Güclü parolu necə yaratmaq və yadda saxlamaq olar

2024 Müəllif: Malcolm Clapton | [email protected]. Son dəyişdirildi: 2023-12-17 03:47

Heç kimin sındıra bilməyəcəyi parol yaratmağın ən yaxşı yolları.

Təcavüzkarların çoxu mürəkkəb parol oğurluq üsulları ilə narahat olmur. Onlar asanlıqla təxmin edilən kombinasiyaları qəbul edirlər. Bütün mövcud parolların təxminən 1%-i dörd cəhdlə brute-force ola bilər.

Bu necə mümkündür? Çox sadə. Siz dünyada ən çox yayılmış dörd kombinasiyanı sınayın: parol, 123456, 12345678, qwerty. Belə bir keçiddən sonra orta hesabla bütün "sandıqların" 1% -i açılır.

Deyək ki, parolu o qədər də sadə olmayan istifadəçilərin 99%-nin sırasındasınız. Bununla belə, müasir haker proqramlarının performansı nəzərə alınmalıdır.

Pulsuz, sərbəst mövcud John the Ripper proqramı saniyədə milyonlarla parolu yoxlayır. Xüsusi kommersiya proqram təminatının bəzi nümunələri saniyədə 2,8 milyard parol tutumunu iddia edir.

Başlanğıcda, krekinq proqramları statistik cəhətdən ən çox yayılmış birləşmələrin siyahısından keçir və sonra tam lüğətə istinad edir. Zamanla istifadəçilərin parol meylləri bir qədər dəyişə bilər və bu dəyişikliklər belə siyahılar yeniləndikdə nəzərə alınır.

Vaxt keçdikcə hər cür veb-xidmətlər və proqramlar istifadəçilər tərəfindən yaradılan parolları zorla mürəkkəbləşdirməyə qərar verdi. Tələblər əlavə edilib ki, ona görə parol müəyyən minimum uzunluğa malik olmalı, rəqəmlərdən, böyük hərflərdən və xüsusi simvollardan ibarət olmalıdır. Bəzi xidmətlər bunu o qədər ciddi qəbul etdi ki, sistemin qəbul edəcəyi bir parol tapmaq həqiqətən uzun və yorucu bir iş tələb edir.

Əsas problem ondan ibarətdir ki, demək olar ki, hər hansı bir istifadəçi həqiqətən brute-force parol yaratmır, ancaq sistemin parolun tərkibinə dair tələblərini minimuma endirməyə çalışır.

Nəticə parol1, parol123, Parol, PaSsWoRd, parol kimi parollardır! və inanılmaz dərəcədə gözlənilməz p @ ssword.

Təsəvvür edin ki, hörümçək adam parolunuzu yenidən yaratmalısınız. Çox güman ki, $ pider_Man1 kimi görünəcək. Orijinal? Minlərlə insan eyni və ya çox oxşar alqoritmdən istifadə edərək onu dəyişdirəcək.

Kraker bu minimum tələbləri bilirsə, vəziyyət daha da pisləşir. Məhz bu səbəbdən parolların mürəkkəbliyini artırmaq üçün qoyulan tələb heç də həmişə ən yaxşı təhlükəsizliyi təmin etmir və tez-tez artan təhlükəsizlik hissi yaradır.

Şifrəni yadda saxlamaq nə qədər asan olarsa, onun kraker lüğətlərinə düşmə ehtimalı bir o qədər yüksəkdir. Nəticədə məlum olur ki, həqiqətən güclü parolu yadda saxlamaq sadəcə mümkün deyil, yəni onu haradasa düzəltmək lazımdır.

Mütəxəssislərin fikrincə, indiki rəqəmsal əsrdə belə insanlar üzərində parollar yazılmış bir kağız parçasına arxalana bilərlər. Belə bir təbəqəni maraqlı gözlərdən gizli bir yerdə, məsələn, cüzdanda və ya cüzdanda saxlamaq rahatdır.

Bununla belə, parol vərəqi problemi həll etmir. Uzun parolları nəinki yadda saxlamaq, hətta daxil etmək də çətindir. Mobil cihazların virtual klaviaturaları vəziyyəti daha da ağırlaşdırır.

Onlarla xidmət və saytla qarşılıqlı əlaqədə olan bir çox istifadəçi arxada bir sıra eyni parollar buraxır. Riskləri tamamilə nəzərə almadan hər sayt üçün eyni paroldan istifadə etməyə çalışırlar.

