Video: 5 Tips Membuat Password yang Sulit Ditebak tetapi Mudah Diingat (Oktober 2024)
Hampir seminggu berlalu tanpa berita tentang pelanggaran data yang mengekspos jutaan atau milyaran kata sandi. Dalam kebanyakan kasus, apa yang sebenarnya diekspos adalah versi kata sandi yang telah dijalankan melalui algoritma hashing, bukan kata sandi itu sendiri. Laporan terbaru dari Trustwave menunjukkan bahwa hashing tidak membantu ketika pengguna membuat kata sandi bodoh, dan panjang itu lebih penting daripada kompleksitas kata sandi.
Peretas akan memecahkan @ u8vRj & R3 * 4j sebelum mereka memecahkan StatelyPlumpBuckMulligan atau ItWasTheBestOfTimes.
Hashing It Out
Gagasan di balik hashing adalah bahwa situs web aman tidak pernah menyimpan kata sandi pengguna. Sebaliknya, ia menyimpan hasil menjalankan kata sandi melalui algoritma hashing. Hashing adalah semacam enkripsi satu arah. Input yang sama selalu menghasilkan hasil yang sama, tetapi tidak ada cara untuk beralih dari hasil kembali ke kata sandi asli. Ketika Anda masuk, perangkat lunak sisi-server hash apa yang Anda masukkan. Jika cocok dengan hash yang disimpan, Anda masuk.
Masalah dengan pendekatan ini adalah bahwa orang jahat juga memiliki akses ke algoritma hashing. Mereka dapat menjalankan setiap kombinasi karakter untuk panjang kata sandi tertentu melalui algoritma dan mencocokkan hasilnya dengan daftar kata sandi hash yang dicuri. Untuk setiap hash yang cocok, mereka telah mendekodekan satu kata sandi.
Selama ribuan tes penetrasi jaringan pada 2013 dan awal 2014, peneliti Trustwave mengumpulkan lebih dari 600.000 kata sandi hash. Menjalankan kode hash-cracking pada GPU yang kuat, mereka memecahkan lebih dari setengah kata sandi dalam hitungan menit. Tes berlanjut selama satu bulan, di mana mereka telah memecahkan lebih dari 90 persen sampel.
Kata Sandi - Anda Melakukannya dengan Salah
Kebijaksanaan umum berpendapat bahwa kata sandi yang berisi huruf besar, huruf kecil, angka, dan tanda baca sulit untuk dipecahkan. Ternyata itu tidak sepenuhnya benar. Ya, akan sulit bagi pelaku malef untuk menebak kata sandi seperti N ^ a & $ 1nG, tetapi menurut Trustwave seorang penyerang bisa memecahkannya dalam waktu kurang dari empat hari. Sebaliknya, meretas kata sandi yang panjang seperti GoodLuckGuessing ThisPassword akan membutuhkan hampir 18 tahun pemrosesan.
Banyak departemen TI memerlukan kata sandi sedikitnya delapan karakter, yang berisi huruf besar, huruf kecil, dan angka. Laporan menunjukkan bahwa, sayangnya, "Kata Sandi1" memenuhi persyaratan ini. Bukan kebetulan, Password1 adalah kata sandi tunggal yang paling umum dalam koleksi yang diteliti.
Peneliti TrustWave juga menemukan bahwa pengguna akan melakukan apa yang harus mereka lakukan, tidak lagi. Merinci kumpulan kata sandi mereka, mereka menemukan bahwa hampir setengahnya persis delapan karakter.
Buat Mereka Panjang
Kami sudah mengatakan ini sebelumnya, tetapi harus diulang. Semakin lama kata sandi Anda (atau frasa sandi) semakin sulit bagi peretas untuk memecahkannya. Ketik kutipan atau kalimat favorit, hapus spasi, dan Anda mendapatkan frasa sandi yang baik.
Ya, ada jenis serangan cracking lainnya. Alih-alih hash setiap kombinasi karakter, serangan kamus hash kombinasi kata-kata yang dikenal, mempersempit ruang lingkup pencarian secara signifikan. Tetapi dengan kata sandi yang cukup panjang, crack-force cracking masih membutuhkan waktu berabad-abad.
Laporan lengkap mengiris dan memotong-motong data dalam berbagai cara. Sebagai contoh, lebih dari 100.000 kata sandi yang retak terdiri dari enam huruf kecil dan dua digit, seperti monyet12. Jika Anda mengelola kebijakan kata sandi, atau jika Anda hanya tertarik untuk membuat kata sandi yang lebih baik untuk diri Anda sendiri, itu pasti layak dibaca.
