'12345' Er virkelig dårlig: din ultimate guide til passordsikkerhet

Vi har informert deg om og om igjen om at den eneste sikre måten å lagre og bruke passord på er å stole på en passordbehandler, men noen av dere hører ikke. I en PCMag-undersøkelse om passord rapporterte bare 24 prosent av deg ved å bruke en passordbehandling. Hva gjør resten av deg? Bruker du enkle passord som passord eller 12345678? Kan du huske ett komplekst passord og bruke det overalt? Hør her, det er ikke noe å ta vare på passordssikkerhet, men gitt den enorme omfanget av risikoen - som illustrert i det nylige bruddet på samling nr. 1, som utsatte 773 millioner hacket e-postadresser - må du gjøre alt du kan for å beholde passordene dine sikker.

Selv om du bruker den beste passordbehandleren, garanterer det ikke sikkerheten til kontoene dine - ikke hvis du bruker passordbehandleren til å huske de samme gamle, slitne passordene. Du må komme deg ned i skyttergravene og bytte ut de dårlige passordene for nye, sterkere.

Undersøkelsen nevnt over avslørte at 35 prosent av PCMag-leserne aldri endrer passord, med mindre de blir tvunget til å gjøre det ved et brudd. Generelt er det ikke så ille. Nasjonalt institutt for standarder og teknologi anbefaler ikke lenger å bytte passord hver 90. dag. NIST anbefaler nå å bruke lange passfraser som "Correct-Horse-Battery-Staple" og bare endre dem når det er nødvendig. Men hvis du bruker forferdelige passord, betyr "når det er nødvendig" akkurat nå .

Hva er det som gjør et dårlig passord? Vi skal se på noen av egenskapene til forferdelige passord, og så vil vi gi deg noen tips til hvordan du gjør passord på riktig måte.

Hold deg utenfor ordboken

Hver par måneder legger et eller flere nyheter ut en liste over de verste passordene. Vi ser mange enkle alternativer som 123456 og 12345678 og qwerty. Lett for deg? Sikker. Men også enkelt for hackere å sprekke. Andre vanlige (og dårlige) passord består av enkle ordbokord. Vi har sett baseball, ape og starwars på listen over verste passord. Også disse er lette å sprekke.

Noen sikre nettsteder låser seg etter et angitt antall feil passordforsøk, men mange gjør det ikke. For de som ikke har noe giss-lockout, kan hackere krysse en liste over e-postadresser med en liste over populære passord og sette opp en automatisert prosess for å fortsette å prøve kombinasjoner til de kommer inn.

Et ordentlig sikret nettsted lagrer ikke passordet ditt noe sted. I stedet kjører det passordet gjennom en hashingsalgoritme, en slags enveiskryptering. Den samme inngangen gir alltid samme utdata, men det er ingen måte å komme tilbake til det opprinnelige passordet fra den resulterende hasj. Hvis passordet du skriver hasker til samme verdi som er lagret, får du tilgang. Selv om hackere fanger nettstedets brukerdata, får de ikke passord, bare hasjer.

Men smarte hackere kan knekke svake passord selv når de er hashet, hvis de vet hvilken hashingfunksjon nettstedet brukte. De starter med å kjøre en enorm ordbok med vanlige passord gjennom hashing-funksjonen. Deretter ser de etter de resulterende hasjene i de innfangede dataene. Hver kamp er et sprukket passord. Nettsteder med den beste sikkerheten forbedrer hasjfunksjonen med en teknikk som kalles salting, noe som gjør denne typen tabellbasert sprekker umulig, men hvorfor ta risikoen? Bare hold deg utenfor ordboken.

Tenk annerledes

En venn fortalte meg en gang det perfekte passordet: 1qaz2wsx3edc4rfv. Hun kunne "skrive" det ved bare å skyve en finger nedover fire skrå kolonner på tastaturet. Det var så perfekt, hun brukte det overalt. Og det var en stor feil.

Det går knapt en uke uten nyheter om brudd på et eller annet selskap eller nettsted, og utsetter tusenvis eller millioner av brukernavn og passord. Smarte ofre skifter passord umiddelbart. De som ignorerer problemet kan finne seg i å være låst ut av sine egne kontoer etter at hackerne tilbakestiller passordet.

Disse hackerne vet at altfor mange mennesker resirkulerer passordene sine. Når de har funnet et fungerende brukernavn og passordpar, prøver de de samme legitimasjonene på andre nettsteder. Du er kanskje ikke så bekymret for å miste tilgangen til din Club Penguin-konto, men hvis du brukte den samme påloggingen på bankens nettsted, har du store problemer.

