No davvero, questa è la mia password di LinkedIn:
y> 8Q ^ <6mqKEA4hac
Beh, era la mia password LinkedIn fino all'inizio di oggi, quando divenne chiaro che LinkedIn aveva sofferto quello che potrebbe essere descritto solo come una violazione della sicurezza enorme . La divulgazione di 6 milioni di password utilizzate in uno dei luoghi più importanti del mondo di social networking è a dir poco stupefacente.
Ma ciò che è anche sorprendente è che questo esercizio dimostra ancora una volta che noi, come utenti, continuano a scegliere password scandalosamente stupide. Come faccio a sapere questo? Date un'occhiata a leakedin.org e provare qualcosa di ovvio:
Ed eccolo qui:
Ora provate la vecchia password LinkedIn che, naturalmente, hai già cambiato. Non preoccupatevi, gli hash del sito nel browser invia l'hash al server in modo che corrisponda contro la violazione LinkedIn. Ancora non ci si fida? E 'perché sei preoccupato per gli altri posti che hai usato la password? E qui sta il problema.
Password di resistenza di base
Ai fini di questo post, non importa in particolare come le password LinkedIn sono stati ottenuti, ciò che importa è che fossero. Alcuni ricercatori di sicurezza hanno verificato la presenza di proprie password in discarica e questi sono ora accessibili a chiunque voglia andare a prendere una copia .
Questo è ciò che tende ad accadere quando i siti vengono violati: improvvisamente tutti i conti sono là fuori per uno e tutti da vedere e c'è una lunga coda di persone in fila in attesa di vedere cosa la vostra scelta password. Probabile che hai usato qualche altra parte prima e indovinate che cosa significa? Yep, all'improvviso si avvia tweeting su bacche di Acai .
LinkedIn non sono stati del tutto negligenti con il loro modo memorizzato password, la maggior parte negligente! Quello che hanno fatto è usare una pratica di crittografia che rende estremamente facile da esporre deboli password. Qual è una password debole? Si tratta di una password che non aderisce a questi tre principi:
- Unicità: Non ho usato nessun altro prima. Mai.
- Casualità: Non aderire a un modello e utilizza una combinazione di lettere maiuscole e minuscole, numeri e simboli.
- Lunghezza: Ha come numero possibile di caratteri, certamente almeno una dozzina.
Quando la password non segue queste tre pratiche fondamentali diventa vulnerabile a "forza bruta" o, in altre parole, un hacker che ha stiva di un database delle password ha una maggiore possibilità di esporre le password memorizzate anche crittograficamente.
Come? Bene in termini di unicità, la password potrebbe essere trovato in un dizionario di password. Ad esempio, non vorrebbe utilizzare la password "corretta fiocco batteria a cavallo", in quanto questo è ormai ben noto. Allo stesso modo molti altri combinazione di password - a prescindere di casualità e di lunghezza - appaiono in questi dizionari e può essere facilmente abbinato a pareggiare una versione crittografica memorizzata come nel caso di LinkedIn. Sostituzioni di caratteri come "p @ ssw0rd" (o varianti simili) sono anche le voci del dizionario popolari.
Casualità e lunghezza venire giù tutto alla probabilità, la più probabile la tua password è quello di rientrare in una gamma molto limitata, tanto più probabile è quello di essere rotto.Cosa gamma stiamo parlando? Sulla base di analisi precedente , da sei a otto caratteri e del tutto maiuscolo o minuscolo copre un vasto spettro di password. La velocità con cui le password possono essere "rotto" è eccezionalmente veloce a causa della loro prevedibilità di caduta all'interno di una gamma limitata.
Come ricordare memorizzare le password
Se si riesce a ricordare il (nuovo) password LinkedIn, hai scelto male. Uno che o si sta facendo le altre password sbagliate, perché semplicemente non si può ricordare unici, casuali, password lunghe. Si potrebbe ottenere due su tre - forse casualità e lunghezza - ma non puoi farlo per tutti gli account quindi ci va la vostra unicità.
Modelli di memoria irregolare non funzionano - l'unica password sicura è quella che non riesce a ricordare . Ho sentito ogni modello di memoria sotto il sole e sono sempre complessi, verbose o impraticabili.
Il che ci porta direttamente al password manager. Prendi uno. E 'facile alzarsi e correre con il mio preferito, 1Password e sento parlare bene di LastPass e KeePass troppo.
Allora perché sto condividendo la mia (vecchia) password LinkedIn?
Perché posso. Dato che la password è stata generata in modo casuale e utilizzata assolutamente in nessun altro luogo. Una volta modificato, che la vecchia password contiene il valore zero. Anywhere. Se non si può dire la stessa cosa tua (vecchio) password LinkedIn allora significa che ora hai un problema devi andare via e correggere.
Avere un gestore di password e utilizzare in modo corretto è un'esperienza liberatoria. Si fa la differenza tra una violazione come LinkedIn essere nient'altro che un piccolo inconveniente rispetto a un episodio potenzialmente grave con la possibilità reale di furto di identità e altre conseguenze spiacevoli.
Al momento della scrittura, la violazione LinkedIn è composto di "soli" 6,5 milioni di password (che hanno 150 milioni di utenti registrati), e ancora, non ci sono stati nomi utente o indirizzi di posta elettronica rilasciato pubblicamente. Le probabilità sono, tuttavia, che questi saranno presto seguire e le persone che non sono stati che applicano tale trio unico / random / lungo otterrà un corso accelerato di selezione per cui la password è importante.
