Jadi Anda Fikirkan Kata Laluan Internet Anda Selamat?
Paul Haskell-Dowland
, Pengarang disediakan

Kata laluan telah digunakan selama ribuan tahun sebagai alat untuk mengenali diri kita dengan orang lain dan pada masa yang lebih baru, untuk komputer. Ini konsep sederhana - maklumat yang dikongsi, dirahsiakan antara individu dan digunakan untuk "membuktikan" identiti.

Kata laluan dalam konteks IT muncul pada tahun 1960-an bersama kerangka utama komputer - komputer besar yang dikendalikan secara berpusat dengan "terminal" jarak jauh untuk akses pengguna. Mereka sekarang digunakan untuk segala sesuatu dari PIN yang kita masukkan di ATM, untuk masuk ke komputer dan pelbagai laman web.

Tetapi mengapa kita perlu "membuktikan" identiti kita ke sistem yang kita akses? Dan mengapa kata laluan begitu sukar untuk betul?

Apa yang menjadikan kata laluan yang baik?

Sehingga relatif baru-baru ini, kata laluan yang baik mungkin merupakan kata atau frasa yang terdiri daripada enam hingga lapan aksara. Tetapi sekarang kita mempunyai garis panduan panjang minimum. Ini kerana "entropi".

Apabila bercakap mengenai kata laluan, entropi adalah ukuran ramalan. Matematik di belakang ini tidak rumit, tetapi mari kita memeriksanya dengan ukuran yang lebih sederhana: bilangan kata laluan yang mungkin, kadang-kadang disebut sebagai "ruang kata laluan".


grafik langganan dalaman


Sekiranya kata laluan satu watak hanya mengandungi satu huruf kecil, hanya ada 26 kata laluan yang mungkin ("a" hingga "z"). Dengan memasukkan huruf besar, kami menambah ruang kata laluan kepada 52 kata laluan yang berpotensi.

Ruang kata laluan terus berkembang apabila panjangnya bertambah dan jenis watak lain ditambahkan.

Membuat kata laluan lebih lama atau lebih kompleks akan meningkatkan 'ruang kata laluan' yang berpotensi. Lebih banyak ruang kata laluan bermaksud kata laluan yang lebih selamat.

Membuat kata laluan lebih lama atau lebih kompleks akan meningkatkan 'ruang kata laluan' yang berpotensi. (jadi anda fikir kata laluan internet anda selamat)

Melihat angka di atas, mudah difahami mengapa kita digalakkan menggunakan kata laluan panjang dengan huruf besar, huruf kecil, dan simbol. Semakin kompleks kata laluan, semakin banyak percubaan yang diperlukan untuk meneka.

Namun, masalah dengan bergantung pada kerumitan kata laluan adalah bahawa komputer sangat cekap dalam mengulangi tugas - termasuk meneka kata laluan.

Tahun lepas, a rekod telah ditetapkan untuk komputer yang berusaha menghasilkan setiap kata laluan yang boleh difikirkan. Ia mencapai kadar lebih cepat daripada 100,000,000,000 tekaan sesaat.

Dengan memanfaatkan kekuatan pengkomputeran ini, penjenayah siber dapat meretas sistem dengan mengebom mereka dengan kombinasi kata laluan sebanyak mungkin, dalam proses yang disebut serangan kekuatan kasar.

Dan dengan teknologi berasaskan awan, meneka kata laluan lapan aksara dapat dicapai dalam masa 12 minit dan berharga hanya AS $ 25.

Juga, kerana kata laluan hampir selalu digunakan untuk memberi akses kepada data sensitif atau sistem penting, ini mendorong penjenayah siber untuk mencarinya secara aktif. Ini juga mendorong kata laluan menjual pasaran dalam talian yang menguntungkan, beberapa di antaranya dilengkapi dengan alamat e-mel dan / atau nama pengguna.

Anda boleh membeli hampir 600 juta kata laluan dalam talian dengan harga hanya $ 14!

Bagaimana kata laluan disimpan di laman web?

Kata laluan laman web biasanya disimpan secara terlindung menggunakan algoritma matematik yang dipanggil hash. Kata laluan hash tidak dapat dikenali dan tidak dapat dikembalikan menjadi kata laluan (proses yang tidak dapat dipulihkan).

