөтөт, ал эми тескери ыкма жер жүзүндөгү бардык адамдар миң жыл колдонсо дагы, ошондой эле ишенимдүү бойдон кала берет.

Кокус сырсөз популярдуу комбинациялардын тизмесине кирбейт жана массалык чабуул ыкмасын колдонгон чабуулчу мындай паролду одоно күч менен гана колдонот.

Келгиле, баш тамгаларды жана сандарды эске алган жөнөкөй кокус сырсөздү алалы - бул ар бир позиция үчүн 62 мүмкүн болгон белги. Эгер паролду 8 гана цифра кылсак, анда 62 ^ 8 = 218 триллион вариантты алабыз.

Белгилүү бир убакыт аралыгындагы аракеттердин саны чектелбесе дагы, секундасына 2,8 миллиард сырсөз сыйымдуулугу бар эң коммерциялык адистештирилген программалык камсыздоо туура комбинацияны табууга орто эсеп менен 22 саат сарптайт. Ырас, мындай сырсөзгө 1 гана кошумча белги кошобуз – аны бузууга көп жылдар керектелет.

Кокус сырсөз кол тийбес эмес, анткени ал уурдалышы мүмкүн. Клавиатурадан киргизүүнү окуудан тартып ийиниңизде камерага чейин көптөгөн варианттар бар.

Хакер кызматтын өзүнө кирип, анын серверлеринен маалыматтарды түздөн-түз ала алат. Бул жагдайда эч нерсе колдонуучуга көз каранды эмес.

Бир ишенимдүү негиз

Ошентип, биз негизги нерсеге жеттик. Чыныгы жашоодо кокус сырсөздөрдүн тактикасы кандай? Ишенимдүүлүк менен ыңгайлуулуктун тең салмактуулугу көз карашынан алганда, "бир күчтүү сырсөздүн философиясы" өзүн жакшы көрсөтөт.

Принцип сиз бир эле негизди - сиз үчүн эң маанилүү болгон кызматтарда жана сайттарда өтө күчтүү сырсөздү (анын вариацияларын) колдоносуз.

Ар бир адам үчүн бир узак жана татаал комбинацияны унутпаңыз.

Маалыматтык коопсуздук боюнча кеңешчи Ник Берри сырсөз абдан жакшы корголгон шартта бул принципти колдонууга мүмкүндүк берет.

Сырсөздү киргизген компьютерде зыяндуу программанын болушуна жол берилбейт. Бир эле сырсөздү анча маанилүү эмес жана көңүл ачуучу сайттар үчүн колдонууга жол берилбейт - алар үчүн жөнөкөй сырсөздөр жетиштүү, анткени бул жерде аккаунтту бузуп алуу эч кандай өлүмгө алып келбейт.

Ар бир сайт үчүн ишенимдүү базаны кандайдыр бир жол менен өзгөртүү керек экени түшүнүктүү. Жөнөкөй вариант катары, сиз сайттын же кызматтын атын бүтүргөн башына бир тамга кошо аласыз. Эгерде биз ошол кокус RPM8t4ka сырсөзүнө кайрылсак, ал Facebook авторизациясы үчүн kRPM8t4kaга айланат.

Мындай сырсөздү көргөн чабуулчу сиздин банк эсебиңиздин сырсөзүн кантип түзөрүн түшүнө албайт. Эгер кимдир бирөө ушундай жол менен түзүлгөн эки же андан көп сырсөзүңүзгө кирүү мүмкүнчүлүгүнө ээ болсо, көйгөйлөр башталат.

жашыруун суроо

Кээ бир уурдоочулар сырсөздөрдү таптакыр этибарга алышпайт. Алар каттоо эсебинин ээсинин атынан иш алып барышат жана сиз сырсөзүңүздү унутуп калган жана аны жашыруун суроо менен калыбына келтиргиңиз келген кырдаалды окшоштурушат. Бул сценарийде ал сырсөздү каалагандай өзгөртө алат жана чыныгы ээси өзүнүн аккаунтуна кирүү мүмкүнчүлүгүн жоготот.

2008-жылы кимдир бирөө Алясканын губернатору, ал эми ошол кездеги президенттикке талапкер Сара Пэйлиндин электрондук почтасына кире алган. «Күйөөңдү кайдан жолуктурдун?» деген тымызын суроого ууру жооп берди.

4 жылдан кийин ал кезде АКШ президенттигине талапкер болгон Митт Ромни ар кандай кызматтардагы бир нече аккаунтунан ажыраган. Кимдир бирөө Митт Ромнинин үй жаныбарынын аты тууралуу жашыруун суроого жооп берди.

