パスワードを強力かつ長くする

数百万または数十億のパスワードを公開するデータ侵害のニュースがなければ、1週間はほとんどありません。 ほとんどの場合、実際に公開されるのは、パスワード自体ではなく、ハッシュアルゴリズムを介して実行されたバージョンのパスワードです。 Trustwaveの最新のレポートでは、ユーザーが愚かなパスワードを作成する場合、ハッシュは役に立たず、その長さはパスワードの複雑さよりも重要であることが示されています。

ハッカーは、StatelyPlumpBuckMulliganまたはItWasTheBestOfTimesをクラックする前に、@ u8vRj&R3 * 4hをクラックします。

ハッシュする

ハッシュの背後にある考え方は、安全なWebサイトがユーザーのパスワードを保存しないことです。 むしろ、ハッシュアルゴリズムを介してパスワードを実行した結果を保存します。 ハッシュは、一方向の暗号化の一種です。 同じ入力は常に同じ結果を生成しますが、結果から元のパスワードに戻る方法はありません。 ログインすると、サーバー側のソフトウェアが入力内容をハッシュします。 保存されたハッシュと一致する場合、あなたはいます。

このアプローチの問題は、悪者もハッシュアルゴリズムにアクセスできることです。 アルゴリズムを使用して、指定されたパスワードの長さの文字のすべての組み合わせを実行し、結果を盗まれたハッシュされたパスワードのリストと照合できます。 一致するハッシュごとに、1つのパスワードをデコードしました。

2013年から2014年初めにかけて行われた何千ものネットワーク侵入テストの過程で、Trustwaveの研究者は60万を超えるハッシュ化されたパスワードを収集しました。 強力なGPUでハッシュクラッキングコードを実行すると、パスワードの半分以上が数分でクラッキングされました。 テストは1か月間継続され、その時点でサンプルの90％以上がクラックされていました。

パスワード-間違っている

大文字、小文字、数字、および句読点を含むパスワードは解読されにくいと一般的に考えられています。 それは完全に真実ではないことが判明しました。 はい、悪意のある人がN ^ a&$ 1nGのようなパスワードを 推測 するのは難しいでしょうが、Trustwaveによると、攻撃者は4日以内にそのパスワードを解読できます。 対照的に、GoodLuckGuessingThisPasswordのような長いパスワードを解読するには、ほぼ18年の処理が必要です。

多くのIT部門では、大文字、小文字、数字を含む少なくとも8文字のパスワードが必要です。 このレポートは、残念ながら「Password1」がこれらの要件を満たしていることを指摘しています。 偶然ではありませんが、Password1は調査中のコレクションで最も一般的な単一のパスワードでした。

TrustWaveの研究者はまた、ユーザーは必要なことを正確に行うことができることを発見しました。 パスワードコレクションを長さで分類すると、ほぼ半分が正確に8文字であることがわかりました。

それらを長くする

これは以前にも言いましたが、繰り返します。 パスワード（またはパスフレーズ）が長いほど、ハッカーがパスワードを解読するのが難しくなります。 スペースを省略して、お気に入りの引用または文を入力すると、適切なパスフレーズが得られます。

はい、他のタイプのクラッキング攻撃があります。 辞書攻撃は、文字のすべての組み合わせをハッシュするのではなく、既知の単語の組み合わせをハッシュし、検索の範囲を大幅に絞り込みます。 しかし、パスワードが十分に長い場合、ブルートフォースクラッキングにはまだ何世紀もかかります。

完全なレポートは、さまざまな方法でデータを切り分けます。 たとえば、クラックされたパスワードの100, 000以上は、monkey12のように、6つの小文字と2桁の数字で構成されていました。 パスワードポリシーを管理している場合、または自分でより良いパスワードを作成したいだけの場合は、読む価値があります。