Výběr dobré heslo

Link: http://www.queen.clara.net/pgp/pass.html

[Poznámka. Jedná se o mírně upravenou verzi článku, který původně objevil v únorovém čísle roku 2005 časopisu archivu.]

Každá šifrovací program vyžaduje přístupové heslo k ochraně šifrovaných dat. Vzhledem k tomu, že běžně používané moderní kódy jsou velmi bezpečné, je odolný proti všem známým metodám kryptoanalýzy je heslo je obvykle nejzranitelnější část jakéhokoliv šifrovacího postupu. Proto je důležité zvolit “silnou” hesel.
Proč mluvíme o “přístupovým heslem ‘místo’ heslo ‘?

Když jsou mnozí lidé požádáni, aby si zvolili heslo, vyberou nějaké běžné slovo nebo jméno. To lze snadno popraskané pomocí “slovníku útoku”, tj počítačový program, který používá slovník vyzkoušet všechny možnosti. Existuje mnoho takových programů. Oni jsou někdy používány lidmi, kteří zapomněli své vlastní heslo. Ale heslo, které lze získat tímto způsobem je slabá. To může být využito stejně snadno kdokoli jiný, který pak může získat přístup k zašifrovaným datům uživatele, on-line bankovnictví detaily, atd

Poněkud silnější typ “heslem” je ten, který není skutečná slova, a možná dokonce obsahuje nějaká čísla nebo jiné speciální symboly, pokud jsou povoleny tímto softwarem nebo na webových stránkách, které používáte. I když je to v bezpečí z klasického slovníku útoku, může být popraskané pomocí “útok hrubou silou”, to znamená program, který se pouze snaží všechny možné sady znaků, až se nalezne správnou kombinaci. Samozřejmě, že čím delší je heslo, tím obtížnější takový útok se stává. Předpokládejme například, že 50 různých znaků jsou povoleny v heslo. A pokud si přidat jeden znak navíc k existující hesla, je brute-force hledání správné heslo by se dalo očekávat, aby se 50 krát tak dlouho.

Některé systémy Unix, například přijímat přihlašovacích hesel až osm znaků. Přihlašovacích hesel pro některé ISP jsou podobné. Bohužel, taková hesla jsou poměrně slabé a snadno napadeni. Měli byste samozřejmě použít delší hesla v případě, že systém umožňuje.

Dokumenty pro určité šifrovacího softwaru, jako je například PGP a GnuPG, vždy hovoří o přístupová hesla, spíše než hesla, aby se zdůraznilo, že mohou být jakékoli přiměřené délky, který se skládá z mnoha slov nebo skupiny znaků, oddělené (volitelně) mezerami.
Jak silný by měl být heslo?

Přístupové heslo je zdaleka nejslabší součástí mnoha šifrovacích systémů, alespoň pro mnoho uživatelů, kteří používají slabý přístupové heslo v praxi. Pokud útočník chce získat přístup k zašifrovaným datům typický uživatel je, že by bylo mnohem účinnější, aby se pokusili prolomit přístupové heslo, než se pokusit žádné skutečné dešifrování. To je důvod, proč je velmi důležité zvolit dobré přístupové heslo.

Dokonce i pro silné organizace, jako jsou vládní agentury s obrovskými výpočetních zdrojů, že by bylo nákladově nejefektivnější, aby se pokusili prolomit přístupové heslo. To je často říkal, že nejjednodušší metoda pro získání přístupu k šifrovaným datům je “gumová hadice útok” (porážet oběť, nebo za použití jiné metody mučení, dokud se zjeví passphrase). Další taková technika je zasadit elektronický chybu nebo skryté programu v počítači uživatele, zachytit všechny stisky kláves. Případně i bez fyzického přístupu k počítači nebo jeho uživatele, vážný útočník může sledovat na dálku, elektronické emise z počítače a tím zaznamenat přístupové heslo. To je známo jako “Tempest útoku”. Není to snadné, aby se zamezilo kterékoli z těchto možných útoků. Ale pravděpodobně nebudete muset starat o nich, pokud jste vážný terčem vládních vyšetřování, nebo pokud žijete pod represivnímu režimu.

