Turvallisuusopas
Mikä on salasanan murtamisaika?
Opi, mitä salasanan murtamisaika-arviot tarkoittavat, miksi hyökkäysnopeusoletukset ovat tärkeitä ja miksi arviot eivät ole takuita.
Yhteenveto
Salasanan murtamisaika on arvio siitä, kuinka kauan arvaushyökkäys saattaa kestää tietyllä mallilla. Mallilla on väliä. Online-arvaus elävää palvelua vastaan on eri asia kuin offline-murtaminen vuotaneesta salasanatiivisteestä. Universaali “murtamisaika”-luku on harhaanjohtava ilman oletuksia.
Käytä salasanan murtamisajan laskuria ja vahvuuden tarkistinta vertaillaksesi skenaarioita paikallisesti.
Online-arvaus
Online-arvaus on palvelun rajoittamaa. Nopeusrajoitukset, lukitukset, valvonta, MFA ja poikkeamien tunnistus voivat hidastaa tai pysäyttää hyökkäyksiä. Lyhyt PIN-koodi voi olla hyväksyttävä vain, koska järjestelmä rajoittaa yrityksiä.
Offline-murtaminen
Offline-murtaminen tapahtuu, kun hyökkääjillä on salasanatiivisteitä tai salattua materiaalia. Nopeus riippuu tiivisteen algoritmista, kustannuskertoimesta, suolasta, laitteistosta ja hyökkäysstrategiasta. Hidas salasanan tiivistys, kuten Argon2id, bcrypt tai PBKDF2, on tarkoitettu vähentämään arvauksia sekunnissa.
Satunnaisuus ja kaavat
Murtamisaikamatematiikka on merkityksellistä vain, kun salasana on todella satunnainen. Password123! saattaa näyttää monimutkaiselta, mutta se esiintyy varhain kaavapohjaisessa arvauksessa. Satunnainen 20-merkin salasana on erilainen, koska siitä puuttuu ihmisen rakenne.
Yksityiskohtainen opas
Tämä opas keskittyy salasanan murtamisaika-arvioiden vastuulliseen tulkintaan. Se on kirjoitettu käyttäjille, jotka näkevät vuosiin perustuvia arvioita ja haluavat tietää, mitä ne todella tarkoittavat. Käytännön tavoite ei ole luoda dramaattista turvallisuusväitettä. Tavoite on valita salasanatapa, joka kestää jokapäiväistä käyttöä: kirjautumislomakkeet, salasananhallintaohjelmat, mobiilinäppäimistöt, tilin palautus, jaetut laitteet ja satunnaiset palvelut, joilla on outoja validointisääntöjä. Turvallinen suositus on hyödyllinen vain, jos oikea ihminen voi noudattaa sitä johdonmukaisesti.
Turvallisin lähtökohta on satunnaisuus plus ainutlaatuisuus. Satunnaisuus tarkoittaa, että arvo on valittu suuresta avaruudesta kryptografisesti sopivalla satunnaislähteellä, ei keksitty syntymäpäivästä, lemmikin nimestä, näppäimistökuviosta tai lempilainauksesta. Ainutlaatuisuus tarkoittaa, että samaa salasanaa ei käytetä missään muualla. Pitkä mutta uudelleenkäytetty salasana voi pettää nopeasti yhden toisiinsa liittymättömän tietomurron jälkeen, kun taas ainutlaatuinen satunnainen salasana rajoittaa vahingon yhteen tiliin, jossa sitä käytettiin.
Tässä aiheessa käytännöllinen esiasetus on skenaariopohjaiset arviot online-rajoituksille, hitaalle tiivistykselle ja nopealle offline-arvaukselle. Voit soveltaa tätä esiasetusta salasanan murtamisajan laskurilla ja tallentaa lopullisen arvon luotettuun salasananhallintaohjelmaan. PwdGen luo arvot paikallisesti selaimessa Web Cryptolla; luotua salasanaa ei lähetetä PwdGen-palvelimelle. Tämä paikallinen suunnittelu vähentää palvelinpuolen altistumista, mutta se ei suojaa kaikilta uhilta. Haitallinen selainlaajennus, vaarantunut laite, tietojenkalastelusivu tai turvaton leikepöydän käsittely voi silti paljastaa salaisuuden sen luomisen jälkeen.
