所以您認為您的Internet密碼安全嗎?
保羅·哈斯克爾·道蘭德, 作者提供

密碼已被使用了數千年,作為一種向他人和最近的計算機進行身份識別的方法。 這是一個簡單的概念–一條共享的信息,在個人之間保密,並用來“證明”身份。

IT環境中的密碼 出現在1960年代 with 大型機 計算機–大型中央操作計算機,帶有用於用戶訪問的遠程“終端”。 現在,它們已用於從ATM上輸入的PIN到登錄我們的計算機和各種網站的所有內容。

但是,為什麼我們需要向訪問的系統“證明”我們的身份? 為什麼密碼很難正確輸入?

什麼才是好的密碼?

直到最近為止,一個好的密碼可能只是一個少於XNUMX到XNUMX個字符的單詞或短語。 但是我們現在有了最小長度準則。 這是因為“熵”。

當談論密碼時,熵就是 衡量可預測性。 背後的數學並不復雜,但讓我們以更簡單的方法進行檢查:可能的密碼數量,有時也稱為“密碼空間”。

內在自我訂閱圖形

如果一個字符的密碼僅包含一個小寫字母,則只有26種可能的密碼(“ a”至“ z”)。 通過包含大寫字母,我們將密碼空間增加到52個潛在密碼。

隨著長度的增加和其他字符類型的增加,密碼空間將繼續擴大。

設置更長或更複雜的密碼會大大增加潛在的“密碼空間”。 更大的密碼空間意味著更安全的密碼。

設置更長或更複雜的密碼會大大增加潛在的“密碼空間”。 (所以您認為您的互聯網密碼是安全的)

從以上數字可以很容易地理解為什麼我們鼓勵使用長密碼,並使用大小寫字母,數字和符號。 密碼越複雜,猜測密碼的嘗試就越多。

但是,取決於密碼複雜性的問題在於,計算機在重複執行任務(包括猜測密碼)方面非常高效。

去年, 記錄已設定 嘗試生成所有可能的密碼的計算機。 它的速度超過了每秒100,000,000,000億次猜測。

通過利用這種計算能力,網絡犯罪分子可以通過以下過程來攻擊系統:使用盡可能多的密碼組合對它們進行轟炸 蠻力攻擊.

借助基於雲的技術,只需12分鐘即可猜到25個字符的密碼,而費用卻只有XNUMX美元。

另外,由於密碼幾乎總是用於提供對敏感數據或重要係統的訪問權限,因此這會激發網絡犯罪分子主動尋找它們。 它還推動了利潤豐厚的在線市場銷售密碼,其中一些密碼包含電子郵件地址和/或用戶名。

您只需600澳元就可以在線購買近14億個密碼!

密碼如何存儲在網站上?

網站密碼通常使用稱為的數學算法以受保護的方式存儲 散列。 哈希密碼無法識別,無法將其轉換回密碼(不可逆過程)。

嘗試登錄時,將使用相同的過程對輸入的密碼進行哈希處理,並將其與站點上存儲的版本進行比較。 每次登錄時都會重複此過程。

例如,使用SHA0哈希算法計算時,密碼“ Pa $$ w02726rd”的值將為“ 40d378f716981e4321c60d3ba325a6ed4a1c”。 試試吧 .

當面對充滿散列密碼的文件時,可以使用蠻力攻擊,嘗試每種字符組合以獲取一定範圍的密碼長度。 這已成為一種常見的做法,以至於有些網站列出了常見密碼以及它們的(計算出的)哈希值。 您可以簡單地搜索哈希以顯示相應的密碼。

密碼清單的盜竊和銷售現在非常普遍, 專門網站 - haveibeenpwned.com —可幫助用戶檢查其帳戶是否“瘋狂”。 如今已經包括超過10億個帳戶詳細信息。

如果此站點上列出了您的電子郵件地址,則絕對應該更改檢測到的密碼,以及在使用相同憑據的任何其他站點上。

解決方案是否更複雜?

您會認為,每天發生如此多的密碼洩露事件,我們會改進密碼選擇的做法。 不幸的是,去年的年度 SplashData密碼調查 五年來幾乎沒有變化。

2019年SplashData年度密碼調查顯示了2015年至2019年最常見的密碼。2019年SplashData年度密碼調查顯示了2015年至2019年最常見的密碼。

隨著計算能力的提高,該解決方案似乎會增加複雜性。 但是,作為人類,我們不熟練(也不願意)記住高度複雜的密碼。

我們還通過了僅使用兩個或三個需要密碼的系統的觀點。 現在,訪問多個站點很普遍,每個站點都需要密碼(通常長度和復雜性各不相同)。 最近的一項調查表明,平均而言, 每人70-80個密碼.

好消息是有解決這些問題的工具。 現在,大多數計算機都支持在操作系統或Web瀏覽器中存儲密碼,通常可以選擇在多個設備之間共享存儲的信息。

例子包括蘋果的 icloud的鑰匙扣 並且可以在Internet Explorer,Chrome和Firefox中保存密碼(儘管 不太可靠).

密碼管理員 例如KeePassXC可以幫助用戶生成長而復雜的密碼,並將其存儲在安全的位置,以備不時之需。

儘管仍然需要保護此位置(通常使用長的“主密碼”),但是使用密碼管理器可以為您訪問的每個網站提供唯一,複雜的密碼。

這不會阻止從易受攻擊的網站竊取密碼。 但是,如果它被盜了,您將不必擔心在所有其他站點上更改相同的密碼。

這些解決方案中當然也存在漏洞,但這也許是另一回事了。

關於作者

Paul Haskell-Dowland,副院長(計算和安全), 伊迪絲科文大學 和道德黑客與防禦講師Brianna O'Shea, 伊迪絲科文大學

本文重新發表 談話 根據知識共享許可。 閱讀 原創文章.