Një fjalëkalim i thjeshtë dhe i sigurt - krijimtari kolektive
- Siguria e Informacionit
Pasi lexova shumë literaturë të lidhur dhe shikova një ton habratopike (lidhjet me ato interesante janë dhënë në fund të artikullit), vendosa të përmbledh informacionin rreth metodave kryesore të gjenerimit të një fjalëkalimi të fortë dhe të paharrueshëm.
Më lejoni të filloj duke thënë se unë vetë përdor programin e mrekullueshëm KeePass për të gjeneruar dhe ruajtur fjalëkalimet e mia. Funksionaliteti i tij është mjaft i mjaftueshëm për të gjitha nevojat e mia modeste të webmasterit. Disavantazhi kryesor i tij është fakti se ai gjithashtu kërkon që ju të mbani mend një fjalëkalim kryesor. Prandaj, e gjithë kjo bujë rreth krijimit të një fjalëkalimi më shqetëson edhe mua dhe të gjithë pronarët e lumtur të programit KeePass ose analogëve të tij, sepse Ju ende duhet të gjeni një fjalëkalim.
Le të flasim për metodat e hakimit
Për të kuptuar thellësinë e plotë të problemit, do t'i kushtoj disa rreshta teknikës së hakerimit. Pra, si mundet një sulmues ta gjejë/të hamendësojë/të hamendësojë fjalëkalimin tuaj?- Metoda e supozimit logjik. Punon në sisteme me një numër të madh përdoruesish. Sulmuesi përpiqet të kuptojë logjikën tuaj kur krijon një fjalëkalim (hyrje + 2 karaktere, hyrje në të kundërt, fjalëkalimet më të zakonshme, etj.) dhe e zbaton këtë logjikë për të gjithë përdoruesit. Nëse ka shumë përdorues, shumë shpejt do të ndodhë një përplasje dhe fjalëkalimi do të merret me mend;
- Kërkimi në fjalor. Ky lloj sulmi përdoret kur baza e të dhënave me fjalëkalime të hashuara rrjedh nga serveri. Mund të kombinohet me zëvendësimin e shkronjave (gabimet e shkruara) ose me zëvendësimin e numrave/fjalëve në fillim ose në fund të një fjale si parashtesë ose prapashtesë. Përdoren gjithashtu fjalorë të shtypur në paraqitjen e gabuar të tastierës (fjalë ruse në paraqitjen angleze);
- Duke kërkuar nëpër një tabelë me fjalëkalime të hash. Një metodë e avancuar e thyerjes së fjalëkalimeve, kur hash-et tashmë janë krijuar dhe gjithçka që mbetet është të gjesh një përputhje në bazën e të dhënave për hash-in dhe fjalëkalimin. Funksionon shumë shpejt edhe në makina të dobëta dhe nuk lë asnjë shans për pronarët e fjalëkalimeve të shkurtra.
- Metoda të tjera: socioteknikë dhe inxhinieri sociale, përdorimi i keyloggers, sniffers, trojans, etj.
Fortësia e fjalëkalimit
Duke përmbledhur informacionin e marrë nga burime të ndryshme të besueshme, unë do të nënvizoj tiparet kryesore të një fjalëkalimi që është rezistent ndaj hakerimit (me hakim nënkuptoj kërkimin nëpër bazat e të dhënave hash, kur algoritmi i hashimit dihet paraprakisht):- Gjatësia e fjalëkalimit (sa më i gjatë aq më mirë), për raste të avancuara rekomandohet përdorimi i një fjalëkalimi me 15 karaktere;
- Mungesa e fjalëve të fjalorit dhe pjesëve të fjalëkalimeve të zakonshme në fjalëkalim;
- Mungesa e shablloneve kur krijoni një fjalëkalim (me shabllon nënkuptoj një algoritëm logjik për gjenerimin e një fjalëkalimi, për shembull: "Med777vedev", "12@ytsu@21" ose edhe "q1w2e3r4t5");
- Sekuenca stokastike të karaktereve nga grupe të ndryshme (të vogla, të mëdha, numra, shenja pikësimi dhe karaktere të veçanta);
Si i kujtojnë njerëzit fjalëkalimet e tyre?
Pasi analizova metodat e gjenerimit të fjalëkalimeve për Habrapeople, arrita në përfundimin se metodologjia kryesore për të kujtuar një fjalëkalim bazohet në hartimin e një serie logjike ose shoqëruese. Përdoren gjithashtu lloj-lloj shtrembërimesh të fjalëve. Ajo mund të jetë:- Emrat e domeneve të ndërthurura me hyrje ("gooUSERglcom", "UmailruSer");
- Një frazë e caktuar standarde që i bashkëngjitet domenit ("passgoogleru", "passhabrahabrru");
- Një fjalë e zakonshme e ndërthurur me numra të rëndësishëm dhe karaktere të tjera (“ ”, ku 32167 është një mashtrim që thirri 5 dragonj të zi në Heroes of Might & Magic);
- Fjalët ruse në paraqitjen angleze („k.lj)
