xvgmag

Warum die Einschränkungen des Website-Passworts Sie nicht sicher machen


Warum die Einschränkungen des Website-Passworts Sie nicht sicher machen / Internet

Wenn Sie in den letzten Jahren ein oder zwei Accounts angemeldet haben, haben Sie wahrscheinlich bemerkt, dass viele dieser Sites Sie schimpfen, wenn Sie unter bestimmten Bedingungen ein "unsicheres" Passwort verwenden. Manchmal müssen Sie nicht einmal auf die Schaltfläche "Registrieren" drücken, bevor Sie eine kleine Nachricht neben dem Passwortfeld erhalten, in der Sie sagen, dass Sie ein schwaches Passwort verwenden.

Obwohl einige Websites Sie daran hindern, sich mit dem zu registrieren, was sie für ein schwaches Passwort halten, warnen andere Sie und überlassen es Ihnen, das zu tun, was Sie wollen. Unabhängig davon haben diese Seiten (meistens) eines gemeinsam: Ihre Kriterien für "sichere Passwörter" werden Sie nicht in Sicherheit bringen.

Schmieden schlechte Gewohnheiten

Eines der ersten Dinge, die Sie auf den meisten Websites bemerken werden, ist, dass sie alle ähnliche Kriterien für ein "starkes" Passwort haben. Auf den meisten Websites lauten die Kriterien wie folgt:

  • Mindestens 6 oder 8 Zeichen
  • Mindestens eine Nummer und ein Buchstabe
  • Manchmal mindestens ein Großbuchstabe.

In diesem Fall ist ein Passwort wie "Ironclad1" einfach nur schön und erfüllt die Anforderungen der jeweiligen Website. Da die meisten Websites nur diese Anforderungen erfüllen, können sich die Leute daran gewöhnen, dass "Ironclad1", "Sallyepstein4", "Michael1985" usw. gute Passwörter sind. Jeder, der jemals die ersten drei Seiten eines Buches über Cybersicherheit gelesen hat, weiß, dass dies unglaublich unsicher ist. Dennoch wird es stillschweigend von Millionen von Websites im Internet als Standard etabliert, bei denen Sicherheit ein Nachsatz ist, der fünf Zeilen Code wert ist.

Ein Hacker könnte einfach einen Wörterbuchangriff verwenden, um Ihr Passwort zu knacken, und damit ist Schluss.

Einige Webdienste (wie Google) erfordern auch, dass ein Symbol (wie "!" Oder "$") verwendet wird, um ein Passwort zu erstellen. Dies macht Dinge wie "$ allypepstein4" zu gültigen Passwörtern, und Wörterbuchangriffe sind über die Jahre immer raffinierter geworden.

Was ist eine gute Passwort-Gewohnheit?

Es gibt eine Menge Diskussionen darüber, was ein gutes Passwort ausmacht, aber anstatt Aussenseiter zu sein und alle Nuancen zu erklären, schauen wir uns nur einige der Dinge an, mit denen sich alle im Allgemeinen einig sind. Ein gutes Passwort

  • Umfasst eine große Auswahl an alphanumerischen Varianten wie Großbuchstaben, Zahlen und Kleinbuchstaben
  • Hat Symbole an unvorhersehbaren Orten ("@shley" ist weniger sicher als "@ $ _ hley", weil es einen Unterstrich in der Mitte des Wortes gibt, wo ein Wörterbuchangriff normalerweise nach "@" sucht und "a" und "$" ersetzen würde "S")
  • Enthält Leerzeichen (wie "Ich habe ein S4nDw1ch")
  • Trifft die obere Grenze von vernünftigen Zeichengrenzen ("Ich l0v3 LuC # Y"Ist weniger sicher als"Th1S p4ssword sH_oulD b3 h @ rd bis cr @ ck“)
  • Enthält einen unkonventionellen Rechtschreibfehler von Wörtern (z. B. "schuld" statt "sollte", "beffe" statt "beef", "inszteda" anstelle von "statt", "mektekezier" anstelle von "maketecheasier" usw.)

Natürlich ist eines der besten Passwörter, die Sie haben könnten, nicht so einfach in den Speicher zu schreiben (zum Beispiel: "ifjecBucE083 $ && 8c ociefjC * # & $ 6c iof0e0 ($ * #"). Beachten Sie, dass das angegebene Beispiel nur vollständiges Kauderwelsch ist, das alle oben genannten Regeln verwendet, einschließlich der Einführung von Leerzeichen. Dies ist selbst für die anspruchsvollsten Wörterbuchangriffe höchst unkonventionell. Vorausgesetzt, dass die Datenbank, in der der Hash für Ihr Passwort gespeichert ist, sicher ist und die Verschlüsselungsschlüssel korrekt verwaltet werden, würde sich Ihr Account für einen Hacker weniger lohnen.

Natürlich sind nicht alle Server sicher, und bei einem Dienst, den Sie verwenden, kann es zu einer Verletzung kommen, die Ihr Kennwort preisgibt. Deshalb Es ist wichtig, für jeden Dienst ein anderes Passwort zu haben.

Aber Sie können sich 15 Passwörter nicht wirklich merken, ganz zu schweigen von dem Beispiel, das ich als Beispiel für "eines der besten Passwörter, die Sie haben könnten", bietet. Um dem entgegenzuwirken, könnten Sie ein hochsicheres Single Sign-On (auch bekannt als "Identitätsmanagement"), der Ihre Passwörter für Sie im Auge behält, damit Sie sich diese nicht merken müssen. Obwohl sie seit einigen Jahren existieren, ist das Konzept immer noch ein Neuland (zumindest in meiner professionellen Meinung), also treten Sie leicht in die Pedale. Machen Sie Ihre eigenen Recherchen und googeln Sie den Namen eines Dienstes, gefolgt von dem Wort "Bruch", um herauszufinden, ob es jemals gehackt wurde.

Wie das Problem gelöst werden kann

Das Problem, das wir hier zu lösen versuchen, ist die massive Anzahl von Personen, die Konten im Web erstellen, um zu verstehen, wie die Best Practices für die Passwort-Erstellung aussehen. Das klingt nach einer monumentalen Aufgabe, oder?

Eigentlich ist es so einfach wie das Bereitstellen der Informationen irgendwo. Google macht mit seinen Richtlinien gute Arbeit, aber es geht nicht weit genug.

Trotz der guten Kritiken, denke ich, dass es am besten wäre, einen Link zu diesen Richtlinien neben dem Passwortfeld einzufügen, um dem Benutzer einen einfachen Zugang während der Account-Registrierungsphase zu ermöglichen. Wenn jemand das ignoriert, ist es sein eigenes Vorrecht, aber niemand konnte zu diesem Zeitpunkt sagen, dass sie nie die Chance hatten, etwas Unterrichtsmaterial zu diesem Thema zu lesen.

Der einzige schwierige Teil dabei ist, die Millionen von Websites zu überzeugen, auf denen Account-Datenbanken zur Anwendung kommen. Da jedoch die meisten dieser Websites eine große Box-Software verwenden (wie WordPress oder Drupal), ist es wahrscheinlich eine bessere Idee, sich an die Entwickler dieser Software zu wenden, um diese Art von Dingen in ihren zukünftigen Updates bereitzustellen.Sobald Websites ihre Software aktualisieren, erhalten sie automatisch diese Richtlinien auf ihren Registrierungsseiten!

Was können Sie Ihrer Meinung nach noch tun, um auf gute Passwörter aufmerksam zu machen? Lassen Sie uns das in den Kommentaren diskutieren!