Inafasiriwa moja kwa moja kutoka kwa Wikipedia ya Kiingereza na Tafsiri ya Google

Nenosiri

Wikipedia ishara katika fomu kuomba jina la mtumiaji na password

Nenosiri ni neno au kamba ya wahusika kutumika kwa kuthibitishwa kwa mtumiaji kuthibitisha utambulisho au upatikanaji idhini ili kupata rasilimali (mfano: msimbo wa upatikanaji ni aina ya nenosiri), ambayo inadhibiwa siri kutoka kwa wale ambao hawaruhusiwi kufikia.

Matumizi ya nywila hujulikana kuwa ya kale. Mabawabu waliwataka waliotaka kuingia au kukaribia eneo lao kutoa nywila au msemo, na ingekuwa tu kuruhusu mtu au kikundi fulani kupita kama walijua nywila hiyo. Katika nyakati za kisasa, majina ya utumiaji na nywila hutumiwa kwa kawaida na watu wakati wa kumbukumbu katika utaratibu huo udhibiti upatikanaji ili kulinda kompyuta mifumo ya uendeshaji , simu za mkononi , cable TV malipo, mashine za otomatiki teller (ATM), nk kawaida kompyuta ya mtumiaji ina nywila kwa ajili ya madhumuni mengi: kuingia katika akaunti, kurejesha barua pepe , kufikia maombi, database, mitandao, tovuti, na hata kusoma gazeti la asubuhi online.

Licha ya jina, hakuna haja ya nywila kuwa maneno halisi; kweli nywila ambayo si maneno halisi inaweza kuwa vigumu kufikiria, mali yenye kuhitajika. Nywila zingine zinaundwa kutoka kwa maneno mengi na huweza kuitwa kwa usahihi zaidi jina la kupitisha . Neno la passcode na passekey wakati mwingine hutumiwa wakati maelezo ya siri ni halisi ya nambari, kama nambari ya kitambulisho cha kibinafsi (PIN) ambayo hutumika kwa ufikiaji wa ATM . Nywila kwa ujumla ni fupi ya kutosha ili kukumbukwa kwa urahisi na kuchapishwa.

Mashirika mengi yanasema sera ya nenosiri inayoweka mahitaji ya utungaji na matumizi ya nywila, kwa kawaida kuagiza urefu mdogo, makundi yanayotakiwa (kwa mfano kesi ya juu na chini, idadi, na wahusika maalum), vipengele vikwazo (kwa mfano jina la kibinafsi, tarehe ya kuzaliwa, anwani , nambari ya simu). Serikali zingine zina mfumo wa kuthibitisha kitaifa [1] unafafanua mahitaji ya uthibitisho wa mtumiaji kwa huduma za serikali, ikiwa ni pamoja na mahitaji ya nywila.

Yaliyomo

Historia

Nywila au nywila zimetumika tangu nyakati za kale. Polybius anaelezea mfumo wa usambazaji wa maneno katika jeshi la Kirumi kama ifuatavyo:

Njia ambayo wao hupitia mzunguko wa habari kwa usiku ni kama ifuatavyo: kutoka maniple ya kumi ya kila darasa la watoto wachanga na farasi, manili ambayo imekamatwa chini ya barabara, mtu huchaguliwa ambaye ni ameondoka kutoka kwa wajibu wa ulinzi, na huenda kila siku wakati wa jua lililopo kwenye hema la mkuu , na kupokea kutoka kwake sura-ambayo ni kibao cha mbao na neno lililoandikwa juu yake - linachukua kuondoka kwake, na kurudi kwenye robo yake nyota na kibao kabla ya mashahidi kwa kamanda wa maniple ijayo, ambaye kwa hiyo hupita kwa yule aliyefuata. Wote wanafanya sawa mpaka kufikia matendo ya kwanza, wale waliofanya karibu na hema za mahakama. Hizi za mwisho zinastahili kutoa kibao kwenye mabara kabla ya giza. Kwa hiyo ikiwa wote wale waliotolewa wanarudi, kikosi huyo anajua kuwa neno la habari limepewa vikwazo vyote, na limepita kwa njia zote kwa njia yake ya kurudi kwake. Ikiwa mtu yeyote anayepotea, huuliza kwa mara moja, kama anavyojua kwa alama kutoka kwa robo gani kibao haijarudi, na yeyote anayehusika na kuacha hukutana na adhabu anayostahiki. [2]

Nywila katika matumizi ya kijeshi yalibadilishwa kuwa sio nenosiri tu, lakini nenosiri na nenosiri; kwa mfano katika siku ya ufunguzi wa vita ya Normandy , wanajeshi wanaoruka za Marekani 101 Airbourne Division kutumika password flash-ambayo iliwasilishwa kama changamoto, na akajibu kwa sahihi response- radi. Changamoto na jibu zilibadilika kila siku tatu. Wapiganaji wa Marekani pia walitumia kwa kifaa kifaa kinachojulikana kama "kriketi" kwenye D-Day badala ya mfumo wa nenosiri kama njia ya kipekee ya kitambulisho; Chombo kimoja cha metali kilichopewa na kifaa badala ya nenosiri lilipaswa kuzingatiwa na kuunganisha mbili kwa jibu. [3]

Nywila zinazotumiwa na kompyuta tangu siku za mwanzo za kompyuta. CITS ya MIT , moja ya mifumo ya kugawana mara ya kwanza, ilianzishwa mwaka 1961. Ilikuwa na amri ya LOGIN ambayo iliomba password ya mtumiaji. "Baada ya kuandika PASSWORD, mfumo huzima utaratibu wa uchapishaji, ikiwa inawezekana, ili mtumiaji apate kuandika nenosiri lake kwa faragha." [4] Mapema miaka ya 1970, Robert Morris alianzisha mfumo wa kuhifadhi manenosiri ya kuingilia kwa fomu iliyosababishwa kama sehemu ya mfumo wa uendeshaji wa Unix . Mfumo huo ulitegemea mashine ya crypto ya Hagelin iliyofanyika, na kwanza ilionekana katika Unix ya 6 Edition mwaka wa 1974. Toleo la baadaye la algorithm yake, inayojulikana kama crypt (3) , ilitumia chumvi 12-bit na ilitengeneza fomu iliyobadilishwa ya DES algorithm mara 25 ili kupunguza hatari ya mashambulizi ya darasani kabla. [5]

Kuchagua password salama na kukumbukwa

Rahisi nenosiri ni kwa mmiliki kukumbuka kwa ujumla lina maana itakuwa rahisi kwa mshambulizi wa nadhani. [6] Hata hivyo, nywila ambayo ni ngumu kukumbuka inaweza pia kupunguza usalama wa mfumo kwa sababu (a) watumiaji wanaweza kuhitajika kuandika au kuhifadhi nenosiri la umeme, (b) watumiaji watahitaji upyaji wa nenosiri mara kwa mara na (c) watumiaji ni zaidi uwezekano wa kutumia nenosiri sawa. Vivyo hivyo, mahitaji magumu zaidi ya nguvu ya nenosiri, kwa mfano "mchanganyiko wa barua na majina ya chini na ya chini" au "ubadilishe kila mwezi", zaidi ya kiwango ambacho watumiaji watapunguza mfumo. [7] Wengine wanasema nywila za muda mrefu hutoa usalama zaidi (kwa mfano, entropy ) kuliko nywila za muda mfupi zilizo na wahusika mbalimbali. [8]

Katika kukumbukwa na Usalama wa Nywila , [9] Jeff Yan et al. kuchunguza athari za ushauri unaotolewa kwa watumiaji kuhusu uchaguzi mzuri wa nenosiri. Waligundua kwamba nywila kulingana na kufikiria maneno na kuchukua barua ya kwanza ya kila neno ni kama vile kukumbukwa kama nywila zilizochaguliwa na naivu, na kama vigumu kukata kama nywila zilizozalishwa kwa nasibu.

