Cara membuat dan mengingat kata sandi yang kuat

2024 Pengarang: Malcolm Clapton | [email protected]. Terakhir diubah: 2023-12-17 04:00

Cara terbaik untuk membuat kata sandi yang tidak dapat dipecahkan oleh siapa pun.

Sebagian besar penyerang tidak peduli dengan metode pencurian kata sandi yang canggih. Mereka mengambil kombinasi yang mudah ditebak. Sekitar 1% dari semua kata sandi yang ada saat ini dapat dipaksakan dengan empat upaya.

Bagaimana ini mungkin? Sangat sederhana. Anda mencoba empat kombinasi paling umum di dunia: kata sandi, 123456, 12345678, qwerty. Setelah bagian seperti itu, rata-rata, 1% dari semua "peti" dibuka.

Katakanlah Anda termasuk di antara 99% pengguna yang kata sandinya tidak sesederhana itu. Meski begitu, performa software hacking modern harus diperhitungkan.

Program John the Ripper yang gratis dan tersedia secara gratis memverifikasi jutaan kata sandi per detik. Beberapa contoh perangkat lunak komersial khusus mengklaim kapasitas 2,8 miliar kata sandi per detik.

Awalnya, program cracking dijalankan melalui daftar kombinasi yang paling umum secara statistik, dan kemudian merujuk ke kamus lengkap. Seiring waktu, tren kata sandi pengguna mungkin sedikit berubah, dan perubahan ini diperhitungkan saat daftar tersebut diperbarui.

Seiring waktu, semua jenis layanan web dan aplikasi memutuskan untuk secara paksa memperumit kata sandi yang dibuat oleh pengguna. Persyaratan telah ditambahkan, yang menurutnya kata sandi harus memiliki panjang minimum tertentu, mengandung angka, huruf besar dan karakter khusus. Beberapa layanan menganggap ini sangat serius sehingga dibutuhkan tugas yang sangat lama dan membosankan untuk menghasilkan kata sandi yang akan diterima sistem.

Masalah utamanya adalah bahwa hampir semua pengguna tidak membuat kata sandi yang benar-benar kasar, tetapi hanya mencoba memenuhi persyaratan sistem untuk komposisi kata sandi seminimal mungkin.

Hasilnya adalah kata sandi seperti kata sandi1, kata sandi123, Kata sandi, Kata sandi, kata sandi! dan pedang p @ yang sangat tak terduga.

Bayangkan Anda perlu membuat ulang kata sandi spiderman Anda. Kemungkinan besar akan terlihat seperti $pider_Man1. Asli? Ribuan orang akan mengubahnya menggunakan algoritma yang sama atau sangat mirip.

Jika cracker mengetahui persyaratan minimum ini, maka situasinya hanya akan menjadi lebih buruk. Karena alasan inilah persyaratan yang dipaksakan untuk meningkatkan kompleksitas kata sandi tidak selalu memberikan keamanan terbaik, dan sering kali menciptakan perasaan palsu tentang peningkatan keamanan.

Semakin mudah kata sandi untuk diingat, semakin besar kemungkinannya untuk berakhir di kamus cracker. Akibatnya, ternyata kata sandi yang sangat kuat tidak mungkin untuk diingat, yang berarti perlu diperbaiki di suatu tempat.

Menurut para ahli, bahkan di era digital ini, orang masih bisa mengandalkan selembar kertas dengan kata sandi tertulis di atasnya. Lebih mudah menyimpan lembaran seperti itu di tempat yang tersembunyi dari pengintaian, misalnya, di dompet atau dompet.

Namun, lembar kata sandi tidak menyelesaikan masalah. Kata sandi yang panjang tidak hanya sulit untuk diingat, tetapi juga untuk dimasukkan. Situasi ini diperparah oleh keyboard virtual perangkat seluler.

Berinteraksi dengan lusinan layanan dan situs, banyak pengguna meninggalkan serangkaian kata sandi yang identik. Mereka mencoba menggunakan kata sandi yang sama untuk setiap situs, sama sekali mengabaikan risikonya.

