Paul Haskell-Dowland, Tekijä toimitti
Salasanoja on käytetty tuhansien vuosien ajan tunnistamaan itsemme muille ja viime aikoina tietokoneille. Se on yksinkertainen käsite - jaettu tieto, joka pidetään salassa yksilöiden välillä ja jota käytetään henkilöllisyyden "todistamiseen".
Salasanat IT-kontekstissa syntyi 1960-luvulla with keskuskone tietokoneet - suuret keskitetysti toimivat tietokoneet, joissa on etäpäätteet käyttäjien pääsyä varten. Niitä käytetään nyt kaikkeen PIN-koodista, jonka annamme pankkiautomaatissa, kirjautumiseen tietokoneisiin ja erilaisiin verkkosivustoihin.
Mutta miksi meidän on "todistettava" henkilöllisyytemme järjestelmille, joihin käytämme? Ja miksi salasanoja on niin vaikea saada oikein?
Mikä tekee hyvästä salasanasta?
Suhteellisen äskettäin hyvä salasana on voinut olla vain XNUMX–XNUMX merkin pituinen sana tai lause. Mutta meillä on nyt vähimmäispituuden ohjeet. Tämä johtuu “entropiasta”.
Kun puhutaan salasanoista, entropia on ennustettavuuden mitta. Tämän takana oleva matematiikka ei ole monimutkainen, mutta tutkitaan sitä vielä yksinkertaisemmalla mittarilla: mahdollisten salasanojen lukumäärä, jota joskus kutsutaan "salasanatilaksi".
Jos yksimerkkinen salasana sisältää vain yhden pientä kirjainta, on vain 26 mahdollista salasanaa ("a" - "z"). Lisäämällä isot kirjaimet kasvatamme salasanatilaa 52 potentiaaliseen salasanaan.
Salasanatila laajenee edelleen, kun pituus kasvaa ja muita merkityyppejä lisätään.
Salasanan tekeminen pidemmäksi tai monimutkaisemmaksi lisää huomattavasti mahdollista salasanatilaa. Lisää salasanatilaa tarkoittaa turvallisempaa salasanaa.
Edellä olevia lukuja tarkasteltaessa on helppo ymmärtää, miksi meitä kannustetaan käyttämään pitkiä salasanoja isoilla ja pienillä kirjaimilla, numeroilla ja symboleilla. Mitä monimutkaisempi salasana on, sitä enemmän yrityksiä sen arvaamiseen tarvitaan.
Salasanan monimutkaisuudesta riippuva ongelma on kuitenkin se, että tietokoneet pystyvät toistamaan tehtäviä erittäin tehokkaasti - mukaan lukien salasanojen arvaaminen.
Viime vuonna a ennätys asetettiin tietokoneelle, joka yrittää luoda kaikki mahdolliset salasanat. Se saavutti nopeuden nopeammin kuin 100,000,000,000 XNUMX XNUMX XNUMX arvausta sekunnissa.
Hyödyntämällä tätä laskentatehoa verkkorikolliset voivat murtautua järjestelmiin pommittamalla niitä mahdollisimman monilla salasanayhdistelmillä prosessissa nimeltä raa'at voimahyökkäykset.
Ja pilvipohjaisen tekniikan avulla kahdeksan merkin salasanan arvaaminen voidaan saavuttaa vain 12 minuutissa ja maksaa vain 25 dollaria.
Tein matematiikkaa.
- TechByTom (@techbytom) Helmikuu 14, 2019
Käyttämällä AWS s.3 -ilmentymiä kustannusten laskemiseen ja olettaen, että hyökkääjällä on 25 dollaria:
8-merkkinen salasanasi todennäköisesti murtuu 12 minuutissa tai vähemmän.
Koska salasanoja käytetään melkein aina pääsyyn arkaluonteisiin tietoihin tai tärkeisiin järjestelmiin, se motivoi rikollisia etsimään niitä aktiivisesti. Se ajaa myös kannattavia verkkomarkkinoita, jotka myyvät salasanoja, joista joissakin on sähköpostiosoitteet ja / tai käyttäjänimet.
Voit ostaa lähes 600 miljoonaa salasanaa verkosta vain 14 AUD!
Kuinka salasanoja tallennetaan verkkosivustoille?
Verkkosivustojen salasanat tallennetaan yleensä suojatulla tavalla käyttämällä matemaattista algoritmia hajautusta. Hajautettua salasanaa ei voida tunnistaa, eikä sitä voida muuttaa salasanaksi (peruuttamaton prosessi).