Kuchanganya maneno mawili au zaidi yasiyounganishwa na kubadilisha baadhi ya barua kwa wahusika maalum au namba ni njia nyingine nzuri, [10] lakini neno moja la kamusi sio. Kuwa na algorithm binafsi iliyoundwa kwa kuzalisha nywila zisizofichwa ni njia nyingine nzuri [ citation inahitajika ]

Hata hivyo, kuuliza watumiaji kukumbuka nenosiri lililo na "mchanganyiko wa wahusika wa chini na wa chini" ni sawa na kuwauliza kukumbuka mlolongo wa bits: ngumu kukumbuka, na tu vigumu kidogo kufuta (kwa mfano mara 128 tu ngumu kwa ufa kwa nywila za barua 7, chini ikiwa mtumiaji anaweza tu kuupa barua moja). Kuomba watumiaji kutumia "barua mbili na tarakimu" mara nyingi husababisha mbadala rahisi-nadhani kama 'E' → '3' na 'I' → '1', substitutions ambayo ni maalumu kwa washambuliaji. Vilevile kuandika nenosiri la moja ya kibodi cha juu ni hila ya kawaida inayojulikana kwa washambuliaji. [11]

Mwaka wa 2013, Google ilitoa orodha ya aina nyingi za nenosiri, ambazo zote zinaonekana kuwa salama kwa sababu ni rahisi sana nadhani (hasa baada ya kutafiti mtu binafsi kwenye vyombo vya habari vya kijamii): [12]

  • Jina la mnyama, mtoto, mwanachama wa familia, au nyingine muhimu
  • Sikukuu za maadhimisho na siku za kuzaliwa
  • Kuzaliwa
  • Jina la likizo ya favorite
  • Kitu kinachohusiana na timu ya michezo ya favorite
  • Neno "nenosiri"

Mambo katika usalama wa mfumo wa nenosiri

Usalama wa mfumo wa ulinzi wa nenosiri unategemea mambo kadhaa. Mfumo wa jumla lazima, bila shaka, umeundwa kwa ajili ya usalama wa sauti, na ulinzi dhidi ya virusi vya kompyuta , mashambulizi ya mtu katikati na kadhalika. Masuala ya usalama wa kimwili pia ni wasiwasi, kutokana na kuzuia bega kwa vitisho vya kisasa zaidi kama vile kamera za video na sniffers ya keyboard. Na, bila shaka, nywila zinapaswa kuchaguliwa ili kuwa vigumu kwa mshambulizi kudhani na vigumu kwa mshambulizi kugundua kutumia yoyote (na yote) ya inapatikana mipango ya mashambulizi moja kwa moja. Angalia nguvu ya nywila na usalama wa kompyuta .

Siku hizi, ni kawaida ya mifumo ya kompyuta kuficha nywila kama zilizopigwa. Kusudi la kipimo hiki ni kuepuka wasikilizaji kusoma nenosiri. Hata hivyo, wengine wanasema kuwa mazoezi haya yanaweza kusababisha makosa na shida, na kuwahimiza watumiaji kuchagua nywila dhaifu. Kama mbadala, watumiaji wanapaswa kuwa na chaguo la kuonyesha au kujificha nywila wakati wanavyozipiga. [13]

Maagizo ya ufanisi wa kudhibiti upatikanaji inaweza nguvu hatua kali kwa wahalifu wanaotaka kupata nenosiri au ishara ya biometri. [14] Chini ndogo hatua ni pamoja na ulafi , hose cryptanalysis mpira , na upande wa mashambulizi channel .

Hapa kuna baadhi ya masuala maalum ya usimamizi wa nenosiri ambayo inapaswa kuzingatiwa kwa kufikiri juu, kuchagua, na kushughulikia, nenosiri.

Kiwango ambacho mshambuliaji anaweza kujaribu nywila za kudhani

Kiwango ambacho mshambulizi anaweza kuwasilisha nywila zilizodhaniwa kwenye mfumo ni jambo muhimu katika kuamua usalama wa mfumo. Mifumo mingine inatia muda wa nje ya sekunde kadhaa baada ya namba ndogo (kwa mfano, tatu) ya majaribio ya kuingia kwa nenosiri yaliyeshindwa. Kutokuwepo kwa udhaifu mwingine, mifumo hiyo inaweza kuwa salama kwa nywila rahisi, ikiwa wamechaguliwa vizuri na hazifikiri kwa urahisi. [15]

Mifumo mingi huhifadhi hash ya cryptographic ya nenosiri. Ikiwa mshambulizi anapata faili ya manenosiri ya kufuta yanayotafsiriwa yanaweza kufanywa mbali, hutazama nywila za nyaraka za mgombea dhidi ya thamani ya hazina ya nenosiri la kweli. Katika mfano wa wavuti-wavuti, mshambuliaji wa mtandaoni anaweza kudhani tu kwa kiwango ambacho seva itashughulikia, wakati mshambuliaji wa mbali (ambaye anapata faili) anaweza kudhani kwa kiwango kinachopunguzwa tu na vifaa ambavyo huleta kubeba.

Nywila zinazotumiwa kuzalisha funguo za kielelezo (kwa mfano, kwa encryption disk au usalama wa Wi-Fi ) zinaweza pia kuzingatiwa kwa kiwango cha juu. Orodha ya nywila za kawaida zinapatikana sana na zinaweza kushambulia sana nenosiri. (Tazama uharibifu wa nenosiri .) Usalama katika hali kama hiyo inategemea kutumia manenosiri au vifupisho vyenye uchangamfu wa kutosha, na kufanya mashambulizi kama hayo bila kuzingatia kwa mshambuliaji. Mifumo mingine, kama PGP na Wi-Fi WPA , hutumia hashi kubwa ya hesabu kwa nenosiri ili kupunguza mashambulizi hayo. Angalia kunyoosha muhimu .

Vikwazo juu ya idadi ya namba za nenosiri

Njia mbadala ya kupunguza kiwango ambacho mshambulizi anaweza kufanya nadhani kwenye nenosiri ni kupunguza idadi ya nadhani ambayo inaweza kufanywa. Nenosiri linaweza kuzimwa, linahitaji kuundwa upya, baada ya namba ndogo ya mazoezi mbaya mfululizo (sema 5); na mtumiaji anahitajika kubadili nenosiri baada ya namba kubwa ya jumla ya nadhani mbaya (sema 30), ili kuzuia mshambulizi kutoka kwa kufanya idadi kubwa ya mazoezi mabaya kwa kuingilia kati ya nadhani nzuri zilizofanywa na mmiliki wa nenosiri halali. [16]

Fomu ya nywila zilizohifadhiwa

Baadhi ya nywila za mtumiaji wa kuhifadhi mifumo ya kompyuta kama dalili , ambayo inalinganisha kuingia kwa mtumiaji kwenye majaribio. Ikiwa mshambulizi anapata upatikanaji wa duka la nenosiri la ndani, nywila zote-na hivyo akaunti zote za watumiaji-zitaathiriwa. Ikiwa watumiaji wengine hutumia nenosiri sawa kwa ajili ya akaunti kwenye mifumo tofauti, hizo zitaathirika pia.

Mifumo salama zaidi huhifadhi kila nenosiri kwenye fomu ya kilio kilichohifadhiwa, hivyo kufikia nenosiri halisi bado litakuwa vigumu kwa snooper ambaye anapata upatikanaji wa ndani wa mfumo, wakati uthibitisho wa majaribio ya upatikanaji wa mtumiaji unabaki iwezekanavyo. Sala salama hazizihifadhi nywila kabisa, lakini njia moja ya kupatikana, kama vile polynomial , modulus , au kazi ya juu ya hashi . [8] Roger Needham alinunua mbinu ya kawaida ya kuhifadhi tu aina ya "hasira" ya nenosiri la siri. Mtumiaji anapoweka katika nenosiri kwenye mfumo kama huo, programu ya utunzaji wa nenosiri inatekeleza kwa njia ya algorithm ya kihistoria , na kama thamani ya hash inayotokana na kuingia kwa mtumiaji inafanana na hashi iliyohifadhiwa katika databana ya nenosiri, mtumiaji anaweza kupata upatikanaji. Thamani ya hashi imetengenezwa kwa kutumia kazi ya kipaza sauti kwa kamba inayojumuisha nenosiri na, katika utekelezaji mingi, thamani nyingine inayojulikana kama chumvi . Chumvi huzuia washambuliaji kwa urahisi kujenga orodha ya maadili ya hashi kwa nywila za kawaida na kuzuia jitihada za kuzuia nenosiri kutoka kwa kuongeza kwa watumiaji wote. [17] MD5 na SHA1 hutumiwa mara kwa mara kazi za kifahari za kielelezo lakini hazipendekezwi kwa kufungua nenosiri isipokuwa zinatumika kama sehemu ya ujenzi mkubwa kama vile PBKDF2 . [18]