Bu vəziyyətdə bəzi saytlar dayə kimi çıxış edərək birləşməni mürəkkəbləşdirməyə məcbur edir. Nəticədə istifadəçi bu sayt üçün standart vahid parolunu necə dəyişməli olduğunu xatırlaya bilmir.

Problemin miqyası 2009-cu ildə tam şəkildə reallaşdı. Daha sonra təhlükəsizlik boşluğuna görə haker Facebook-da oyunlar dərc edən RockYou.com şirkətinin login və parollar bazasını oğurlamağı bacarıb. Təcavüzkar verilənlər bazasını ictimaiyyətə açıq etdi. Ümumilikdə, o, hesablara istifadəçi adları və parolları olan 32,5 milyon girişdən ibarət idi. Sızmalar əvvəllər də olub, lakin bu xüsusi hadisənin miqyası bütün mənzərəni göstərdi.

RockYou.com-da ən populyar parol 123456 olub, ondan demək olar ki, 291.000 nəfər istifadə edib. 30 yaşdan kiçik kişilər daha çox cinsi mövzulara və vulqarlığa üstünlük verirdilər. Hər iki cinsdən olan yaşlı insanlar parol seçərkən çox vaxt müəyyən bir mədəniyyət sahəsinə müraciət edirlər. Məsələn, Epsilon793 o qədər də pis seçim kimi görünmür, yalnız bu kombinasiya Star Trek-də idi. Yeddi rəqəmli 8675309 dəfələrlə ortaya çıxdı, çünki bu nömrə Tommy Tutone mahnılarından birində göründü.

Əslində, güclü parol yaratmaq sadə bir işdir, təsadüfi simvolların birləşməsini tərtib etmək kifayətdir.

Siz başınızda riyazi cəhətdən mükəmməl təsadüfi birləşmə yarada bilməzsiniz, lakin sizdən tələb olunmur. Həqiqətən təsadüfi birləşmələr yaradan xüsusi xidmətlər var. Məsələn, bu kimi parollar yarada bilər:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Bu, xüsusilə parolları saxlamaq üçün menecerdən istifadə edənlər üçün sadə və zərif bir həlldir.

Təəssüf ki, əksər istifadəçilər “hər sayt üçün fərqli parollar” qaydasına məhəl qoymadan sadə, zəif parollardan istifadə etməyə davam edirlər. Onlar üçün rahatlıq təhlükəsizlikdən daha vacibdir.

Parol təhlükəsizliyinin pozula biləcəyi vəziyyətləri 3 geniş kateqoriyaya bölmək olar:

• Təsadüfi, burada tanıdığınız bir şəxs sizin haqqınızda bildiyi məlumatlara əsaslanaraq parolu öyrənməyə çalışır. Çox vaxt belə bir kraker yalnız bir oyun oynamaq, sizin haqqınızda bir şey tapmaq və ya qarışıqlıq yaratmaq istəyir.
• Kütləvi hücumlarmüəyyən xidmətlərin tamamilə hər hansı bir istifadəçisi qurbana çevrilə bildikdə. Bu vəziyyətdə xüsusi proqram təminatı istifadə olunur. Hücum üçün ən az təhlükəsiz saytlar seçilir ki, bu da qısa müddət ərzində parol seçimlərini dəfələrlə daxil etməyə imkan verir.
• Məqsədligöstərişlərin alınmasını (birinci halda olduğu kimi) və xüsusi proqram təminatının istifadəsini (kütləvi hücumda olduğu kimi) birləşdirən. Bu, həqiqətən dəyərli məlumatları əldə etməyə çalışmaqdır. Yalnız kifayət qədər uzun təsadüfi parol özünüzü qorumağa kömək edəcək, seçimi həyatınızın müddəti ilə müqayisə edilə bilən vaxt aparacaq.

Gördüyünüz kimi, tamamilə hər kəs qurban ola bilər. “Mənim parolum oğurlanmayacaq, çünki mənə heç kimə lazım deyil” kimi ifadələr aktual deyil, çünki oxşar vəziyyətə tamamilə təsadüfən, təsadüfən, heç bir səbəb olmadan düşə bilərsiniz.

Dəyərli məlumatı olan, bizneslə əlaqəsi olan və ya kiminləsə maliyyə zəmində münaqişədə olanlar (məsələn, boşanma prosesində əmlak bölgüsü, biznesdə rəqabət) üçün parol qorunmasını qəbul etmək daha ciddidir.

