Làm các câu có mật khẩu tốt hơn không?
Dường như mỗi ngày, ai đó đến một diễn đàn viết về cách tài khoản của anh ta bị hack bằng cách nào đó và anh ta không hiểu tại sao. Một trong những lý do khiến mọi người bị xâm phạm tài khoản thường xuyên là vì họ không hiểu chính xác nó diễn ra như thế nào. Khi quá trình lấy mật khẩu của ai đó trở nên rõ ràng (thật đơn giản, nhân tiện), sau đó chúng tôi có thể hiểu cách chúng tôi có thể sửa đổi mật khẩu của mình để ngăn chặn tin tặc xâm nhập tài khoản của chúng tôi một cách hiệu quả. Một đề xuất mà các chuyên gia bảo mật đã thực hiện gần đây là sử dụng các câu ngắn như mật khẩu, thay vì sử dụng một chuỗi ký tự liên tục (như “blablabla”). Chúng ta sẽ xem xét điều này và tại sao nó có thể hoặc có thể không an toàn hơn.
Hiểu mật khẩu
Tại MTE, tôi đã đề cập đến những cách thức mà tin tặc có thể nhận được mật khẩu của bạn. Tuy nhiên, danh sách đó bao gồm hầu hết các phương pháp được sử dụng để đánh hơi và dễ dàng nhận được thông tin đăng nhập của bạn. Ngay bây giờ, tôi muốn giới thiệu với bạn các phương pháp mà tin tặc sử dụng để mở tài khoản của bạn từ bên ngoài thay vì xâm nhập vào lưu lượng gói tin của bạn. Những phương pháp này đơn giản hơn nhưng tốn nhiều thời gian hơn. Chúng ta hãy có một cái nhìn:
- Brute-Force Attacks: Phương pháp để điên rồ này liên quan đến việc đơn giản là trải qua một tấn hoán vị các chuỗi nhiều ký tự. Vì vậy, một hacker với một công cụ brute-lực sẽ chỉ đơn giản là thử hàng ngàn hoán vị, hy vọng sẽ đánh đúng sau một thời gian. Công cụ sẽ ngẫu nhiên đoán các kết hợp ký tự (như “jif2 $ F”). Vì mật khẩu thường dài hơn sáu chữ cái, phương pháp này sẽ mất một lúc! Tuy nhiên, một hacker xác định sẽ ngồi qua một giá trị cả ngày của mật khẩu đoán chỉ để có được vào tài khoản của bạn.
- Các cuộc tấn công từ thông dụng: Tin tặc sẽ sử dụng các từ thông dụng hàng ngày (như “dâu tây” hoặc “rượu whisky”) từ danh sách, tải chúng lên trên một công cụ đặc biệt và thử từng công cụ. Nó chỉ mất một vài phút (nhiều lần, thậm chí một vài giây) để crack một tài khoản bằng cách sử dụng một từ phổ biến như một mật khẩu.
- Các cuộc tấn công từ điển: Như tên cho thấy, hacker sẽ lấy ra một bản sao của từ điển Oxford và cố gắng mọi từ. Sử dụng một công cụ tự động, điều này mất nhiều thời gian hơn một cuộc tấn công từ phổ biến, nhưng nó sẽ nhận được một số lượng lớn các tài khoản bị nứt.
Các chuyên gia bảo mật từ lâu đã đạt được kết luận rằng mật khẩu an toàn nhất là mật khẩu kết hợp các ký tự chữ và số (bao gồm cả chữ in hoa) và các ký tự đặc biệt (như “$ @ (% #”), không xa sự thật ngày nay. như “ff9jF # D” an toàn hơn nhiều so với “caramel”. Nhược điểm là nó thực sự khó nhớ các ký tự ngẫu nhiên.
Và, trong khi chúng tôi vẫn còn trong chủ đề này, hãy để tôi nói cho bạn một bí mật: Nếu một số chuyên gia nói với bạn rằng mật khẩu chuỗi ký tự sẽ mất vài năm để crack, anh ấy có thể đang nói về brute-buộc với một CPU. Tin tặc không làm điều đó nữa. Thay vào đó, họ sử dụng những thứ như công nghệ CUDA của nVidia, cho phép họ sử dụng GPU đồ họa nhanh hơn, cho phép họ làm những gì máy tính thực hiện trong một tuần trong một khoảng thời gian bằng cách kết hợp một loạt phần cứng với nhau ( thông qua một cây cầu SLI).
Các câu có tốt hơn không?
Dấu cách (”“) là một ký tự hợp pháp trong hầu hết các mẫu mật khẩu. Điều này có nghĩa là bạn có thể tách các từ với nhau. Chỉ cần có một câu như mật khẩu của bạn có thể tạo ra một cơn ác mộng cho tin tặc, theo một số chuyên gia bảo mật, một trong số đó là Thomas Baekdal. Lợi thế của việc sử dụng câu là dễ nhớ hơn nhiều so với 8fa @! * FaicC và nó cũng an toàn hơn khi được sử dụng đúng cách.
