Det er så vanlig nå, som vi alle gjør det uten å tenke på det: lag et passord som er minst x tegn, har minst ett tall og ett symbol, og er ikke fornavn eller etternavn. Enten du er på jobb eller opprette en Apple-ID, passord disse kravene for en “sterk” passord overalt.
Når du oppretter et nytt passord på en nettside som en dag, jeg begynte å tenke på hvor forskjellige alle kravene var. Noen nettsteder vil passord ikke kortere enn 3 tegn og noen håndheve et minimum av 8. Noen ønsker symboler, noen ikke. Noen bryr seg om ditt navn og tidligere passord, andre ikke. Så hvilket passord som er veldig sterk?
Jeg gjorde noen undersøkelser og fant ut to ting når du snakker om noen “cracking” passord: for det første, det er styrken av passord og for det andre, det er styrken på krypteringen som hasher passordet til vrøvl når de er lagret.
Jeg skjønte raskt at hele konseptet med et sterkt passord er veldig matematisk og det har vært mange studier gjort på dette emnet. Den som fanget min oppmerksomhet, og som jeg vil nevne i dette innlegget er fra 2011 Carnegie-Mellon studie.
Test Passordet Ditt Første
Før vi kommer inn på hva et sterkt passord er, la oss se hvor lang tid det ville ta å sprekke angivelig sterkt passord. For å sjekke at vi kommer til å bruke et verktøy på PassFault webområde:
https://passfault.appspot.com/password_strength.html
Her er hvordan det fungerer. Du skriver du inn passordet ditt og klikk Analysere. Det er to alternativer som er skjult som standard, men du kan klikke på Vis Alternativer. La oss forklare hva de betyr.
Sprengning Maskinvare standard til $900 passord angriper, som det ville være mulig for en legitim hacker. De har også muligheten til å velge en $180,000 passord angriperen, som Kineserne kan være med hvis det er så dyrt. Passordbeskyttelse drop down gir deg noen alternativer for den type kryptering som brukes til å lagre passordet. Microsoft Windows Systemet er den svakeste, ingen overraskelse der. Du har Trådløst WPA-Tilgangspunkt, UNIX SHA1, UNIX Blowfish, og 100 runder av SHA1.
Jeg prøvde min sterke passord som jeg bruker på et par av stedene og ble sjokkert over å se at det kan være sprekker i 1 dag!
Wow, det er ganske ille. Så da valgte jeg sterkere kryptering alternativer (Unix Blowfish og 100 runder av SHA1) og ble gladere for å se resultatene ville ta lengre tid enn en dag: 1 år og 7 måneder for Unix Blowfish og 2 måneder og 2 dager med 100 runder av SHA1. Men, med $180,000 passord angriper, den gikk ned til 11 dager og 3 dager, henholdsvis. Ikke akseptabelt jeg trodde! Jeg vil passordet mitt til å ta år å knekke selv med en super dyre passord cracker. Men hva er den beste måten siden jeg bruker en 9 tegn passord med tall og et symbol?
Hva Gjør et Passord Sterk?
Dette er hvor Carnegie-Mellon studie kaste litt lys over det hele. I utgangspunktet hva de har funnet ut er at jo lengre passordet du bruker, jo sterkere er den. Dette betyr ikke nødvendigvis at lengre passord er å ha mye av symboler eller tall, er det bare har å bli lang. På 16 tegn, alt du trenger for å unngå, er å bruke super enkelt ord fra ordboken.
Ikke overbevist om det er mulig? I PassFault nettstedet, kan du bruke følgende passord, som bare er 15 tegn, og er super enkel å huske:
ilovemywifealot
Så, for du valg, velger $180,000 passord angriper og velge den svakeste kryptering (Microsoft Windows), og dette er hva du får:
1 måned og 7 dager! Det er langt bedre enn mitt passord som sprakk i 1 dag. Så hva er galt med mitt passord? Vel, tydeligvis, hvis passordet er kortere, så du trenger ikke å bruke flere symboler, tilfeldige bokstaver og tall for å styrke det. Hvis det er lengre, for eksempel over 15 16 tegn, så trenger du ikke å bekymre deg for å legge til alle typer tall og symboler. Med et lengre passord, kan du selv bruke mer ordbok ord, og det vil fortsatt være svært sikre. Åpenbart et passord som hellohellohello fortsatt ville suge selv om det er 15 tegn:
Det suger, fordi det kommer til å være i ordboken, og det er det samme ord tre ganger. I min første passord der jeg bekjenner min kjærlighet til min kone, den setningen raskt begynner å se ut som tullet til en datamaskin og ingen sprekker ordlisten har som 15 karakter uttrykket som et ord. Ordbøkene har ordbok ord, så så lenge det ikke er rett ord fra ordboken, vil du bli god til å gå. Passordet mitt kunne ha vært enda bedre hvis jeg brukt min kones navn eller et kallenavn for henne i stedet for ordet “hustru”. Få ideen?
Selvfølgelig, hvis du kan kaste i en rekke symboler i en lang passord for, da passordet blir enda mer latterlig sterk. For eksempel, la oss si at jeg vil sette et utropstegn foran min kone passord og lagt til ett nummer til slutten. Så hvor lang tid ville det ta å knekke med de samme alternativene:
Holy cow! Så det gikk fra 1 måned 7 dager til en heidundrende 4 århundrer og 1 tiår!!! Ja århundrer!! Nå er det et sikkert passord og det er ikke veldig vanskelig å huske. Så sjekk ditt passord ved å bruke denne gratis online verktøy og hvis passordet er å få sprakk i et par dager, kan det være på tide å tenke på noe nytt, og spesielt for den sensitive informasjon som bank passord, osv.
Husk, mange av disse online nettsteder bli hacket hele tiden, slik at passordet er aldri trygg. Imidlertid, hvis du bruker en virkelig sterke passord, selv ikke hvis kryptering er svært svak, det ville ta en evighet for en super datamaskinen til å knekke den! Hvis du har prøvd passordet på nettstedet mens du leser dette innlegget, la oss beskjed i kommentarfeltet hvor lang tid det ville ta å knekke den. Nyt!