Kun yrität kirjautua sisään, kirjoittamasi salasana hajautetaan samalla prosessilla ja verrataan sivustoon tallennettuun versioon. Tämä prosessi toistetaan joka kerta, kun kirjaudut sisään.
Esimerkiksi salasanalle “Pa $$ w0rd” annetaan arvo “02726d40f378e716981c4321d60ba3a325ed6a4c” laskettaessa SHA1-hajautusalgoritmilla. Kokeile itse.
Kun tiedosto on täynnä tiivistettyjä salasanoja, voidaan käyttää raakaa voimaa hyökkäystä, joka yrittää kaikkia merkkikombinaatioita salasanan pituusalueella. Tästä on tullut niin yleinen käytäntö, että on verkkosivustoja, joissa luetellaan yleiset salasanat (lasketun) tiivistetyn arvon rinnalla. Voit yksinkertaisesti etsiä tiivistettä paljastamaan vastaavan salasanan.
Salasanasarjojen varastaminen ja myynti on nyt niin yleistä, a omistettu verkkosivusto - haveibeenpwned.com - on käytettävissä käyttäjien auttamiseksi tarkistamaan, ovatko heidän tilinsä "luonnossa". Tämä on kasvanut sisältämään yli 10 miljardia tilitietoa.
Jos sähköpostiosoitteesi on lueteltu tällä sivustolla, sinun on ehdottomasti vaihdettava havaittu salasana sekä muilla sivustoilla, joille käytät samoja kirjautumistietoja.
Onko monimutkaisuus ratkaisu?
Luulisi, että päivittäin tapahtuu niin monta salasanarikkomusta, että olisimme parantaneet salasananvalintakäytäntöjämme. Valitettavasti viime vuoden vuosittainen SplashData-salasanatutkimus on osoittanut vain vähän muutosta viiden vuoden aikana.
Vuoden 2019 vuotuinen SplashData-salasanatutkimus paljasti yleisimmät salasanat vuosina 2015--2019.
Laskentakapasiteetin kasvaessa ratkaisu näyttää olevan monimutkaisempi. Mutta ihmisinä emme ole taitavia (emmekä motivoituneita) muistamaan erittäin monimutkaisia salasanoja.
Olemme myös ylittäneet kohdan, jossa käytämme vain kahta tai kolmea järjestelmää, jotka tarvitsevat salasanan. Nyt on tavallista käyttää useita sivustoja, joista kukin vaatii salasanan (usein eripituinen ja monimutkainen). Tuoreen tutkimuksen mukaan keskimäärin 70-80 salasanaa henkilöä kohti.
Hyvä uutinen on, että on olemassa työkaluja näiden ongelmien ratkaisemiseksi. Suurin osa tietokoneista tukee nyt salasanojen tallentamista joko käyttöjärjestelmässä tai verkkoselaimessa, yleensä mahdollisuuden jakaa tallennetut tiedot useille laitteille.
Esimerkkejä ovat Applen iCloud avaimenperä ja kyky tallentaa salasanoja Internet Explorer, Chrome ja Firefox (vaikka vähemmän luotettavia).
Salasanan hallinta kuten KeePassXC voi auttaa käyttäjiä luomaan pitkiä, monimutkaisia salasanoja ja tallentamaan ne turvalliseen paikkaan tarvittaessa.
Vaikka tämä sijainti on vielä suojattava (yleensä pitkällä pääsalasanalla), salasananhallinnan avulla voit saada yksilöllisen, monimutkaisen salasanan jokaiselle vierailemallesi verkkosivustolle.
Tämä ei estä salasanan varastamista haavoittuvalta verkkosivustolta. Mutta jos se varastetaan, sinun ei tarvitse huolehtia saman salasanan vaihtamisesta kaikissa muissa sivustoissa.
Näissä ratkaisuissa on tietysti haavoittuvuuksia, mutta ehkä se on tarina toiselle päivälle.
Tietoja Tekijät
Paul Haskell-Dowland, apulaisdekaani (tietojenkäsittely ja turvallisuus), Edith Cowanin yliopisto ja Brianna O'Shea, eettisen hakkeroinnin ja puolustuksen lehtori, Edith Cowanin yliopisto
Tämä artikkeli julkaistaan uudelleen Conversation Creative Commons -lisenssin alla. Lue alkuperäinen artikkeli.
