כיצד אילוצי סיסמאות נותנים לך תחושת ביטחון מזויפת

בפעם הבאה שאתה נאלץ ליצור סיסמה - במיוחד אם אתר דורש ממך להשתמש בשילוב מטורף של אותיות רישיות וקטנות, או מספר או סמל - אל תניח שהנסיונות האלה לערפול פירושם אוטומטית שלך הסיסמה מדהימה ומאובטחת.

רנדי אברמס, מנתח אבטחה בכיר ב-Webroot,ערך כמה בדיקות פשוטות. הוא ספר את כל הסיסמאות הפוטנציאליות שאתה יכול ליצור בסיסמה של שמונה תווים, כולל מספרים, אותיות רישיות וקטנות וסמלים. (זה 95^8 שילובים אפשריים, שמגיעים ל-6,634,204,312,890,625, או 6.6 קוודריליון מספרים.)

בוא נניח שמישהו מנסה להבין את הסיסמה שלךמתקפת כוח גס טיפוסי. נניח שהם יכולים לבדוק בערך31 מיליארד סיסמאות בשנייה. פיצוח דרכם דרך הסיסמה המסובכת למדי של שמונה תווים עשויה לקחת, לכל היותר, 212,903 שניות. זה 3,548 דקות, או בערך יומיים וחצי.

עכשיו, בואו נדבר על אילוצים לרגע. נניח שהשירות שבו אתה משתמשדורששתהיה לך סיסמה בת שמונה תווים. אברמס מציין כי מוציא 70.6 טריליון סיסמאות מהתערובת, מכיוון שכל סיסמה מאורך תו בודד עד שבעה תווים אינה חוקית כעת. זה חוסך לכלי הפיצוח עצום של 2,277 שניות, או כמעט 38 דקות. זה לאגַםרַע.

מה אם, בשם האבטחה, אתה משתמש בסיסמה של שמונה תווים (לשינון) ושירות מאלץ אותך להשתמש באותיות גדולות וקטנות, כמו גם בסמלים. זה יותר בטוח, נכון? זו סיסמה מורכבת יותר, מה שמקשה על התוקף לפענח? לֹא בְּדִיוּק. כפי שאברמס מציין, זה עתה צמצמת את מאגר הסיסמאות הפוטנציאליות ב-18.5 אחוזים, והסרתם פריטים כמו סיסמאות קטנות, למשל. יומיים, מקסימום, למערכת לרחרח את הסיסמה שלך בתרחיש שלנו.

אם שירות דורש ממך גם מספר בסיסמה הזו - ואתה מקבל את העצה שלו ופשוט עושה את זה, תוך שמירה על הסיסמה ה"מסובכת" שלך בשמונה תווים בלבד - חתכת את הסיסמאות הפוטנציאליות שכלי כוח גס צריך לנחש בכ-41 אחוזים. בתרחיש שלנו, זה מקצר את הזמן המקסימלי ל-34 שעות, או קצת פחות מיום וחצי.

במקום לדאוג מהדרך הטובה ביותר להפוך את הסיסמה הקצרה יותר לקשה יותר לניחוש או בכוח גס, אברמס מייעץ שהרבה יותר טוב לבחור סיסמה ארוכה יותר, כי גם אם לשירות יש אילוצי סיסמה, יהיה לו הרבה פחות סיסמה. פְּגִיעָה:

"ייתכן ששמתם לב שיש השפעה מועטה על הסיסמאות הארוכות יותר. לעתים קרובות יש גם מעט מאוד ערך בהטלת אילוצים על סיסמאות ארוכות. הסיבה לכך היא שכל תו נוסף בסיסמה מגדיל את מאגר הסיסמאות באופן אקספוננציאלי. ישנם פי 6.5 מיליון שילובים של מילות מעבר של 16 תווים המשתמשות באותיות קטנות בלבד מאשר של סיסמאות של שמונה תווים המשתמשות בכל ארבע קבוצות התווים. זה אומר ש'toodlesmypoodles' יהיה הרבה יותר קשה לפיצוח מאשר 'I81B@gle'"

אתה כנראה לא צריך להשתמש בביטוי סיסמה בן שלוש מילים, ובמקום זאת לדבוק בביטוי סיסמה זהמשתמש בהרבה מילים-כל אורך הוא בסדר - אם אתה הולך בדרך זו.

יותר טוב, השתמש בביטוי סיסמה ארוך (שזה לא רק ציטוט מפורסם או ביטוי נפוץ למדי) עבורךאפליקציית ניהול סיסמאות, הוסף שכבה שנייה של אבטחה עםאימות דו-גורמי(אסימון שאתה מייצר מאפליקציה או ממכשיר חומרה אחר, לא קוד כניסה שאתה מקבל בהודעת טקסט), ולאחר מכן השתמש במנהל הסיסמאות שלך כדי ליצור סיסמאות של 16+ תווים מלאות באותיות גדולות וקטנות, מספרים וסמלים עבור כל שירותים אחרים. תתפרע.

ואם אתה מנסה להירשם למשהו שמאפשר לך לקבל רק סיסמה קצרה עם אילוצים - במיוחד אם אתה נדרש רק להשתמש במספר - תתעצבן. אם יתמזל מזלכם, אולי תוכלו להגדיר שם גם את 2FA, לחיזוק אבטחה קטן.