Yleisimmät vältettävät ongelmat ovat universaalit murtamisaikaväitteet, laitteistokeskeiset oletukset, vuotaneet tiivisteet, heikko tallennus ja ennustettavat käyttäjäkaavat. Nämä ongelmat ovat tärkeitä, koska hyökkääjät harvoin tarvitsevat raa’alla voimalla murtaa jokaista mahdollista salasanaa, kun ihmistottumukset antavat heille oikotien. Tunnusten täyttö, tietojenkalastelu, vuotaneet salasanalistat ja tilin palautuksen väärinkäyttö ovat usein realistisempia kuin puhdas matemaattinen haku. Siksi paras neuvo yhdistää salasanan laadun tilikohtaisiin hallintakeinoihin, kuten MFA, avaimet, palautuskoodien tallennus ja palautussähköpostin tai -puhelimen asetusten säännöllinen tarkistus.
Käytä tätä tarkistuslistaa suosituksen soveltamisessa:
- Vertaa useampaa kuin yhtä hyökkäysskenaariota.
- Älä pidä suurta lukua takuuna.
- Vältä uudelleenkäytettyjä salasanoja arviosta riippumatta.
- Käytä MFA:ta tileille, jotka tukevat sitä.
Jos verkkosivusto hylkää ihanteellisen asetuksen, älä pakota salasanaa heikompaan kaavaan käsin. Säädä yhtä muuttujaa kerrallaan. Jos symbolit hylätään, pidä isot kirjaimet, pienet kirjaimet ja numerot käytössä ja lisää pituutta. Jos enimmäispituus on pieni, käytä suurinta hyväksyttyä pituutta ja varmista, että arvo on ainutlaatuinen. Jos salasana on luettava ääneen, tulostettava tai kirjoitettava televisio- tai reitittimen näytöllä, harkitse hämmentävien merkkien poissulkemista ja pituuden lisäämistä kompensoimaan pienempää aakkostoa.
Lopuksi muista salasananeuvonnan rajat. Vahva salasana on yksi puolustuskerros, ei takuu. Se ei voi tehdä tietojenkalastelusivusta turvallista, korjata haittaohjelmaa tai korvata palvelua, joka tallentaa tunnukset huonosti. Hyödyllinen tapa on tylsä mutta kestävä: luo ainutlaatuinen arvo, tallenna se turvallisesti, suojaa palautuspolku ja vaihda se nopeasti, jos epäilet altistumista.
Turvallinen seuraava askel
Tämän oppaan lukemisen jälkeen tee yksi pieni tilin tarkistus sen sijaan, että yrität korjata kaiken kerralla. Valitse tili, joka aiheuttaisi eniten ongelmia, jos se kaapattaisiin, varmista, että sen salasana on ainutlaatuinen, ja tarkista palautussähköposti, palautuspuhelin, MFA-menetelmä ja varmuuskoodien tallennus. Jos jokin osa ketjusta on heikko, paranna sitä ennen kuin siirryt pienemmän riskin tileihin. Tämä järjestys pitää työn hallittavana ja suojaa tilejä, joita hyökkääjät todennäköisimmin käyttävät ponnahduslautana. Mitä on salasanan murtamisaika? Paras lopputulos on toistettava tapa: luo paikallisesti, tallenna huolellisesti ja vältä uudelleenkäyttöä.
Usein kysytyt kysymykset
Miksi murtamisaikalaskurit ovat eri mieltä?
Ne käyttävät erilaisia oletuksia satunnaisuudesta, tiivistetyypistä, laitteistosta, online-rajoituksista ja siitä, onko salasana jo tiedossa vuodoista.
Onko offline-murtaminen nopeampaa kuin online-arvaus?
Yleensä kyllä. Offline-hyökkääjät voivat kokeilla arvauksia ilman nopeusrajoituksia, kun taas online-järjestelmät voivat hidastaa, lukita ja valvoa yrityksiä.
Pitäisikö minun luottaa yhteen “miljoona vuotta” -tulokseen?
Käsittele sitä arviona annettujen oletusten puitteissa, ei turvallisuuden takeena.