Οδηγός ασφαλείας

Τι είναι ο χρόνος σπασίματος κωδικού πρόσβασης;

Μάθετε τι σημαίνουν οι εκτιμήσεις χρόνου σπασίματος κωδικού πρόσβασης, γιατί οι υποθέσεις ρυθμού επίθεσης έχουν σημασία και γιατί οι εκτιμήσεις δεν αποτελούν εγγύηση.

Σύνοψη

Ο χρόνος σπασίματος κωδικού πρόσβασης είναι μια εκτίμηση του πόσο χρόνο μπορεί να χρειαστεί μια επίθεση εικασίας υπό ένα συγκεκριμένο μοντέλο. Το μοντέλο έχει σημασία. Η διαδικτυακή εικασία έναντι μιας ζωντανής υπηρεσίας είναι διαφορετική από το offline σπάσιμο ενός διέρρευτου hash κωδικού. Ένας καθολικός αριθμός «χρόνου σπασίματος» είναι παραπλανητικός χωρίς υποθέσεις.

Χρησιμοποιήστε τον υπολογιστή χρόνου σπασίματος κωδικού και τον ελεγκτή ισχύος για να συγκρίνετε σενάρια τοπικά.

Διαδικτυακή εικασία

Η διαδικτυακή εικασία περιορίζεται από την υπηρεσία. Τα όρια ρυθμού, τα κλειδώματα, η παρακολούθηση, το MFA και η ανίχνευση ανωμαλιών μπορούν να επιβραδύνουν ή να σταματήσουν επιθέσεις. Ένα σύντομο PIN μπορεί να είναι αποδεκτό μόνο επειδή το σύστημα περιορίζει τις προσπάθειες.

Offline σπάσιμο

Το offline σπάσιμο συμβαίνει όταν οι επιτιθέμενοι έχουν hashes κωδικών ή κρυπτογραφημένο υλικό. Η ταχύτητα εξαρτάται από τον αλγόριθμο hash, τον παράγοντα κόστους, το αλάτι, το υλικό και τη στρατηγική επίθεσης. Η αργή κατακερματοποίηση κωδικών όπως Argon2id, bcrypt ή PBKDF2 έχει σχεδιαστεί για να μειώνει τις εικασίες ανά δευτερόλεπτο.

Τυχαιότητα και μοτίβα

Τα μαθηματικά χρόνου σπασίματος έχουν νόημα μόνο όταν ο κωδικός είναι πραγματικά τυχαίος. Password123! μπορεί να φαίνεται περίπλοκος, αλλά εμφανίζεται νωρίς σε εικασίες βάσει μοτίβων. Ένας τυχαίος κωδικός 20 χαρακτήρων είναι διαφορετικός επειδή δεν έχει ανθρώπινη δομή.

Λεπτομερής καθοδήγηση

Αυτός ο οδηγός επικεντρώνεται στην υπεύθυνη ανάγνωση εκτιμήσεων χρόνου σπασίματος κωδικού πρόσβασης. Είναι γραμμένος για χρήστες που βλέπουν εκτιμήσεις βάσει ετών και θέλουν να μάθουν τι σημαίνουν πραγματικά, οπότε ο πρακτικός στόχος δεν είναι να δημιουργηθεί ένας δραματικός ισχυρισμός ασφαλείας. Ο στόχος είναι να επιλέξετε μια συνήθεια κωδικού που μπορεί να επιβιώσει στην καθημερινή χρήση: φόρμες σύνδεσης, διαχειριστές κωδικών, πληκτρολόγια κινητών, ανάκτηση λογαριασμού, κοινόχρηστες συσκευές και την περιστασιακή υπηρεσία με περίεργους κανόνες επικύρωσης. Μια ασφαλής σύσταση είναι χρήσιμη μόνο αν ένα πραγματικό άτομο μπορεί να την ακολουθήσει με συνέπεια.

