Paskelbtas blogiausių pasaulyje slaptažodžių sąrašas

[paragraf 78]

Pagalvojau pasiūlyti padiskutuoti apie slaptažodžius. Koks jūsų manymu slaptažodžio sudarymo principas yra geriausias?

Paskelbtas blogiausių pasaulyje slaptažodžių sąrašas

„Slaptažodis - kaip apatiniai, jį reikia keisti kiekvieną dieną", - skaitmeninio pasaulio vartotojams primena IT specialistai. Tačiau dalis pasauliečių jų ne tik apskritai niekuomet nekeičia, bet ir naudoja pačius blogiausius, kuriuos net ir nepatyrusiam programišiui atspėti gali būti vieni juokai. Saugos bendrovė „SplashData", kaip ir kasmet, pateikia blogiausių slaptažodžių sąrašą.

Pats blogiausias slaptažodis, pasak „SplashData", yra „123456". Dešimtuke taip pat yra ir skaičių kombinacijos „12345", „12345678", „123456789" ir „1234".

„SplashData" gamina slaptažodžių valdymo programinę įrangą, tačiau sako, kad duomenys apie blogiausius slaptažodžius gauti visai ne iš ten, o iš 3,3 mln. pernai nutekintų slaptažodžių.

Dešimtuke, be numerių, taip pat yra tokie dariniai kaip „password" (slaptažodis), „qwerty" (penkios iš eilės einančios klaviatūros raidės) , „baseball" (beisbolas), „dragon" (drakonas).

Toliau blogiausiųjų slaptažodžių sąraše atsiduria mėgstamiausi sporto klubai, gimimo datos ir vaikų vardai.

Saugos specialistai pataria vengti tuos pačius slaptažodžius naudoti skirtinguose tinklalapiuose, nes sužinoję vieną slaptažodį kibernetiniai nusikaltėliai gali jį panaudoti ir kitose paskyrose.

Šaltinis: http://www.15min.lt/mokslasit/straipsnis/technologijos/paskelbtas-blogiausiu-pasaulyje-slaptazodziu-sarasas-646-480575#ixzz3PovAU4RB

[.L.U.T.H.O.R.]

Geriausias,  bent viena didžioji raidė, bent vienas skaičius ir specialus simbolis ir ne trumpesnis nei 8 simbolių Dažniausiai tokiais ir naudojuosi. Dabar kai kur priverstinai registruojantis reikia tokių, arba bent jau kad būtų skaičiai ir raidės ir ne trumpesnis nei 6-8 simboliai. Bet jeigu koks nors prisijungimas šiaip sau, kur niekas jokios žalos padaryt negali, tai tada paprastą kokį užmeti 123abc ar pan ir viskas

[paragraf 78]

Aš kažkur seniau skaičiau, kad didelį procentą slaptažodžių sudaro keiksmažodžiai

[nereikalinga]

Dar daugelio mėgstamas slaptažodis yra savi,ar šeimos nario gimimo metai, YYYYMMDD

[idenmeyou]

Kuriant slaptažodį dažnai žmonių klaida, kad jie sugalvoja tokį, kuris asocijuojasi su jų gyvenimų, kažkokiu hobiu, mėgstamu filmu, herojumi, muzika, taip pat artimu žmogumi. Jei slaptažodis nėra sunkus, pažinęs žmogų gali ilgai spėliodamas net atspėti.

[paragraf 78]

O jei vadovausimės filmais, tai visi slaptažodžiai nuo superkompiuterio galinčio sunaikinti pasaulį būna kur nors pas bosą ant stalo, pvz. atvirkštinėje vaiko nuotraukos pusėje

[.L.U.T.H.O.R.]

Iš tikrųjų kiek pažįstu žmonių asmeniškai didžioji dauguma kažkur turi užsirašę slaptažodį.