Apabila anda cuba log masuk, kata laluan yang anda masukkan dicincang menggunakan proses yang sama dan dibandingkan dengan versi yang disimpan di laman web ini. Proses ini diulang setiap kali anda log masuk.

Sebagai contoh, kata laluan "Pa $$ w0rd" diberi nilai "02726d40f378e716981c4321d60ba3a325ed6a4c" apabila dikira menggunakan algoritma pencantuman SHA1. Cuba ia diri sendiri.

Ketika berhadapan dengan file yang penuh dengan kata sandi hash, serangan brute force dapat digunakan, mencoba setiap kombinasi karakter untuk berbagai panjang kata laluan. Ini telah menjadi kebiasaan yang biasa sehingga terdapat laman web yang menyenaraikan kata laluan biasa di samping nilai yang dihitung (dikira). Anda hanya boleh mencari hash untuk menunjukkan kata laluan yang sesuai.

Pencurian dan penjualan senarai kata laluan sekarang sangat biasa, a laman web khusus - haveibeenpwned.com - tersedia untuk membantu pengguna memeriksa apakah akaun mereka "di alam liar". Ini berkembang sehingga merangkumi lebih daripada 10 bilion butiran akaun.

Sekiranya alamat e-mel anda disenaraikan di laman web ini, anda mesti menukar kata laluan yang dikesan, dan juga di laman web lain yang anda gunakan bukti kelayakannya.

Adakah lebih banyak kerumitan penyelesaiannya?

Anda akan berfikir dengan banyaknya pelanggaran kata laluan yang berlaku setiap hari, kami akan meningkatkan amalan pemilihan kata laluan kami. Malangnya, tahun lalu tahun lalu Tinjauan kata laluan SplashData telah menunjukkan sedikit perubahan dalam tempoh lima tahun.

Tinjauan kata laluan SplashData tahunan 2019 mendedahkan kata laluan yang paling biasa dari 2015 hingga 2019.Tinjauan kata laluan SplashData tahunan 2019 mendedahkan kata laluan yang paling biasa dari 2015 hingga 2019.

Ketika kemampuan pengkomputeran meningkat, penyelesaiannya nampaknya semakin kompleks. Tetapi sebagai manusia, kita tidak mahir (atau termotivasi) untuk mengingat kata laluan yang sangat kompleks.

Kami juga telah melewati titik di mana kita hanya menggunakan dua atau tiga sistem yang memerlukan kata laluan. Kini umum untuk mengakses banyak laman web, dengan masing-masing memerlukan kata laluan (selalunya panjang dan kerumitan yang berbeza-beza). Satu tinjauan baru-baru ini menunjukkan bahawa rata-rata ada 70-80 kata laluan setiap orang.

Berita baiknya ialah ada alat untuk mengatasi masalah ini. Sebilangan besar komputer kini menyokong penyimpanan kata laluan dalam sistem operasi atau penyemak imbas web, biasanya dengan pilihan untuk berkongsi maklumat yang tersimpan di beberapa peranti.

Contohnya termasuk Apple keychain iCloud dan keupayaan untuk menyimpan kata laluan di Internet Explorer, Chrome dan Firefox (walaupun kurang dipercayai).

Pengurus kata laluan seperti KeePassXC dapat membantu pengguna menghasilkan kata laluan yang panjang dan rumit dan menyimpannya di lokasi yang selamat apabila diperlukan.

Walaupun lokasi ini masih perlu dilindungi (biasanya dengan "kata kunci induk" yang panjang), menggunakan pengurus kata laluan membolehkan anda mempunyai kata laluan yang unik dan kompleks untuk setiap laman web yang anda kunjungi.

Ini tidak akan menghalang kata laluan dicuri dari laman web yang rentan. Tetapi jika dicuri, anda tidak perlu risau untuk menukar kata laluan yang sama di semua laman web anda yang lain.

Sudah tentu ada kelemahan dalam penyelesaian ini, tetapi mungkin itu kisah untuk hari lain.

Mengenai Pengarang

Paul Haskell-Dowland, Dekan Bersekutu (Pengkomputeran dan Keselamatan), Universiti Edith Cowan dan Brianna O'Shea, Pensyarah, Peretasan dan Pertahanan Etika, Universiti Edith Cowan

Artikel ini diterbitkan semula daripada Perbualan di bawah lesen Creative Commons. Membaca artikel asal.