Een sterk wachtwoord maken en onthouden

Inhoudsopgave:

Acroniemen
Omgekeerde manier
Eén betrouwbare basis
Geheime vraag
PIN
Resultaat

2024 Auteur: Malcolm Clapton | [email protected]. Laatst gewijzigd: 2023-12-17 04:06

De beste manieren om een wachtwoord te maken dat niemand kan kraken.

De meeste aanvallers houden zich niet bezig met geavanceerde methoden voor wachtwoorddiefstal. Ze nemen gemakkelijk te raden combinaties. Ongeveer 1% van alle momenteel bestaande wachtwoorden kan met vier pogingen brute force zijn.

Hoe is dit mogelijk? Erg makkelijk. Je probeert de vier meest voorkomende combinaties ter wereld: wachtwoord, 123456, 12345678, qwerty. Na zo'n passage wordt gemiddeld 1% van alle "kisten" geopend.

Laten we zeggen dat u tot die 99% van de gebruikers behoort wiens wachtwoord niet zo eenvoudig is. Toch moet er rekening worden gehouden met de prestaties van moderne hacksoftware.

Het gratis, vrij beschikbare John the Ripper-programma verifieert miljoenen wachtwoorden per seconde. Enkele voorbeelden van gespecialiseerde commerciële software claimen een capaciteit van 2,8 miljard wachtwoorden per seconde.

In eerste instantie doorlopen kraakprogramma's een lijst met de statistisch meest voorkomende combinaties en verwijzen vervolgens naar het volledige woordenboek. In de loop van de tijd kunnen de wachtwoordtrends van gebruikers enigszins veranderen en met deze wijzigingen wordt rekening gehouden wanneer dergelijke lijsten worden bijgewerkt.

In de loop van de tijd besloten allerlei webservices en applicaties om wachtwoorden die door gebruikers zijn gemaakt, met geweld te compliceren. Er zijn eisen toegevoegd dat het wachtwoord een bepaalde minimale lengte moet hebben, cijfers, hoofdletters en speciale tekens moet bevatten. Sommige diensten namen dit zo serieus dat het een heel lange en vervelende taak kost om een wachtwoord te bedenken dat het systeem zou accepteren.

Het belangrijkste probleem is dat bijna elke gebruiker geen echt brute-force wachtwoord genereert, maar alleen probeert te voldoen aan de systeemvereisten voor de samenstelling van het wachtwoord tot een minimum.

Het resultaat is wachtwoorden zoals wachtwoord1, wachtwoord123, Wachtwoord, PaSsWoRd, wachtwoord! en het ongelooflijk onvoorspelbare p @ ssword.

Stel je voor dat je je spiderman-wachtwoord opnieuw moet maken. Hoogstwaarschijnlijk zal het eruit zien als $ pider_Man1. Origineel? Duizenden mensen zullen het veranderen met hetzelfde of zeer vergelijkbare algoritme.

Als de cracker deze minimumeisen kent, wordt de situatie alleen maar erger. Het is om deze reden dat de opgelegde eis om de complexiteit van wachtwoorden te vergroten niet altijd de beste beveiliging biedt en vaak een vals gevoel van verhoogde beveiliging creëert.

Hoe gemakkelijker het wachtwoord te onthouden is, hoe groter de kans dat het in cracker-woordenboeken terechtkomt. Als gevolg hiervan blijkt dat een echt sterk wachtwoord gewoonweg niet te onthouden is, wat betekent dat het ergens moet worden vastgesteld.

Volgens experts kunnen mensen zelfs in dit digitale tijdperk nog steeds vertrouwen op een stuk papier met wachtwoorden erop. Het is handig om zo'n vel op een voor nieuwsgierige blikken verborgen plaats te bewaren, bijvoorbeeld in een portemonnee of portemonnee.

Het wachtwoordblad lost het probleem echter niet op. Lange wachtwoorden zijn niet alleen moeilijk te onthouden, maar ook moeilijk in te voeren. De situatie wordt verergerd door virtuele toetsenborden van mobiele apparaten.

