Una password semplice e sicura: creatività collettiva
- Informazioni di sicurezza
Dopo aver letto molta letteratura correlata e aver esaminato moltissimi argomenti abratopici (i collegamenti a quelli interessanti sono forniti alla fine dell'articolo), ho deciso di riassumere le informazioni sui principali metodi per generare una password forte e memorabile.
Vorrei iniziare dicendo che io stesso utilizzo il meraviglioso programma KeePass per generare e archiviare le mie password. La sua funzionalità è abbastanza sufficiente per tutte le mie modeste esigenze di webmaster. Il suo principale svantaggio è il fatto che richiede anche di ricordare una password principale. Pertanto, tutto questo trambusto per trovare una password riguarda anche me e tutti i felici possessori del programma KeePass o dei suoi analoghi, perché Devi ancora trovare una password.
Parliamo di metodi di hacking
Per comprendere a fondo il problema dedicherò un paio di righe alla tecnica di hacking. Quindi, come può un utente malintenzionato scoprire/indovinare/indovinare la tua password?- Metodo di ipotesi logica. Funziona su sistemi con un gran numero di utenti. L'aggressore cerca di comprendere la tua logica durante la creazione di una password (login + 2 caratteri, login al contrario, le password più comuni, ecc.) e applica questa logica a tutti gli utenti. Se gli utenti sono molti, molto presto si verificherà una collisione e la password verrà indovinata;
- Ricerca nel dizionario. Questo tipo di attacco viene utilizzato quando il database con password con hash viene divulgato dal server. Può essere combinato con la sostituzione di lettere (errori di battitura) o con la sostituzione di numeri/parole all'inizio o alla fine di una parola come prefisso o suffisso. Vengono utilizzati anche dizionari digitati con il layout di tastiera errato (parole russe nel layout inglese);
- Ricerca in una tabella di password con hash. Un metodo avanzato per crackare le password, quando gli hash sono già stati generati e tutto ciò che resta da fare è trovare una corrispondenza nel database per l'hash e la password. Funziona molto velocemente anche su macchine deboli e non lascia alcuna possibilità ai possessori di password brevi.
- Altri metodi: sociotecnica e ingegneria sociale, uso di keylogger, sniffer, trojan, ecc.
Forza della password
Riassumendo le informazioni ottenute da varie fonti affidabili, metterò in evidenza le caratteristiche principali di una password resistente all'hacking (per hacking intendo la ricerca nei database hash, quando l'algoritmo di hashing è noto in anticipo):- Lunghezza della password (più lunga è, meglio è), per i casi avanzati si consiglia di utilizzare una password di 15 caratteri;
- Assenza di parole del dizionario e parti di password comuni nella password;
- Mancanza di modelli durante la creazione di una password (per modello intendo un algoritmo logico per la generazione di una password, ad esempio: "Med777vedev", "12@ytsu@21" o anche "q1w2e3r4t5");
- Sequenze stocastiche di caratteri di vari gruppi (minuscole, maiuscole, numeri, segni di punteggiatura e caratteri speciali);
Come fanno le persone a ricordare le loro password?
Dopo aver analizzato i metodi di generazione delle password per Habrapeople, sono giunto alla conclusione che la metodologia principale per ricordare una password si basa sulla stesura di una serie logica o associativa. Vengono utilizzati anche tutti i tipi di distorsioni delle parole. Può essere:- Nomi di dominio intervallati da login (“gooUSERglcom”, “UmailruSer”);
- Una certa frase standard allegata al dominio (“passgoogleru”, “passhabrahabrru”);
- Una parola comune intervallata da numeri significativi e altri caratteri (“ ”, dove 32167 è un trucco che evocava 5 draghi neri in Heroes of Might & Magic);
- Parole russe nel layout inglese (“,k.lj)