Dalam hal ini, beberapa situs bertindak sebagai pengasuh, memaksa kombinasi menjadi rumit. Akibatnya, pengguna tidak dapat mengingat bagaimana ia harus mengubah kata sandi tunggal standarnya untuk situs ini.

Skala masalah ini terwujud sepenuhnya pada tahun 2009. Kemudian, karena celah keamanan, peretas berhasil mencuri database login dan kata sandi RockYou.com, perusahaan yang menerbitkan game di Facebook. Penyerang membuat database tersedia untuk umum. Secara total, itu berisi 32,5 juta entri dengan nama pengguna dan kata sandi ke akun. Kebocoran telah terjadi sebelumnya, tetapi skala peristiwa khusus ini menunjukkan gambaran keseluruhan.

Kata sandi paling populer di RockYou.com adalah 123456, yang digunakan oleh hampir 291.000 orang. Pria di bawah 30 tahun lebih sering memilih tema seksual dan vulgar. Orang tua dari kedua jenis kelamin sering beralih ke area budaya tertentu saat memilih kata sandi. Misalnya, Epsilon793 sepertinya bukan pilihan yang buruk, hanya kombinasi ini yang ada di Star Trek. Angka tujuh angka 8675309 muncul berkali-kali karena angka ini muncul di salah satu lagu Tommy Tutone.

Sebenarnya, membuat kata sandi yang kuat adalah tugas yang sederhana, cukup dengan membuat kombinasi karakter acak.

Anda tidak dapat membuat kombinasi acak sempurna dalam istilah matematika di kepala Anda, tetapi Anda tidak diharuskan untuk melakukannya. Ada layanan khusus yang menghasilkan kombinasi yang benar-benar acak. Misalnya, itu dapat membuat kata sandi seperti ini:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Ini adalah solusi sederhana dan elegan, terutama bagi mereka yang menggunakan pengelola untuk menyimpan kata sandi.

Sayangnya, sebagian besar pengguna terus menggunakan kata sandi yang sederhana dan lemah, bahkan mengabaikan aturan "kata sandi yang berbeda untuk setiap situs". Bagi mereka, kenyamanan lebih penting daripada keamanan.

Situasi di mana keamanan kata sandi dapat dikompromikan dapat dibagi menjadi 3 kategori besar:

• Acak, di mana seseorang yang Anda kenal mencoba mencari tahu kata sandinya, dengan mengandalkan informasi yang dia ketahui tentang Anda. Seringkali, cracker seperti itu hanya ingin bermain-main, mencari tahu sesuatu tentang Anda, atau membuat kekacauan.
• Serangan massalketika benar-benar setiap pengguna layanan tertentu dapat menjadi korban. Dalam hal ini, perangkat lunak khusus digunakan. Untuk serangan itu, situs yang paling tidak aman dipilih, yang memungkinkan Anda memasukkan opsi kata sandi berulang kali dalam waktu singkat.
• Sengajayang menggabungkan penerimaan petunjuk (seperti dalam kasus pertama) dan penggunaan perangkat lunak khusus (seperti dalam serangan massal). Ini tentang mencoba mendapatkan informasi yang sangat berharga. Hanya kata sandi acak yang cukup panjang yang akan membantu melindungi diri Anda sendiri, yang pemilihannya akan memakan waktu yang sebanding dengan durasi hidup Anda.

Seperti yang Anda lihat, siapa pun bisa menjadi korban. Pernyataan seperti "kata sandi saya tidak akan dicuri, karena tidak ada yang membutuhkan saya" tidak relevan, karena Anda dapat mengalami situasi yang sama secara tidak sengaja, secara kebetulan, tanpa alasan yang jelas.

Bahkan lebih serius untuk mengambil perlindungan kata sandi bagi mereka yang memiliki informasi berharga, terkait dengan bisnis atau berkonflik dengan seseorang karena alasan keuangan (misalnya, pembagian properti dalam proses perceraian, persaingan dalam bisnis).