Door interactie met tientallen services en sites, laten veel gebruikers een reeks identieke wachtwoorden achter. Ze proberen voor elke site hetzelfde wachtwoord te gebruiken, waarbij ze de risico's volledig negeren.

In dit geval fungeren sommige sites als oppas, waardoor de combinatie ingewikkeld wordt. Als gevolg hiervan kan de gebruiker zich eenvoudigweg niet herinneren hoe hij zijn standaard enkelvoudige wachtwoord voor deze site moest wijzigen.

De omvang van het probleem werd in 2009 volledig gerealiseerd. Vervolgens slaagde de hacker er door een beveiligingslek in om de database met logins en wachtwoorden te stelen van RockYou.com, het bedrijf dat games op Facebook publiceert. De aanvaller heeft de database openbaar gemaakt. In totaal bevatte het 32,5 miljoen vermeldingen met gebruikersnamen en wachtwoorden voor accounts. Er zijn al eerder lekkages geweest, maar de omvang van deze specifieke gebeurtenis toonde het hele plaatje.

Het populairste wachtwoord op RockYou.com was 123456, dat door bijna 291.000 mensen werd gebruikt. Mannen onder de 30 gaven vaker de voorkeur aan seksuele thema's en vulgariteiten. Ouderen van beide geslachten wenden zich vaak tot een bepaald cultuurgebied bij het kiezen van een wachtwoord. Epsilon793 lijkt bijvoorbeeld niet zo'n slechte optie, alleen zat deze combinatie in Star Trek. De zevencijferige 8675309 verscheen vele malen omdat dit nummer in een van de Tommy Tutone-nummers verscheen.

In feite is het maken van een sterk wachtwoord een eenvoudige taak, het is voldoende om een combinatie van willekeurige tekens samen te stellen.

Je kunt in je hoofd geen perfect willekeurige combinatie maken in wiskundige termen, maar dat is ook niet verplicht. Er zijn speciale services die echt willekeurige combinaties genereren. Het kan bijvoorbeeld wachtwoorden als volgt maken:

mvAWzbvf;
83cpzBgA;
tn6kDB4T;
2T9UPPd4;
BLJbsf6r.

Dit is een eenvoudige en elegante oplossing, vooral voor degenen die een manager gebruiken om wachtwoorden op te slaan.

Helaas blijven de meeste gebruikers eenvoudige, zwakke wachtwoorden gebruiken, zelfs de regel "verschillende wachtwoorden voor elke site" negerend. Voor hen is gemak belangrijker dan veiligheid.

Situaties waarin de wachtwoordbeveiliging in het gedrang kan komen, kunnen worden onderverdeeld in 3 brede categorieën:

Willekeurig, waarbij een persoon die u kent het wachtwoord probeert te achterhalen, op basis van informatie die hij over u weet. Vaak wil zo'n cracker alleen maar een trucje uithalen, iets over jou te weten komen, of er een zootje van maken.
massale aanvallenwanneer absoluut elke gebruiker van bepaalde diensten het slachtoffer kan worden. In dit geval wordt gespecialiseerde software gebruikt. Voor de aanval worden de minst veilige sites geselecteerd, waarmee u in korte tijd herhaaldelijk wachtwoordopties kunt invoeren.
doelbewustdie het ontvangen van hints (zoals in het eerste geval) en het gebruik van gespecialiseerde software (zoals bij een massale aanval) combineren. Dit gaat over het proberen te bemachtigen van echt waardevolle informatie. Alleen een voldoende lang willekeurig wachtwoord zal helpen om uzelf te beschermen, waarvan de selectie tijd zal vergen die vergelijkbaar is met de duur van uw leven.

Zoals je kunt zien, kan absoluut iedereen een slachtoffer worden. Uitspraken als "mijn wachtwoord wordt niet gestolen, omdat niemand mij nodig heeft" zijn niet relevant, omdat je heel toevallig, per ongeluk en zonder aanwijsbare reden in een vergelijkbare situatie kunt belanden.

