Share
La tua password è basata su una parola, lunga circa otto caratteri. Hai sostituito alcuni numeri per le lettere ("3" per "E" e "4" per "a", ecc.), Hai fatto in modo di mettere in maiuscolo una lettera o due e hai saldato un punto esclamativo a Alla fine, come per sottolineare la tua adesione alla lista di controllo immutabile della forza della password. Tiri un sospiro di sollievo. Ogni mese o giù di lì, dimentichi questa password (o la ricordi perché la usi ovunque). Ma è forte ... giusto? Scopriamo l'argomento della sicurezza delle password per scoprire miti, matematica e metodi che definiscono questo aspetto cruciale dell'informatica.
Come abitanti ed esploratori dello spazio digitale, possiamo inquadrare questa discussione come una ricerca. Siamo alla ricerca del Santo Graal della sicurezza delle password; un mezzo per costruire una password che ci offre la massima protezione con la massima memorabilità - siamo solo umani, dopo tutto.
Se la formula che ho descritto nella mia introduzione - quella che rappresenta la stragrande maggioranza delle password usate oggi - sembra l'ideale, allora potresti essere sorpreso di apprendere che non solo produce password difficili da richiamare (ovviamente), ma è anche molto meno sicuro di quanto ci si potrebbe aspettare. A peggiorare le cose, avere una password sicura è solo metà della battaglia.
Per capire perché questo è, dobbiamo fare una breve deviazione nel mondo spaventoso della teoria dell'informazione per dotarci di alcune conoscenze di base che ci consentiranno di capire come viene misurata e confrontata la sicurezza della password.
In generale, l'integrità di una password è discussa in termini di bit di entropia, una misura interessante utilizzata nella teoria dell'informazione per descrivere l'incertezza associata al risultato di una variabile. Maggiore è l'incertezza o, in altre parole, maggiore è l'incertezza dell'evento misurato, maggiore è l'entropia.
Dobbiamo solo ricordare che, più bit di entropia hanno una password, tanto più difficile è craccare.
Ad esempio, considereremmo un lancio di moneta per rappresentare un singolo bit di entropia poiché il valore incerto è solo una delle due possibilità. La formula che rappresenta il valore di entropia di una password è orribile e non è necessario comprenderla per dare un senso all'entropia in generale.
Riportando questo alla nostra ricerca, dobbiamo solo ricordare che, più bit di entropia hanno una password, più difficile è craccare.
Ora che conosciamo il principio base di come viene misurata la forza della password, dobbiamo esaminare i nostri avversari in questo sforzo: hacker, password cracker e altri criminali che cercano l'accesso ai tuoi account.
Il cracking delle password è una pietra miliare del mondo degli hacker e, senza sorprese, vanta uno degli arsenali più sviluppati nel repertorio degli hacker. In generale, i metodi di cracking delle password rientrano in una delle due categorie: pattern cracking e attacchi brute-force.
Craccare una password è meno difficile di quanto si possa pensare in questi giorni Se hai seguito la formula dalla mia introduzione, la tua password è probabilmente molto suscettibile ai metodi di cracking basati su pattern. Questi sono disponibili in vari modi, che vanno dall'attacco base del dizionario a varianti più sofisticate che sfruttano tecniche comuni di creazione di password.
Quando sono applicabili, gli approcci di cracking basati su pattern sono preferibili perché riducono notevolmente il numero di possibilità che un hacker deve provare prima di imbattersi nella password effettiva.
Se hai seguito la formula dalla mia introduzione, la tua password è probabilmente molto suscettibile ai metodi di cracking basati su pattern.
Quella password di otto caratteri che hai che utilizza numeri, lettere multiple e caratteri speciali? Probabilmente ci vorrà mezz'ora per crackare.
Questa seconda categoria di attacchi rappresenta l'approccio barbaro all'hacking delle password. In sostanza, un attacco a forza bruta significa che l'hacker utilizzerà un computer incredibilmente potente (o una rete di computer) per provare sistematicamente ogni possibile combinazione di caratteri per scoprire la tua password.
Chiaramente, ciò sembra scoraggiante dal momento che ogni personaggio in più aggiunto a una password richiederà grandi quantità di possibilità di password aggiuntive. Sfortunatamente, a seconda dell'abilità e dell'hardware disponibili per il tuo assalitore, puoi aspettarti che un hacker sarà in grado di testare tra diverse centinaia di migliaia e circa un milione di possibili combinazioni di password al secondo.
Quella password di otto caratteri che hai che utilizza numeri, lettere multiple e caratteri speciali? Probabilmente ha un valore di entropia compreso tra 30 e 50 bit. Probabilmente ci vorrà meno di mezz'ora per aprirsi.
Indipendentemente dall'approccio, craccare una password richiede la possibilità di provare molte password diverse per trovare una corrispondenza. È qui che entra in gioco l'altra metà dell'integrità della password: le misure di sicurezza del fornitore dell'account.
Se hai mai incontrato un CAPTCHA su un sito web (quelle forme che richiedono la decifrazione di cifre o parole oscure per procedere), allora potresti essere giunto alla conclusione che il sito web ti odia, i tuoi occhi e il tuo tempo libero. Questo probabilmente non è il caso.
