Kokio ilgio slaptažodis turėtų būti 2023 m.? Jūs užduodate neteisingą klausimą

Ilgesnis slaptažodis yra saugesnis. Tai tiesiog sveikas protas, tiesa? Padidinus slaptažodžio ilgį, yra daugiau derinių. Tai savo ruožtu reiškia žiaurios jėgos ataką, kai kas nors naudoja automatinę sistemą, kad išbandytų kiekvieną derinį, kad nulaužtų kodą, užtruks ilgiau.

Taip pat: Geriausi slaptažodžių tvarkytojai

Saugumo ekspertai paprastai sutinka, kad aštuonių simbolių slaptažodį per lengva nulaužti naudojant lengvai prieinamą aparatinę įrangą, pvz., žaidimų kompiuterio GPU. Pavyzdžiui, naudojant Nvidia RTX 4090, Avilių sistemos apskaičiavo, kad per visą įmanomą 8 simbolių raidžių (didžiųjų ir mažųjų raidžių) ir skaičių bei simbolių kombinaciją prireiks mažiau nei valandos. Tai dvigubai greičiau nei pagrindinė vaizdo plokštė prieš dvejus metus, dar vienas pavyzdys Moore'o dėsnis veikiant.

Taigi, jei aštuoni simboliai yra per trumpi, kiek ilgio yra pakankamai ilgi? Ar yra stebuklingas skaičius? Saugumo ekspertai nesutaria dėl tikslaus skaičiaus, aptikau apžvalgoje paskelbtų rekomendacijų iš įvairiausių šaltinių. Tačiau jie pasiekė platų sutarimą: bent 12 simbolių, bet daugiau yra geriau. Ir galbūt geriausia yra slaptafrazė, susidedanti iš keturių ar daugiau atsitiktinių žodžių.

Taip pat: Kas yra prieigos raktai? Patirkite gyvenimą keičiančią beslaptažodžio magiją

Kiekvienas mūsų apklaustas ekspertas sutiko, kad slaptažodžio ilgio padidinimas yra daug svarbiau nei sudėtingumo reikalavimų, pvz., įpareigojimo naudoti skaičius, raides ir simbolius, pridėjimas. Tačiau dar svarbiau yra užtikrinti, kad slaptažodis būtų tikrai atsitiktinis. Sudėkite visa tai ir gausite vadinamą matavimą entropija, kuris matuoja slaptažodžio atspėjimo sudėtingumą.

Užpuolikas, galintis pagrįstai spėti, greičiausiai trumpai sulaužys žemos entropijos slaptažodį, pagrįstą jūsų šuns vardu ir jūsų gimimo metais; tikrai atsitiktinis slaptažodis, priskirtas a slaptažodžių tvarkyklė yra daug didesnis iššūkis.

Bet kiek laiko?

Straipsnyje Infosec instituto svetainėje Danielis Brechtas nagrinėja „Slaptažodžio saugumas: sudėtingumas prieš. ilgis“, ir 12 simbolių yra geras atspirties taškas:

Trumpo ilgio slaptažodžius gana lengva sulaužyti, todėl siekiama sukurti ilgesnius slaptažodžius, kad būtų padidintas saugumas ir jie būtų mažiau nuspėjami. Taigi koks norimas ar reikalingas ilgis? 2010 m. Georgia Tech Research Institute (GTRI) atliktas tyrimas parodė, kaip atsitiktinis 12 simbolių slaptažodis gali patenkinti minimalaus ilgio reikalavimas, norint nugalėti kodų laužymo ir nulaužimo programinę įrangą, sakė mokslininkas Joshua Davis GTRI. Richardas Boydas, GTRI vyresnysis tyrėjas, sako: „Aštuonių simbolių slaptažodžių dabar nepakanka... ir jei apribosite savo simbolius tik abėcėlės raidėmis, jį galima nulaužti per kelias minutes." Bet kuriuo atveju, siekiant užtikrinti saugumą, slaptažodis turėtų būti 12 ar daugiau simbolių priimtas.