Het is nog serieuzer om wachtwoordbeveiliging te nemen voor degenen die waardevolle informatie hebben, verbonden zijn met een bedrijf of in conflict zijn met iemand op financiële gronden (bijvoorbeeld eigendomsverdeling in het proces van echtscheiding, concurrentie in het bedrijfsleven).

In 2009 werd Twitter (in de zin van de hele dienst) alleen gehackt omdat de beheerder het woord geluk als wachtwoord gebruikte. De hacker pakte het op en plaatste het op de website van Digital Gangster, wat leidde tot het kapen van de accounts van Obama, Britney Spears, Facebook en Fox News.

Acroniemen

Zoals in elk ander aspect van het leven, moeten we altijd een compromis vinden tussen maximale veiligheid en maximaal gemak. Hoe vind je een middenweg? Met welke strategie voor het genereren van wachtwoorden kunt u sterke combinaties maken die gemakkelijk te onthouden zijn?

Op dit moment is de beste combinatie van betrouwbaarheid en gemak het omzetten van een zin of zin in een wachtwoord.

Er wordt een reeks woorden geselecteerd die u zich altijd herinnert en een combinatie van de eerste letters van elk woord wordt als wachtwoord gebruikt. Bijvoorbeeld, May the force be with you verandert in Mtfbwy.

Echter, aangezien de meest bekende zullen worden gebruikt als de eerste zinnen, zullen programma's deze acroniemen uiteindelijk in hun lijsten krijgen. In feite bevat het acroniem alleen letters en is daarom objectief minder betrouwbaar dan een willekeurige combinatie van tekens.

Door de juiste zin te kiezen, kunt u het eerste probleem oplossen. Waarom van een wereldberoemde uitdrukking een acroniemwachtwoord maken? U herinnert zich waarschijnlijk enkele grappen en uitspraken die alleen relevant zijn in uw naaste omgeving. Laten we zeggen dat je een heel pakkende zin hebt gehoord van een barman in een plaatselijk etablissement. Gebruik het.

Toch is het onwaarschijnlijk dat het door u gegenereerde acroniemwachtwoord uniek is. Het probleem met acroniemen is dat verschillende zinnen kunnen worden samengesteld uit woorden die met dezelfde letters en in dezelfde volgorde beginnen. Statistisch gezien is er in verschillende talen een verhoogde frequentie van het verschijnen van bepaalde letters als het begin van een woord. De programma's houden rekening met deze factoren en de effectiviteit van de acroniemen in de originele versie wordt verminderd.

Omgekeerde manier

De uitweg kan de tegenovergestelde manier van generatie zijn. U maakt een volledig willekeurig wachtwoord op random.org en verandert de tekens vervolgens in een betekenisvolle, gedenkwaardige zin.

Vaak bieden services en sites gebruikers tijdelijke wachtwoorden, die dezelfde perfect willekeurige combinaties zijn. Je zult ze willen veranderen, want je zult het niet kunnen onthouden, maar kijk maar eens goed en het wordt duidelijk: je hoeft het wachtwoord niet te onthouden. Laten we bijvoorbeeld een andere optie nemen van random.org - RPM8t4ka.

Hoewel het zinloos lijkt, is ons brein in staat om zelfs in zo'n chaos bepaalde patronen en overeenkomsten te vinden. Om te beginnen kun je zien dat de eerste drie letters erin hoofdletters zijn en de volgende drie kleine letters. 8 is tweemaal (in het Engels tweemaal - t) 4. Kijk een beetje naar dit wachtwoord en u zult zeker uw eigen associaties vinden met de voorgestelde reeks letters en cijfers.

Als je onzinreeksen woorden kunt onthouden, gebruik dat dan. Laat het wachtwoord veranderen in omwentelingen per minuut 8 track 4 katty. Elke conversie waar je hersenen beter in zijn, is voldoende.

