密码很烂
密码是创建,重置和维护的痛苦,特别是对于那些安全意识足够强的人来说,每次登录都要使用唯一的密码。 对于在平台上使用相同或相似密码的其他所有人来说,密码令人头疼,但这并不能使我们更加安全。 当密码重用猖run时,攻击者将使用一种称为凭据填充的策略来获取已知的凭据,这些凭据可能是在重大的第三方安全漏洞(例如Sony,Home Depot或LinkedIn)后获得的,并在目标的其他帐户中进行尝试。 当攻击者使用可每分钟测试数千个密码的编程工具时,这特别容易,这种策略称为暴力破解 。 当已经获取了密码的90%或更多时,可以通过编程确定密码的细微变化。 当用户仅向其他已大量使用的密码添加不同数量或标点符号的情况时,就会发生这种情况,通常是为了满足某些平台的密码要求或强制重置。
如果密码使用的是最常见的几千个密码,攻击者就可以很容易地将其破解,这意味着无需为黑客做太多工作就可以猜出绝大多数密码。 即使您认为您使用了一个独特的术语,例如您的街道地址或狗的名字,在社交媒体上进行的简单搜索通常仍会为攻击者配备足够的关键字,以将其输入到他们的算法中。 密码管理公司Keeper报告说,令人心碎的人中有17%的人使用“ 123456”来保护自己的帐户,而使用率最高的25个密码占所有被盗密码的50%以上。 难怪算法如此擅长破解密码。
建立密码
那么,什么使安全密码呢? 密码变得越来越复杂,因此变得越来越安全(通常称为密码强度) ,并且有两种主要方法可以使密码变得更加复杂(强度通常由破解密码所需的猜测次数来衡量)。 首先是熵,它基本上是字符之间随机性的量度(例如,“ aaa111”比“ e9&1oA”的熵少)。 第二个是长度。 直到最近,人们一直都认为增加熵是增加复杂性的最好方法。 这就是为什么如此多的网站强迫您在构建密码时使用特殊字符,数字和大写字母。
但是,最近的文献表明,实际上长度使密码比熵更强。 即使前者是人类更容易识别的词组,猜测“它是最好的时间还是它最差的时间”所花费的时间要长得多。 需要明确的是,我不建议您使用密码,因为密码也是著名小说的第一行,但重点仍然是:每个额外的字符都会成倍增加暴力破解算法的计算负担。
使密码既熵又更长。 但是,专注于长度会使强密码更容易记住(因此从行为角度来看从根本上更安全)。 顺便说一句,当您设置新密码时,看到的密码强度表到处都是。 一些值的长度,一些值的熵,一些寻找常用词,一些寻找连续字符,一些寻找日期。 用一粒盐衡量他们的收视率。
人民的力量
安全人员经常忘记的一件事是,他们正在保护旨在供人类使用的系统。 理想的安全系统不是一个无法破解的系统,而是一个既不可破解又可以运行的系统 。 因此,安全性必须尽可能不具侵入性,否则使用该系统的人将要么不使用它(然后是安全性的重点),要么发现使用该系统的麻烦程度较小且几乎总是不那么安全系统。 密码就是这种情况。 大多数人知道他们应该使用唯一的密码,甚至可能直观地理解如何使密码更安全,但是他们并不质疑如何使密码更安全,而是为什么要 打扰?
除非您定期访问关键系统或获得安全检查,否则大多数人认为它们对于黑客而言还不够重要,因此宁愿冒重用密码的风险,但密码管理起来绝对容易得多。 因此,我们的目标不仅应该是使密码更复杂,而且还要在不牺牲功能的情况下变得复杂。 好的密码必须同时实现两者,否则它们将遭受巨大的行为风险。
幸运的是,对于用户和安全团队而言,从助记符的角度来看,延长密码的使用时间比使密码变得更加熵少。 以下是使密码更长且更易记的几种方法:
几何密码
我最喜欢的技巧是建立可在键盘上形成形状的密码。 我创建三角形,X,对角线,梯形等等。 记住形状序列比记住每个字母要容易得多,并且允许使用更长的密码。 无论好坏,这实际上意味着我不知道密码。 我通过形状识别它们并感到孤独,这使得它们很难共享。
这不是一个新概念-当第一个用于智能手机的滑行键盘成为主流时,这种类型的密码创建引起了人们的极大兴趣。 这种几何方法同样可以应用于传统的计算机键盘。
音乐密码
我从小就弹钢琴和鼓,因此对键盘的打击乐感激不已。 大多数人也都经历过这种情况-一段时间后,您的PIN或密码就可以简单地通过声音识别出来。 对于任何喜欢音乐的人来说,这都是制作令人难忘的密码的绝佳工具。 敲鼓或在键盘上创建一些“和弦”。 弹奏您在钢琴课上记得的小调。 如果您想花哨的话,请像钢琴上的延音踏板那样处理Shift键,以便您在弹奏时在此处和此处大写几组字母。
玛丽·哈德(Mary Had)一只小羊羔,只有四个不同的琴键,在键盘的中间弹奏,根据这个可疑的工具,即使不是由Dashlane创建的杰出品牌howsecureismypassword.net,它也需要188万亿年才能破解。 添加一些Shift键延音,您将拥有非常强大的密码。
文学密码
我们前面的“时间是最好的时间”是最糟糕的方法。 从您喜欢并可以记住的书,电影或歌曲中找到一条线,最好是一条不为人所知的线,并以此作为密码的基础。 撒上一些熵元素,您便会获得一个强大的密码。 上面提到的狄更斯密码需要315 *10³⁶(也就是315十亿德克朗)的年才能破解。 我的密码将远远超过太阳,从而超过地球,地球将在大约100亿年后死亡。 到我的密码被破解时,宇宙已经停止了所有恒星的形成,并且很可能走向假设的热死。 黑客,请接受。
它不需要文学,实际上,如果没有的话,它甚至可能更强大。 确实,即使在网上也不引人注目,但可以由一个难以置信的专门攻击者在网上找到报价,并将其输入算法中,尽管这是不可能的。 为了更加安全,也许会引用家庭电影中的名言,或者您父亲曾经说过的一些荒谬的话,或者您与重要同伴之间发生的荒唐笑话。
综上所述
听起来很可悲,我喜欢创建密码的挑战。 它们是很小的音乐或文学难题,每当我登录到计算机或打开应用程序时,它们都会使我的大脑动起来,甚至动动一下。 我喜欢将助记符绑定到各种网站,这些网站可以帮助我记住哪个密码。 也许Facebook会让您想起Moonlight Sonata或Dropbox应该是八角形,并且Twitter肯定会提醒最有才华和体贴的小说家。
在当今隐私似乎已逐渐消失的时代,密码是数字时代仍然纯粹是个人的少数事物之一。 那为什么不和他们一起玩呢?
它最初发布在ZeroFOX博客上。