To dává smysl vybrat si přístupové heslo, která je rovna pevnosti na kryptografický systém používán, protože každý takový systém je jen tak silný jako jeho nejslabší článek. Tento článek popisuje několik jednoduchých triků, které mohou pomoci k dosažení tohoto cíle.
Volba silné passphrase

Obecně řečeno, cílem by mělo být vytvoření přístupové heslo, které je snadno zapamatovatelné a psát v případě potřeby, ale velmi těžké pro kohokoli jiného, ​​aby hádat, a to i pro někoho, kdo vás dobře zná. Mělo by být také dostatečně dlouho, aby jakýkoli slovníkový útok nebo útok hrubou silou nepraktické.

Jeden dobře známý způsob je vybrat, nějakým náhodný proces, soubor slov ze slovníku. Tato technika se někdy nazývá “diceware”. Tato metoda je prováděna pomocí programu RISC OS! RNDpass Tony Hopstaken, která je k dispozici na této webové stránce.

Se slovníkem tak velké, jako ten, součástí! RNDpass, je heslo skládající se z 8 nebo více náhodných slov je pravděpodobné, že vydrží libovolnému útoku, kvůli obrovskému množství možných kombinací, a to zejména v případě, že heslo je upraven nějakým nepředvídatelným způsobem předcházet čistý slovníkový útok.

Několik jednoduchých tipů pro ‘zkreslující “přístupovým heslem jsou popsány níže. V případě, že jsou použity s trochou vynalézavosti, budou dobře fungovat i v případě, že uživatel začne s “normálním” fráze, v jednoduché angličtině (namísto náhodných slov, jak je dáno! RNDpass) a deformuje ji tak, že se stává zcela nepředvídatelný.

Několik speciální metody, jak toho dosáhnout lze automatizovat se! RNDpass, jako jedna z možností. “Náhodné” (počítačem generované) narušení přístupovým heslem sestávající z běžných slov je nepochybně bezpečnější než narušení přidali ručně v intuitivním způsobem, ale to může trvat více úsilí pamatovat.
Hesel pro webové stránky

Ano, mluvím o “hesel” tady, ne ‘hesel “. Mnohé webové stránky, které vyžadují, aby uživatel zaregistrovat na nějakou službu požádat o “heslo”, a v některých případech ukládají poměrně přísně omezit na jeho délce. V takových případech, hesla konstruovány na základě myšlenky dosud diskutovaných by bylo spíše slabé, a je zapotřebí jiný přístup.

Účinným řešením je v tomto případě postavit heslo, složené ze zcela náhodných znaků. Jedním ze způsobů, jak to udělat, je použít program RISC OS! Passwd Paul Vigay.

Ve své standardní konfiguraci! Passwd umožňuje uživateli vytvořit náhodné 8 znaků hesla sestávající z abecedních znaků, které se mohou objevit buď v horní nebo dolní případu, jakož i číslice od 0 do 9. Typickým heslo tohoto typu je “w4JBM6mb ‘.

Nicméně, program umožňuje uživateli nastavit mnoho různých možností, například délku hesla, ať už jiné speciální znaky, jako je ‘$’ nebo ‘! ” jsou povoleny, zda oba horní a dolní písmena mají být použity, a tak dále. Tímto způsobem může uživatel vytvářet silná hesla s maximální bezpečnost povolené konkrétní webové stránky.

Nyní vraťme k přístupová hesla se skládá z mnoha “slov”, která jsou vhodnější pro většinu šifrovacích programů.
Narušují “jednoduché” přístupové heslo, aby bylo silnější

• Za prvé, můžete začít s jedním souborem náhodných slov jako ty generované! RNDpass (více bezpečná, ale hůře pamatovat) nebo smysluplné posloupnosti slov (méně bezpečné, ale snadněji zapamatovatelné). Pokud zvolíte druhý přístup, nepoužívat jakýkoli slavné citáty, přísloví nebo rčení. Všechny tyto existují ve slovnících, včetně těch, v elektronické formě, které mohou být použity pro účely krakování. Jednou z možností by bylo vybrat frázi z knihy náhodně, nejlépe se vyhnout jakékoliv větu. Snažte se vyhnout fráze s konvenčním, předvídatelný gramatické struktury. V případě potřeby vyměnit pár slov s hloupými, nečekaných slov.