Een willekeurig wachtwoord is de gouden standaard in informatiebeveiliging. Het is per definitie beter dan een door mensen gemaakt wachtwoord.

Het nadeel van acroniemen is dat de verspreiding van een dergelijke techniek na verloop van tijd de effectiviteit ervan zal verminderen en dat de omgekeerde methode net zo betrouwbaar zal blijven, zelfs als alle mensen op aarde het duizend jaar zullen gebruiken.

Een willekeurig wachtwoord wordt niet opgenomen in de lijst met populaire combinaties en een aanvaller die een massale aanvalsmethode gebruikt, zal een dergelijk wachtwoord alleen brute forceren.

Laten we een eenvoudig willekeurig wachtwoord nemen dat rekening houdt met hoofdletters en cijfers - dat zijn 62 mogelijke tekens voor elke positie. Als we het wachtwoord slechts 8 cijfers maken, krijgen we 62 ^ 8 = 218 biljoen opties.

Zelfs als het aantal pogingen binnen een bepaald tijdsinterval niet beperkt is, zal de meest commerciële gespecialiseerde software met een capaciteit van 2,8 miljard wachtwoorden per seconde gemiddeld 22 uur besteden aan het vinden van de juiste combinatie. Om zeker te zijn, voegen we slechts 1 extra teken toe aan zo'n wachtwoord - en het zal vele jaren duren om het te kraken.

Een willekeurig wachtwoord is niet onkwetsbaar, omdat het kan worden gestolen. De opties zijn er in overvloed, van het lezen van toetsenbordinvoer tot het hebben van een camera over je schouder.

Een hacker kan de service zelf raken en gegevens rechtstreeks van zijn servers krijgen. In deze situatie hangt niets af van de gebruiker.

Eén betrouwbare basis

Zo kwamen we bij het belangrijkste. Wat zijn de willekeurige wachtwoordtactieken om in het echte leven te gebruiken? Vanuit het oogpunt van de balans tussen betrouwbaarheid en gemak, komt de "filosofie van één sterk wachtwoord" goed tot zijn recht.

Het principe is dat je dezelfde basis gebruikt - een supersterk wachtwoord (de variaties ervan) op de diensten en sites die voor jou het belangrijkst zijn.

Onthoud een lange en moeilijke combinatie voor iedereen.

Nick Berry, adviseur informatiebeveiliging, laat dit principe toe, mits het wachtwoord goed beveiligd is.

De aanwezigheid van malware op de computer waarvan u het wachtwoord invoert, is niet toegestaan. Het is niet toegestaan om hetzelfde wachtwoord te gebruiken voor minder belangrijke en vermakelijke sites - eenvoudigere wachtwoorden zijn voor hen voldoende, omdat het hacken van een account hier geen fatale gevolgen heeft.

Het is duidelijk dat de betrouwbare basis voor elke site op de een of andere manier moet worden gewijzigd. Als eenvoudige optie kunt u een enkele letter aan het begin toevoegen, waarmee de naam van de site of service eindigt. Als we teruggaan naar dat willekeurige RPM8t4ka-wachtwoord, wordt het kRPM8t4ka voor Facebook-autorisatie.

Een aanvaller die zo'n wachtwoord ziet, zal niet kunnen begrijpen hoe het wachtwoord voor uw bankrekening wordt gegenereerd. De problemen beginnen als iemand toegang krijgt tot twee of meer van uw wachtwoorden die op deze manier zijn gegenereerd.

Geheime vraag

Sommige kapers negeren wachtwoorden helemaal. Ze treden op namens de accounteigenaar en simuleren een situatie waarin u uw wachtwoord bent vergeten en met een geheime vraag wilt herstellen. In dit scenario kan hij het wachtwoord naar believen wijzigen en verliest de echte eigenaar de toegang tot zijn account.

