Kaya Sa Palagay Mo Ligtas ang Iyong Mga Password sa Internet?
Paul Haskell-Dowland
, Author ibinigay

Ang mga password ay ginamit nang libu-libong taon bilang isang paraan ng pagkilala sa ating sarili sa iba at sa mga pinakabagong oras, sa mga computer. Ito ay isang simpleng konsepto - isang nakabahaging piraso ng impormasyon, itinatago sa pagitan ng mga indibidwal at ginamit upang "patunayan" ang pagkakakilanlan.

Ang mga password sa isang konteksto ng IT umusbong noong 1960s sa kompyuter ng karaniwang sukat mga computer - malalaking computer na pinamamahalaan ng gitnang may malayong mga "terminal" para sa pag-access ng gumagamit. Ginamit na sila ngayon para sa lahat mula sa PIN na ipinasok namin sa isang ATM, hanggang sa pag-log in sa aming mga computer at iba't ibang mga website.

Ngunit bakit kailangan nating "patunayan" ang ating pagkakakilanlan sa mga system na na-access natin? At bakit napakahirap makuha ng mga password?

Ano ang gumagawa ng isang mahusay na password?

Hanggang kamakailan lamang, ang isang mahusay na password ay maaaring isang salita o parirala ng kasing kaunti ng anim hanggang walong mga character. Ngunit mayroon na kaming minimum na mga alituntunin sa haba. Ito ay dahil sa "entropy".

Kapag pinag-uusapan ang tungkol sa mga password, ang entropy ay ang sukat ng kakayahang mahulaan. Ang matematika sa likod nito ay hindi kumplikado, ngunit suriin natin ito sa isang mas simpleng hakbang: ang bilang ng mga posibleng password, kung minsan ay tinutukoy bilang "puwang ng password".


innerself subscribe graphic


Kung ang isang isang character na password ay naglalaman lamang ng isang maliit na letra, mayroon lamang 26 mga posibleng password ("a" hanggang "z"). Sa pamamagitan ng pagsasama ng malalaking titik, pinapataas namin ang aming puwang sa password sa 52 mga potensyal na password.

Ang puwang ng password ay patuloy na lumalawak habang ang haba ay nadagdagan at iba pang mga uri ng character ay idinagdag.

Ang paggawa ng isang password na mas mahaba o mas kumplikado ay lubos na nagdaragdag ng potensyal na 'puwang ng password'. Ang mas maraming puwang sa password ay nangangahulugang isang mas ligtas na password.

Ang paggawa ng isang password na mas mahaba o mas kumplikado ay lubos na nagdaragdag ng potensyal na 'puwang ng password'. (kaya sa palagay mo ay ligtas ang iyong mga password sa internet)

Kung titingnan ang mga numero sa itaas, madaling maunawaan kung bakit hinihikayat kaming gumamit ng mahabang mga password na may mga malalaki at maliit na titik, numero at simbolo. Ang mas kumplikadong password, mas maraming mga pagtatangka na kinakailangan upang hulaan ito.

Gayunpaman, ang problema sa depende sa pagiging kumplikado ng password ay ang mga computer ay lubos na mahusay sa paulit-ulit na mga gawain - kasama ang paghula ng mga password.

Noong nakaraang taon, a itinakda ang talaan para sa isang computer na sumusubok na makabuo ng bawat naiisip na password. Nakamit nito ang isang rate nang mas mabilis kaysa sa 100,000,000,000 hula bawat segundo.

Sa pamamagitan ng paggamit ng lakas na ito sa computing, ang mga cyber kriminal ay maaaring mag-hack sa mga system sa pamamagitan ng pagbomba sa kanila ng maraming mga kumbinasyon ng password hangga't maaari, sa isang proseso na tinatawag na pag-atake ng brute force.

At sa cloud-based na teknolohiya, ang paghula ng isang walong character na password ay maaaring makamit sa kasing liit ng 12 minuto at nagkakahalaga ng kasing maliit ng US $ 25.

Gayundin, dahil ang mga password ay halos palaging ginagamit upang magbigay ng pag-access sa sensitibong data o mahahalagang sistema, ito ay nag-uudyok sa mga cyber kriminal na aktibong hanapin sila. Naghahatid din ito ng isang kapaki-pakinabang na online market na nagbebenta ng mga password, na ang ilan ay mayroong mga email address at / o mga username.

Maaari kang bumili ng halos 600 milyong mga password sa online sa halagang AU $ 14!

Paano nakaimbak ang mga password sa mga website?

Ang mga password ng website ay karaniwang nakaimbak sa isang protektadong pamamaraan gamit ang tinatawag na matematika algorithm hashing. Ang isang hashed password ay hindi makikilala at hindi maaaring ibalik sa password (isang hindi maibabalik na proseso).

