Es scheint, dass jeden Tag jemand in ein Forum kommt, um darüber zu schreiben, wie seine Konten irgendwie gehackt wurden und er nicht versteht warum. Einer der Gründe, warum Menschen so oft Konten kompromittiert bekommen, ist, dass sie nicht genau verstehen, wie es passiert. Sobald der Prozess der Passwortabfrage klar wird (übrigens ganz einfach), können wir verstehen, wie wir unsere Passwörter ändern können, um effektiv zu verhindern, dass Hacker unsere Konten betreten. Ein Vorschlag, den Sicherheitsexperten kürzlich gemacht haben, war, kurze Sätze als Passwörter zu verwenden, anstatt eine fortlaufende Zeichenkette (wie "blablabla") zu verwenden. Wir schauen uns das an und warum es sicherer ist oder nicht.

Passwortdiebstahl verstehen

Hier bei MTE habe ich bereits behandelt, wie Hacker Ihre Passwörter erhalten können. Diese Liste besteht jedoch hauptsächlich aus Methoden, die zum Ausspähen und zum einfachen Abrufen Ihrer Anmeldeinformationen verwendet werden. Im Moment möchte ich mit Ihnen die Methoden behandeln, die Hacker verwenden, um Ihr Konto von außen zu öffnen, anstatt Ihren Paketverkehr zu infiltrieren. Diese Methoden sind etwas einfacher, aber zeitaufwendiger. Werfen wir einen Blick:

  • Brute-Force Attacks: Die Methode zu diesem Wahnsinn beinhaltet einfach eine Menge Permutationen von Multi-Zeichen-Strings. Also wird ein Hacker mit einem Brute-Force-Tool einfach Tausende von Permutationen versuchen, in der Hoffnung, nach einer Weile die richtige zu treffen. Das Tool wird zufällig Zeichenkombinationen erraten (wie "jif2 $ F"). Da Passwörter normalerweise mehr als sechs Buchstaben lang sind, wird diese Methode eine Weile dauern! Ein entschlossener Hacker wird jedoch einen ganzen Tag lang das Erraten des Kennworts durchgehen, nur um in Ihr Konto zu gelangen.
  • Häufige Wortattacken: Der Hacker verwendet alltägliche Wörter (wie "Erdbeere" oder "Whiskey") aus einer Liste, lädt sie auf ein spezielles Werkzeug und probiert es aus. Es dauert nur ein paar Minuten (oft, sogar ein paar Sekunden), um ein Konto mit einem gemeinsamen Wort als Passwort zu knacken.
  • Wörterbuchangriffe: Wie der Name schon sagt, peitscht der Hacker eine Kopie des Oxford Dictionary aus und probiert jedes Wort aus. Mit einem automatisierten Tool dauert dies ein wenig länger als bei einem gewöhnlichen Wortangriff, aber es wird eine große Anzahl von Konten geknackt.

Sicherheitsexperten sind seit langem zu dem Schluss gekommen, dass das sicherste Passwort eines mit einer Kombination aus alphanumerischen Zeichen (einschließlich Großbuchstaben) und Sonderzeichen (wie "$ @ (% #") ist. Dies ist nicht weit von der Wahrheit heute. Ein Passwort wie "ff9jF # D" ist viel sicherer als "Karamell". Der Nachteil ist, dass es wirklich schwer ist, sich an zufällige Charaktere zu erinnern. Unsere Gehirne sind einfach nicht so verkabelt.

Und während wir noch zu diesem Thema sind, möchte ich Ihnen ein Geheimnis erzählen: Wenn ein Experte Ihnen sagt, dass ein Zeichenfolgen-Passwort mehrere Jahre dauern wird, um zu knacken, spricht er wahrscheinlich von Brute-Forcing mit einer CPU. Hacker machen das nicht mehr. Stattdessen nutzen sie Dinge wie die CUDA-Technologie von nVidia, mit der sie die immens schnellere GPU einer Grafikkarte nutzen können, um innerhalb von wenigen Stunden das zu tun, was ein Computer innerhalb einer Woche macht, indem sie eine ganze Reihe von Hardware verketten ( durch eine SLI-Brücke).

Sind Sätze besser?

Der Platz ("") ist in den meisten Passwortformen ein legales Zeichen. Dies bedeutet, dass Sie Wörter voneinander trennen können. Nur ein Satz als Passwort zu haben, kann laut einer Reihe von Sicherheitsexperten, darunter Thomas Baekdal, ein Albtraum für Hacker sein. Der Vorteil eines Satzes besteht darin, dass er sich leichter merken lässt als 8fa @! * FaicC und auch sicherer ist, wenn er richtig verwendet wird.