2009-cu ildə Twitter (bütün xidmət anlayışında) yalnız administrator xoşbəxtlik sözünü parol kimi istifadə etdiyi üçün sındırıldı. Haker onu götürdü və onu Digital Gangster saytında yerləşdirdi, bu da Obama, Britney Spears, Facebook və Fox News-un hesablarının oğurlanmasına səbəb oldu.

Akronimlər

Həyatın hər hansı digər aspektində olduğu kimi, biz həmişə maksimum təhlükəsizlik və maksimum rahatlıq arasında kompromis tapmalıyıq. Orta yeri necə tapmaq olar? Parolların yaradılması üçün hansı strategiya asanlıqla yadda saxlanıla bilən güclü birləşmələr yaratmağa imkan verəcək?

Hazırda etibarlılıq və rahatlığın ən yaxşı birləşməsi söz və ya ifadəni parola çevirməkdir.

Həmişə xatırladığınız sözlər toplusu seçilir və parol kimi hər sözün ilk hərflərinin birləşməsi istifadə olunur. Məsələn, güc sizinlə olsun Mtfbwy-ə çevrilir.

Bununla belə, ən məşhur olanlar ilkin ifadələr kimi istifadə ediləcəyi üçün proqramlar nəticədə bu qısaltmaları öz siyahılarında alacaqlar. Əslində, akronim yalnız hərfləri ehtiva edir və buna görə də simvolların təsadüfi birləşməsindən obyektiv olaraq daha az etibarlıdır.

Düzgün ifadə seçimi ilk problemdən xilas olmağa kömək edəcək. Niyə dünyaca məşhur ifadəni qısaldılmış parola çevirmək olar? Yəqin ki, yalnız yaxın ətrafınız arasında aktual olan bəzi zarafatları və deyimləri xatırlayırsınız. Deyək ki, yerli bir müəssisədə bir barmendən çox cəlbedici bir ifadə eşitdiniz. İstifadə edin.

Yenə də yaratdığınız abbreviatura parolunun unikal olması ehtimalı azdır. Akronimlərlə bağlı problem ondan ibarətdir ki, müxtəlif ifadələr eyni hərflərlə və eyni ardıcıllıqla başlayan sözlərdən düzələ bilər. Statistik olaraq, müxtəlif dillərdə sözün başlanğıcı kimi müəyyən hərflərin görünməsi tezliyi artır. Proqramlar bu amilləri nəzərə alacaq və ilkin versiyada qısaltmaların effektivliyi azalacaq.

Əks yol

Çıxış yolu nəslin əks yolu ola bilər. Siz random.org saytında tamamilə təsadüfi parol yaradırsınız və sonra onun simvollarını mənalı yaddaqalan ifadəyə çevirirsiniz.

Çox vaxt xidmətlər və saytlar istifadəçilərə tamamilə eyni təsadüfi birləşmələr olan müvəqqəti parollar təqdim edir. Onları dəyişdirmək istəyəcəksiniz, çünki xatırlaya bilməyəcəksiniz, ancaq daha yaxından baxın və aydın olur: parolu xatırlamağa ehtiyac yoxdur. Məsələn, random.org-dan başqa bir variant götürək - RPM8t4ka.

Mənasız görünsə də, beynimiz belə xaosda belə müəyyən qanunauyğunluqlar və uyğunluqlar tapmağı bacarır. Başlamaq üçün qeyd edə bilərsiniz ki, içindəki ilk üç hərf böyük, sonrakı üç hərf isə kiçikdir. 8 iki dəfədir (İngilis dilində iki dəfə - t) 4. Bu parola bir az baxın və siz mütləq təklif olunan hərf və rəqəmlər dəsti ilə öz assosiasiyalarınızı tapacaqsınız.

Əgər cəfəng sözlər toplusunu yadda saxlaya bilirsinizsə, ondan istifadə edin. Şifrə dəqiqədə 8 track 4 katty inqilablara çevrilsin. Beyninizin daha yaxşı olduğu hər hansı bir çevrilmə edəcək.

Təsadüfi parol informasiya təhlükəsizliyində qızıl standartdır. Bu, tərifinə görə, hər hansı bir insan tərəfindən hazırlanmış paroldan daha yaxşıdır.

Akronimlərin dezavantajı odur ki, zaman keçdikcə belə bir texnikanın yayılması onun effektivliyini azaldacaq və əks üsul, hətta yer üzündəki bütün insanlar min il istifadə etsə belə, eyni dərəcədə etibarlı olaraq qalacaq.

