Panduan keselamatan

Apakah Masa Retak Kata Laluan?

Ketahui maksud anggaran masa retak kata laluan, mengapa andaian kadar serangan penting, dan mengapa anggaran bukan jaminan.

Ringkasan

Masa retak kata laluan adalah anggaran berapa lama serangan tekaan mungkin mengambil masa di bawah model tertentu. Model itu penting. Tekaan dalam talian terhadap perkhidmatan langsung berbeza daripada retak luar talian hash kata laluan yang bocor. Nombor “masa retak” universal adalah mengelirukan tanpa andaian.

Gunakan kalkulator masa retak kata laluan dan pemeriksa kekuatan untuk membandingkan senario secara setempat.

Tekaan dalam talian

Tekaan dalam talian dihadkan oleh perkhidmatan. Had kadar, kunci keluar, pemantauan, MFA, dan pengesanan anomali boleh melambatkan atau menghentikan serangan. PIN pendek mungkin boleh diterima hanya kerana sistem mengehadkan percubaan.

Retak luar talian

Retak luar talian berlaku apabila penyerang mempunyai hash kata laluan atau bahan yang disulitkan. Kelajuan bergantung pada algoritma hash, faktor kos, garam, perkakasan, dan strategi serangan. Hashing kata laluan perlahan seperti Argon2id, bcrypt, atau PBKDF2 bertujuan untuk mengurangkan tekaan sesaat.

Rawak dan corak

Matematik masa retak hanya bermakna apabila kata laluan benar-benar rawak. Password123! mungkin kelihatan kompleks, tetapi ia muncul awal dalam tekaan berasaskan corak. Kata laluan rawak 20 aksara adalah berbeza kerana ia tidak mempunyai struktur manusia.

Panduan terperinci

Panduan ini memberi tumpuan kepada membaca anggaran masa retak kata laluan secara bertanggungjawab. Ia ditulis untuk pengguna yang melihat anggaran berasaskan tahun dan ingin tahu apa maksud sebenarnya, jadi matlamat praktikal bukan untuk mencipta tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang dapat bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih dari ruang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta dari hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak unik mengehadkan kerosakan kepada akaun tunggal di mana ia digunakan.

Untuk topik ini, pratetap praktikal adalah anggaran berasaskan senario untuk had dalam talian, hash perlahan, dan tekaan luar talian pantas. Anda boleh menggunakan pratetap itu dengan kalkulator masa retak kata laluan dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam pelayar dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan sisi pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan pelayar berniat jahat, peranti terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.

Masalah paling biasa yang perlu dielakkan adalah tuntutan masa retak universal, andaian hanya perkakasan, hash bocor, storan lemah, dan corak pengguna yang boleh diramal. Masalah ini penting kerana penyerang jarang perlu memaksa semua kemungkinan kata laluan apabila tabiat manusia memberi mereka jalan pintas. Serangan isian bukti kelayakan, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, kunci laluan, storan kod pemulihan, dan semakan tetap e-mel pemulihan atau tetapan telefon.

Gunakan senarai semak ini semasa menggunakan cadangan:

• Bandingkan lebih daripada satu senario serangan.
• Jangan anggap nombor besar sebagai jaminan.
• Elakkan kata laluan yang digunakan semula tanpa mengira anggaran.
• Gunakan MFA untuk akaun yang menyokongnya.

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, kekalkan huruf besar, huruf kecil, dan nombor diaktifkan dan tingkatkan panjang. Jika panjang maksimum rendah, gunakan panjang terbesar yang diterima dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan meningkatkan panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat sempadan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membaiki perisian hasad, atau mengimbangi perkhidmatan yang menyimpan bukti kelayakan dengan buruk. Tabiat berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.

Langkah seterusnya yang selamat

Selepas membaca panduan ini, lakukan satu audit akaun kecil dan bukannya cuba membetulkan semuanya sekaligus. Pilih akaun yang akan menyebabkan masalah paling banyak jika diambil alih, sahkan bahawa kata laluannya unik, dan periksa e-mel pemulihan, telefon pemulihan, kaedah MFA, dan storan kod sandaran. Jika mana-mana bahagian rantai itu lemah, perbaiki bahagian itu sebelum beralih ke akaun berisiko rendah. Susunan ini memastikan kerja terkawal dan melindungi akaun yang paling mungkin digunakan oleh penyerang sebagai batu loncatan. Untuk apakah masa retak kata laluan?, hasil terbaik adalah tabiah berulang: jana secara setempat, simpan dengan teliti, dan elakkan penggunaan semula.

Soalan lazim

Mengapa kalkulator masa retak tidak bersetuju?

Mereka menggunakan andaian berbeza tentang rawak, jenis hash, perkakasan, had dalam talian, dan sama ada kata laluan sudah diketahui daripada kebocoran.

Adakah retak luar talian lebih pantas daripada tekaan dalam talian?

Biasanya ya. Penyerang luar talian boleh mencuba tekaan tanpa had kadar, manakala sistem dalam talian boleh mendikit, mengunci, dan memantau percubaan.

Perlukah saya percaya keputusan “sejuta tahun” tunggal?

Anggap ia sebagai anggaran di bawah andaian yang dinyatakan, bukan jaminan keselamatan.