Im Jahr 2007 schrieb Baekdal, dass "das ist Spaß" ist 10 mal sicherer als "J4fS <2." Ich bin mir nicht sicher, was seine Meinung über das ist jetzt, aber ich glaube nicht, dass mit etwas Einfaches wie " das ist Spaß "ist so sicher, dass es nach seinem geschriebenen Stück 2.537 Jahre dauern würde, einen Computer zu knacken.

Nehmen wir zum Beispiel an, dass ein Hacker eine Liste der eintausend häufigsten Wörter in der englischen Sprache verwendet, um "das macht Spaß" zu knacken. Da das Passwort drei verschiedene Wörter verwendet, müssten wir mit 1.000 * 1.000 * kämpfen. 1.000 mögliche Permutationen. Das gibt uns eine Milliarde Permutationen zum Radfahren. Es klingt nach viel, aber für einen Computer ist das sehr einfach.

Ich sage nicht, dass Thomas Baekdal falsch liegt. Ich sage nur, dass Sie einige Richtlinien befolgen müssen, wenn Sie Ihre Wahl treffen. Lassen Sie mich Ihnen einige Ideen zeigen, die ich mir über mehrere Tage ausgedacht habe, als ich über dieses Problem nachdachte:

  • Verwenden Sie Nicht-Leerzeichen-Trennzeichen wie den Bindestrich ("-"). Wenn Sie etwas gewagter sind, versuchen Sie etwas wirklich Schwieriges herauszufinden, wie das Markensymbol ("™", Alt + 0153).
  • Verwenden Sie nicht-konversationelle ungewöhnliche Wörter, wie " Quantentheorie ist eine vorrangige Entwicklung. "Sie können auch einen Satz in einer anderen Sprache wie Latein (" repetitio est mater studiorum ") erstellen. Dies ist besonders nützlich, wenn Englisch nicht Ihre Muttersprache ist. Die meisten Hacker werden nach Passwörtern mit englischen Wörtern suchen, aber sehr wenige von ihnen würden beispielsweise an Rumänisch oder Tschechisch denken.
  • Mache Sätze von zufälligen Wörtern. Ein Beispiel wäre " Paraphernalia Photon Cephalopod ".

Die Einhaltung dieser Regeln kann zu einem Passwort führen, das zunächst schwer zu merken ist. Aber Sie sollten das lateinische Sprichwort betrachten, das ich als Beispiel für ein nicht-englisches Passwort verwendet habe. Seine Übersetzung: Wiederholung ist die Mutter des Studiums. Wenn Sie weiterhin Ihr Passwort verwenden, werden Sie sich im Handumdrehen daran erinnern. Die Erinnerung an " faji2o # ($ FCCineF) 9f (# ", denke ich, ist viel schwieriger als die Erinnerung an " Utensilien Photon Cephalopod " oder was auch immer diese Wörter in Ihrer Muttersprache sein mögen.

Denken Sie daran, je länger Sie den Satz machen, desto sicherer wird es! Die Verwendung eines kürzeren Satzes kann Ihnen immer noch ein hohes Maß an Sicherheit bieten, solange Sie nicht etwas verwenden, das in einer allgemeinen Wortliste abgefangen werden kann. Dictionary-Angriffe auf Ihr Passwort sind zwar weiterhin möglich, führen jedoch aufgrund der enormen Zeit, die das Hacker-Tool für die Offenlegung Ihres Passworts benötigt, nicht zu Ergebnissen.

Einschränkung

Die einzige Einschränkung der oben genannten Methode besteht darin, dass einige Sites Passwörter nicht länger als 20 Zeichen zulassen. Einige erlauben auch keine Leerzeichen oder andere Sonderzeichen in Passwörtern, obwohl dies seltener wird. Ich bin sogar auf eine Online-Banking-Plattform gestoßen, die nur bis zu 14 alphanumerische Zeichen erlaubt. In diesen Sites funktionieren Satzpasswörter überhaupt nicht.

Es ist Zeit für Sie zu sprechen!

Ich habe gerade viel diskutiert. Einiges davon widerspricht dem herkömmlichen Wissen über Passwörter. Daher ist es normal, dass Sie Meinungen, Fragen und Gedanken zu diesem Thema haben. Es ist Zeit für Sie, sich zu öffnen. Begleiten Sie mich und andere Leser in einem Gespräch, das helfen könnte, alles zu klären, indem Sie unten einen Kommentar hinterlassen!