Data iliyohifadhiwa-wakati mwingine iitwayo "mtambulisho wa nenosiri" au "nenosiri la nenosiri" mara nyingi huhifadhiwa katika Format ya Crypt Modular au muundo wa RFC 2307 hash, wakati mwingine katika faili / nk / passwd au faili / nk / kivuli . [19]

Njia kuu za uhifadhi za nywila ni maandishi wazi, imekwisha, imesababishwa na hutumiwa na chumvi, na imetumwa kwa usahihi. [20] Ikiwa mshambulizi anapata faili ya nenosiri, basi ikiwa imehifadhiwa kama maandishi wazi, hakuna kupoteza ni muhimu. Ikiwa imeharibiwa lakini haipatikani chumvi basi ni hatari ya mashambulizi ya meza ya upinde wa mvua (ambayo ni ya ufanisi zaidi kuliko kufuta). Ikiwa ni encrypted basi, kama mshambulizi anapata muhimu decryption pamoja na file hakuna kupoteza ni muhimu, wakati kama inashindwa kupata ufunguo muhimu haiwezekani. Kwa hivyo, ya muundo wa kawaida wa kuhifadhi kwa nywila tu wakati nywila zimehifadhiwa na kupoteza ni kupoteza wote muhimu na iwezekanavyo. [20]

Ikiwa kazi ya cryptographic hash imeundwa vizuri, ni computationally infeasible kurejesha kazi ya kurejesha password plaintext . Mshambuliaji anaweza, hata hivyo, kutumia zana nyingi za kutosha ili kujaribu nadhani nywila. Zana hizi hufanya kazi kwa kufuta nywila zinazowezekana na kulinganisha matokeo ya kila nadhani kwa hasha halisi ya nenosiri. Ikiwa mshambuliaji anapata mechi, wanajua kuwa nadhani yao ni nenosiri halisi kwa mtumiaji aliyehusishwa. Vifaa vya kufuta nenosiri vinaweza kufanya kazi kwa nguvu kali (yaani kujaribu kila mchanganyiko unaowezekana wa wahusika) au kwa kutumia kila neno kutoka kwenye orodha; orodha kubwa ya nywila zinazowezekana katika lugha nyingi zinapatikana sana kwenye mtandao. [8] Kuwepo kwa zana za kufuta password huwawezesha washambuliaji kurejesha nywila zisizochaguliwa kwa urahisi. Hasa, washambuliaji wanaweza haraka kurejesha nywila ambazo ni za fupi, maneno ya kamusi, tofauti ya rahisi kwenye maneno ya kamusi au ambao hutumia ruwaza rahisi. [21] Toleo la marekebisho la algorithm DES lilitumiwa kama msingi wa algorithm ya nenosiri katika mifumo ya kwanza ya Unix . [22] Hifadhi ya crypt ilitumia thamani ya chumvi 12-bit ili kila hash ya mtumiaji iwekee na ikitengenezea algorithm DES mara 25 ili kufanya kazi ya hashi polepole, hatua zote mbili zilizolenga kuharibu mashambulizi ya kubadili automatiska. [22] Nenosiri la mtumiaji lilitumiwa kama ufunguo wa encrypt thamani ya kudumu. Unix hivi karibuni zaidi au Unix kama mifumo (kwa mfano, Linux au mifumo mbalimbali ya BSD ) hutumia taratibu nyingi za salama za password kama vile PBKDF2 , bcrypt , na scrypt ambayo ina chumvi kubwa na gharama ya kurekebisha au idadi ya iterations. [23] Kazi isiyofaa iliyoundwa ya hash inaweza kufanya mashambulizi yanawezekana hata kama nenosiri lililochaguliwa. Tazama hashi ya LM kwa matumizi mengi, na mfano usio salama. [24]

Njia za kuthibitisha nenosiri juu ya mtandao

Maambukizi rahisi ya nenosiri

Nywila ni hatari zaidi ya kuingiliwa (yaani, "kutembea") wakati unapelekwa kwenye mashine ya kuthibitisha au mtu. Ikiwa nenosiri linachukuliwa kama ishara za umeme kwenye wiring isiyo na uhakika kati ya mtumiaji wa kufikia kiwango na mfumo wa kati wa kudhibiti database ya nenosiri, inakabiliwa na kutetea kwa njia za waya . Ikiwa inafanywa kama data ya pakiti kwenye mtandao, mtu yeyote anayeweza kuangalia pakiti zenye habari ya logon anaweza kutembea na uwezekano mdogo sana wa kugundua.

Wakati mwingine barua pepe hutumiwa kusambaza nywila lakini hii ni njia isiyo salama. Kwa kuwa barua pepe nyingi zinatumwa kama tamaa , ujumbe ulio na nenosiri unafanywa bila juhudi wakati wa usafiri na wavesdropper yoyote. Zaidi ya hayo, ujumbe itakuwa kuhifadhiwa kama maandishi wazi angalau katika kompyuta mbili: mtumaji na mpokeaji. Ikiwa kinapita kupitia mifumo ya kati wakati wa safari zake, huenda ikahifadhiwa huko pia, angalau kwa muda fulani, na inaweza kunakiliwa kwa faili za kuhifadhi , cache au historia kwenye yoyote ya mifumo hii.

Kutumia encryption upande wa mteja tu kulinda maambukizi kutoka server utunzaji server server kwa mashine ya mteja. Upelelezaji uliopita au wa pili wa barua pepe hautahifadhiwa na barua pepe itahifadhiwa kwenye kompyuta nyingi, kwa hakika kwenye kompyuta za mwanzo na za kupokea, mara nyingi katika maandishi wazi.

Uhamishaji kupitia njia za encrypted

Hatari ya kuingiliwa kwa nywila iliyotumwa kwenye mtandao inaweza kupunguzwa na, kati ya njia nyingine, kwa kutumia ulinzi wa kielelezo . Matumizi mengi zaidi ni Usalama wa Tabaka la Usafiri (TLS, awali inayoitwa SSL ) kipengele kilichojengwa kwenye vivinjari vya sasa vya mtandao. Vivinjari vingi huonya mtumiaji wa kubadilishana TLS / SSL iliyohifadhiwa na seva kwa kuonyesha icon iliyofungwa kufungwa, au ishara nyingine, wakati TLS inatumika. Kuna mbinu nyingine nyingi zinazotumiwa; tazama kielelezo .

Mbinu za kukabiliana na changamoto za kukabiliana na Hashi

Kwa bahati mbaya, kuna mgongano kati ya nywila zilizohifadhiwa zilizohifadhiwa na uthibitishaji wa changamoto-majibu ya hash-based; mwisho unahitaji mteja kuthibitisha kwa seva kwamba wanajua siri iliyoshiriki (yaani, password) ni, na kufanya hivyo, seva inapaswa kupata siri iliyoshirikiwa kutoka kwa fomu yake iliyohifadhiwa. Katika mifumo mingi (ikiwa ni pamoja na mifumo ya Unix -type) kufanya uthibitisho wa kijijini, siri iliyoshirikiwa kawaida inakuwa fomu iliyosababishwa na ina kiwango kikubwa cha kufungua nywila kwa mashambulizi ya nje ya nje ya nje. Kwa kuongeza, wakati hash inatumiwa kama siri iliyoshirikiwa, mshambuliaji hawana haja ya nenosiri la awali ili kuthibitisha mbali; wanahitaji tu hash.

Uthibitisho wa nenosiri wa zero

Badala ya kupeleka nenosiri, au kuhamisha hasira ya nenosiri, mifumo ya makubaliano muhimu ya nenosiri ya nenosiri inaweza kufanya uthibitisho wa nenosiri wa zero , ambayo inathibitisha ujuzi wa nenosiri bila kuifungua.

Kusonga hatua zaidi, mifumo iliyoongeza kwa makubaliano muhimu ya nenosiri (kwa mfano, AMP , B-SPEKE , PAK-Z , SRP-6 ) kuepuka migogoro na upeo wa mbinu za hashi. Mfumo uliodhabitiwa huwezesha mteja kuthibitisha ujuzi wa nenosiri kwenye seva, ambapo seva inajua nenosiri (sio hasa) lililopoteza nenosiri, na ambapo nenosiri lisilosaidiwa inahitajika kupata upatikanaji.