In 2008 kreeg iemand toegang tot de e-mail van Sarah Palin, de gouverneur van Alaska, en op dat moment ook een presidentskandidaat. De inbreker beantwoordde de geheime vraag, die als volgt klonk: "Waar heb je je man ontmoet?"

Na 4 jaar verloor Mitt Romney, die destijds ook een Amerikaanse presidentskandidaat was, verschillende van zijn accounts bij verschillende diensten. Iemand heeft een geheime vraag beantwoord over de naam van Mitt Romney's huisdier.

Je hebt het punt al geraden.

U kunt openbare en gemakkelijk te raden gegevens niet als geheime vraag en antwoord gebruiken.

De vraag is zelfs niet of deze informatie zorgvuldig op het internet of bij de naaste medewerkers van de persoon kan worden opgevist. Antwoorden op vragen in de stijl van "dierennaam", "favoriete hockeyteam" enzovoort worden perfect geselecteerd uit de bijbehorende woordenboeken met populaire opties.

Als tijdelijke optie kun je de tactiek van de absurditeit van het antwoord gebruiken. Simpel gezegd, het antwoord zou niets te maken moeten hebben met de geheime vraag. Meisjesnaam? Difenhydramine. Naam van huisdier? 1991.

Als een dergelijke techniek echter wijdverbreid wordt aangetroffen, zal deze in de bijbehorende programma's in aanmerking worden genomen. Absurde antwoorden zijn vaak stereotiep, dat wil zeggen dat sommige zinnen veel vaker voorkomen dan andere.

In feite is er niets mis met het gebruik van echte antwoorden, je moet de vraag alleen verstandig kiezen. Als de vraag niet-standaard is, en het antwoord daarop is alleen aan jou bekend en kan na drie pogingen niet worden geraden, dan is alles in orde. Het voordeel van eerlijk zijn is dat je het na verloop van tijd niet zult vergeten.

Persoonlijk Identificatienummer (PIN) is een goedkoop slot waaraan ons geld wordt toevertrouwd. Niemand neemt de moeite om een betrouwbaardere combinatie van ten minste deze vier getallen te maken.

Stop nu. Direct. Probeer nu, zonder de volgende paragraaf te lezen, de meest populaire pincode te raden. Klaar?

Nick Berry schat dat 11% van de Amerikaanse bevolking 1234 als pincode gebruikt (waar ze deze zelf kunnen wijzigen).

Hackers letten niet op pincodes omdat de code nutteloos is zonder de fysieke aanwezigheid van de kaart (dit kan de kleine lengte van de code deels rechtvaardigen).

Berry nam de lijsten met viercijferige wachtwoorden die verschenen na de lekken op het netwerk. De persoon die het wachtwoord uit 1967 gebruikt, heeft dit waarschijnlijk met een reden gekozen. De op één na populairste pincode is 1111 en 6% van de mensen geeft de voorkeur aan deze code. Op de derde plaats staat 0000 (2%).

Stel dat een persoon die deze informatie kent een bankkaart in handen heeft. Drie pogingen om de kaart te blokkeren. Eenvoudige wiskunde laat zien dat deze persoon 19% kans heeft om zijn pincode te raden als hij achtereenvolgens 1234, 1111 en 0000 invoert.

Waarschijnlijk om deze reden kent de overgrote meerderheid van de banken zelf pincodes toe aan uitgegeven plastic kaarten.

Veel mensen beschermen smartphones echter met een pincode en hier geldt de volgende populariteitsclassificatie: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Vaak staat de pincode voor een jaar (geboortejaar of historische datum).

Veel mensen vinden het leuk om pincodes te maken in de vorm van herhalende cijferparen (bovendien zijn paren waarbij het eerste en tweede cijfer één verschil maken bijzonder populair).

Numerieke toetsenborden van mobiele apparaten tonen combinaties zoals 2580 bovenaan - om het te typen, volstaat het om in het midden een directe doorgang van boven naar beneden te maken.

In Korea is het getal 1004 in overeenstemming met het woord "engel", waardoor deze combinatie daar behoorlijk populair is.