Paul Haskell-Dowland, skrywer met dien verstande
Wagwoorde word al duisende jare gebruik as 'n manier om ons aan ander en in onlangse tye aan rekenaars te identifiseer. Dit is 'n eenvoudige begrip - 'n gedeelde stuk inligting, geheim gehou tussen individue en gebruik om 'identiteit' te bewys.
Wagwoorde in 'n IT-konteks in die 1960's na vore gekom met mainframe rekenaars - groot sentraal bestuurde rekenaars met afgeleë “terminale” vir gebruikerstoegang. Dit word nou gebruik vir alles, van die PIN wat ons by 'n kitsbank invoer, tot by ons rekenaars en verskillende webwerwe.
Maar waarom moet ons ons identiteit "bewys" aan die stelsels waartoe ons toegang het? En waarom is wagwoorde so moeilik om reg te kry?
Wat is 'n goeie wagwoord?
Tot betreklik onlangs kon 'n goeie wagwoord 'n woord of frase van so ses tot agt karakters wees. Maar ons het nou die minimum lengte-riglyne. Dit is as gevolg van 'entropie'.
As daar oor wagwoorde gepraat word, is entropie die maatstaf van voorspelbaarheid. Die wiskunde hieragter is nie ingewikkeld nie, maar laat ons dit nog eenvoudiger ondersoek: die aantal moontlike wagwoorde, soms ook die "wagwoordruimte" genoem.
As 'n een-wagwoord slegs een kleinletter bevat, is daar slegs 26 wagwoorde moontlik ('a' tot 'z'). Deur hoofletters in te sluit, vergroot ons ons wagwoordspasie tot 52 potensiële wagwoorde.
Die wagwoordruimte brei steeds uit namate die lengte vergroot en ander karaktertipes bygevoeg word.
Deur 'n wagwoord langer of ingewikkelder te maak, vergroot die potensiële 'wagwoordruimte' aansienlik. Meer wagwoordruimte beteken 'n veiliger wagwoord.
As u na die bostaande figure kyk, is dit maklik om te verstaan waarom ons aangemoedig word om lang wagwoorde met groot en kleinletters, syfers en simbole te gebruik. Hoe ingewikkelder die wagwoord, hoe meer pogings is nodig om dit te raai.
Die probleem met die afhanklikheid van wagwoordkompleksiteit is egter dat rekenaars baie doeltreffend is om take te herhaal - insluitend die raai van wagwoorde.
Verlede jaar het a rekord opgestel is vir 'n rekenaar wat elke denkbare wagwoord probeer genereer. Dit behaal 'n koers vinniger as 100,000,000,000 raaiskote per sekonde.
Deur hierdie rekenaarkrag te benut, kan kubermisdadigers in stelsels kap deur hulle met soveel wagwoordkombinasies as moontlik te bombardeer, in 'n proses genaamd brute krag aanvalle.
En met die wolkgebaseerde tegnologie, kan die raai van 'n wagwoord van agt karakters binne 12 minute bereik word en so laag as US $ 25 kos.
Ek het wiskunde gedoen.
- TechByTom (@techbytom) 14 Februarie 2019
Gebruik AWS p.3-gevalle om koste te bereken, en neem aan dat die aanvaller $ 25 het:
U wagwoord van 8 karakters sal waarskynlik binne 12 minute of minder gekraak word.
Omdat wagwoorde byna altyd gebruik word om toegang tot sensitiewe data of belangrike stelsels te gee, motiveer dit kubermisdadigers om dit aktief te soek. Dit dryf ook 'n winsgewende aanlynmark wat wagwoorde verkoop, waarvan sommige e-posadresse en / of gebruikersname het.
U kan byna 600 miljoen wagwoorde aanlyn koop vir slegs AU $ 14!
Hoe word wagwoorde op webwerwe gestoor?
Webwerfwagwoorde word gewoonlik op 'n beskermde manier gestoor met behulp van 'n wiskundige algoritme genaamd hashing. 'N Gewagde wagwoord is onherkenbaar en kan nie weer in die wagwoord verander word nie ('n onomkeerbare proses).