Utaratibu wa kubadilisha nywila

Kawaida, mfumo lazima uwe na njia ya kubadili nenosiri, ama kwa sababu mtumiaji anaamini nenosiri la sasa limekuwa (au labda) limeathiriwa, au kama kipimo cha tahadhari. Ikiwa nenosiri jipya linapitishwa kwenye mfumo katika mfumo usio sahihi, usalama unaweza kupotea (kwa mfano, kwa njia ya waya) kabla nenosiri jipya linaweza hata kufungwa kwenye databuni ya nenosiri. Na, bila shaka, ikiwa nenosiri limepewa mfanyakazi aliyeathiriwa, kidogo hupatikana. Sehemu zingine za wavuti zinajumuisha nenosiri la mtumiaji lililowekwa katika barua pepe ya uthibitisho wa barua pepe isiyo kuthibitishwa, na kuongezeka kwa hatari kwa dhahiri.

Mipangilio ya usimamizi wa utambulisho inazidi kutumika kwa automatisering utoaji wa nafasi kwa nywila zilizopotea, kipengele kinachoitwa upyaji wa nenosiri la huduma binafsi . Utambulisho wa mtumiaji ni kuthibitishwa kwa kuuliza maswali na kulinganisha majibu kwa wale waliohifadhiwa awali (yaani, wakati akaunti ilifunguliwa).

Baadhi ya maswali ya upyaji wa nenosiri huomba maelezo ya kibinafsi ambayo yanaweza kupatikana kwenye vyombo vya habari vya kijamii, kama vile jina la mke wa mama. Kwa sababu hiyo, wataalam wengine wa usalama wanashauri ama kufanya maswali ya mtu mwenyewe au kutoa majibu ya uongo. [25]

Urefu wa nenosiri

"Kuzeeka kwa neno la siri" ni kipengele cha mifumo mingine ya uendeshaji ambayo inasababisha watumiaji kubadili nywila mara kwa mara (kwa mfano, kila mwezi, kila mwezi au hata mara nyingi zaidi). Sera hizo kawaida huwashawishi maandamano ya mtumiaji na mguu-kuunganisha kwa bora na uadui wakati mbaya zaidi. Mara nyingi kuna ongezeko la watu ambao wanatambua nenosiri na kuachia ambako linaweza kupatikana kwa urahisi, pamoja na wito wa usaidizi wa kurekebisha nenosiri lililosahau. Watumiaji wanaweza kutumia nywila rahisi au kuendeleza mwelekeo wa tofauti kwenye mandhari thabiti ili kuweka kumbukumbu zao za kukumbukwa. [26] Kwa sababu ya masuala haya, kuna mjadala kuhusu kwamba kuzeeka nenosiri linafaa. [27] Kubadili nenosiri hawezi kuzuia unyanyasaji mara nyingi, kwani unyanyasaji mara nyingi utaonekana. Hata hivyo, kama mtu anaweza kuwa na upatikanaji wa nenosiri kupitia njia zingine, kama vile kugawana kompyuta au kuvunja tovuti tofauti, kubadilisha nenosiri limefungua dirisha kwa matumizi mabaya. [28]

Idadi ya watumiaji kwa nenosiri

Kugawa nywila tofauti kwa kila mtumiaji wa mfumo ni vyema kuwa na nenosiri moja lililoshirikiwa na watumiaji wa halali wa mfumo, kwa hakika kutoka kwa mtazamo wa usalama. Hii ni sehemu kwa sababu watumiaji wako tayari kumwambia mtu mwingine (ambaye hawezi kuidhinishwa) nenosiri lililoshirikiwa kuliko moja tu kwa matumizi yao. [ kinachohitajika ] Nywila za pekee pia haziwezekani sana kubadili kwa sababu watu wengi wanapaswa kuambiwa kwa wakati mmoja, na hufanya uondoaji wa upatikanaji wa mtumiaji fulani kuwa ngumu zaidi, kama kwa mfano juu ya kuhitimu au kujiuzulu. Vipindi vya tofauti hutumiwa pia kwa uwajibikaji, kwa mfano kujua nani aliyebadilisha kipande cha data.

Usanifu wa usalama wa nenosiri

Mbinu za kawaida za kuboresha usalama wa mifumo ya kompyuta iliyohifadhiwa na nenosiri ni pamoja na:

  • Si kuonyesha nenosiri kwenye skrini ya kuonyesha ikiwa inaingizwa au kuificha kama inavyotumiwa kwa kutumia nyota (*) au risasi (•).
  • Kuruhusu nywila ya urefu wa kutosha. (Baadhi ya mifumo ya urithi , ikiwa ni pamoja na matoleo mapema [ ambayo? ] Ya Unix na Windows, nywila zilizopunguzwa kwa upeo wa tabia 8, [29] [30] [31] kupunguza usalama.)
  • Inahitaji watumiaji kuingia tena nenosiri lao baada ya kipindi cha kutofanya kazi (sera ya kuacha kuacha).
  • Kuimarisha sera ya nenosiri ili kuongeza nguvu na usalama wa nenosiri .
    • Inahitaji mabadiliko ya nenosiri mara kwa mara.
    • Kuagiza nywila zilizochaguliwa kwa nasibu.
    • Inahitaji urefu wa nenosiri mdogo. [18]
    • Mifumo mingine inahitaji wahusika kutoka kwa madarasa mbalimbali ya tabia katika nenosiri-kwa mfano, "lazima iwe na angalau moja ya barua na alama angalau moja". Hata hivyo, nywila zote za chini zina salama kwa kila kitu muhimu kuliko nywila za mitaji ya mchanganyiko. [32]
    • Tumia orodha ya orodha ya nenosiri ili kuzuia matumizi ya nywila za kudumu, ambazo zinafikiriwa kwa urahisi
    • Kutoa njia mbadala ya kuingia kwa kibodi (kwa mfano, nywila zilizoongea, au nywila za biometri ).
    • Inahitaji mfumo zaidi wa uthibitisho, kama uthibitishaji wa sababu mbili (kitu ambacho mtumiaji anacho na kitu ambacho mtumiaji anajua).
  • Kutumia vichuguo vya encrypted au makubaliano muhimu ya nenosiri ya nenosiri ili kuzuia upatikanaji wa nywila zinazosafirishwa kupitia mashambulizi ya mtandao
  • Inapunguza idadi ya kushindwa kuruhusiwa ndani ya muda uliopangwa (ili kuzuia mara kwa mara nenosiri la kudhani). Baada ya kufikia kikomo, majaribio zaidi yatashindwa (ikiwa ni pamoja na majaribio sahihi ya nenosiri) hadi mwanzo wa kipindi cha wakati ujao. Hata hivyo, hii inakabiliwa na aina ya kukataa mashambulizi ya huduma .
  • Kuanzisha ucheleweshaji kati ya majaribio ya uwasilishaji wa nenosiri ili kupunguza kasi ya mipango ya kubadili password ya automatiska.

Baadhi ya hatua kali za utekelezaji wa sera zinaweza kusababisha hatari ya kuwatenganisha watumiaji, labda kupunguza usalama kama matokeo.

Rejea ya kutumia tena

Ni kawaida kawaida kati ya watumiaji wa kompyuta kutumia tena password sawa kwenye maeneo mengi. Hii inatoa hatari kubwa ya usalama, kwa sababu mshambuliaji anahitaji tu kuathiri tovuti moja ili kupata upatikanaji wa maeneo mengine yule anayetumia. Tatizo hili linazidishwa kwa kutumia tena majina ya mtumiaji , na kwa tovuti zinazohitaji kuingia kwa barua pepe, kwa sababu inafanya iwe rahisi kwa mshambulizi kufuatilia mtumiaji mmoja kwenye maeneo mengi. Matumizi ya nenosiri yanaweza kuepukwa au kupunguzwa kwa kutumia mbinu za mnemonic , kuandika nywila chini kwenye karatasi , au kutumia meneja wa nenosiri . [33]

Imekuwa imeshughulikiwa na watafiti wa Redmond Dinei Florencio na Cormac Herley, pamoja na Paul C. van Oorschot ya Chuo Kikuu cha Carleton, Kanada, kwamba matumizi ya nenosiri hawezi kuepukika, na kwamba watumiaji wanapaswa kutumia tena nywila kwa tovuti za chini za usalama (ambazo zina data ndogo ya kibinafsi na hakuna maelezo ya kifedha, kwa mfano) na badala ya kuzingatia jitihada zao kukumbuka nywila za muda mrefu, ngumu kwa akaunti kadhaa muhimu, kama akaunti za benki. [34] Sababu zilizofanana zilifanywa na Forbes katika kubadili nywila mara nyingi kama "wataalamu" wengi wanavyoshauri, kwa sababu ya mapungufu sawa katika kumbukumbu ya binadamu. [26]

Kuandika chini nywila kwenye karatasi

Kwa kihistoria, wataalam wengi wa usalama walitaka watu kukumbukilia nywila zao: "Usiweke kamwe nenosiri". Hivi karibuni, wataalam wengi wa usalama kama vile Bruce Schneier wanapendekeza kwamba watu wanatumia nywila ambazo ni ngumu sana kushika, kuandika kwenye karatasi, na kuziweka kwenye mkoba. [35] [36] [37] [38] [39] [40] [41]

Programu ya meneja wa nenosiri pia inaweza kuhifadhi nywila kwa salama, katika faili iliyofichwa iliyofungwa na nenosiri moja.

