Så du tror att dina Internet-lösenord är säkra?
Paul Haskell-Dowland, författaren förutsatt

Lösenord har använts i tusentals år som ett sätt att identifiera oss för andra och på senare tid till datorer. Det är ett enkelt koncept - en delad information, hemlig mellan individer och används för att "bevisa" identitet.

Lösenord i ett IT-sammanhang uppstod på 1960-talet med huvudram datorer - stora centralt drivna datorer med avlägsna ”terminaler” för användaråtkomst. De används nu för allt från PIN-koden som vi anger vid en bankomat, till att logga in på våra datorer och olika webbplatser.

Men varför behöver vi "bevisa" vår identitet för de system vi har tillgång till? Och varför är lösenord så svåra att få rätt?

Vad gör ett bra lösenord?

Fram till relativt nyligen kan ett bra lösenord ha varit ett ord eller en fras på så lite som sex till åtta tecken. Men vi har nu riktlinjer för minsta längd. Detta beror på ”entropi”.

När man talar om lösenord är entropi mått på förutsägbarhet. Matematiken bakom detta är inte komplex, men låt oss undersöka det med ett ännu enklare mått: antalet möjliga lösenord, ibland kallat ”lösenordsutrymme”.

innerself prenumerera grafik

Om ett lösenord med ett tecken bara innehåller en gemener, finns det bara 26 möjliga lösenord (“a” till “z”). Genom att inkludera stora bokstäver ökar vi vårt lösenordsutrymme till 52 potentiella lösenord.

Lösenordsutrymmet fortsätter att expandera när längden ökas och andra teckentyper läggs till.

Att göra ett lösenord längre eller mer komplext ökar kraftigt det potentiella "lösenordsutrymmet". Mer lösenordsutrymme betyder ett säkrare lösenord.

Att göra ett lösenord längre eller mer komplext ökar kraftigt det potentiella "lösenordsutrymmet". (så att du tror att dina internetlösenord är säkra)

Med tanke på ovanstående siffror är det lätt att förstå varför vi uppmuntras att använda långa lösenord med stora och små bokstäver, siffror och symboler. Ju mer komplex lösenordet är, desto fler försök behövs för att gissa det.

Problemet med beroende på lösenordskomplexitet är dock att datorer är mycket effektiva vid upprepning av uppgifter - inklusive gissning av lösenord.

Förra året, a rekord sattes för en dator som försöker generera alla tänkbara lösenord. Det uppnådde en hastighet snabbare än 100,000,000,000 gissningar per sekund.

Genom att utnyttja denna datorkraft kan cyberbrottslingar hacka in i system genom att bombardera dem med så många lösenordskombinationer som möjligt, i en process som kallas brute force attacker.

Och med molnbaserad teknik kan gissning av ett lösenord på åtta tecken uppnås på så lite som 12 minuter och kostar så lite som 25 USD.

Eftersom lösenord nästan alltid används för att ge åtkomst till känslig data eller viktiga system, motiverar detta cyberbrottslingar att aktivt söka efter dem. Det driver också en lukrativ online-marknad som säljer lösenord, varav några har e-postadresser och / eller användarnamn.

Du kan köpa nästan 600 miljoner lösenord online för bara 14 AU!

Hur lagras lösenord på webbplatser?

Webbplatslösenord lagras vanligtvis på ett skyddat sätt med hjälp av en matematisk algoritm som kallas hasch. Ett hashedlösenord är oigenkännligt och kan inte omvandlas till lösenordet (en oåterkallelig process).

När du försöker logga in hashas lösenordet du anger med samma process och jämförs med den version som är lagrad på webbplatsen. Denna process upprepas varje gång du loggar in.

Till exempel får lösenordet "Pa $$ w0rd" värdet "02726d40f378e716981c4321d60ba3a325ed6a4c" när det beräknas med SHA1-hashingalgoritmen. Försök själv.

När du står inför en fil full av hashade lösenord kan en brute force-attack användas och testar varje kombination av tecken för en rad lösenordslängder. Detta har blivit så vanligt att det finns webbplatser som listar vanliga lösenord tillsammans med deras (beräknade) hash-värde. Du kan helt enkelt söka efter hash för att avslöja motsvarande lösenord.

Stöld och försäljning av lösenordslistor är nu så vanligt, a särskild webbplats - haveibeenpwned.com - är tillgänglig för att hjälpa användare att kontrollera om deras konton är ”i naturen”. Detta har vuxit till att inkludera mer än 10 miljarder kontouppgifter.

Om din e-postadress är listad på den här webbplatsen bör du definitivt ändra det upptäckta lösenordet, liksom på andra webbplatser som du använder samma referenser för.

Är mer komplexitet lösningen?

Du skulle tro att så många lösenordsöverträdelser inträffar dagligen skulle vi ha förbättrat våra lösenordsval. Tyvärr förra årets årliga SplashData lösenordsundersökning har visat liten förändring under fem år.

Den årliga lösenkäten för SplashData 2019 avslöjade de vanligaste lösenorden från 2015 till 2019.Den årliga lösenkäten för SplashData 2019 avslöjade de vanligaste lösenorden från 2015 till 2019.

När datorkapaciteten ökar verkar lösningen vara ökad komplexitet. Men som människor är vi inte skickliga på (eller motiverade att) komma ihåg mycket komplexa lösenord.

Vi har också passerat den punkt där vi bara använder två eller tre system som behöver ett lösenord. Det är nu vanligt att komma åt flera webbplatser, var och en kräver ett lösenord (ofta av varierande längd och komplexitet). En ny undersökning tyder på att det i genomsnitt finns 70-80 lösenord per person.

Den goda nyheten är att det finns verktyg för att ta itu med dessa problem. De flesta datorer stöder nu lösenordslagring i antingen operativsystemet eller webbläsaren, vanligtvis med möjlighet att dela lagrad information på flera enheter.

Exempel är Apples icloud nyckelring och möjligheten att spara lösenord i Internet Explorer, Chrome och Firefox (även om mindre pålitlig).

Lösenordshanterare som KeePassXC kan hjälpa användare att skapa långa, komplexa lösenord och lagra dem på en säker plats för när de behövs.

Medan den här platsen fortfarande behöver skyddas (vanligtvis med ett långt "huvudlösenord"), kan du använda en lösenordshanterare ha ett unikt, komplext lösenord för varje webbplats du besöker.

Detta förhindrar inte att ett lösenord stjäls från en sårbar webbplats. Men om den blir stulen behöver du inte oroa dig för att ändra samma lösenord på alla dina andra webbplatser.

Det finns naturligtvis sårbarheter i dessa lösningar, men det är kanske en historia för en annan dag.

Om författarna

Paul Haskell-Dowland, biträdande dekan (databehandling och säkerhet), Edith Cowan University och Brianna O'Shea, lektor, etisk hacking och försvar, Edith Cowan University

Denna artikel publiceras från Avlyssningen under en Creative Commons licens. Läs ursprungliga artikeln.