[Jimas]

Negi rimtai sunku susigalvot slaptažodį, kurio niekas nesužinotų. Pvz, kad ir Jonasbuvolopas987456 , slaptažodis turi būti kvailas, toks kokio niekas neatspėtų, pakartoji 10 kartų ir įsimini.

[idenmeyou]

Verta yra sugalvoti, kad ir pačiam visai neįsimenamą slaptažodį ir išsisaugoti kompiuteryje notepade, aišku jeigu jungiesi visada per tą patį įrenginį ir niekas nelenda prie to įrenginio. Sunkaus slaptažodžio atspėti bus beveik neįmanoma.

[Bla]

Geriausias slaptažodis - sugeneruota simbolių seka, panaudojant gerą pseudoatsitiktinių skaičių generatorių. Kuo ilgesnis, tuo geriau. Ir tada slaptažodžio atspėjimo tikimybė bus labai arti nulio, nes tokį slaptažodį įmanoma bus atspėti tik taikant pilną perrinkimą. Tarkime, sugeneruojame slaptažodį iš 20 simbolių, kurio simbolių aibė - 62 simboliai (lotyniškos mažosios raidės, didžiosios raidės ir skaitmenys). Tuomet tokių slaptažodžių variantų, kai ilgis 20 simbolių, yra 20^62, arba apie 4.612*10^80 (dešimt, pakeltas aštuoniasdešimtuoju laipsniu). Taikant optimaliausią įmanomą perrinkimą, gali reikėti perrinkti bent apie 2.15*10^40 variantų. Sakykime, vieno varianto patikrinimas trunka vieną femtosekundę (10^(-15) s). Tada visus variantus su tokiu perrinkimu (ir tokio kol kas nėra sukurta) sugebėtume perrinkti per maždaug 6.8*10^17 metų, t.y. mūsų Visatos žinomas amžius yra beveik 50 milijonų kartų mažesnis.

Tuo noriu pasakyti tai, jog susigalvoti gerą slaptažodį nėra sudėtinga, tik reikia atsiriboti nuo tam tikrų socialinių tendencingumų, kuriuos nesunkiai galima perrinkti. Juo labiau, slaptažodžių perrinkinėtojai paprastai pasirenka gan ribotą kiekį dažniausiai pasitaikančių slaptažodžių, juos masiškai perrenka, susirenka užkibusius vartotojus ir tuo naudojasi. Todėl bet kuris žmogus, naudojantis paprastą slaptažodį, gali užkibti ant įsilaužėlio šio perrinkimo.

Be to, susikurti gerą slaptažodį yra viena, tačiau geras slaptažodis dar nereiškia, jog esame saugūs. Nes galutinai saugumas priklausys nuo sistemos, kuria naudojamasi.

O dabar papasakosiu kelis būdus, kaip galima susikurti neblogą slaptažodį. Pirmas būdas yra tiesiog sutrumpinti kokį nors įsimintiną sakinį. Pavyzdžiui, "Aš 19-os metų įstojau mokytis į Vytauto Didžiojo Universitetą". Jeigu kažkam tai yra faktas, tai jį visą laiką atsiminti nebus sudėtinga. Taigi, paimame po vieną ar du simbolių nuo kiekvieno žodžių. Jeigu imame po vieną, gauname tokį slaptažodį: "A1mįmįVDU". Jeigu po du, bus jau toks: "Aš19meįsmoįVyDiUn". Vargu, ar kokia nors programa sugebės atspėti tokį slaptažodį.

