Jakie są zasady dotyczące hasła i jak ich bezpiecznie przestrzegać?
Istnieje wiele wskazówek i dobrych praktyk, które mogą pomóc w utworzeniu lepszego hasła. Jednak zespół badawczy z Carnegie Mellon University, kierowany przez profesora Lorrie Cranor, rzuca wyzwanie i redefiniuje niektóre z nich.
Zespół pani Cranor opracował miernik bezpieczeństwa haseł, podobny do stosowanych obecnie w wielu witrynach internetowych. Jednak Cranor twierdzi, że te obecne implementacje mają określone zasady, ale nie egzekwują ich w znaczący sposób. Na przykład wymagana może być długość hasła oraz połączenie liter, cyfr i symboli. Jednak hasło takie jak „$ chrys4nth3mum $” może zaznaczyć wszystkie wymagane pola w bieżącym narzędziu do sprawdzania haseł i nadal być dość słabe.
Co robi licznik?
Licznik Cranora jest wyposażony w algorytm sugestii, który może oferować alternatywy dla haseł, gdy użytkownicy je wpisują i próbują ich nauczyć oraz pomóc im zrozumieć, dlaczego zwykłe wciśnięcie „1” na końcu zwykłego słowa, którego używasz jako hasła, nie jest dobre pomysł. Podobnie, mieszanie wielkich i zwykłych liter w tym samym ciągu powinno być czymś więcej niż zwykłym zamienianiem na wielką literę pierwszej litery słowa, którego używasz w haśle.
Laboratorium bezpieczeństwa uniwersytetu, pod nadzorem Cranora, przeprowadzało testy z udziałem wielu uczestników, którzy tworzyli własne hasła, korzystając z sugestii podawanych przez miernik bezpieczeństwa. Użytkownikom dano jedną ustaloną zasadę - stworzyć hasło o długości co najmniej 10 znaków. Od tego momentu algorytm licznika zaczął oferować dynamiczne sugestie dotyczące dynamicznego ulepszania wpisywanych haseł.
Czego możesz się nauczyć z licznika?
Chociaż miernik opracowany przez zespół Cranora nie został jeszcze wdrożony w żadnych usługach na żywo, zwykli użytkownicy mogą się z niego wiele nauczyć. Należy pamiętać, że używanie dowolnego zwykłego słowa ze słownika jako hasła i umieszczenie po prostu litery z przodu i symbolu z tyłu ciągu nie jest dobrym pomysłem.
Brute force wymuszanie haseł często opiera się w dużej mierze na wstępnie ustawionych słownikach, a obecna moc obliczeniowa pozwala narzędziu brutalnej siły na wykonanie absurdalnie dużej liczby prób brutalnej siły w każdej sekundzie.
Ponadto ważne jest, aby przecinać symbole i liczby w ciągu hasła, a nie tylko grupować je na jednym końcu ciągu.