Сиз буга чейин эле ойду ойлодуңуз.

Сиз жашыруун суроо-жооп катары ачык жана оңой болжолдонгон маалыматтарды колдоно албайсыз.

Кеп бул маалыматты кылдаттык менен Интернеттен же адамдын жакын адамдарынан издөөдө эмес. "Жаныбардын аты", "сүйүктүү хоккей командасы" жана башка стилдеги суроолорго жооптор популярдуу варианттардын тиешелүү сөздүктөрүнөн эң сонун тандалып алынган.

Убактылуу вариант катары, жооптун абсурддук тактикасын колдоно аласыз. Жөнөкөй сөз менен айтканда, жооптун жашыруун суроого эч кандай тиешеси жок болушу керек. Апасынын аты? Димедрол. Үй жаныбарынын аты? 1991.

Бирок, мындай ыкма, эгерде кеңири таралган болсо, тиешелүү программаларда эске алынат. Абсурд жооптор көбүнчө стереотиптүү, башкача айтканда, кээ бир фразалар башкаларга караганда алда канча көп кездешет.

Чындыгында, реалдуу жоопторду колдонуунун эч кандай жаман жери жок, жөн гана суроону туура тандоо керек. Эгерде суроо стандарттуу эмес болсо жана ага жооп сизге гана белгилүү болсо жана үч аракеттен кийин болжолдоо мүмкүн болбосо, анда баары өз ордунда. Чындыкты айтуунун артыкчылыгы - аны убакыттын өтүшү менен унута албайсың.

PIN

Жеке идентификациялык номер (PIN) биздин акча ишенип берилген арзан кулпу болуп саналат. Эч ким жок дегенде ушул төрт сандын ишенимдүү айкалышын түзүүгө убара болбойт.

Эми токто. Азыр. Азыр, кийинки абзацты окубастан, эң популярдуу PIN кодду табууга аракет кылыңыз. Даярсызбы?

Ник Берри АКШ калкынын 11% ПИН катары 1234 колдонот (бул жерде алар аны өздөрү өзгөртө алат) деп эсептейт.

Хакерлер PIN-коддорго көңүл бурушпайт, анткени картанын физикалык катышуусуз код пайдасыз (бул коддун кичинекей узундугун жарым-жартылай актай алат).

Берри тармакта ачыкка чыккандан кийин пайда болгон төрт орундуу сырсөздөрдүн тизмесин алды. 1967 сырсөзүн колдонгон адам аны кандайдыр бир себептерден улам тандап алган болушу мүмкүн. Экинчи эң популярдуу PIN 1111 жана 6% адамдар бул кодду жактырышат. Үчүнчү орунда 0000 (2%).

Бул маалыматты билген адамдын колунда банк картасы бар дейли. Картаны бөгөттөө үчүн үч жолу аракет. Жөнөкөй математика бул адам 1234, 1111 жана 0000 сандарын ырааттуулук менен киргизсе, PIN кодду табууга 19% шансы бар экенин көрсөтүп турат.

Ушундан улам болсо керек, банктардын басымдуу көпчүлүгү PIN-коддорду чыгарылган пластикалык карталарга өздөрү ыйгарышат.

Бирок, көптөгөн адамдар смартфондорду PIN-код менен коргошот жана бул жерде төмөнкү популярдуулук рейтинги колдонулат: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33353, 6186, 3553, 6186, 4321, 2001, 1010.

Көп учурда, PIN бир жылды билдирет (туулган жылы же тарыхый дата).

Көптөгөн адамдар PIN-коддорду кайталануучу жуптар түрүндө жасаганды жакшы көрүшөт (андан тышкары, биринчи жана экинчи сандар бирден айырмаланган түгөйлөр өзгөчө популярдуу).

Мобилдик түзүлүштөрдүн сандык клавиатуралары үстү жагында 2580 сыяктуу комбинацияларды көрсөтөт - аны терүү үчүн борбордон өйдөдөн ылдыйга түз өтүү жетиштүү.

Кореяда 1004 саны "периштеси" деген сөз менен төп келет, бул айкалыштыруу ал жакта абдан популярдуу.

Жыйынтык

1. random.org сайтына кирип, ал жерде 5-10 талапкер сырсөзүн түзүңүз.
2. Эсте каларлык сөз айкашына айландыра турган сырсөздү тандаңыз.
3. Сырсөзүңүздү эстеп калуу үчүн бул фразаны колдонуңуз.