Baada ya kifo

Kulingana na utafiti uliofanywa na Chuo Kikuu cha London , mmoja kati ya watu kumi sasa anaacha nywila zao katika mapenzi yao ili kupitisha maelezo muhimu haya wakati wafa. Sehemu ya tatu ya watu, kwa mujibu wa uchaguzi huo, kukubali kuwa data zao za ulinzi wa nenosiri ni muhimu kutosha kupitisha katika mapenzi yao. [42]

Uthibitishaji wa sababu mbili

Uthibitishaji wa sababu mbili husababisha nywila salama zaidi. Kwa mfano, uthibitishaji wa sababu mbili utakutumia ujumbe wa maandishi, barua pepe, au tahadhari kupitia programu ya tatu wakati kila jaribio login lifanywa. [43]

Uharibifu wa nenosiri

Kujaribu kukata nywila kwa kujaribu jitihada nyingi kama kibali cha wakati na fedha ni shambulio la nguvu kali . Njia inayohusiana, badala ya ufanisi zaidi katika kesi nyingi, ni mashambulizi ya kamusi . Katika mashambulizi ya kamusi, maneno yote katika dictionaries moja au zaidi yanajaribiwa. Orodha ya nywila ya kawaida pia hujaribiwa.

Nguvu ya nenosiri ni uwezekano kwamba nenosiri hawezi kufikiri au kugunduliwa, na linatofautiana na algorithm ya shambulio iliyotumiwa. Wataalam wa kielelezo na wanasayansi mara nyingi wanataja nguvu au 'ugumu' kwa upande wa entropy . [8]

Nywila zilizogundulika kwa urahisi zinajulikana kuwa dhaifu au zinaweza kuathirika ; nywila vigumu sana au haiwezekani kugundua inachukuliwa kuwa imara . Kuna mipango kadhaa inapatikana kwa mashambulizi ya nenosiri (au hata ukaguzi na kupona na wafanyakazi wa mifumo) kama L0phtCrack , John Ripper , na Kaini ; baadhi ambayo inatumia udhaifu wa kubuni wa nenosiri (kama inavyoonekana katika mfumo wa Microsoft LANManager) ili kuongeza ufanisi. Programu hizi wakati mwingine hutumiwa na watendaji wa mfumo wa kuchunguza nywila dhaifu zilizopendekezwa na watumiaji.

Uchunguzi wa mifumo ya kompyuta ya uzalishaji umeonyesha mara kwa mara kwamba sehemu kubwa ya nywila zote zilizochaguliwa na mtumiaji zinafikiriwa kwa urahisi. Kwa mfano, Chuo Kikuu cha Columbia kiligundua asilimia 22 ya nywila za mtumiaji zinaweza kupatikana kwa juhudi kidogo. [44] Kulingana na Bruce Schneier , kuchunguza data kutoka mashambulizi ya uharibifu wa 2006, 55% ya nywila za MySpace zitakuwa crackable katika masaa 8 kwa kutumia Kitabu cha Urejeshaji wa nenosiri cha kibiashara kinachoweza kupatikana kwa uwezo wa kupima nywila 200,000 kwa pili kwa mwaka 2006. [45] Pia aliripoti kwamba password moja ya kawaida ilikuwa password1 , na kuthibitisha tena ukosefu wa jumla wa huduma ya habari katika kuchagua nywila kati ya watumiaji. (Hata hivyo alisisitiza, kwa kuzingatia takwimu hizi, ubora wa nywila umeboreshwa kwa jumla katika miaka-kwa mfano, urefu wa wastani ulikuwa hadi herufi nane kutoka chini ya saba katika uchunguzi wa awali, na chini ya 4% walikuwa maneno ya kamusi. [46 ] )

Matukio

  • Mnamo Julai 16, 1998, CERT iliripoti tukio ambalo mshambulizi alikuwa amepata nywila 186,126 zilizofichwa. Wakati mshambuliaji aligunduliwa, nywila 47,642 zilikuwa zimevunjika. [47]
  • Mnamo Septemba 2001, baada ya vifo vya watumishi 960 wa New York katika shambulio hilo la Septemba 11 , kampuni ya huduma za kifedha Cantor Fitzgerald kupitia Microsoft ilivunja nywila za wafanyakazi waliokufa ili kupata files zinazohitajika kwa ajili ya huduma za akaunti za mteja. [48] Wataalamu walitumia mashambulizi ya nguvu, na wahojiwa waliwasiliana na familia kukusanya taarifa za kibinafsi ambazo zinaweza kupunguza muda wa kutafuta kwa nywila dhaifu. [48]
  • Mnamo Desemba 2009, uharibifu mkubwa wa nenosiri wa tovuti ya Rockyou.com ulifanyika ambao ulisababisha kutolewa kwa nywila milioni 32. Hacker kisha akavuja orodha kamili ya nywila milioni 32 (bila habari nyingine inayojulikana) kwenye mtandao. Nywila zilihifadhiwa katika safu ya msingi kwenye databana na zilifanywa kupitia hatari ya sindano ya SQL. Kituo cha Ulinzi cha Maombi ya Imperva (ADC) kilifanya uchambuzi juu ya nguvu za nywila. [49]
  • Mnamo Juni, 2011, NATO (Shirikisho la Matibabu ya Kaskazini ya Atlantic) lilipata uvunjaji wa usalama ambao ulisababisha kutolewa kwa umma kwa majina ya kwanza na ya mwisho, majina ya mtumiaji, na nywila kwa watumiaji zaidi ya 11,000 waliosajiliwa kwenye e-bookshop yao. Takwimu zilivunjwa kama sehemu ya Operesheni AntiSec , harakati inayojumuisha Anonymous , LulzSec , pamoja na makundi mengine ya kukata na watu binafsi. Lengo la AntiSec ni kufunua habari za kibinafsi, nyeti, na vikwazo kwa ulimwengu, kwa kutumia njia yoyote muhimu. [50]
  • Mnamo Julai 11, 2011, Booz Allen Hamilton , kampuni ya ushauri ambayo inafanya kazi kwa Pentagon , ilikuwa na seva zao zilipigwa na Anonymous na zimeongezeka siku moja. "Uvujaji, unaoitwa 'Upungufu wa Jeshi Jumatatu,' unajumuisha logini za kijeshi 90,000-ikiwa ni pamoja na wafanyakazi kutoka USCENTCOM , SOCOM , majini ya Marine , vifaa vya Air Force mbalimbali, Usalama wa Nchi , Wafanyakazi wa Idara ya Serikali , na nini kinachoonekana kama makandarasi ya sekta binafsi." [51] Nywila hizi zilizotajwa zimejaa kasi katika SHA1, na baadaye zimefafanuliwa na kuchambuliwa na timu ya ADC huko Imperva , akifafanua kwamba hata wanajeshi wanatafuta njia za mkato na njia karibu na mahitaji ya nenosiri. [52]

Mbadala kwa nywila za uthibitishaji

Njia nyingi ambazo nywila za kudumu au za kudumu zinaweza kuathiriwa zimesababisha maendeleo ya mbinu nyingine. Kwa bahati mbaya, baadhi hayatoshi katika mazoezi, na kwa hali yoyote wachache wamepatikana ulimwenguni kwa watumiaji kutafuta njia mbadala salama zaidi. [ citation required ] Karatasi ya 2012 [53] inachunguza kwa nini nywila imeonekana kuwa ngumu sana (pamoja na utabiri wengi kwamba hivi karibuni watakuwa kitu cha nyuma [54] ); katika kuchunguza mwakilishi wa thelathini alipendekeza kuchukua nafasi kwa heshima kwa usalama, usability na deployability wao kuhitimisha "hakuna hata anaendelea kuweka kamili ya faida ambayo nywila urithi tayari kutoa."