Kitas būdas yra įdomenis. Tarkime, turite savo bazinį slaptažodį, kurį atsimenate: Qwerty. Tuomet galima sukurti vieną vienintelę funkciją, kuri turi du parametrus - bazinį slaptažodį ir konkretų skaitinį ar simbolinį parametrą, kurį priskiriate kiekvienam portalui (tuos parametrus galima užsirašyti ant lapo ar tiesiog nesunkiai įsiminti, remiantis nesudėtinga taisykle, kuria paimami tie parametrai). Tegul ta funkcija būna tokia (bet ji gali būti ir visiškai kitokia) F, kad F: PASS x N -> PASS, kur PASS - galimų slaptažodžių aibė, o N - koks nors natūralusis skaičius. Toliau mes apsibrėžiame taisyklę F(PASS, N) = REV(F(PASS, N - 1)-N), kur F(PASS, 1) = PASS, kur REV - tiesiog simbolių sekos pavertimas atvirkštine (pavyzdžiui, REV(123) = 321). Kaip atrodytų mūsų slaptažodis, tarkime, kai N = 2 su Qwrty parametru?
F(Qwerty, 2) = REV(F(Qwerty,1)-2) = REV(Qwerty-2) = 2-ytrewQ. Dar atspėti įmanoma. O su 5 tuomet?
F(Qwerty, 5) = REV(F(Qwerty, 4)-5) = REV(REV(F(Qwerty, 3)-4)-5) = REV(REV(REV(F(Qwerty, 2)-3)-4)-5) = REV(REV(REV(REV(F(Qwerty, 1)-2)-3)-4)-5) = REV(REV(REV(REV(Qwerty-2)-3)-4)-5) = REV(REV(REV(2-ytrewQ-3)-4)-5) = REV(REV(3-Qwerty-2-4)-5) = REV(4-2-ytrewQ-3-5) = 5-3-Qwerty-2-4. Kitaip sakant, su parametru Qwerty ir N = 5 turime slaptažodį 5-3-Qwerty-2-4. Na tokį dar atspėti galima, bet vargu, ar kas nors į programą diegs tokį spėliojimo algoritmą, pagal kurį kuriate savo slaptažodį. Kiekvienas žmogus gali susikurti savo būdą kurti slaptažodį ir jis būtų skirtingas, tačiau atsiminti ar apskaičiuoti nebūtų sudėtinga. O štai konkrečiai perrinkimo programai tas būtų beveik neįmanoma.

[TinSoldier]

Man tai kažkokius nesveikai sudėtingus slaptažodžius galvot atrodo visiška beprasmybė.
Tereikia sveikos nuovokos biški turėti, ir nesirinkti slaptažodžiais žodžių, kuriuos galėtų atspėti pažįstami žmonės (ar ten visokių 1234 ir pan.) Tik tiek.

O brute-force atakos, kai tiesiog kompiuteris išbando visas įmanomas kombinacijas, kiek užtruktų? Keliolika raidžių, vienas ar du simboliai, ir įsilauželis kokius metus turėtų laikyt paleistą programą, kad iššifruotų tą slaptažodį. (Čia gali pažiūrėt, kiek laiko užtruktų iššifruot jūsų slaptažodį: https://howsecureismypassword.net) (vieną iš maniškių, kuris tikrai nėra sudėtingas, neturi net nė vieno simbolio, užtruktų 233 milijonus metų).

Kas taip elgiasi šiais laikais? Koks įsilauželis praleistų tiek laiko ir sunaudotų tiek resursų, kad sužinotų kažkieno iš jūsų slaptažodį?

Nemanau, kad būtina ten naudoti kokius nors generatorius, ar kažkokius algoritmus kurt, ar pan. Nuo keylogger'io, malware, ar pan. dalykų tai neapsaugotų. O nuo įsilaužimų, nuo kurių tai galėtų apginti, praktiškai taip pat veiksmingai apsaugotų ir kokios 6 raidės ir keli simboliai.

P.S. Dar net atvirkščiai - manau, kad ypač sudėtingas slaptažodis galėtų suteikti klaidingą saugumo iliuziją. Geriau jau turėtum paprastesnį slaptažodį, bet reguliariai skenuoti ir prižiūrėti kompą, negaudyti virusų. Negu turėti "aWF454$^8595!1==0834" slaptažodį, ir bilekur bilekaip landžioti ir bile ką siuntinėti.