Kapag sinubukan mong mag-login, ang password na ipasok mo ay na-hash gamit ang parehong proseso at ihinahambing sa bersyon na nakaimbak sa site. Ang prosesong ito ay paulit-ulit sa tuwing mag-login ka.

Halimbawa, ang password na "Pa $$ w0rd" ay binibigyan ng halagang "02726d40f378e716981c4321d60ba3a325ed6a4c" kapag kinakalkula gamit ang SHA1 hashing algorithm. Subukan mo iyong sarili.

Kapag nahaharap sa isang file na puno ng mga hash password, maaaring magamit ang isang brute force atake, sinusubukan ang bawat kumbinasyon ng mga character para sa isang saklaw ng haba ng password. Ito ay naging isang pangkaraniwang kasanayan na may mga website na naglilista ng mga karaniwang password sa tabi ng kanilang (kinakalkula) na hash na halaga. Maaari mo lamang hanapin ang hash upang ibunyag ang kaukulang password.

Ang pagnanakaw at pagbebenta ng mga listahan ng password ay pangkaraniwan na ngayon, a nakalaang website - mayibeenpwned.com - ay magagamit upang matulungan ang mga gumagamit na suriin kung ang kanilang mga account ay "nasa ligaw". Lumago ito upang isama ang higit sa 10 bilyong mga detalye sa account.

Kung nakalista ang iyong email address sa site na ito dapat mong tiyak na baguhin ang napansin na password, pati na rin sa anumang iba pang mga site kung saan mo ginagamit ang parehong mga kredensyal.

Mas kumplikado ba ang solusyon?

Iisipin mo sa maraming mga paglabag sa password na nangyayari araw-araw, pinahusay namin ang aming mga kasanayan sa pagpili ng password. Sa kasamaang palad, taunang nakaraang taon Survey sa password ng SplashData ay nagpakita ng maliit na pagbabago sa loob ng limang taon.

Ang taunang survey ng password sa SplashData sa 2019 ay nagsiwalat ng pinakakaraniwang mga password mula 2015 hanggang 2019.Ang taunang survey ng password sa SplashData sa 2019 ay nagsiwalat ng pinakakaraniwang mga password mula 2015 hanggang 2019.

Tulad ng pagtaas ng mga kakayahan sa computing, ang solusyon ay lilitaw na nadagdagan ang pagiging kumplikado. Ngunit bilang mga tao, hindi tayo bihasa (o na uudyok) na alalahanin ang lubos na kumplikadong mga password.

Naipasa rin namin ang punto kung saan gumagamit lang kami ng dalawa o tatlong mga system na nangangailangan ng isang password. Karaniwan na ngayong mag-access ng maraming mga site, sa bawat nangangailangan ng isang password (madalas na magkakaiba ang haba at pagiging kumplikado). Ang isang kamakailang survey ay nagpapahiwatig na mayroong, sa average, 70-80 mga password bawat tao.

Ang magandang balita ay may mga tool upang matugunan ang mga isyung ito. Karamihan sa mga computer ngayon ay sumusuporta sa pag-iimbak ng password sa alinman sa operating system o web browser, karaniwang may pagpipiliang ibahagi ang nakaimbak na impormasyon sa maraming mga aparato.

Kasama sa mga halimbawa ang Apple iCloud Keychain at ang kakayahang makatipid ng mga password sa Internet Explorer, Chrome at Firefox (bagaman mas maaasahan).

Mga tagapamahala ng password tulad ng KeePassXC ay maaaring makatulong sa mga gumagamit na bumuo ng mahaba, kumplikadong mga password at iimbak ang mga ito sa isang ligtas na lokasyon para sa kung kailan kinakailangan.

Habang ang lokasyon na ito ay kailangan pa rin protektahan (karaniwang may isang mahabang "master password"), ang paggamit ng isang password manager ay nagbibigay-daan sa iyo upang magkaroon ng isang natatanging, kumplikadong password para sa bawat website na iyong binibisita.

Hindi nito pipigilan ang isang password mula sa ninakaw mula sa isang mahihinang website. Ngunit kung ito ay ninakaw, hindi ka mag-aalala tungkol sa pagbabago ng parehong password sa lahat ng iyong iba pang mga site.

Mayroong mga kahinaan din ng kurso sa mga solusyon na ito, ngunit marahil iyon ay isang kuwento para sa ibang araw.

Tungkol sa May-akda

Paul Haskell-Dowland, Associate Dean (Computing at Security), Edith Cowan University at Brianna O'Shea, Lecturer, Ethical Hacking and Defense, Edith Cowan University

Ang artikulong ito ay muling nai-publish mula sa Ang pag-uusap sa ilalim ng lisensya ng Creative Commons. Basahin ang ang orihinal na artikulo.