  • Nywila za kutumia moja kwa moja . Kuwa na nywila ambayo ni halali tu mara moja inafanya mashambulizi mengi yanayotokana na ufanisi. Watumiaji wengi hupata nywila za kutumia moja hazipendekezi sana. Hata hivyo, wamekuwa wakitumika sana katika benki ya kibinafsi, ambapo wanajulikana kama Hesabu ya Uthibitisho wa Ushirika (TAN). Kwa vile watumiaji wengi wa nyumbani hufanya tu idadi ndogo ya shughuli kila wiki, suala moja la matumizi halikusababisha kutoridhika kwa wateja katika hali hii.
  • Nywila za wakati mmoja zinazolingana ni sawa na njia zingine za nywila za kutumia moja, lakini thamani ya kuingizwa inaonyeshwa kwenye kipengee kidogo (kwa ujumla pocketable) na hubadilika kila dakika au hivyo.
  • Passwords ya wakati mmoja hutumiwa kama nywila za matumizi ya moja, lakini wahusika wenye nguvu wanaoingia huonekana tu wakati mtumiaji anapoweka kitu muhimu cha kuchapishwa kilichochapishwa kwenye sura iliyotokana na changamoto iliyoonyeshwa kwenye skrini ya mtumiaji.
  • Udhibiti wa upatikanaji kulingana na kielelezo cha ufunguo wa umma kwa mfano ssh . Funguo muhimu ni kawaida sana kwa kukariri (lakini tazama pendekezo Laza) [55] na inapaswa kuhifadhiwa kwenye kompyuta ya ndani, ishara ya usalama au kifaa cha kumbukumbu cha simu, kama vile gari la USB flash au hata floppy disk .
  • Njia za kijiometri zinaahidi uthibitishaji kulingana na sifa za kibinafsi zisizoweza kubadilishwa, lakini kwa sasa (2008) zina viwango vya juu vya makosa na zinahitaji vifaa vingine vya kupima, kwa mfano, vidole vya vidole , irises , nk. Vimeonyesha kuwa rahisi kuharibika katika baadhi ya matukio maarufu ya kupima mifumo ya kibiashara, kwa mfano, maonyesho ya kidole ya gummie ya gummie, [56] na, kwa sababu sifa hizi hazibadiliki, haziwezi kubadilishwa ikiwa zimeathirika; hii ni kuzingatia muhimu sana katika udhibiti wa upatikanaji kama ishara ya upatikanaji kuathirika ni lazima kuwa salama.
  • Teknolojia ya kuingia moja kwa moja inadaiwa kuondosha haja ya kuwa na nywila nyingi. Mipango hiyo haifai watumiaji na wasimamizi wa kuchagua nywila moja kwa moja, wala wasanidi wa mfumo au wasimamizi wa kuhakikisha kwamba habari za udhibiti wa upatikanaji wa kibinafsi zimepitia miongoni mwa mifumo inayowezesha kuingia moja kwa moja dhidi ya mashambulizi. Bado, hakuna kiwango cha kuridhisha kilichotengenezwa.
  • Teknolojia ya kuvuta ni njia isiyo na nenosiri ili kupata data kwenye vifaa vya kuhifadhiwa vinavyoweza kuondokana na vile vile gari la USB flash. Badala ya nywila za mtumiaji, udhibiti wa upatikanaji unategemea upatikanaji wa mtumiaji kwenye rasilimali ya mtandao.
  • Nywila zisizo na maandishi-msingi, kama vile nywila za picha au alama za nywila za mwendo. [57] Nywila za nyaraka ni njia mbadala ya uthibitishaji wa kuingilia kwa lengo la kutumiwa badala ya nenosiri la kawaida; wanatumia picha , graphics au rangi badala ya barua , tarakimu au wahusika maalum . Mfumo mmoja unahitaji watumiaji kuchagua mfululizo wa nyuso kama nenosiri, kutumia uwezo wa ubongo wa binadamu kukumbuka nyuso kwa urahisi. [58] Katika utekelezaji fulani mtumiaji anahitajika kuchukua kutoka mfululizo wa picha katika mlolongo sahihi ili kupata upatikanaji. [59] Suluhisho lingine la nenosiri linalenga nenosiri la wakati mmoja kwa kutumia gridi ya nasibu iliyotengenezwa kwa nasibu. Kila wakati mtumiaji anahitajika kuthibitisha, wanatafuta picha ambazo zinakabiliwa na makundi yao ya kuchaguliwa kabla na kuingiza tabia ya alphanumeric iliyozalishwa kwa nasibu inayoonekana katika picha ili kuunda nenosiri la wakati mmoja. [60] [61] Hadi hivi sasa, nywila za kielelezo zinaahidi, lakini hazitumiwi sana. Mafunzo juu ya suala hili yamefanywa kuamua usability wake katika ulimwengu wa kweli. Ilhali wengi wanaamini kwamba nywila picha ni ngumu zaidi kuvunja , wengine wanapendekeza kwamba watu wataweza uwezekano wa kuchukua picha za kawaida au Msururu kama wao ni kuchagua manenosiri ya kawaida. [ citation inahitajika ]
  • Muhimu wa 2D ( Muhimu wa 2-Dimensional) [62] ni njia ya ufunguo wa kipengele 2D ya matrix ikiwa na mitindo muhimu ya safu ya kupitisha multiline, crossword, ASCII / Unicode sanaa, na sauti za hiari za maandishi ya kimya, ili kuunda nenosiri kubwa / ufunguo zaidi ya 128 bits ili kutambua MePKC (Kumbukumbu ya Kuchunguza Umma-Muhimu) [63] kwa kutumia kikamilifu kifungo cha kibinafsi kikamilifu juu ya teknolojia za sasa za usimamizi muhimu za kibinafsi kama ufunguo wa faragha wa kibinafsi, kupasuliwa ufunguo binafsi, na kuzunguka ufunguo wa faragha.
  • Nywila za utambuzi hutumia swali na jibu la majibu / majibu ya kujibu kuthibitisha utambulisho.

"Nenosiri limekufa"

Kwamba "nenosiri limekufa" ni wazo la kawaida katika usalama wa kompyuta . Mara nyingi huambatana na hoja kwamba uingizaji wa nywila kwa njia salama zaidi ya uthibitishaji ni muhimu na imara. Madai hayo yamefanywa na watu wengi angalau tangu mwaka 2004. Bila shaka, Bill Gates , akizungumza katika Mkutano wa RSA wa 2004 alitabiri uharibifu wa nywila akisema "hawana kukutana na changamoto kwa chochote unachotaka kupata." [54] Mwaka 2011 IBM ilitabiri kwamba, ndani ya miaka mitano, "Hutahitaji nenosiri tena." [64] Matt Honan, mwandishi wa habari huko Wired , ambaye aliathiriwa na tukio la hacking, mwaka 2012 aliandika "Umri wa nenosiri umefika mwisho." [65] Heather Adkins, meneja wa Usalama wa Habari huko Google , mwaka 2013 alisema kuwa "nywila hufanyika kwenye Google." [66] Eric Grosse, VP wa uhandisi wa usalama wa Google, anasema kuwa "nywila na ishara za kubeba rahisi, kama vile vidakuzi, hazitoshi tena kuwaweka watumiaji salama." [67] Christopher Mims, akiandika katika Wall Street Journal alisema nenosiri "hatimaye linafa" na alitabiri uingizwaji wao kwa kuthibitishwa kwa kifaa. [68] Avivah Litan wa Gartner alisema mwaka 2014 "Nywila za siri zilikufa miaka michache iliyopita, sasa ni zaidi ya kufa." [69] Sababu zinazotolewa mara nyingi ni pamoja na kumbukumbu ya usability na matatizo ya usalama wa nywila.