Το ασφαλέστερο σημείο εκκίνησης είναι η τυχαιότητα συν η μοναδικότητα. Τυχαιότητα σημαίνει ότι η τιμή επιλέγεται από έναν μεγάλο χώρο από μια κρυπτογραφικά κατάλληλη τυχαία πηγή, όχι επινοημένη από μια ημερομηνία γέννησης, ένα όνομα κατοικίδιου, ένα μοτίβο πληκτρολογίου ή μια αγαπημένη φράση. Μοναδικότητα σημαίνει ότι ο ίδιος κωδικός δεν χρησιμοποιείται πουθενά αλλού. Ένας κωδικός που είναι μακρύς αλλά επαναχρησιμοποιείται μπορεί να αποτύχει γρήγορα μετά από μια άσχετη παραβίαση, ενώ ένας μοναδικός τυχαίος κωδικός περιορίζει τη ζημιά στον μοναδικό λογαριασμό όπου χρησιμοποιήθηκε.

Για αυτό το θέμα, μια πρακτική προεπιλογή είναι εκτιμήσεις βάσει σεναρίου για διαδικτυακά όρια, αργά hashes και γρήγορη offline εικασία. Μπορείτε να εφαρμόσετε αυτήν την προεπιλογή με τον υπολογιστή χρόνου σπασίματος κωδικού και στη συνέχεια να αποθηκεύσετε την τελική τιμή σε έναν αξιόπιστο διαχειριστή κωδικών. Το PwdGen δημιουργεί τιμές τοπικά στο πρόγραμμα περιήγησης με το Web Crypto. Ο παραγόμενος κωδικός δεν αποστέλλεται σε διακομιστή PwdGen. Αυτός ο τοπικός σχεδιασμός μειώνει την έκθεση στην πλευρά του διακομιστή, αλλά δεν προστατεύει από κάθε απειλή. Μια κακόβουλη επέκταση προγράμματος περιήγησης, μια παραβιασμένη συσκευή, μια σελίδα phishing ή μη ασφαλής διαχείριση πρόχειρου μπορεί να εκθέσει ένα μυστικό μετά τη δημιουργία του.

Τα πιο συνηθισμένα προβλήματα που πρέπει να αποφύγετε είναι οι καθολικοί ισχυρισμοί χρόνου σπασίματος, οι υποθέσεις μόνο υλικού, τα διέρρευτα hashes, η αδύναμη αποθήκευση και τα προβλέψιμα μοτίβα χρηστών. Αυτά τα προβλήματα έχουν σημασία επειδή οι επιτιθέμενοι σπάνια χρειάζεται να δοκιμάσουν όλους τους πιθανούς κωδικούς όταν οι ανθρώπινες συνήθειες τους δίνουν μια συντόμευση. Το credential stuffing, το phishing, οι λίστες διέρρευτων κωδικών και η κατάχρηση ανάκτησης λογαριασμού είναι συχνά πιο ρεαλιστικά από μια καθαρή μαθηματική αναζήτηση. Γι’ αυτό η καλύτερη συμβουλή συνδυάζει την ποιότητα κωδικού με ελέγχους σε επίπεδο λογαριασμού, όπως MFA, passkeys, αποθήκευση κωδικών ανάκτησης και τακτικό έλεγχο των ρυθμίσεων email ή τηλεφώνου ανάκτησης.

Χρησιμοποιήστε αυτήν τη λίστα ελέγχου όταν εφαρμόζετε τη σύσταση:

• Συγκρίνετε περισσότερα από ένα σενάρια επίθεσης.
• Μην αντιμετωπίζετε έναν μεγάλο αριθμό ως εγγύηση.
• Αποφύγετε επαναχρησιμοποιημένους κωδικούς ανεξάρτητα από την εκτίμηση.
• Χρησιμοποιήστε MFA για λογαριασμούς που το υποστηρίζουν.