Wanneer u probeer aanmeld, word die wagwoord wat u invoer, met dieselfde proses gehash en vergelyk met die weergawe wat op die webwerf gestoor is. Hierdie proses word herhaal elke keer as u aanmeld.
Byvoorbeeld, die wagwoord "Pa $$ w0rd" kry die waarde "02726d40f378e716981c4321d60ba3a325ed6a4c" wanneer dit bereken word met behulp van die SHA1-hashingalgoritme. Probeer dit jouself.
As u 'n lêer vol hash-wagwoorde het, kan 'n brute kragaanval gebruik word om elke kombinasie van karakters vir 'n verskeidenheid wagwoordlengtes te probeer. Dit het so 'n algemene gebruik geword dat daar webwerwe is wat gewone wagwoorde saam met hul (berekende) hashwaarde noem. U kan eenvoudig die hash soek om die ooreenstemmende wagwoord te openbaar.
Die diefstal en verkoop van wagwoordelyste is nou so algemeen, a toegewyde webwerf - haveibeenpwned.com - is beskikbaar om gebruikers te help om te kyk of hul rekeninge "in die natuur" is. Dit het gegroei tot meer as 10 miljard rekeningbesonderhede.
As u e-posadres op hierdie webwerf verskyn, moet u die opgespoor wagwoord beslis verander, asook op enige ander webwerf waarvoor u dieselfde verwysings gebruik.
Is meer kompleksiteit die oplossing?
U sou dink as daar soveel wagwoordbreuke daagliks voorkom, sou ons ons wagwoordkeuse verbeter het. Ongelukkig verlede jaar se jaarlikse SplashData-wagwoordopname het oor vyf jaar min verandering getoon.
Die jaarlikse SplashData-wagwoordopname vir 2019 het die mees algemene wagwoorde van 2015 tot 2019 onthul.
Namate rekenaarvermoëns toeneem, lyk dit asof die oplossing groter kompleksiteit is. Maar as mense is ons nie bekwaam om (en ook nie gemotiveerd om) uiters ingewikkelde wagwoorde te onthou nie.
Ons het ook die punt verbygesteek waar ons slegs twee of drie stelsels benodig wat 'n wagwoord benodig. Dit is nou algemeen om toegang tot talle webwerwe te verkry, waarvan elkeen 'n wagwoord benodig (dikwels van verskillende lengte en ingewikkeldheid). Volgens 'n onlangse opname is daar gemiddeld 70-80 wagwoorde per persoon.
Die goeie nuus is dat daar hulpmiddels is om hierdie probleme aan te spreek. Die meeste rekenaars ondersteun nou wagwoordberging in die bedryfstelsel of in die webblaaier, gewoonlik met die opsie om gestoorde inligting op verskillende toestelle te deel.
Voorbeelde hiervan is Apple s'n iCloud Sleutelhanger en die vermoë om wagwoorde in Internet Explorer, Chrome en Firefox te stoor (hoewel minder betroubaar).
Wagwoordbestuurders soos KeePassXC kan gebruikers help om lang, ingewikkelde wagwoorde te genereer en op 'n veilige plek te stoor vir wanneer dit nodig is.
Alhoewel hierdie plek steeds beskerm moet word (gewoonlik met 'n lang "hoofwagwoord"), kan u 'n unieke, ingewikkelde wagwoord vir elke webwerf wat u besoek, gebruik deur 'n wagwoordbestuurder.
Dit sal nie verhoed dat 'n wagwoord van 'n kwesbare webwerf gesteel word nie. Maar as dit gesteel word, hoef u nie al die wagwoorde op al u ander webwerwe te verander nie.
Daar is natuurlik ook kwesbaarhede in hierdie oplossings, maar miskien is dit 'n verhaal vir 'n ander dag.
Oor die outeurs
Paul Haskell-Dowland, mededekaan (rekenaar en sekuriteit), Edith Cowan Universiteit en Brianna O'Shea, dosent, etiese inbraak en verdediging, Edith Cowan Universiteit
Hierdie artikel is gepubliseer vanaf Die gesprek onder 'n Creative Commons lisensie. Lees die oorspronklike artikel.