Madai ya kwamba "nenosiri limekufa" mara nyingi linatumiwa na watetezi wa njia mbadala kwa manenosiri, kama vile biometrics , uthibitishaji wa sababu mbili au ishara moja . Mipango mingi yamezinduliwa na lengo la wazi la kuondoa nywila. Hizi ni pamoja na Microsoft 's Cardspace , mradi Higgins , Liberty Alliance , NSTIC , FIDO Alliance na mbalimbali Identity 2.0 mapendekezo. Jeremy Grant, mkuu wa mpango wa NSTIC (Mkakati wa Taifa wa Biashara wa Biashara wa Idara ya Kuaminika kwenye Wavuti), alitangaza "Nywila ni maafa kutoka kwa mtazamo wa usalama, tunataka kuwaua wafu." [70] Umoja wa FIDO unapahidi "uzoefu usio na neno" katika waraka wake wa specifikationer wa 2015. [71]

Licha ya utabiri huu na jitihada za kuchukua nafasi ya nywila zao bado huonekana kama fomu kubwa ya uthibitisho kwenye wavuti. Katika "Kuendelea kwa Nywila," Cormac Herley na Paul van Oorschot wanaonyesha kwamba jitihada zote zinapaswa kufanywa ili kukomesha "dhana ya ajabu" ambayo nywila zimekufa. [72] Wanasema kwamba "hakuna teknolojia nyingine inayofanana na gharama zao, haraka na urahisi" na kwamba "nywila ni yenyewe bora zaidi kwa matukio mengi ambayo kwa sasa hutumiwa."

Mifumo ya siri ya tovuti

Nywila hutumiwa kwenye tovuti ili kuthibitisha watumiaji na mara nyingi huhifadhiwa kwenye seva ya Mtandao, maana maana kivinjari kwenye mfumo wa mbali hutuma nenosiri kwenye seva (kwa HTTP POST), seva inachunguza nenosiri na inaruhusu maudhui husika (au upatikanaji ujumbe unakanusha). Utaratibu huu unachukua uwezekano wa uhandisi wa ndani wa ndani kama msimbo uliotumiwa kuthibitisha nenosiri hauishi kwenye mashine ya ndani.

Uhamisho wa nenosiri, kupitia kivinjari, kwa njia ya kulazimisha inaweza kuingiliwa wakati wa safari yake kwenye seva. Mifumo mingi ya uthibitishaji wa wavuti hutumia SSL ili kuanzisha kikao cha encrypted kati ya kivinjari na seva, na kwa kawaida ni maana ya msingi ya madai ya kuwa na "Mtandao salama". Hii imefanywa moja kwa moja na kivinjari na huongeza uaminifu wa kikao, kudhani kwamba mwisho haujaathirika na kwamba utekelezaji wa SSL / TLS hutumiwa ni wale wa juu.

Angalia pia

  • Nambari ya upatikanaji (kupunguzwa)
  • Uthibitisho
  • CAPTCHA
  • Sayansi ya ufahamu
  • Diceware
  • Kerberos (itifaki)
  • Keyfile
  • Passphrase
  • Uharibifu wa nenosiri
  • Neno la uchovu
  • Kipimo cha urefu wa nenosiri
  • Meneja wa nenosiri
  • Barua ya barua pepe ya arifa
  • Sera ya nenosiri
  • Saikolojia ya siri
  • Nguvu ya nenosiri
  • Uingiliano wa nenosiri
  • Mkataba wa muhimu wa kuthibitisha nenosiri
  • Kitufe cha awali kilichoshirikiwa
  • Jenereta ya nenosiri isiyo ya kawaida
  • Meza ya upinde wa mvua
  • Uwekaji upya password password
  • Usability wa mifumo ya uthibitishaji wa wavuti

