Hva er passordregler og hvordan kan du følge dem på en sikker måte?
Det er mange retningslinjer og god praksis som kan hjelpe deg med å lage et bedre passord. Et forskerteam Carnegie Mellon University, ledet av professor Lorrie Cranor, utfordrer og omdefinerer imidlertid noen av dem.
Fru Cranors team har utviklet en passordsikkerhetsmåler, som ligner på de som er ansatt på et stort antall nettsteder i dag. Cranor hevder imidlertid at de nåværende implementeringene har regler på plass, men ikke håndhever dem på en meningsfull måte. For eksempel kan passordlengde og en blanding av bokstaver, tall og symboler være et krav. Imidlertid kan et passord som '$ chrys4nth3mum $' krysse av for alle nødvendige boksene i en nåværende passordkontroll og fremdeles være ganske svak.
Hva gjør måleren?
Cranors måler er utstyrt med en forslagalgoritme som kan tilby alternativer til passord når brukerne skriver dem og prøver å lære dem og hjelpe dem å forstå hvorfor det bare ikke er bra å skyve en '1' på slutten av et vanlig ord du bruker som passord. idé. På samme måte bør det å blande store og store bokstaver i samme streng være mer enn å bare skrive store bokstaver i et ord du bruker i passordet ditt.
Universitetets sikkerhetslaboratorium, under Cranors tilsyn, gjennomførte tester ved hjelp av en rekke deltakere som opprettet egne passord ved hjelp av forslag fra sikkerhetsmåleren. Brukerne fikk en enkelt fast regel - for å opprette et passord som er minst 10 tegn langt. Fra dette tidspunktet begynte målerens algoritme å tilby dynamiske forslag for å forbedre typede passord dynamisk.
Hva kan du lære av måleren?
Mens måleren utviklet av Cranors team ikke har blitt implementert i noen live-tjenester ennå, er det mange vanlige brukere kan lære av det. Det er viktig å huske at det ikke er en god idé å bruke et vanlig ordbokord som passord og bare sette en bokstav foran og et symbol på baksiden av strengen.
Forstyrrelse av passordbrute er ofte sterkt avhengig av forhåndsinnstilte ordbøker, og gjeldende beregningskraft tillater et brute-force-verktøy å gå gjennom absurd store mengder brute-force-forsøk hvert sekund.
I tillegg er det viktig å blande symboler og tall mellom passordstrengen og ikke bare gruppere dem i den ene enden av strengen.