Sada je tako uobičajeno da svi to radimo, a da ni ne razmišljamo o tome: izradite zaporku koja ima najmanje x znakova, ima barem jedan broj i jedan simbol, a nije vaš prvi ili prezime. Bilo da ste na poslu ili stvarate Apple ID, ti zahtjevi za lozinkom za "jaku" lozinku su posvuda.
Nakon što sam jednog dana stvorio novu lozinku na web mjestu, počeo sam razmišljati o tome kako su različiti svi zahtjevi. Neke web-lokacije traže lozinke kraće od 3 znaka, a neke nametaju najmanje 8. Neki žele simbole, neki ne. Neki se brinu o vašem imenu i prethodnim zaporkama, a drugi ne. Pa koja je lozinka stvarno jaka?
Napravio sam neka istraživanja i otkrio sam dvije stvari kada govorite o nekoj "zaprljanju" vaše lozinke: prvo, postoji snaga lozinke, a drugo, postoji snaga šifriranja koja šalje lozinku u slomiti kada se pohrani.
Brzo sam shvatio da je cijeli koncept snažne lozinke vrlo matematički, a tu su i brojne studije učinjene na ovoj temi. Onaj koji je privukao moju pažnju i da ću spomenuti u ovom postu je iz studije Carnegie-Mellon iz 2011. godine.
Prije nego što uđemo u ono što je jaka lozinka, vidjet ćemo koliko će dugo trajati ispuštanje navodno snažne lozinke. Da bismo to provjerili, upotrijebit ćemo alat na web mjestu PassFault:
https://passfault.appspot.com/password_strength.html
Evo kako to radi. Upišite svoju lozinku i kliknite Analizirati, Postoje dvije opcije koje su prema zadanim postavkama skrivene, ali možete kliknuti Prikaži opcije, Objasnimo što oni znače.
Pukotina hardvera zadana je za $ 900 lozinke napadača, što bi bilo moguće za legitimnog hakera. Oni također imaju mogućnost odabrati $ 180,000 lozinku napadača, što Kinezi mogu koristiti ako je to skupo. Padajući izbornik Zaštita lozinki pruža vam nekoliko mogućnosti za vrstu šifriranja koja se koristi za spremanje zaporke. Microsoft Windows sustav je najslabiji, ne postoji iznenađenje. Zatim imate bežičnu pristupnu točku WPA, UNIX SHA1, UNIX Blowfish i 100 krugova SHA1.
Pokušao sam svoju snažnu lozinku koju sam koristio na nekoliko web mjesta i bio je šokiran da vidim da bi to moglo biti napuklo za 1 dan!
Wow, to je prilično loše. Zato sam odabrao jače mogućnosti šifriranja (Unix Blowfish i 100 krugova SHA1) i bilo je sretnije vidjeti rezultate trebalo bi dulje od jednog dana: 1 godina i 7 mjeseci za Unix Blowfish i 2 mjeseca i 2 dana sa 100 krugova SHA1 , Međutim, s $ 180.000 lozinka napadača, pao je na 11 dana i 3 dana, respektivno. Nije prihvatljivo, mislio sam! Želim da moja lozinka potraži godine da ispadne čak i sa super skupom cracker lozinkom. Ali što je najbolji način jer upotrebljavam lozinku od 9 znakova s brojevima i simbolom?
Ovdje je studija Carnegie-Mellon rasvijetlila cijelu stvar. Uglavnom ono što su otkrili jest da što je dulje lozinku koju koristite, to je jači. To ne znači nužno da dulja lozinka mora imati puno simbola ili brojeva, samo treba dugo trajati. U 16 znakova, sve što morate izbjegavati koristite super jednostavan rječnik riječi.
Nije uvjeren da je to moguće? Na mjestu PassFault koristite sljedeću lozinku koja je samo 15 znakova i super je lako zapamtiti:
ilovemywifealot
Zatim, za opcije, odaberite napadač lozinke od 180.000 dolara i odaberite najslabiju enkripciju (Microsoft Windows) i to je ono što dobivate:
1 mjesec i 7 dana! To je način bolji od zaprljanja moje lozinke za 1 dan. Pa što nije u redu sa zaporkom? Pa, naizgled, ako je zaporka kraća, trebate upotrijebiti više simbola, slučajnih slova i brojeva kako biste je ojačali. Ako je duže, poput više od 15 do 16 znakova, ne morate se brinuti o dodavanju svih vrsta brojeva i simbola. Uz dulju lozinku možete čak upotrijebiti više riječi u rječniku i još uvijek će biti vrlo sigurna. Očito je lozinka bok bok bok i dalje će sisati čak i ako ima 15 znakova:
To je sranje jer će biti u rječniku i to je ista riječ tri puta. U mojoj prvoj lozinci, gdje ispovijedam svoju ljubav prema mojoj ženi, rečenica brzo počinje izgledati kao dreka na računalu, a nema pucanja rječnika ima tu 15 fraza kao riječ. Rječnici imaju rječničke riječi, tako dugo dok izbjegavate ravne riječi iz rječnika, dobro ćete ići. Moja lozinka mogla bi biti još bolja ako bih koristila ime moje žene ili nadimak za nju umjesto riječi "žena". Dobiti ideju?
Očito, ako možete baciti više simbola u dugu lozinku previše, onda lozinka postaje još više smiješno jaka. Na primjer, recimo da stavim uskličnik ispred moje žene lozinku i dodao jedan broj do kraja. Onda, koliko će vremena trebati da ispadne s istim mogućnostima:
Sveta krava! Tako je prošlo od 1 mjeseca do 7 dana do nevjerojatnih 4 stoljeća i 1 desetljeća! Da stoljeća! Sada je to sigurna lozinka i nije jako teško zapamtiti. Stoga provjerite svoju lozinku pomoću ovog besplatnog alata za mrežu i ako vam je zaporka zapela u roku od nekoliko dana, možda je vrijeme za razmišljanje o nečemu novo, posebno za vaše osjetljive podatke poput bankovnih zaporki itd.
Imajte na umu da se mnoge od tih online web-lokacija cijelo vrijeme srušene, tako da zaporka nikad nije sigurna. Međutim, ako koristite istinski jaku lozinku, čak i ako je enkripcija vrlo slaba, to bi zauvijek trebalo za super računalo da ga ispucati! Ako ste isprobali svoju lozinku na web-lokaciji dok čitate ovaj post, javite nam u komentarima koliko će dugo trebati da se ispadne. Uživati!