• Je-li “narušují” jednoduchou frázi, to je nejlepší se vyhnout použití pouze slovníkových slov, s cílem překazit případné slovníkový útok.

• Většina šifrovací programy umožňují používat non-abecední znaky, například čísla nebo jakékoliv jiné symboly na klávesnici. Ty mohou být vloženy do nečekaných místech. Například můžete změnit slovo “počítač” na “c0mputer ‘,’ 98% počítač” nebo “COMPUT # ‘. Použití dalších znaků může zvýšit počet možných přístupová hesla enormně, aniž by je mnohem těžší pamatovat. To je nejlepší dát je na nečekaných místech. Útočník může hádat, například, že jste nahradili “o” od “0”, což je běžný trik.

• Hesla v mnoha šifrovacích programů, včetně PGP a GnuPG, jsou malá a velká písmena. To znamená, že je to dobrý nápad míchat velká a malá písmena. Například, “počítač”, počítač a počítač by všichni být zacházeno jako zřetelný.

• Pokud víte, že některá slova z cizích jazyků, můžete zahrnout některé ve své přístupové heslo.

• Můžete vymyslet své vlastní nesmyslná slova, jako slavný slovo “Jabberwocky” razil Lewis Carroll.

• Můžete vytvořit zcela nesmyslné “slova” skládající se z “zdánlivě náhodných ‘charaktery, ale které jsou snadno zapamatovatelné. Například, “ilro” by mohlo znamenat “I love RISC OS ‘.

• Mějte na paměti, že můžete použít libovolné tisknutelné ASCII znaky, nejen ty, které se objevují na klávesnici. Například symbol copyright © lze získat v počítačích RISC OS podržením klávesy ALT, zadáním 169 na numerické klávesnici, a pak uvolnění klávesy ALT. Podrobnosti o tom, jak se dostat všechny tyto znaky lze nalézt v uživatelské příručce počítače.

• Můžete zamaskovat slovníková hesla pomocí podivné a nečekané hláskování. Například slovo “počítač” může být změněn na “komputta”.

• Slovník slova mohou být také skrýt pomocí dodatečných mezer, nebo vynecháním mezery, jak v ‘com tače “nebo” Acorncomputer “.

• Techniky Z výše uvedeného vyplývá stala ještě účinnější při použití v kombinaci. Příkladem může být na “Word”pro MY2c0mputas @ home”.
Jak si pamatovat své hesel?

Většina bezpečnostní experti se shodují, že to není dobrý nápad používat stejné heslo pro každý účel. Pokud některý z nich je nějakým způsobem ohrožena, mohlo by to umožnit někoho dostat do všech svých bezpečných účtech nebo programy. To může být riskantní, aby všechna vejce do jednoho košíku!

To vyvolává otázku, jak si pamatovat všechna hesla nebo hesel. Můžete mít desítky nebo dokonce stovky z nich, zvláště pokud máte účty na mnoha internetových stránkách.

Jedním z řešení je, aby všechny vaše hesel v jediném souboru, který je sám průběžně šifrována pomocí jediného silného hlavního hesla. Řada dobrých šifrovacích programů jsou k dispozici na této webové stránce, a každý z nich může být použit k zašifrování svůj seznam přístupová hesla.

Konečné slovo radu: Ať se stane cokoliv, není vůbec zapsat si hesel nebo ukládat je v libovolném formátu prostého textu. Pokud ano, je to koleduje o malér. Vaše fráze by mela existovat jen ve vaší hlavě, nebo jen v zašifrované podobě!