Trong năm 2007, Baekdal viết rằng "đây là niềm vui" là an toàn hơn 10 lần so với "J4fS <2." Tôi không chắc ý kiến của ông về điều này là gì ngay bây giờ, nhưng tôi không nghĩ rằng sử dụng một cái gì đó đơn giản như " đây là vui vẻ ”an toàn đến nỗi nó sẽ mang theo một máy tính, theo bản viết của anh ấy, 2, 537 năm để crack nó.
Đối với một, giả sử một hacker sử dụng danh sách một nghìn từ phổ biến nhất trong tiếng Anh để crack “điều này thật thú vị.” Vì mật khẩu sử dụng ba từ riêng biệt, chúng ta phải tranh luận với 1.000 * 1.000 * 1.000 hoán vị có thể. Điều đó cho chúng ta một tỷ hoán vị để chu kỳ. Nghe có vẻ như rất nhiều, nhưng đối với một máy tính, điều này rất đơn giản.
Tôi không nói rằng Thomas Baekdal là sai. Tôi chỉ đơn giản nói rằng bạn cần phải làm theo một số hướng dẫn khi đưa ra lựa chọn của bạn. Hãy để tôi chỉ cho bạn một số ý tưởng tôi đã nấu chín trong khi suy nghĩ về vấn đề này trong vài ngày:
- Sử dụng dấu cách không dấu cách, như dấu nối (“-“). Nếu bạn táo bạo hơn một chút, hãy thử một cái gì đó thực sự khó khăn để tìm ra, giống như biểu tượng thương hiệu (“™”, Alt + 0153).
- Sử dụng những từ không phổ biến phi đàm thoại, như “ lý thuyết lượng tử là một sự phát triển tối thượng. Bạn cũng có thể tạo một câu bằng ngôn ngữ khác, như tiếng Latin (“repetitio est mater studiorum”). Điều này đặc biệt hữu ích khi tiếng Anh không phải là ngôn ngữ đầu tiên của bạn. Hầu hết các tin tặc sẽ tìm kiếm mật khẩu bằng các từ tiếng Anh, nhưng rất ít người trong số họ sẽ nghĩ đến, nói tiếng Rumani hoặc tiếng Séc.
- Tạo các câu ngẫu nhiên. Một ví dụ sẽ là " vật liệu cephalopod photon paraphernalia ."
Theo các quy tắc này có thể dẫn đến một mật khẩu, lúc đầu, khó nhớ. Nhưng bạn nên xem xét câu tục ngữ Latinh mà tôi đã sử dụng làm ví dụ về mật khẩu không phải tiếng Anh. Bản dịch của nó: Sự lặp lại là mẹ của nghiên cứu. Nếu bạn tiếp tục sử dụng mật khẩu của bạn, bạn sẽ nhớ nó một cách nhanh chóng. Ghi nhớ “ faji2o # ($ FCCineF) 9f (# “, tôi nghĩ, còn khó hơn nhiều so với việc ghi nhớ “ cephalopod photon paraphernalia ” hay bất cứ từ nào có thể bằng ngôn ngữ mẹ đẻ của bạn.
Hãy nhớ rằng, bạn còn thực hiện câu đó càng lâu thì càng an toàn hơn! Sử dụng một câu ngắn hơn vẫn có thể đủ khả năng cho bạn một số mức độ bảo mật cao, miễn là bạn không sử dụng một cái gì đó có thể bị bắt trong một danh sách từ phổ biến. Các cuộc tấn công từ điển vào mật khẩu của bạn vẫn có thể, nhưng không có khả năng mang lại kết quả vì lượng thời gian cần thiết để công cụ của hacker mở mật khẩu của bạn.
Giới hạn
Giới hạn duy nhất cho phương pháp trên là một số trang web không cho phép mật khẩu dài hơn 20 ký tự. Một số cũng không cho phép dấu cách hoặc các ký tự đặc biệt khác trong mật khẩu, mặc dù điều này trở nên hiếm hơn. Tôi thậm chí còn gặp phải một nền tảng ngân hàng trực tuyến chỉ cho phép tối đa 14 ký tự chữ và số. Trong các trang web này, mật khẩu câu sẽ không hoạt động.
Đã đến lúc để bạn nói!
Tôi đã thảo luận rất nhiều ngay bây giờ. Một số của nó là một chút mâu thuẫn với kiến thức thông thường về mật khẩu, vì vậy nó là bình thường cho bạn để có ý kiến, câu hỏi, và suy nghĩ về vấn đề này. Đã đến lúc bạn mở cửa. Hãy cùng tôi và các bạn đọc trong một cuộc trò chuyện có thể giúp làm rõ mọi thứ bằng cách để lại bình luận dưới đây!