Pada tahun 2009, Twitter (dalam pengertian seluruh layanan) diretas hanya karena administrator menggunakan kata kebahagiaan sebagai kata sandi. Peretas mengambilnya dan mempostingnya di situs Digital Gangster, yang menyebabkan pembajakan akun Obama, Britney Spears, Facebook, dan Fox News.

Akronim

Seperti dalam aspek kehidupan lainnya, kita selalu harus menemukan kompromi antara keamanan maksimal dan kenyamanan maksimal. Bagaimana menemukan jalan tengah? Strategi apa untuk menghasilkan kata sandi yang memungkinkan Anda membuat kombinasi kuat yang mudah diingat?

Saat ini, kombinasi terbaik antara keandalan dan kenyamanan adalah mengubah frasa atau frasa menjadi kata sandi.

Satu set kata yang selalu Anda ingat dipilih, dan kombinasi huruf pertama dari setiap kata digunakan sebagai kata sandi. Misalnya, Semoga kekuatan bersamamu berubah menjadi Mtfbwy.

Namun, karena yang paling terkenal akan digunakan sebagai frasa awal, program akhirnya akan menerima akronim ini dalam daftar mereka. Faktanya, akronim hanya berisi huruf, dan karena itu secara objektif kurang dapat diandalkan daripada kombinasi karakter acak.

Memilih frasa yang tepat akan membantu Anda menyingkirkan masalah pertama. Mengapa mengubah ekspresi terkenal di dunia menjadi kata sandi akronim? Anda mungkin ingat beberapa lelucon dan ucapan yang hanya relevan di kalangan dekat Anda. Katakanlah Anda mendengar ungkapan yang sangat menarik dari seorang bartender di sebuah perusahaan lokal. Gunakan.

Namun, kata sandi akronim yang Anda buat tidak mungkin unik. Masalah dengan akronim adalah bahwa frasa yang berbeda dapat terdiri dari kata-kata yang dimulai dengan huruf yang sama dan dalam urutan yang sama. Secara statistik, dalam berbagai bahasa, terjadi peningkatan frekuensi kemunculan huruf-huruf tertentu sebagai awal sebuah kata. Program akan mempertimbangkan faktor-faktor ini, dan keefektifan akronim dalam versi aslinya akan berkurang.

Cara terbalik

Jalan keluarnya bisa jadi kebalikan dari generasi. Anda membuat kata sandi yang sepenuhnya acak di random.org, dan kemudian mengubah karakternya menjadi frasa yang mudah diingat.

Seringkali, layanan dan situs memberi pengguna kata sandi sementara, yang merupakan kombinasi acak sempurna yang sama. Anda akan ingin mengubahnya, karena Anda tidak akan dapat mengingatnya, tetapi lihat saja lebih dekat, dan menjadi jelas: Anda tidak perlu mengingat kata sandinya. Sebagai contoh, mari kita ambil opsi lain dari random.org - RPM8t4ka.

Meskipun tampaknya tidak berarti, otak kita mampu menemukan pola dan korespondensi tertentu bahkan dalam kekacauan seperti itu. Untuk memulainya, Anda dapat melihat bahwa tiga huruf pertama di dalamnya adalah huruf besar, dan tiga berikutnya adalah huruf kecil. 8 adalah dua kali (dalam bahasa Inggris dua kali - t) 4. Lihat sedikit kata sandi ini, dan Anda pasti akan menemukan asosiasi Anda sendiri dengan kumpulan huruf dan angka yang diusulkan.

Jika Anda dapat menghafal kumpulan kata-kata yang tidak masuk akal, maka gunakan itu. Biarkan kata sandi berubah menjadi putaran per menit 8 trek 4 katty. Konversi apa pun yang otak Anda lebih baik akan lakukan.

Kata sandi acak adalah standar emas dalam keamanan informasi. Ini, menurut definisi, lebih baik daripada kata sandi buatan manusia.

Kerugian dari akronim adalah bahwa seiring waktu, penyebaran teknik semacam itu akan mengurangi efektivitasnya, dan metode sebaliknya akan tetap dapat diandalkan, bahkan jika semua orang di bumi akan menggunakannya selama seribu tahun.

