È così comune ora, che lo facciamo tutti senza nemmeno pensarci: creare una password che abbia almeno x caratteri, abbia almeno un numero e un simbolo e non sia il tuo nome o cognome. Che tu sia al lavoro o che crei un ID Apple, questi requisiti di password per una password "forte" sono ovunque.
Un giorno, dopo aver creato una nuova password su un sito, ho iniziato a pensare a come sono diversi tutti i requisiti erano. Alcuni siti richiedono password non più brevi di 3 caratteri e alcune impongono un minimo di 8. Alcuni vogliono i simboli, altri no. Alcuni si preoccupano del tuo nome e delle password precedenti, altri no. Quindi quale password è veramente forte?
Ho fatto qualche ricerca e ho scoperto due cose quando parli di qualcuno che "spezza" la tua password: in primo luogo, c'è la forza della tua password e in secondo luogo, c'è la forza della crittografia che blocca la password in termini privi di significato quando archiviata.
Mi sono subito reso conto che l'intero concetto di password complessa è molto matematico e ci sono stati numerosi studi su questo argomento. Quello che ha attirato la mia attenzione e che menzionerò in questo post è da un 2011 studio Carnegie-Mellon.
Prima prova la tua password
Prima di entrare in quello che la password sicura è, vediamo quanto tempo ci vorrà per rompere la tua password presumibilmente forte. Per verificarlo, utilizzeremo uno strumento sul sito PassFault:
https://passfault.appspot.com/password_strength.html
Ecco come funziona. Digita la password e fai clic su Analizza. Ha due opzioni che sono nascoste di default, ma puoi fare clic su Mostra opzioni. Spieghiamo cosa significano.
L'hardware di crack ha come valore predefinito un attaccante di password 900 $, che sarebbe possibile per un hacker legittimo. Hanno anche la possibilità di scegliere un aggressore di password da $ 180.000, che il cinese potrebbe utilizzare se è così costoso. Il menu a discesa Protezione password offre alcune opzioni per il tipo di crittografia utilizzato per memorizzare la password. Microsoft Windows System è il più debole, nessuna sorpresa lì. Hai quindi accesso wireless WPA, UNIX SHA1, UNIX Blowfish e 100 round di SHA1.
Ho provato la mia password sicura che uso su un paio di siti e sono rimasto scioccato nel vedere che potrebbe essere rotto in 1 giorno!
Wow, è abbastanza brutto. Quindi ho scelto le opzioni di crittografia più potenti (Unix Blowfish e 100 round di SHA1) ed è stato più felice vedere che i risultati richiederebbero più di un giorno: 1 anno e 7 mesi per Unix Blowfish e 2 mesi e 2 giorni con 100 cicli di SHA1 . Tuttavia, con l'aggressore di password da $ 180.000, è stato ridotto a 11 giorni e 3 giorni, rispettivamente. Non accettabile ho pensato! Voglio che la mia password richieda anni di crack anche con un cracker di password super costoso. Ma qual è il modo migliore dal momento che sto usando una password di 9 caratteri con numeri e un simbolo?
Cosa rende una password forte?
Questo è dove lo studio Carnegie-Mellon fa luce su tutta la faccenda. Fondamentalmente ciò che hanno trovato è che più lunga è la password che usi, più è forte. Questo non significa necessariamente che la password più lunga deve avere molti simboli o numeri, ma deve essere lunga. A 16 caratteri, tutto ciò che devi evitare è usare parole di dizionario super-facili.
Non sei convinto che sia possibile? Nel sito PassFault, usa la seguente password, che è solo 15 caratteri e super facile da ricordare:
ilovemywifealot
Quindi, per le opzioni, scegli l'attacker password da $ 180.000 e scegli il crittografia più debole (Microsoft Windows) e questo è ciò che ottieni:
1 mese e 7 giorni! È meglio che la mia password venga crackata in 1 giorno. Allora, cosa c'è di sbagliato con la mia password? Bene, a quanto pare, se la tua password è più breve, allora devi usare più simboli, lettere casuali e numeri per rafforzarla. Se è più lungo, come da 15 a 16 caratteri, non devi preoccuparti di aggiungere tutti i tipi di numeri e simboli. Con una password più lunga, puoi persino usare più parole del dizionario e sarà comunque molto sicuro. Ovviamente una password come hellohellohellofarebbe ancora schifo anche se contiene 15 caratteri:
Fa schifo perché sarà nel dizionario ed è la stessa parola tre volte. Nella mia prima password in cui esprimo il mio amore a mia moglie, la frase inizia rapidamente a sembrare senza senso a un computer e nessun dizionario di cracking ha quella frase di 15 caratteri come una parola. I dizionari hanno le parole del dizionario, quindi se si evitano le parole dritte del dizionario, sarai pronto per andare. La mia password avrebbe potuto essere ancora migliore se avessi usato il nome di mia moglie o un soprannome per lei invece della parola "moglie". Ottieni l'idea?
Ovviamente, se puoi inserire un numero di simboli in una lunga password, la password diventa ancora più incredibilmente forte. Ad esempio, supponiamo di aver inserito un punto esclamativo davanti alla password di mia moglie e aggiunto un numero alla fine. Allora quanto tempo ci vorrebbe per rompere con le stesse opzioni:
Holy cow! Così è passato da 1 mese a 7 giorni a ben 4 secoli e 1 decennio !!! Sì, secoli !! Questa è una password sicura e non è difficile da ricordare. Quindi controlla la tua password usando questo strumento online gratuito e se la tua password si incrina tra qualche giorno, potrebbe essere il momento di pensare a qualcosa di nuovo, soprattutto per le tue informazioni sensibili come le password bancarie, ecc.
Ricorda, molti di questi siti online vengono hackerati continuamente, quindi la tua password non è mai sicura. Tuttavia, se si utilizza una password veramente valida, anche se la crittografia è molto debole, ci vorrebbe un'eternità per superarla! Se hai provato la tua password sul sito durante la lettura di questo post, facci sapere nei commenti quanto tempo ci vorrebbe per decifrarlo. Buon divertimento!