Infatti, i CAPTCHA aggravanti servono uno scopo cruciale nel mondo della sicurezza degli account: non solo impediscono ai bot automatizzati di completare i moduli di accesso, ma aggiungono anche un ulteriore ostacolo che rallenta la capacità di un hacker di testare le migliaia di password per secondo richiesto per eseguire un crack riuscito. Ovviamente non sono infallibili, ma rappresentano un ulteriore livello di protezione.
Insieme ad altre misure di sicurezza lato server come timeout di accesso automatico dopo troppi tentativi falliti, i CAPTCHA rappresentano l'altro lato della medaglia di protezione password.
Spesso vale la pena esplorare il tipo di misure di sicurezza che un servizio ha in atto prima di impegnare troppi dati personali a loro cura, perché non importa quanto sia forte la tua password, non importa se la porta sul retro è aperta.
Per la maggior parte, la nostra formula introduttiva per la creazione di password offre consigli molto saggiati. Casi multipli, caratteri speciali, numeri; queste sono tutte tecniche valide da utilizzare come parte della tua password.
Ci sono altre tecniche che probabilmente ti avevi consigliato e che semplicemente ti fanno schifo nel mantenere il tuo account al sicuro.
Ma ci sono alcune linee guida che influenzano la loro efficacia, e ci sono altre tecniche che probabilmente hai raccomandato a te, che semplicemente fanno schifo per mantenere il tuo account al sicuro. Esaminiamo alcune di queste linee guida e identifichiamo esempi di tecniche di password scadenti.
Il mazzo può sembrare impilabile contro di te, ma vale la pena ricordare che la maggior parte di noi non sarà il bersaglio di hacker dedicati: la nostra priorità è fare scelte informate sui servizi che scegliamo di affidarci ai nostri dati e garantire che il nostro conti il più sicuro possibile senza causarci inutili mal di testa cercando di ricordare oscure corde di personaggi.
Esistono numerosi modi intelligenti per creare password sicure conformi a questi criteri, ma ci concentreremo su due principali che non sono solo popolari, ma anche estremamente efficaci e abbastanza flessibili da essere utilizzati ovunque.
La nostra priorità è fare scelte informate sui servizi che scegliamo di affidarci ai nostri dati e garantire che i nostri account siano il più sicuri possibile.
Uno dei paradossi più affascinanti della sicurezza delle password è il fatto che, mentre una parola è incredibilmente facile da compromettere come password, l'uso di più parole in sequenza costituisce effettivamente uno dei metodi di creazione password più sicuri possibili che ci offre anche il vantaggio di essere molto più semplice da ricordare di una stringa di caratteri casuali di lunghezza equivalente.
Uno dei metodi principali per generare un tale elenco di parole si chiama 'Diceware', così chiamato perché si utilizza un set di dadi per generare la password da un elenco di parole, come questo esempio inglese.
Per ogni parola nella password (o passphrase, in questo caso), tiri un dado cinque volte. I numeri risultanti verrebbero messi insieme - diciamo 61345 - e quindi verrà selezionata la parola corrispondente dalla lista, nel mio caso "rospo".
Ora, ad esempio, prendiamo una tipica password "forte": 7YmP @ ni5 (timpanis, per te gente non-musicale). Quella password ci offre circa 50 bit di entropia. Non è male, ma non è nemmeno terribilmente memorabile - quale lettera è stata sostituita con quale carattere speciale o numero? Quali lettere sono state maiuscole?
Completando una passphrase di 5 parole usando l'elenco di parole Diceware, ho trovato "toadloafsteamwhackethos". Questo ci fornisce una base di circa 65 bit di entropia: una sfida molto più scoraggiante per gli hacker (ogni ulteriore bit di entropia significa il doppio delle possibilità che devono essere eseguite).
Normalmente, cinque parole sono considerate la lunghezza minima vitale per una passphrase Diceware, e la bellezza del sistema è che il valore di entropia viene calcolato assumendo che il tuo hacker sappia non solo che stai usando un elenco di parole Diceware, ma che sai anche quale hai usato e quante parole sono nella tua passphrase. In altre parole, se conoscono qualcosa di meno, o se ci arrivano completamente ciechi, l'entropia della tua passphrase è ancora più alta!
E poiché è una semplice lista di parole comuni, è molto più facile da ricordare, soprattutto se si genera (o si inventa) una frase che è divertente o si muove la memoria in qualche altro modo - "Ehi, ascolta!" è semplice per i fan di Zelda. 70 bit di entropia nostalgica proprio lì.
Un metodo subdolo e molto efficace per generare password complesse implica l'uso di frasi in un modo un po 'anticonvenzionale che fa spuntare molte caselle di controllo della creazione di una password complessa - assemblando le prime lettere e tutti i segni di punteggiatura in una password.
