Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> อินเทอร์เน็ต

เหตุใดการจำกัดรหัสผ่านเว็บไซต์จึงไม่ทำให้คุณปลอดภัย

เหตุใดการจำกัดรหัสผ่านเว็บไซต์จึงไม่ทำให้คุณปลอดภัย

หากคุณสร้างบัญชีหรือสองบัญชีในช่วงไม่กี่ปีที่ผ่านมา คุณอาจสังเกตเห็นว่าไซต์เหล่านี้จำนวนมากตำหนิคุณใช้รหัสผ่านที่ "ไม่ปลอดภัย" ภายใต้เงื่อนไขบางประการ บางครั้งคุณไม่จำเป็นต้องกดปุ่ม "ลงทะเบียน" ด้วยซ้ำ ก่อนที่คุณจะพบข้อความเล็กๆ ข้างช่องรหัสผ่านที่ระบุว่าคุณใช้รหัสผ่านที่ไม่รัดกุม

แม้ว่าบางไซต์อาจห้ามไม่ให้คุณลงทะเบียนด้วยสิ่งที่พวกเขาคิดว่าเป็นรหัสผ่านที่ไม่รัดกุม แต่บางไซต์ก็เตือนคุณและปล่อยให้คุณทำในสิ่งที่คุณต้องการด้วยความตั้งใจของคุณเองอยู่ดี ไม่ว่าไซต์เหล่านี้ (ส่วนใหญ่) จะมีสิ่งหนึ่งที่เหมือนกัน:เกณฑ์สำหรับ "รหัสผ่านที่ปลอดภัย" ไม่ได้ช่วยให้คุณปลอดภัย

สร้างนิสัยที่ไม่ดี

เหตุใดการจำกัดรหัสผ่านเว็บไซต์จึงไม่ทำให้คุณปลอดภัย

สิ่งแรกที่คุณจะสังเกตเห็นได้ในเว็บไซต์ส่วนใหญ่ก็คือ ดูเหมือนว่าเว็บไซต์ทั้งหมดจะมีเกณฑ์ที่คล้ายคลึงกันสำหรับรหัสผ่านที่ "คาดเดายาก" ในไซต์ส่วนใหญ่ เกณฑ์มีดังนี้:

  • อย่างน้อย 6 หรือ 8 ตัวอักษร
  • อย่างน้อยหนึ่งตัวเลขและหนึ่งตัวอักษร
  • บางครั้งอาจมีตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัว

ในกรณีนี้ รหัสผ่านเช่น "Ironclad1" เป็นเพียงสีพีชและผ่านข้อกำหนดของเว็บไซต์นั้น ๆ เนื่องจากไซต์ส่วนใหญ่มีข้อกำหนดเหล่านี้เท่านั้น ผู้คนอาจคุ้นเคยกับข้อเท็จจริงที่ว่า "Ironclad1", "Sallyepstein4", "Michael1985" เป็นต้น เป็นรหัสผ่านที่ดี ใครก็ตามที่เคยอ่านหนังสือเกี่ยวกับความปลอดภัยทางไซเบอร์สามหน้าแรกรู้ดีว่าสิ่งนี้ไม่ปลอดภัยอย่างเหลือเชื่อ แต่ได้รับการจัดตั้งขึ้นโดยปริยายตามบรรทัดฐานของเว็บไซต์นับล้านในเว็บที่การรักษาความปลอดภัยเป็นสิ่งที่ควรค่าแก่รหัสห้าบรรทัด

แฮ็กเกอร์สามารถใช้การโจมตีจากพจนานุกรมเพื่อถอดรหัสรหัสผ่านของคุณ และนั่นคือจุดสิ้นสุด

บริการเว็บบางอย่าง (เช่น Google) กำหนดให้ใช้สัญลักษณ์ (เช่น “!” หรือ “$”) เพื่อสร้างรหัสผ่าน สิ่งนี้ทำให้สิ่งต่างๆ เช่น รหัสผ่านที่ถูกต้อง “$allyepstein4” และการโจมตีด้วยพจนานุกรมมีความซับซ้อนมากขึ้นในช่วงหลายปีที่ผ่านมา

นิสัยการใช้รหัสผ่านที่ดีคืออะไร

เหตุใดการจำกัดรหัสผ่านเว็บไซต์จึงไม่ทำให้คุณปลอดภัย

มีการถกเถียงกันมากมายเกี่ยวกับสิ่งที่ทำให้รหัสผ่านที่ดี แต่แทนที่จะอธิบายและอธิบายความแตกต่างทั้งหมด เราจะพิจารณาบางสิ่งที่ทุกคนเห็นพ้องต้องกันโดยทั่วไป รหัสผ่านที่ดี

  • ประกอบด้วยรูปแบบตัวอักษรและตัวเลขที่หลากหลาย เช่น ตัวพิมพ์ใหญ่ ตัวเลข และตัวพิมพ์เล็ก
  • มีสัญลักษณ์ในตำแหน่งที่คาดเดาไม่ได้ (“@shley” ปลอดภัยน้อยกว่า “@$_hley” เนื่องจากมีเครื่องหมายขีดล่างตรงกลางคำ ซึ่งปกติแล้วการโจมตีด้วยพจนานุกรมจะสแกนหา “@” แทนที่ “a” และ “ $” แทนที่ “s”)
  • มีการเว้นวรรค (เช่น “I @te a S4nDw1ch”)
  • ถึงขีดจำกัดสูงสุดของขีดจำกัดอักขระที่เหมาะสม (“I l0v3 LuC#Y ” มีความปลอดภัยน้อยกว่า “Th1S p4ssword sH_oulD b3 h@rd to cr@ck “)
  • มีการสะกดคำผิดอย่างไม่เป็นทางการ (เช่น "schuld" แทนที่จะเป็น "should" "beffe" แทนที่จะเป็น "beef" "inszteda" แทนที่จะเป็น "instead" "mektekezier" แทนที่จะเป็น "maketecheasier" เป็นต้น )

