คู่มือความปลอดภัย
เวลาในการถอดรหัสรหัสผ่านคืออะไร?
เรียนรู้ว่าการประมาณเวลาในการถอดรหัสรหัสผ่านหมายถึงอะไร เหตุใดสมมติฐานเกี่ยวกับอัตราการโจมตีจึงมีความสำคัญ และเหตุใดการประมาณจึงไม่ใช่การรับประกัน
สรุป
เวลาในการถอดรหัสรหัสผ่านคือการประมาณว่าระยะเวลาที่การโจมตีแบบเดาสุ่มอาจใช้ภายใต้โมเดลเฉพาะ โมเดลนั้นมีความสำคัญ การเดาสุ่มออนไลน์กับบริการที่ใช้งานจริงแตกต่างจากการถอดรหัสออฟไลน์ของแฮชรหัสผ่านที่รั่วไหล ตัวเลข “เวลาในการถอดรหัส” แบบสากลทำให้เข้าใจผิดหากไม่มีสมมติฐาน
ใช้ เครื่องคำนวณเวลาในการถอดรหัสรหัสผ่าน และ ตัวตรวจสอบความแข็งแกร่ง เพื่อเปรียบเทียบสถานการณ์ในเครื่องของคุณ
การเดาสุ่มออนไลน์
การเดาสุ่มออนไลน์ถูกจำกัดโดยบริการ การจำกัดอัตรา การล็อก การตรวจสอบ MFA และการตรวจจับความผิดปกติสามารถชะลอหรือหยุดการโจมตีได้ PIN สั้นอาจยอมรับได้ก็ต่อเมื่อระบบจำกัดจำนวนครั้งที่พยายาม
การถอดรหัสออฟไลน์
การถอดรหัสออฟไลน์เกิดขึ้นเมื่อผู้โจมตีมีแฮชรหัสผ่านหรือวัสดุที่เข้ารหัส ความเร็วขึ้นอยู่กับอัลกอริทึมแฮช ปัจจัยต้นทุน เกลือ ฮาร์ดแวร์ และกลยุทธ์การโจมตี การแฮชรหัสผ่านที่ช้า เช่น Argon2id, bcrypt หรือ PBKDF2 มีไว้เพื่อลดจำนวนการเดาต่อวินาที
การสุ่มและรูปแบบ
คณิตศาสตร์ของเวลาในการถอดรหัสจะมีความหมายก็ต่อเมื่อรหัสผ่านสุ่มจริงๆ Password123! อาจดูซับซ้อน แต่ปรากฏในช่วงต้นของการเดาตามรูปแบบ รหัสผ่านสุ่ม 20 ตัวอักษรแตกต่างกันเพราะไม่มีโครงสร้างของมนุษย์
คำแนะนำโดยละเอียด
คู่มือนี้เน้นการอ่านค่าประมาณเวลาในการถอดรหัสรหัสผ่านอย่างรับผิดชอบ เขียนขึ้นสำหรับผู้ใช้ที่เห็นการประมาณเป็นปีและต้องการทราบความหมายที่แท้จริง ดังนั้นเป้าหมายในทางปฏิบัติไม่ใช่การสร้างข้ออ้างด้านความปลอดภัยที่เกินจริง เป้าหมายคือการเลือกนิสัยการใช้รหัสผ่านที่สามารถใช้งานได้ในชีวิตประจำวัน: ฟอร์มเข้าสู่ระบบ ตัวจัดการรหัสผ่าน คีย์บอร์ดมือถือ การกู้คืนบัญชี อุปกรณ์ที่ใช้ร่วมกัน และบริการที่มีกฎการตรวจสอบที่แปลกประหลาดเป็นครั้งคราว คำแนะนำที่ปลอดภัยจะมีประโยชน์ก็ต่อเมื่อคนจริงสามารถปฏิบัติตามได้อย่างสม่ำเสมอ