Prendiamo, per esempio, un poema come The Jabberwocky, di Lewis Carroll. Dalla prima stanza, prenderemo le prime due righe, che sono:
'Twas brillig, e le fessure slithy
Girava e agitava nel wabe;
Quindi, applicando questo metodo, avremmo finito con "'Tb, atstDgagitw;". Quel meraviglioso pezzo di ingegneria delle password rappresenta uno strabiliante 100 bit di entropia.
Diamo un'occhiata ai vantaggi: appare, in superficie, completamente casuale ed è quindi impermeabile agli attacchi basati su pattern; utilizza sia lettere multiple che caratteri speciali; è lungo più di 12 caratteri (una linea guida comune); e nonostante la sua apparente oscurità, è impossibile da dimenticare perché deriva da un pezzo di letteratura che è intrinsecamente facile da ricordare - una poesia!
Supponendo che non ti piaccia la poesia, puoi ovviamente usare una battuta del tuo discorso preferito, o una citazione da un libro, o qualsiasi altra frase che difficilmente dimenticherò mai.
Personalmente raccomando la poesia per due motivi: uno, tende ad essere ricco di punteggiatura e maiuscole, e due, è quasi sempre molto facile da memorizzare (basti pensare a quante canzoni popolari puoi cantare insieme).
L'ultimo tassello del forte rompicapo delle password è la variabilità: non usare la stessa password ovunque, è il singolo più grande errore che puoi fare. Dieci password deboli sono più sicure di una più forte utilizzata dieci volte, perché se viene compromessa, anche ogni singolo account che hai viene compromesso immediatamente.
Non usare la stessa password ovunque, è l'unico errore più grande che puoi fare.
Utilizzando i due metodi sopra descritti, puoi facilmente trovare modi per mantenere le cose coerenti e avere ancora password diverse per servizi diversi. Modifica l'ultima parola nella tua lista di Diceware, o usando versi diversi dai testi della stessa canzone, per esempio.
Dovremmo parlare brevemente del problema di scrivere le password per ricordarle. Questo è un rischio per la sicurezza che molte persone prendono, mettendo le loro password cruciali in un taccuino o un pezzo di carta nel loro portafoglio.
Anche se è conveniente, si apre anche una nuova strada di pericolo: se qualcuno ruba il tuo portafoglio, normalmente scapperebbe con un po 'di soldi e il tuo documento d'identità. Ora, possono anche accedere a tutti gli account per i quali hai scritto una password. Puoi ricordare di andare a cambiarli tutti in tempo?
Quando proponiamo la nostra soluzione di password ideale, sottolineiamo che dovrebbe produrre qualcosa di memorabile in modo preciso in modo da non dover ricorrere a scrivere cose per ricordarlo.
In alternativa, se la formula che usi è qualcosa che puoi facilmente ricordare, allora potresti solo dover annotare promemoria oscuri che saranno inutili per chiunque cerchi di violare la tua password. Se hai usato il metodo degli acronimi poetici, potresti tenere una nota che indica semplicemente quale verso hai usato per ogni servizio - un ladro non saprebbe di cosa stai parlando.
Chi è un hacker più probabile che si rivolga a: una persona a caso o un'azienda che si vanta di fornire una protezione sicura delle password per milioni di utenti?
A questo punto, ti starai chiedendo perché non dovresti usare un servizio di password dedicato come LastPass per gestire e generare le tue password sicure.
Poiché questi sono strumenti affidabili e flessibili, dovresti sicuramente considerare di utilizzarli. Il motivo per cui paga essere in grado di generare le tue password sicure è che, poiché anche questi sono servizi gestiti dalle aziende, sono vulnerabili agli attacchi stessi e sono molto più probabilmente bersagli di un attacco di password rispetto a un individuo solitario. Dopo tutto, chi è un hacker ha più probabilità di colpire: una persona a caso o un'azienda che si vanta di fornire una protezione sicura delle password per milioni di utenti?
Dal momento che hanno deciso di fare proprio questo, molti di questi servizi valgono la pena, ma se sei più cauto, o se non vuoi avere tutto in un'app, o se vuoi semplicemente un mezzo per creare una password master forte per quelle altre soluzioni, vale la pena sapere come crearne una - e ora lo fai!
Inutile dire che le password più forti sono quei colossi casuali di 20 caratteri che puoi facilmente trovare sul web. Questi sono categoricamente più forti di qualsiasi altro che è probabile formulare. Ma sono anche utili solo per macchine e persone con un'abilità ridicola per memorizzare complicate stringhe di caratteri - semplicemente non sono pratici per l'uso quotidiano.
La nozione di una password ideale che abbiamo esplorato in questo tutorial è stata quella che trova un felice equilibrio tra integrità e memorabilità. Ora sei in grado di individuare le più eclatanti insidie nella creazione di password e creare password forti, memorabili e variabili per te stesso. Quindi vai avanti e abbatti i boccaporti delle tue preziose risorse digitali.
Mentre ci sei, non dimenticare di cambiarli ogni tanto - è più difficile colpire un bersaglio in movimento, dopo tutto.
Hai un metodo migliore? Vogliamo sentirlo! Le password sono importanti, quindi salta nei commenti e condividi i tuoi pensieri.
Accentsconagua