Kata sandi acak tidak akan dimasukkan dalam daftar kombinasi populer, dan penyerang yang menggunakan metode serangan massal hanya akan memaksa kata sandi tersebut.

Mari kita ambil kata sandi acak sederhana yang memperhitungkan huruf besar dan angka - itu 62 karakter yang mungkin untuk setiap posisi. Jika kita membuat password hanya 8 digit, maka kita mendapatkan 62^8 = 218 triliun pilihan.

Bahkan jika jumlah upaya dalam interval waktu tertentu tidak dibatasi, perangkat lunak khusus yang paling komersial dengan kapasitas 2,8 miliar kata sandi per detik akan menghabiskan rata-rata 22 jam untuk mencoba menemukan kombinasi yang tepat. Yang pasti, kami hanya menambahkan 1 karakter tambahan ke kata sandi seperti itu - dan itu akan memakan waktu bertahun-tahun untuk memecahkannya.

Kata sandi acak tidak kebal, karena dapat dicuri. Pilihannya banyak, mulai dari membaca input keyboard hingga memiliki kamera di bahu Anda.

Seorang peretas dapat menekan layanan itu sendiri dan mendapatkan data langsung dari servernya. Dalam situasi ini, tidak ada yang tergantung pada pengguna.

Satu yayasan yang dapat diandalkan

Jadi, kita sampai pada hal utama. Apa taktik kata sandi acak untuk digunakan dalam kehidupan nyata? Dari sudut pandang keseimbangan keandalan dan kenyamanan, "filosofi satu kata sandi yang kuat" akan terlihat dengan baik.

Prinsipnya adalah Anda menggunakan dasar yang sama - kata sandi yang sangat kuat (variasinya) pada layanan dan situs yang paling penting bagi Anda.

Ingat satu kombinasi yang panjang dan sulit untuk semua orang.

Nick Berry, seorang konsultan keamanan informasi, mengizinkan prinsip ini untuk diterapkan, asalkan kata sandi dilindungi dengan sangat baik.

Kehadiran malware di komputer tempat Anda memasukkan kata sandi tidak diperbolehkan. Tidak diperbolehkan menggunakan kata sandi yang sama untuk situs yang kurang penting dan menghibur - kata sandi yang lebih sederhana sudah cukup bagi mereka, karena meretas akun di sini tidak akan menimbulkan konsekuensi fatal.

Jelas bahwa basis yang dapat diandalkan perlu diubah entah bagaimana untuk setiap situs. Sebagai opsi sederhana, Anda dapat menambahkan satu huruf di awal, yang mengakhiri nama situs atau layanan. Jika kita kembali ke kata sandi RPM8t4ka acak itu, itu akan berubah menjadi kRPM8t4ka untuk otorisasi Facebook.

Seorang penyerang, melihat kata sandi seperti itu, tidak akan dapat memahami bagaimana kata sandi untuk rekening bank Anda dibuat. Masalah akan dimulai jika seseorang memperoleh akses ke dua atau lebih kata sandi Anda yang dibuat dengan cara ini.

Pertanyaan rahasia

Beberapa pembajak mengabaikan kata sandi sama sekali. Mereka bertindak atas nama pemilik akun dan mensimulasikan situasi ketika Anda lupa kata sandi dan ingin memulihkannya dengan pertanyaan rahasia. Dalam skenario ini, dia dapat mengubah kata sandi sesuka hati, dan pemilik sebenarnya akan kehilangan akses ke akunnya.

Pada tahun 2008, seseorang mendapat akses ke email Sarah Palin, gubernur Alaska, dan saat itu juga seorang calon presiden. Pencuri menjawab pertanyaan rahasia, yang terdengar seperti ini: "Di mana Anda bertemu suami Anda?"

Setelah 4 tahun, Mitt Romney, yang juga merupakan calon presiden AS saat itu, kehilangan beberapa akunnya di berbagai layanan. Seseorang menjawab pertanyaan rahasia tentang nama hewan peliharaan Mitt Romney.

