Wenn Sie in den letzten Jahren ein oder zwei Konten erstellt haben, haben Sie wahrscheinlich bemerkt, dass viele dieser Websites Sie dafür tadeln, dass Sie unter bestimmten Bedingungen ein „unsicheres“ Passwort verwenden. Manchmal müssen Sie nicht einmal auf die Schaltfläche „Registrieren“ klicken, bevor Sie eine kleine Nachricht neben dem Passwortfeld erhalten, die besagt, dass Sie ein schwaches Passwort verwenden.
Obwohl einige Websites Sie möglicherweise davon abhalten, sich mit einem ihrer Meinung nach schwachen Passwort vollständig zu registrieren, warnen andere Sie nur und lassen Sie sowieso tun, was Sie wollen. Unabhängig davon haben diese Seiten (meistens) eines gemeinsam: Ihre Kriterien für „sichere Passwörter“ werden Sie nicht schützen.
Schlechte Gewohnheiten schmieden
Eines der ersten Dinge, die Sie auf den meisten Websites bemerken werden, ist, dass sie alle ähnliche Kriterien für ein „starkes“ Passwort zu haben scheinen. Auf den meisten Websites sind die Kriterien die folgenden:
- Mindestens 6 oder 8 Zeichen
- Mindestens eine Zahl und ein Buchstabe
- Manchmal mindestens ein Großbuchstabe.
In diesem Fall ist ein Passwort wie „Ironclad1“ einfach pfiffig und erfüllt die Anforderungen dieser bestimmten Website. Da die meisten Websites nur diese Anforderungen haben, können sich die Leute daran gewöhnen, dass "Ironclad1", "Sallyepstein4", "Michael1985" usw. sind gute Passwörter. Jeder, der schon einmal die ersten drei Seiten eines Buches über Cybersicherheit gelesen hat, weiß, dass dies unglaublich unsicher ist, aber es ist stillschweigend von Millionen von Websites im Internet als Norm etabliert, bei denen Sicherheit ein nachträglicher Gedanke ist, der fünf Zeilen wert ist des Codes.
Ein Hacker könnte einfach einen Wörterbuchangriff verwenden, um Ihr Passwort zu knacken, und das ist das Ende.
Einige Webdienste (wie Google) erfordern auch die Verwendung eines Symbols (wie „!“ oder „$“), um ein Passwort zu erstellen. Dies macht Dinge wie „$allyepstein4“ zu gültigen Passwörtern und Wörterbuchangriffe sind im Laufe der Jahre immer ausgefeilter geworden.
Was ist eine gute Passwort-Gewohnheit?
Es gibt eine Menge Diskussionen darüber, was ein gutes Passwort ausmacht, aber anstatt alle Nuancen zu erklären und zu erklären, werden wir uns nur einige der Dinge ansehen, mit denen alle im Allgemeinen einverstanden sind. Ein gutes Passwort
- Enthält eine große Auswahl an alphanumerischen Variationen wie Großbuchstaben, Zahlen und Kleinbuchstaben
- Enthält Symbole an unvorhersehbaren Stellen („@shley“ ist weniger sicher als „@$_hley“, da ein Unterstrich in in der Mitte des Wortes, wo ein Wörterbuchangriff normalerweise nach „@“ anstelle von „a“ und „$“ als Ersatz suchen würde "S")
- Enthält Leerzeichen (wie „I @te a S4nDw1ch“)
- Erreicht die Obergrenze der angemessenen Zeichenbeschränkungen („I l0v3 LuC#Y“ ist weniger sicher als “Th1S p4ssword sH_oulD b3 [email protected] to [email protected]“)
- Enthält eine unkonventionelle Schreibweise von Wörtern (z. B. „schuld“ statt „should“, „beffe“ statt „beef“, „inszteda“ statt „statt“, „mektekezier“ statt „maketecheasier“ usw.)
Natürlich lässt sich eines der besten Passwörter, die man haben kann, nicht so leicht ins Gedächtnis einprägen (zum Beispiel: „ifjecBucE083$&&8c ociefjC*#&$6c iof0e0($*#“). Beachten Sie, dass das bereitgestellte Beispiel nur vollständiges Kauderwelsch ist, das alle oben genannten Regeln verwendet, einschließlich der Einführung von Leerzeichen. Dies ist selbst für die ausgefeiltesten Wörterbuchangriffe höchst unkonventionell. Vorausgesetzt, dass die Datenbank, die den Hash für Ihr Passwort speichert, sicher ist und die Verschlüsselungsschlüssel korrekt verwaltet werden, würde es für einen Hacker weniger lohnenswert sein, Ihr Konto zu knacken.
Natürlich sind nicht alle Server sicher, und bei einem von Ihnen verwendeten Dienst kann es zu einer Verletzung kommen, bei der Ihr Passwort preisgegeben wird. Deshalb Es ist wichtig, für jeden Dienst ein anderes Passwort zu haben.
Aber Sie können sich nicht wirklich 15 Passwörter merken, geschweige denn das, das ich als Beispiel für "eines der besten Passwörter, die Sie haben könnten" angegeben habe. Um dem entgegenzuwirken, könnte einen hochsicheren Single-Sign-On-Dienst (auch bekannt als „Identity Management“) verwenden, der Ihre Passwörter für Sie im Auge behält, damit Sie sich diese nicht merken müssen Ihnen. Obwohl es sie schon seit einigen Jahren gibt, ist das Konzept immer noch Neuland (zumindest meiner professionellen Meinung nach), also gehen Sie auf die leichte Schulter. Recherchieren Sie selbst und googeln Sie den Namen eines Dienstes gefolgt von dem Wort „Breach“, um herauszufinden, ob er jemals gehackt wurde.
Wie das Problem gelöst werden kann
Das Problem, das wir hier zu lösen versuchen, besteht darin, die große Anzahl von Leuten, die Konten im Web erstellen, dazu zu bringen, die Best Practices für die Passworterstellung zu verstehen. Das klingt nach einer monumentalen Aufgabe, nicht wahr?
Eigentlich ist es so einfach, die Informationen irgendwo bereitzustellen. Google macht das gut mit seinem Richtlinien, aber es geht nicht weit genug.
Trotz des Lobes denke ich, dass es am besten wäre, einen Link zu diesen Richtlinien neben dem Passwortfeld einzufügen, um dem Benutzer während der Registrierungsphase des Kontos einen einfachen Zugang zu ermöglichen. Wenn jemand dies ignoriert, ist es sein eigenes Vorrecht, aber zu diesem Zeitpunkt konnte niemand sagen, dass er nie die Gelegenheit hatte, Bildungsmaterial zu diesem Thema zu lesen.
Das einzig Schwierige daran ist, die Millionen von Websites, die Kontodatenbanken führen, davon zu überzeugen, diese Praxis anzuwenden. Da die meisten dieser Websites jedoch Big-Box-Software (wie WordPress oder Drupal) verwenden, ist dies wahrscheinlich ein bessere Idee, sich an die Entwickler dieser Software zu wenden, um solche Dinge in ihrer Zukunft anzubieten Aktualisierung. Sobald Websites ihre Software aktualisieren, erhalten sie diese Richtlinien automatisch auf ihren Registrierungsseiten!
Was können wir Ihrer Meinung nach noch tun, um das Bewusstsein für gute Passwörter zu stärken? Lass uns das in den Kommentaren diskutieren!
Affiliate-Offenlegung: Make Tech Easier kann Provisionen für Produkte verdienen, die über unsere Links gekauft wurden, was die Arbeit unterstützt, die wir für unsere Leser leisten.