Εάν ένας ιστότοπος απορρίπτει την ιδανική ρύθμιση, μην αναγκάσετε τον κωδικό σε ένα ασθενέστερο μοτίβο χειροκίνητα. Προσαρμόστε μία μεταβλητή κάθε φορά. Εάν τα σύμβολα απορρίπτονται, διατηρήστε κεφαλαία, πεζά και αριθμούς ενεργοποιημένα και αυξήστε το μήκος. Εάν ένα μέγιστο μήκος είναι μικρό, χρησιμοποιήστε το μεγαλύτερο αποδεκτό μήκος και βεβαιωθείτε ότι η τιμή είναι μοναδική. Εάν ένας κωδικός πρέπει να διαβαστεί δυνατά, να εκτυπωθεί ή να πληκτρολογηθεί σε οθόνη τηλεόρασης ή δρομολογητή, σκεφτείτε να εξαιρέσετε συγκεχυμένους χαρακτήρες και να αυξήσετε το μήκος για να αντισταθμίσετε το μικρότερο αλφάβητο.

Τέλος, θυμηθείτε τα όρια της συμβουλής κωδικού. Ένας ισχυρός κωδικός είναι ένα επίπεδο άμυνας, όχι εγγύηση. Δεν μπορεί να κάνει μια σελίδα phishing ασφαλή, να διορθώσει κακόβουλο λογισμικό ή να αντισταθμίσει μια υπηρεσία που αποθηκεύει διαπιστευτήρια ανεπαρκώς. Η χρήσιμη συνήθεια είναι βαρετή αλλά ανθεκτική: δημιουργήστε μια μοναδική τιμή, αποθηκεύστε την με ασφάλεια, προστατέψτε τη διαδρομή ανάκτησης και αντικαταστήστε την γρήγορα εάν υποψιάζεστε έκθεση.

Ένα ασφαλές επόμενο βήμα

Αφού διαβάσετε αυτόν τον οδηγό, κάντε έναν μικρό έλεγχο λογαριασμού αντί να προσπαθήσετε να διορθώσετε τα πάντα ταυτόχρονα. Επιλέξτε τον λογαριασμό που θα προκαλούσε τα περισσότερα προβλήματα αν καταληφθεί, επιβεβαιώστε ότι ο κωδικός του είναι μοναδικός και ελέγξτε το email ανάκτησης, το τηλέφωνο ανάκτησης, τη μέθοδο MFA και την αποθήκευση εφεδρικών κωδικών. Εάν κάποιο μέρος αυτής της αλυσίδας είναι αδύναμο, βελτιώστε αυτό το μέρος πριν προχωρήσετε σε λογαριασμούς χαμηλότερου κινδύνου. Αυτή η σειρά διατηρεί τη δουλειά διαχειρίσιμη και προστατεύει τους λογαριασμούς που οι επιτιθέμενοι είναι πιθανότερο να χρησιμοποιήσουν ως εφαλτήριο. Για το τι είναι ο χρόνος σπασίματος κωδικού πρόσβασης;, το καλύτερο αποτέλεσμα είναι μια επαναλαμβανόμενη συνήθεια: δημιουργήστε τοπικά, αποθηκεύστε προσεκτικά και αποφύγετε την επαναχρησιμοποίηση.

Συχνές ερωτήσεις

Γιατί διαφωνούν οι υπολογιστές χρόνου σπασίματος;

Χρησιμοποιούν διαφορετικές υποθέσεις σχετικά με την τυχαιότητα, τον τύπο hash, το υλικό, τα διαδικτυακά όρια και αν ο κωδικός είναι ήδη γνωστός από διαρροές.

Είναι το offline σπάσιμο ταχύτερο από τη διαδικτυακή εικασία;

Συνήθως ναι. Οι offline επιτιθέμενοι μπορούν να δοκιμάσουν εικασίες χωρίς όρια ρυθμού, ενώ τα διαδικτυακά συστήματα μπορούν να περιορίσουν, να κλειδώσουν και να παρακολουθήσουν προσπάθειες.

Πρέπει να εμπιστευτώ ένα μόνο αποτέλεσμα «εκατομμύρια χρόνια»;

Αντιμετωπίστε το ως εκτίμηση υπό δηλωμένες υποθέσεις, όχι ως εγγύηση ασφάλειας.