แน่นอน หนึ่งในรหัสผ่านที่ดีที่สุดที่คุณมีได้นั้นไม่ใช่เรื่องง่ายที่จะคอมมิตหน่วยความจำ (เช่น:“ifjecBucE083$&&8c ociefjC*#&$6c iof0e0($*# “). สังเกตว่าตัวอย่างที่ให้มาเป็นเพียงคำที่ไม่มีความหมายโดยสมบูรณ์โดยใช้กฎข้างต้นทั้งหมด รวมถึงการแนะนำช่องว่างด้วย นี่เป็นสิ่งที่แปลกใหม่มากสำหรับการโจมตีด้วยพจนานุกรมที่ซับซ้อนที่สุด โดยมีเงื่อนไขว่าฐานข้อมูลที่จัดเก็บแฮชสำหรับรหัสผ่านของคุณนั้นปลอดภัยและมีการจัดการคีย์การเข้ารหัสอย่างถูกต้อง จะทำให้บัญชีของคุณไม่คุ้มที่แฮ็กเกอร์จะถอดรหัส

โดยปกติแล้ว ไม่ใช่ทุกเซิร์ฟเวอร์ที่ปลอดภัย และบริการหนึ่งที่คุณใช้อาจประสบปัญหาการละเมิดการเปิดเผยรหัสผ่านของคุณ นี่คือเหตุผลที่ต้องมีรหัสผ่านที่แตกต่างกันสำหรับแต่ละบริการ .

แต่คุณไม่สามารถจำรหัสผ่านได้ 15 รหัส นับแต่รหัสที่ฉันให้ไว้เป็นตัวอย่าง "หนึ่งในรหัสผ่านที่ดีที่สุดที่คุณมี" เพื่อแก้ปัญหานี้ คุณสามารถใช้บริการการลงชื่อเพียงครั้งเดียว (หรือที่เรียกว่า "การจัดการข้อมูลประจำตัว") ที่มีความปลอดภัยสูง ซึ่งจะคอยตรวจสอบรหัสผ่านของคุณเพื่อให้คุณไม่ต้องจำรหัสผ่าน แม้ว่าจะมีอยู่มาหลายปีแล้ว แต่แนวคิดนี้ยังคงเป็นดินแดนที่ไม่คุ้นเคย (อย่างน้อยก็ในความเห็นของมืออาชีพของฉัน) ดังนั้นให้เหยียบเบา ๆ ทำวิจัยของคุณเองและค้นหาชื่อบริการของ Google ตามด้วยคำว่า "ฝ่าฝืน" เพื่อดูว่าเคยถูกแฮ็กหรือไม่

วิธีแก้ปัญหา

เหตุใดการจำกัดรหัสผ่านเว็บไซต์จึงไม่ทำให้คุณปลอดภัย

ปัญหาที่เรากำลังพยายามแก้ไขคือทำให้ผู้คนจำนวนมากที่สร้างบัญชีบนเว็บเข้าใจว่าแนวทางปฏิบัติที่ดีที่สุดสำหรับการสร้างรหัสผ่านคืออะไร ฟังดูเหมือนเป็นงานที่ยิ่งใหญ่ใช่ไหม

ที่จริงแล้วมันง่ายพอๆ กับการให้ข้อมูลที่ไหนสักแห่ง Google ทำงานได้ดีตามหลักเกณฑ์ แต่ยังไม่เพียงพอ

แม้จะมีความรุ่งโรจน์ แต่ฉันคิดว่าควรรวมลิงก์ไปยังแนวทางเหล่านี้ไว้ข้างช่องรหัสผ่าน เพื่อให้ผู้ใช้เข้าถึงได้ง่ายในระหว่างขั้นตอนการลงทะเบียนบัญชี หากใครละเลยสิ่งนี้ ถือเป็นอภิสิทธิ์ของตนเอง แต่ ณ จุดนั้นไม่มีใครสามารถพูดได้ว่าพวกเขาไม่เคยมีโอกาสได้อ่านสื่อการศึกษาในหัวข้อนี้เลย

ส่วนที่ยากเพียงอย่างเดียวเกี่ยวกับเรื่องนี้คือการโน้มน้าวใจเว็บไซต์นับล้านที่มีฐานข้อมูลบัญชีให้ใช้แนวทางปฏิบัตินี้ อย่างไรก็ตาม เนื่องจากเว็บไซต์เหล่านี้ส่วนใหญ่ใช้ซอฟต์แวร์กล่องใหญ่ (เช่น WordPress หรือ Drupal) คุณควรติดต่อผู้พัฒนาซอฟต์แวร์นี้เพื่อจัดหาสิ่งนี้ในการอัปเดตในอนาคต ทันทีที่เว็บไซต์อัปเดตซอฟต์แวร์ พวกเขาจะได้รับหลักเกณฑ์เหล่านี้โดยอัตโนมัติในหน้าการลงทะเบียน!

คุณคิดว่าเราสามารถทำอะไรได้อีกบ้างเพื่อเผยแพร่ความตระหนักรู้เกี่ยวกับรหัสผ่านที่ดี มาพูดคุยกันในความคิดเห็นกันเถอะ!