Təsadüfi parol məşhur kombinasiyalar siyahısına daxil edilməyəcək və kütləvi hücum metodundan istifadə edən təcavüzkar belə parolu yalnız kobud şəkildə tətbiq edəcək.

Böyük hərf və rəqəmləri nəzərə alan sadə təsadüfi parol götürək - bu, hər mövqe üçün 62 mümkün simvoldur. Şifrəni cəmi 8 rəqəm etsək, onda 62 ^ 8 = 218 trilyon variant alırıq.

Müəyyən bir zaman intervalında cəhdlərin sayı məhdud olmasa belə, saniyədə 2,8 milyard parol tutumlu ən kommersiya ixtisaslaşdırılmış proqram təminatı düzgün kombinasiyanı tapmaq üçün orta hesabla 22 saat sərf edəcək. Əmin olmaq üçün belə bir parola yalnız 1 əlavə simvol əlavə edirik - və onu sındırmaq üçün uzun illər lazımdır.

Təsadüfi parol toxunulmaz deyil, çünki oğurlana bilər. Klaviatura daxiletməsini oxumaqdan tutmuş çiyninizdə kameraya qədər seçimlər çoxdur.

Haker xidmətin özünə zərbə vura və birbaşa onun serverlərindən məlumat əldə edə bilər. Bu vəziyyətdə heç bir şey istifadəçidən asılı deyil.

Bir etibarlı təməl

Beləliklə, əsas məsələyə gəldik. Real həyatda istifadə etmək üçün təsadüfi parol taktikaları hansılardır? Etibarlılıq və rahatlıq balansı baxımından “bir güclü parol fəlsəfəsi” özünü yaxşı tərəfdən göstərəcək.

Prinsip ondan ibarətdir ki, siz eyni əsasdan - sizin üçün ən vacib olan xidmətlərdə və saytlarda super güclü paroldan (onun varyasyonlarından) istifadə edirsiniz.

Hər kəs üçün uzun və çətin bir birləşməni xatırlayın.

İnformasiya təhlükəsizliyi üzrə məsləhətçi Nik Berri parolun çox yaxşı mühafizəsi şərti ilə bu prinsipin tətbiqinə icazə verir.

Şifrəni daxil etdiyiniz kompüterdə zərərli proqramın olmasına icazə verilmir. Daha az vacib və əyləncəli saytlar üçün eyni paroldan istifadə etməyə icazə verilmir - daha sadə parollar onlar üçün kifayətdir, çünki burada bir hesabı sındırmaq heç bir ölümcül nəticələrə səbəb olmayacaqdır.

Aydındır ki, etibarlı baza hər bir sayt üçün bir şəkildə dəyişdirilməlidir. Sadə bir seçim olaraq, saytın və ya xidmətin adını bitirən başlanğıca bir hərf əlavə edə bilərsiniz. Həmin təsadüfi RPM8t4ka paroluna qayıtsaq, o, Facebook avtorizasiyası üçün kRPM8t4ka-ya çevriləcək.

Belə bir parol görən təcavüzkar bank hesabınız üçün parolun necə yaradıldığını anlaya bilməyəcək. Əgər kimsə bu şəkildə yaradılan iki və ya daha çox parolunuza giriş əldə edərsə, problemlər başlayacaq.

Gizli sual

Bəzi oğrular parollara məhəl qoymurlar. Onlar hesab sahibinin adından hərəkət edirlər və parolunuzu unutduğunuz və gizli sualla onu bərpa etmək istədiyiniz bir vəziyyəti simulyasiya edirlər. Bu ssenaridə o, parolu istədiyi kimi dəyişə bilər və əsl sahibi öz hesabına girişi itirəcək.

2008-ci ildə kimsə Alyaskanın qubernatoru və o vaxt prezidentliyə namizəd olan Sara Peylin elektron poçtuna daxil olub. Oğru belə səslənən gizli suala belə cavab verib: “Ərinlə harada tanış olmusan?”.

4 ildən sonra o vaxt ABŞ prezidentliyinə də namizəd olan Mitt Romni müxtəlif xidmətlərdəki bir neçə hesabını itirdi. Kimsə Mitt Romninin ev heyvanının adı ilə bağlı gizli suala cavab verib.

Artıq mətləbi təxmin etmisiniz.