Det blir verre. Hvis noen andre får kontroll over e-postkontoen din, kan de først låse deg ut ved å endre passord. Deretter kan de bryte seg inn i de andre kontoene dine ved å ha en kobling til tilbakestilling av passord sendt til den kontoen Bekymret ennå?

Ikke bli personlig

Å bruke personlig informasjon som grunnlag for passordene dine er veldig fristende, men det er en dårlig idé. Sjansen er god for at hundens navn vises i ordbøkene hackere bruker til angrep mot brute-force. Andre muligheter, for eksempel initialer og fødselsdato for et familiemedlem, vil sannsynligvis ikke falle til et angrep med brute-force, men hvis noen ønsker å hacke kontoen din spesifikt, kan personopplysninger gi et forsøk på å gjette angrep på prøve og feiling.

Ikke tenk et øyeblikk på at dine personlige detaljer er private. Det er mange nettsteder folk kan bruke for å finne detaljer om hvem som helst: adresse, fødselsdato, sivilstand og mer. Innleggene dine på sosiale medier kan være en annen kilde til personlig info, spesielt hvis du ikke har sikret kontoene dine ordentlig. En bestemt hacker (eller en nysgjerrig nabo) kan antagelig gjette ethvert passord du bygger basert på dine egne data.

Lukk bakdøren

Hvis du ikke bruker en passordbehandling, har du helt sikkert opplevd å glemme passordet for et nettsted. Det er altfor vanlig, og det er grunnen til at nesten alle påloggingssiden inneholder et "Glemt passord?" link. Noen nettsteder sender en tilbakestillingslink til e-postadressen din, mens andre lar deg tilbakestille passordet etter at du har svart på sikkerhetsspørsmålene dine. Og det åpner en bakdør for alle som ønsker å hacke kontoen din.

De fleste nettsteder tilbyr avgrensede alternativer for sikkerhetsspørsmål. Hva er din mors pikenavn? Hvor gikk du på videregående? Hva var din første jobb? Som nevnt, er ditt personlige liv en åpen bok for alle med internett-ferdigheter. Når det er mulig, kan du ignorere de forhåndsinnstilte spørsmålene. Lag ditt eget spørsmål, med et unikt svar som du alltid vil huske, men som ingen andre kunne gjette på.

Det er vanskeligere når nettstedet ikke lar deg definere dine egne spørsmål. I så fall er det beste alternativet å bruke et minneverdig svar som er en total løgn. Min mors pikenavn er Obama. Jeg gikk på skolen på Kommunist Martyrs High. For den første jobben min var jeg en løve-tamer. Det er et element av risiko, siden du kanskje glemmer hvilken løgn du valgte. Jeg vil foreslå å lagre disse oddball-svarene som sikre notater i passordbehandleren din… men hvis du brukte en passordbehandler, ville den husket passordet for deg.

Hva du skal gjøre nå som du bryr deg

Jeg håper jeg har overbevist deg om at bruk av vanlige passord er en rått idé, som å bygge passord fra personlig informasjon. Og selv det beste sterke, tilfeldige passordet blir et ansvar hvis du bruker det overalt. Hvis du er klar til å iverksette tiltak, her er noen utgangspunkt:

• Bruk en passordbehandling.
• Bytt til en bedre passordbehandling.
• Husk et sinnsykt sikkert hovedpassord for passordbehandleren din.
• Dra nytte av en tilfeldig passordgenerator for å oppgradere dine gamle, dårlige passord.
• Du kan til og med lage din egen tilfeldige passordgenerator i Excel.
• Aktiver tofaktorautentisering der det er tilgjengelig.

Hvis et sikkert nettsted ikke ivaretar sikkerhet, kan du fremdeles miste nettstedets legitimasjon til et datainnbrudd, men ved å gjøre alle passordene dine lange, sterke og unike, har du gjort alt du kan for å beskytte dine online kontoer.

Og hei! Nå som du er på tur, sikkerhetsmessig, kan du vurdere å legge til et virtuelt privat nettverk, eller VPN. Å bruke sterke passord for sikre nettsteder betyr at andre ikke kan bryte seg inn i kontoene dine. Å legge til en VPN betyr at det ikke er noen sjanse for at noen kan avskjære forbindelsen din til de sikre nettstedene.