Anda sudah menebak intinya.

Anda tidak dapat menggunakan data publik dan mudah ditebak sebagai pertanyaan dan jawaban rahasia.

Pertanyaannya bahkan bukan bahwa informasi ini dapat diambil dengan hati-hati di Internet atau dari rekan dekat orang tersebut. Jawaban atas pertanyaan dengan gaya "nama binatang", "tim hoki favorit" dan seterusnya dipilih dengan sempurna dari kamus pilihan populer yang sesuai.

Sebagai opsi sementara, Anda dapat menggunakan taktik absurditas jawabannya. Sederhananya, jawabannya seharusnya tidak ada hubungannya dengan pertanyaan rahasia. Nama gadis ibu? Difenhidramin. Nama binatang peliharaan? 1991.

Namun, teknik seperti itu, jika ditemukan tersebar luas, akan diperhitungkan dalam program terkait. Jawaban yang tidak masuk akal sering distereotipkan, yaitu, beberapa frasa akan lebih sering ditemukan daripada yang lain.

Sebenarnya tidak ada salahnya menggunakan jawaban yang sebenarnya, Anda hanya perlu memilih pertanyaan dengan bijak. Jika pertanyaannya tidak standar, dan jawabannya hanya diketahui oleh Anda dan tidak dapat ditebak setelah tiga kali mencoba, maka semuanya beres. Keuntungan menjadi jujur adalah Anda tidak akan melupakannya seiring waktu.

PIN

Personal Identification Number (PIN) adalah kunci murah yang dipercayakan kepada uang kita. Tidak ada yang repot-repot membuat kombinasi yang lebih andal dari setidaknya empat angka ini.

Sekarang berhenti. Sekarang. Sekarang, tanpa membaca paragraf berikutnya, coba tebak PIN paling populer. Siap?

Nick Berry memperkirakan bahwa 11% dari populasi AS menggunakan 1234 sebagai PIN mereka (di mana mereka dapat mengubahnya sendiri).

Peretas tidak memperhatikan kode PIN karena kode tidak berguna tanpa kehadiran fisik kartu (ini sebagian dapat membenarkan kecilnya panjang kode).

Berry mengambil daftar kata sandi empat digit yang muncul setelah kebocoran di jaringan. Orang yang menggunakan kata sandi 1967 kemungkinan besar memilihnya karena suatu alasan. PIN terpopuler kedua adalah 1111, dan 6% orang lebih menyukai kode ini. Di tempat ketiga adalah 0000 (2%).

Misalkan seseorang yang mengetahui informasi ini memiliki kartu bank di tangannya. Tiga upaya untuk memblokir kartu. Matematika sederhana menunjukkan bahwa orang ini memiliki peluang 19% untuk menebak PIN mereka jika mereka memasukkan 1234, 1111, dan 0000 secara berurutan.

Mungkin karena alasan ini, sebagian besar bank menetapkan kode PIN untuk kartu plastik yang dikeluarkan sendiri.

Namun, banyak orang melindungi ponsel cerdas dengan kode PIN, dan di sini peringkat popularitas berikut berlaku: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Seringkali, PIN mewakili tahun (tahun lahir atau tanggal historis).

Banyak orang suka membuat PIN dalam bentuk pasangan angka yang berulang (selain itu, pasangan di mana angka pertama dan kedua berbeda satu sangat populer).

Papan tombol numerik perangkat seluler menampilkan kombinasi seperti 2580 di atas - untuk mengetiknya, cukup membuat lintasan langsung dari atas ke bawah di tengah.

Di Korea, angka 1004 konsonan dengan kata "malaikat", yang membuat kombinasi ini cukup populer di sana.

Hasil

1. Buka random.org dan buat 5-10 kandidat kata sandi di sana.
2. Pilih kata sandi yang dapat Anda ubah menjadi frasa yang mudah diingat.
3. Gunakan frasa ini untuk mengingat kata sandi Anda.