Marejeleo

  1. ^ Kuboresha Uwezeshaji wa Usimamizi wa Nywila na Kanuni za Nywila za Kudumu (pdf). Ilifutwa tarehe 2012-10-12.
  2. ^ Polybius juu ya Jeshi la Kirumi . Ancienthistory.about.com (2012-04-13). Ilifutwa mnamo 2012-05-20.
  3. ^ Mark Bando (2007). 101st Ndege: Vipande vya Kulia Kwa Vita Kuu ya II . Kampuni ya Kuchapisha Mbi. ISBN 978-0-7603-2984-9 . Iliondolewa Mei 20, 2012 .
  4. ^ Mwongozo wa wavuti wa CTSS, 2nd Ed., MIT Press, 1965
  5. ^ Morris, Robert; Thompson, Ken (1978-04-03). "Usalama wa Neno la siri: Historia ya Uchunguzi" . Maabara ya Bell . Ilipatikana 2011-05-09 .
  6. ^ Vance, Ashlee (2010-01-10). "Ikiwa nenosiri lako ni 123456, Uifanye tu HackMe" . The New York Times .
  7. ^ "Kusimamia Usalama wa Mtandao" . Imehifadhiwa kutoka kwa asili ya Machi 2, 2008 . Ilifutwa 2009-03-31 . . Fred Cohen na Associates. All.net. Ilifutwa mnamo 2012-05-20.
  8. ^ B c d Lundin, Leigh (2013/08/11). "PIN na Nywila, Sehemu ya 2" . Nywila . Orlando: SleuthSayers.
  9. ^ Kukumbuka na Usalama wa Nywila Zilizohifadhiwa 2012-04-14 kwenye Njia ya Wayback . (pdf). ncl.ac.uk. Ilifutwa mnamo 2012-05-20.
  10. ^ Whitman, Michael E .; Mattord, Herbert J. (2014-11-26). Kanuni za Usalama wa Habari . Kujifunza Cengage. ISBN 9781305176737 .
  11. ^ Lewis, Dave (2011). Ctrl-Alt-Futa . p. 17. ISBN 147101911X . Ilifutwa Julai 10, 2015 .
  12. ^ Technicious / Fox Van Allen @techlicious (2013-08-08). "Google Inafunua 10 Mawazo Pasi Mbaya zaidi ya TIME.com" . Techland.time.com . Ilifutwa 2013-10-16 .
  13. ^ Blog ya Lyquix: Je! Tunahitaji Kuficha Nywila? . Lyquix.com. Ilifutwa mnamo 2012-05-20.
  14. ^ Jonathan Kent Malaysia wezi wezi huiba kidole . BBC (2005-03-31)
  15. ^ Stuart Brown "Nywila za juu kumi zilizotumika nchini Uingereza" . Imehifadhiwa kutoka kwa asili ya Novemba 8, 2006 . Ilifutwa 2007-08-14 . . Modernlifeisrubbish.co.uk (2006-05-26). Ilifutwa mnamo 2012-05-20.
  16. ^ Patent ya Marekani 8046827
  17. ^ Mpangilio wa Bug: Nywila Nywila . Bugcharmer.blogspot.com (2012-06-20). Ilifutwa tarehe 2013-07-30.
  18. ^ B Alexander, Steven. (2012-06-20) Mpangaji wa Bug: Kwa muda mrefu lazima manenosiri yanapaswa kuwa? . Bugcharmer.blogspot.com. Ilifutwa tarehe 2013-07-30.
  19. ^ "passlib.hash - Schemes Hashing Schemes" .
  20. ^ B Florencio et al., Msimamizi wa Guide to Internet Password Utafiti . (pdf) Rudishwa tarehe 2015-03-14.
  21. ^ Hadithi ya Uvunjaji - Jinsi Nilipoteza Zaidi ya Milioni 122 SHA1 na MD5 Nywila za Nywila «Thireus 'Bl0g . Blog.thireus.com (2012-08-29). Ilifutwa tarehe 2013-07-30.
  22. ^ B Morris, Robert & Thompson, Ken (1979). "Usalama wa Neno la siri: Historia ya Uchunguzi" . Mawasiliano ya ACM . 22 (11): 594-597. Nini : 10.1145 / 359168.359172 .
  23. ^ Ulinzi wa nenosiri kwa Mfumo wa Uendeshaji wa kisasa (pdf). Usenix.org. Ilifutwa mnamo 2012-05-20.
  24. ^ Jinsi ya kuzuia Windows kutoka kuhifadhi dhamana ya LAN ya meneja wako katika Active Directory na database za SAM za ndani . support.microsoft.com (2007-12-03). Ilifutwa mnamo 2012-05-20.
  25. ^ "Kwa nini unapaswa kusema uongo wakati wa kuweka Maswali ya Usalama wa Barua pepe" . Nzuri. 2013-03-08 . Ilifutwa 2013-10-16 .
  26. ^ B Joseph Steinberg (12 Novemba 2014). "Forbes: Kwa nini unapaswa kupuuza kila kitu ambacho umesema kuhusu kuchagua manenosiri" . Forbes . Iliondolewa Novemba 12, 2014 .
  27. ^ "Matatizo na kulazimisha muda wa mwisho wa nenosiri" . Mambo ya IA . CESG: Jeshi la Usalama wa Habari la GCHQ. 15 Aprili 2016 . Ilifutwa tarehe 5 Agosti 2016 .
  28. ^ Schneier juu ya mjadala wa Usalama juu ya kubadilisha nywila . Schneier.com. Ilifutwa mnamo 2012-05-20.
  29. ^ Seltzer, Larry. (2010-02-09) "American Express: Mikopo Mkubwa, Nywila Zenye Nyenyekevu" . Pcmag.com. Ilifutwa mnamo 2012-05-20.
  30. ^ "Nywila za Neno la Windows Windows" : "Machapisho ya NT ya maandishi ... nywila ndogo kwa kiwango cha juu cha wahusika 14"
  31. ^ "Lazima utoe nenosiri kati ya wahusika wa 1 na 8 kwa urefu" . Jira.codehaus.org. Ilifutwa mnamo 2012-05-20. Imehifadhiwa Mei 21, 2015, kwenye Wayback Machine .
  32. ^ "Ili kupitisha au Sio kupitisha?" . World.std.com. Ilifutwa mnamo 2012-05-20.
  33. ^ Thomas, Keir (Februari 10, 2011). "Matumizi ya Neno la siri ni Yote ya kawaida, Maonyesho ya Utafiti" . PC World . Iliondolewa Agosti 10, 2014 .
  34. ^ Pauli, Darren (Julai 16, 2014). "Microsoft: Unahitaji nywila mbaya na unapaswa kutumia tena" . Daftari . Iliondolewa Agosti 10, 2014 .
  35. ^ Bruce Schneier: Jarida la Crypto-Gram Mei 15, 2001
  36. ^ "Hadithi kumi za siri za Windows" : Hadithi # 7. Haipaswi Kuandika Chini Nywila Yako
  37. ^ Kotadia, Munir (2005-05-23) Msimamizi wa usalama wa Microsoft: Weka nywila zako . News.cnet.com. Ilifutwa mnamo 2012-05-20.
  38. ^ "Nguvu ya Nguvu ya Nenosiri" na Richard E. Smith: "tunaweza kufupisha kanuni za kuchaguliwa kwa nenosiri la kawaida kama ifuatavyo: Neno la siri lazima liwezekani kukumbuka na kamwe halijaandikwa."
  39. ^ Bob Jenkins (2013-01-11). "Kuchagua manenosiri ya Random" .
  40. ^ "Kukosekana na Usalama wa Nywila - Baadhi ya Matokeo ya Upepo" (pdf)
    "nenosiri lako ... mahali salama, kama vile nyuma ya mkoba wako au mfuko wa fedha."
  41. ^ "Je, ninaandika barua yangu ya kupitisha?" . World.std.com. Ilifutwa mnamo 2012-05-20.
  42. ^ Jaffery, Saman M. (Oktoba 17, 2011). "Utafiti: 11% ya Brits Ni pamoja na Nywila za Mtandao katika Je," . Hull & Hull LLP . Iliondolewa Julai 16, 2012 .
  43. ^ Uthibitishaji wa sababu mbili
  44. ^ "Nenosiri" . Imehifadhiwa kutoka kwa asili ya Aprili 23, 2007 . Ilipatikana 2012-05-20 . . cs.columbia.edu
  45. ^ Schneier, Real-World Passwords . Schneier.com. Ilifutwa mnamo 2012-05-20.
  46. ^ Nywila za MySpace Sio Kiziwi . Wired.com (2006-10-27). Ilifutwa mnamo 2012-05-20.
  47. ^ "CERT IN-98.03" . 1998-07-16 . Ilifutwa 2009-09-09 .
  48. ^ B Urbina, Ian, Davis, Leslye (Novemba 23, 2014). "Maisha ya siri ya Passwords" . The New York Times . Imehifadhiwa kutoka kwa asili ya Novemba 28, 2014.
  49. ^ "Neno la Watumiaji la Njia mbaya zaidi (pdf)" (PDF) .
  50. ^ "Tovuti ya NATO ilipigwa" . Daftari . 2011-06-24 . Iliondolewa Julai 24, 2011 .
  51. ^ "Uvujaji usiojulikana wa 90,000 wa Akaunti ya Majeshi ya barua pepe katika Mashambulizi ya Mwisho ya Antisec" . 2011-07-11.
  52. ^ "Majaribio ya Neno la Jeshi" . 2011-07-12.
  53. ^ "Jitihada ya Kubadilisha Nywila (pdf)" (PDF) . IEEE. 2012-05-15 . Ilifutwa 2015-03-11 .
  54. ^ B "Gates anahisi kifo cha nenosiri" . CNET. 2004-02-25 . Ilifutwa mwaka 2015-03-14 .
  55. ^ Archiptology ePrint Archive: Ripoti 2005/434 . eprint.iacr.org. Ilifutwa mnamo 2012-05-20.
  56. ^ T Matsumoto. H Matsumotot; K Yamada & S Hoshino (2002). "Athari ya vidole vya 'Gummy' vya bandia kwenye Mfumo wa Kidole". Proc SPIE . 4677 : 275. kifungu : 10.1117 / 12.462719 .
  57. ^ Kutumia AJAX kwa Nywila za Picha - AJAX Usalama Sehemu ya 1 ya 3 . waelchatila.com (2005-09-18). Ilifutwa mnamo 2012-05-20.
  58. ^ Butler, Rick A. (2004-12-21) Uweke katika Mkutano . mcpmag.com. Ilifutwa mnamo 2012-05-20.
  59. ^ nenosiri la kielelezo au uthibitisho wa mtumiaji wa kielelezo (GUA) . searchsecurity.techtarget.com. Ilifutwa mnamo 2012-05-20.
  60. ^ Ericka Chickowski (2010-11-03). "Picha Inaweza Kubadilisha Picha ya Uthibitishaji" . Masomo ya Giza.
  61. ^ "Teknolojia ya Kuaminika Inasaidia Picha-Msingi, Uthibitishaji wa Multifactor Ili Kuimarisha Nywila kwenye Nje za Nje za Watu" . 2010-10-28.
  62. ^ Mwongozo wa Mtumiaji kwa Muhimu wa 2-Dimensional (Muhimu wa 2D) Mbinu ya Kuingiza na Mfumo . xpreeli.com. (2008-09-08). Ilifutwa mnamo 2012-05-20.
  63. ^ Kok-Lee Lee "Njia na Mfumo wa Kuunda Siri Zenye Kukumbukwa na Maombi Yao" Patent US20110055585 , WO2010010430 . Tarehe ya kufungua: Desemba 18, 2008
  64. ^ "IBM Inafunua Innovations Tano Zitabadilisha Maisha Yetu ndani ya Miaka Tano" . IBM. 2011-12-19 . Ilifutwa mwaka 2015-03-14 .
  65. ^ Honan, MT (2012/05/15). "Kuua Nenosiri: Kwa nini String ya Tabia Haiwezi Kutulinda tena" . Wired . Ilifutwa mwaka 2015-03-14 .
  66. ^ "Usalama wa Google hufanya: 'Nywila ni zafu ' " . CNET. 2004-02-25 . Ilifutwa mwaka 2015-03-14 .
  67. ^ "Authentciation katika Scale" . IEEE. 2013-01-25 . Ilifutwa mwaka 2015-03-12 .
  68. ^ Mims, Christopher (2014-07-14). "Nenosiri ni Hatimaye Kula. Hapa ndio" . Wall Street Journal . Ilifutwa mwaka 2015-03-14 .
  69. ^ "Uwindaji wa sifa za Kirusi unaonyesha kwa nini nenosiri limekufa" . Kompyuta ya Dunia. 2014-08-14 . Ilifutwa mwaka 2015-03-14 .
  70. ^ "Kichwa cha NSTIC Jeremy Grant anataka kuua nywila" . Fedscoop. 2014-09-14 . Ilifutwa mwaka 2015-03-14 .
  71. ^ "Maelezo ya Muhtasari" . Umoja wa FIDO. 2014-02-25 . Ilifutwa mwaka 2015-03-15 .
  72. ^ "Agenda ya Uchunguzi Kutambua Kuendelea kwa Nywila" . IEEE Usalama na Faragha. Januari 2012 . Ilifutwa mwaka 2015-06-20 .

Viungo vya nje