Kai kurių populiarių slaptažodžių tvarkyklių kūrėjai iš esmės sutinka. Prie „Bitwarden“ tinklaraštis, pavyzdžiui, atsakymas yra autoritetingas ir pažymėtas tikru šauktuku: „Padarykite savo slaptažodį 14–16 ar daugiau simbolių!“

Tai taip pat nėra tik atsitiktinė rekomendacija. Bitwarden patarimai paimti iš Nacionalinio standartų ir technologijų instituto (NIST) leidinio, NIST SP 800-63B – Skaitmeninės tapatybės gairės, kuriame pažymima: „Vartotojai turėtų būti skatinami padaryti savo slaptažodžius tiek ilgio, kiek jie nori, protingai. Kadangi slaptažodžio maišos dydis nepriklauso nuo jo ilgio, nėra jokios priežasties neleisti naudoti ilgų slaptažodžių (ar slaptažodžių), jei vartotojas to pageidauja.

Taip pat: Geriausios VPN paslaugos: ekspertas išbandė ir peržiūrėjo

Tuo tarpu konkurentas 1Password savo tinklaraščio įraše teigia panašiai, kuri užtikrintai tvirtina, "Tokio ilgio turi būti jūsų slaptažodžiai": "1Password numatytasis sugeneruoto slaptažodžio ilgis yra 19 arba 20 simbolių, priklausomai nuo versijos. Bet iš tikrųjų tai per daug! Tinkamai sugeneravus slaptažodį, 11–15 simbolių kasdieniniam vartotojui suteiks daugiau nei pakankamai apsaugos.

„NordPass“ žmonės spręsk klausimą su matematika, darydami išvadą, kad „idealiu atveju norėtumėte, kad [saugus slaptažodis] būtų a minimumas iš 12 simbolių. … Jei tu tikrai Jei norite apsisaugoti nuo ateities, 16 simbolių tikrai yra geriausias ir tikroviškiausias ilgis, kuriuo tikriausiai galėsite pasikliauti, bet daugiau yra dar geriau.

Tiesą sakant, šis platus sutarimas pasiekė „Windows“, kur yra „Microsoft“ palaikymo straipsnis „Sukurkite ir naudokite stiprius slaptažodžius“ apima šias pagrindines slaptažodžių rekomendacijas:

• Mažiausiai 12 simbolių, bet 14 ar daugiau yra geriau.
• Didžiųjų raidžių, mažųjų raidžių, skaičių ir simbolių derinys.
• Ne žodis, kurį galima rasti žodyne arba asmens, veikėjo, produkto ar organizacijos vardas.
• Labai skiriasi nuo ankstesnių slaptažodžių.

Į privatumą orientuoti žmonės Protonas (Proton Mail kūrėjai) teigia, kad slaptažodis, sudarytas iš 15 simbolių, atsitiktinai sugeneruotų slaptažodžių tvarkyklės, turėtų būti „nepasiekiamas šiuolaikinių skaičiavimo galimybių“.

Taip pat: „Windows“ sauga: kaip apsaugoti savo namų ir smulkaus verslo kompiuterius

O gal iš viso nereikėtų naudoti slaptažodžio, jie daro išvadą: „Jei norite sukurti stiprų slaptažodį Naudojant žodžių seriją („slaptažodį“), dauguma informacijos apsaugos įmonių rekomenduoja naudoti bent keturis žodžius, kurie nėra labai dažni. Vis dėlto, kai vis daugiau žmonių pereina prie slaptafrazių, įsilaužėliai jas geriau nulaužys.

Galbūt neturėtumėte jaudintis dėl to, kiek raidžių yra slaptažodžiu. Galbūt tikrasis klausimas yra, kiek žodžių yra jūsų slaptažodžio frazėje. Tiesiog nenaudokite „teisingo arklio akumuliatoriaus segtuko“. Tas paimtas.