จุดเริ่มต้นที่ปลอดภัยที่สุดคือการสุ่มบวกกับความเป็นเอกลักษณ์ การสุ่มหมายถึงค่าที่เลือกจากพื้นที่ขนาดใหญ่โดยแหล่งสุ่มที่เหมาะสมกับการเข้ารหัส ไม่ใช่การคิดขึ้นเองจากวันเกิด ชื่อสัตว์เลี้ยง รูปแบบคีย์บอร์ด หรือคำพูดที่ชอบ ความเป็นเอกลักษณ์หมายถึงรหัสผ่านเดียวกันไม่ได้ใช้ที่อื่น รหัสผ่านที่ยาวแต่ใช้ซ้ำอาจล้มเหลวอย่างรวดเร็วหลังจากการละเมิดที่ไม่เกี่ยวข้องครั้งเดียว ในขณะที่รหัสผ่านสุ่มที่ไม่ซ้ำจะจำกัดความเสียหายเฉพาะบัญชีที่ใช้
สำหรับหัวข้อนี้ ค่าที่ตั้งไว้ในทางปฏิบัติคือการประมาณตามสถานการณ์สำหรับข้อจำกัดออนไลน์ แฮชช้า และการเดาสุ่มออฟไลน์ที่รวดเร็ว คุณสามารถใช้ค่าที่ตั้งไว้กับ เครื่องคำนวณเวลาในการถอดรหัสรหัสผ่าน แล้วเก็บค่าสุดท้ายในตัวจัดการรหัสผ่านที่เชื่อถือได้ PwdGen สร้างค่าในเครื่องเบราว์เซอร์ด้วย Web Crypto รหัสผ่านที่สร้างขึ้นจะไม่ถูกส่งไปยังเซิร์ฟเวอร์ PwdGen การออกแบบในเครื่องนั้นลดการเปิดเผยฝั่งเซิร์ฟเวอร์ แต่ไม่ได้ป้องกันทุกภัยคุกคาม ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย อุปกรณ์ที่ถูกบุกรุก หน้า phishing หรือการจัดการคลิปบอร์ดที่ไม่ปลอดภัยยังคงเปิดเผยความลับหลังจากสร้างได้
ปัญหาที่พบบ่อยที่สุดที่ควรหลีกเลี่ยงคือการอ้างเวลาในการถอดรหัสแบบสากล สมมติฐานที่เน้นเฉพาะฮาร์ดแวร์ แฮชที่รั่วไหล การจัดเก็บที่อ่อนแอ และรูปแบบผู้ใช้ที่คาดเดาได้ ปัญหาเหล่านี้มีความสำคัญเพราะผู้โจมตีไม่ค่อยจำเป็นต้อง brute-force ทุกรหัสผ่านที่เป็นไปได้เมื่อนิสัยของมนุษย์ทำให้มีทางลัด Credential stuffing, phishing, รายการรหัสผ่านที่รั่วไหล และการใช้ประโยชน์จากการกู้คืนบัญชีมักจะสมจริงมากกว่าการค้นหาทางคณิตศาสตร์ล้วนๆ นั่นคือเหตุผลที่คำแนะนำที่ดีที่สุดรวมคุณภาพรหัสผ่านเข้ากับการควบคุมระดับบัญชี เช่น MFA, passkeys, การจัดเก็บรหัสกู้คืน และการตรวจสอบอีเมลหรือหมายเลขโทรศัพท์สำหรับกู้คืนเป็นประจำ
ใช้รายการตรวจสอบนี้เมื่อใช้คำแนะนำ:
- เปรียบเทียบสถานการณ์การโจมตีมากกว่าหนึ่งสถานการณ์
- อย่าถือว่าตัวเลขจำนวนมากเป็นการรับประกัน
- หลีกเลี่ยงรหัสผ่านที่ใช้ซ้ำโดยไม่คำนึงถึงการประมาณ
- ใช้ MFA สำหรับบัญชีที่รองรับ