Siz açıq və asanlıqla təxmin edilən məlumatları gizli sual və cavab kimi istifadə edə bilməzsiniz.

Məsələ burasında deyil ki, bu məlumatı diqqətlə İnternetdən və ya şəxsin yaxın adamlarından əldə etmək olar. "Heyvan adı", "sevimli xokkey komandası" və s. üslubunda suallara cavablar məşhur variantların müvafiq lüğətlərindən mükəmməl şəkildə seçilir.

Müvəqqəti bir seçim olaraq, cavabın absurdluğu taktikasından istifadə edə bilərsiniz. Sadə dillə desək, cavabın gizli sualla heç bir əlaqəsi olmamalıdır. Ananın qızlıq soyadı? Difenhidramin. Ev heyvanı Adı? 1991.

Bununla belə, belə bir texnika geniş yayılmışdırsa, müvafiq proqramlarda nəzərə alınacaqdır. Absurd cavablar çox vaxt stereotipləşir, yəni bəzi ifadələrə digərlərindən daha çox rast gəlinir.

Əslində, real cavablardan istifadə etməkdə qəbahət yoxdur, sadəcə olaraq sualı ağılla seçmək lazımdır. Əgər sual qeyri-standartdırsa və onun cavabı yalnız sizə məlumdursa və üç cəhddən sonra təxmin etmək mümkün deyilsə, hər şey qaydasındadır. Dürüst olmağın üstünlüyü ondan ibarətdir ki, zamanla bunu unuda bilməyəcəksiniz.

PİN

Şəxsi İdentifikasiya Nömrəsi (PIN) pulumuzun etibar etdiyi ucuz kiliddir. Heç kim ən azı bu dörd rəqəmin daha etibarlı birləşməsini yaratmaqdan narahat deyil.

İndi dayan. Elə indi. Hal-hazırda, növbəti paraqrafı oxumadan, ən populyar PİN kodu təxmin etməyə çalışın. Hazırsan?

Nik Berri hesab edir ki, ABŞ əhalisinin 11%-i PİN kodu olaraq 1234 kodundan istifadə edir (burada onu özləri dəyişə bilərlər).

Hakerlər PİN-kodlara diqqət yetirmirlər, çünki kartın fiziki iştirakı olmadan kod yararsızdır (bu, kodun kiçik uzunluğuna qismən haqq qazandıra bilər).

Berri şəbəkədə sızmalardan sonra ortaya çıxan dörd rəqəmli parolların siyahılarını götürüb. 1967-ci il parolundan istifadə edən şəxs çox güman ki, onu bir səbəbdən seçib. İkinci ən populyar PİN 1111-dir və insanların 6%-i bu koda üstünlük verir. Üçüncü yerdə 0000 (2%).

Tutaq ki, bu məlumatı bilən adamın əlində bank kartı var. Kartı bloklamaq üçün üç cəhd. Sadə riyaziyyat göstərir ki, bu şəxs 1234, 1111 və 0000-ı ardıcıl olaraq daxil edərsə, PİN kodunu təxmin etmək şansının 19% olur.

Yəqin ki, bu səbəbdən də bankların böyük əksəriyyəti buraxılan plastik kartlara PİN-kodları özləri təyin edirlər.

Bununla belə, bir çox insanlar smartfonları PIN kodu ilə qoruyur və burada aşağıdakı populyarlıq reytinqi tətbiq olunur: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 33353, 6186, 3553, 6186, 4321, 2001, 1010.

Çox vaxt PİN bir ili (doğum ili və ya tarixi tarix) təmsil edir.

Bir çox insanlar təkrarlanan nömrə cütləri şəklində PİN kodu yaratmağı xoşlayır (üstəlik, birinci və ikinci nömrələrin bir-birindən fərqləndiyi cütlər xüsusilə məşhurdur).

Mobil cihazların rəqəmsal klaviaturaları yuxarıda 2580 kimi kombinasiyaları göstərir - onu yazmaq üçün mərkəzdən yuxarıdan aşağıya birbaşa keçid etmək kifayətdir.

Koreyada 1004 rəqəmi "mələk" sözü ilə həmahəngdir və bu kombinasiyanı orada olduqca populyar edir.

Nəticə

1. random.org saytına daxil olun və orada 5-10 namizəd parolu yaradın.
2. Unudulmaz ifadəyə çevirə biləcəyiniz parol seçin.
3. Parolunuzu yadda saxlamaq üçün bu ifadədən istifadə edin.