หากเว็บไซต์ปฏิเสธการตั้งค่าที่เหมาะสม อย่าบังคับรหัสผ่านให้เป็นรูปแบบที่อ่อนแอกว่าด้วยตนเอง ปรับเปลี่ยนทีละตัวแปร หากปฏิเสธสัญลักษณ์ ให้เปิดใช้ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข และเพิ่มความยาว หากความยาวสูงสุดต่ำ ให้ใช้ความยาวสูงสุดที่ยอมรับและตรวจสอบให้แน่ใจว่าค่าไม่ซ้ำ หากต้องอ่านรหัสผ่านออกเสียง พิมพ์ หรือพิมพ์บนหน้าจอทีวีหรือเราเตอร์ ให้พิจารณาไม่รวมอักขระที่สับสนและเพิ่มความยาวเพื่อชดเชยตัวอักษรที่เล็กลง
สุดท้าย จำขอบเขตของคำแนะนำรหัสผ่าน รหัสผ่านที่แข็งแกร่งคือชั้นป้องกันชั้นเดียว ไม่ใช่การรับประกัน ไม่สามารถทำให้หน้า phishing ปลอดภัย แก้ไขมัลแวร์ หรือชดเชยบริการที่จัดเก็บข้อมูลประจำตัวไม่ดี นิสัยที่มีประโยชน์คือ boring but durable: สร้างค่าที่ไม่ซ้ำ จัดเก็บอย่างปลอดภัย ป้องกันเส้นทางการกู้คืน และเปลี่ยนอย่างรวดเร็วหากสงสัยว่ามีการเปิดเผย
ขั้นตอนต่อไปที่ปลอดภัย
หลังจากอ่านคู่มือนี้ ให้ตรวจสอบบัญชีเล็กๆ น้อยๆ หนึ่งบัญชีแทนที่จะพยายามแก้ไขทุกอย่างพร้อมกัน เลือกบัญชีที่จะสร้างปัญหามากที่สุดหากถูกยึดครอง ยืนยันว่ารหัสผ่านไม่ซ้ำ และตรวจสอบอีเมลกู้คืน เบอร์โทรศัพท์กู้คืน วิธี MFA และการจัดเก็บรหัสสำรอง หากส่วนใดของห่วงโซ่นั้นอ่อนแอ ให้ปรับปรุงส่วนนั้นก่อนที่จะย้ายไปยังบัญชีที่มีความเสี่ยงต่ำกว่า ลำดับนี้ทำให้งานจัดการได้และปกป้องบัญชีที่ผู้โจมตีมักใช้เป็นบันได สำหรับเวลาในการถอดรหัสรหัสผ่านคืออะไร? ผลลัพธ์ที่ดีที่สุดคือนิสัยที่ทำซ้ำได้: สร้างในเครื่อง จัดเก็บอย่างระมัดระวัง และหลีกเลี่ยงการใช้ซ้ำ
คำถามที่พบบ่อย
เหตุใดเครื่องคำนวณเวลาในการถอดรหัสจึงไม่ตรงกัน?
พวกเขาใช้สมมติฐานที่แตกต่างกันเกี่ยวกับการสุ่ม ประเภทแฮช ฮาร์ดแวร์ ข้อจำกัดออนไลน์ และว่ารหัสผ่านเป็นที่รู้จักจากการรั่วไหลแล้วหรือไม่
การถอดรหัสออฟไลน์เร็วกว่าการเดาสุ่มออนไลน์หรือไม่?
โดยทั่วไปใช่ ผู้โจมตีออฟไลน์สามารถลองเดาได้โดยไม่มีข้อจำกัดอัตรา ในขณะที่ระบบออนไลน์สามารถควบคุม ล็อก และตรวจสอบความพยายามได้
ฉันควรเชื่อถือผลลัพธ์ “ล้านปี” เพียงครั้งเดียวหรือไม่?
ถือว่าเป็นการประมาณภายใต้สมมติฐานที่ระบุ ไม่ใช่การรับประกันความปลอดภัย