Memilih passphrase yang baik
[Catatan. Ini adalah versi modifikasi dari sebuah artikel yang awalnya muncul dalam edisi Februari 2005 majalah Archive.]
Setiap program enkripsi membutuhkan frasa sandi untuk melindungi data dienkripsi. Sejak cipher modern yang umum digunakan sangat aman, yang tahan terhadap semua metode yang dikenal dari kriptanalisis, passphrase biasanya merupakan bagian yang paling rentan dari prosedur enkripsi. Oleh karena itu penting untuk memilih passphrases 'kuat'.
Mengapa kita berbicara tentang 'passphrase' bukannya 'password'?
Ketika banyak orang diminta untuk memilih password, mereka memilih beberapa kata atau nama yang umum. Hal ini dapat retak dengan mudah oleh 'serangan kamus', yaitu sebuah program komputer yang menggunakan kamus untuk mencoba semua kemungkinan. Banyak program tersebut ada. Mereka kadang-kadang digunakan oleh orang-orang yang lupa password mereka sendiri. Tapi password yang dapat dipulihkan dengan cara ini lemah. Itu dapat dipulihkan dengan mudah oleh orang lain, yang kemudian dapat memperoleh akses ke data terenkripsi pengguna, rincian perbankan online, dll
Jenis agak kuat dari 'password' adalah salah satu yang bukan kata yang nyata, dan bahkan mungkin termasuk beberapa angka atau simbol khusus lainnya, jika ini dibiarkan oleh perangkat lunak atau website yang Anda gunakan. Meskipun ini adalah aman dari serangan kamus klasik, dapat retak oleh 'serangan brute-force', yaitu sebuah program yang hanya mencoba semua set mungkin karakter sampai menemukan kombinasi yang tepat. Tentu saja, semakin lama sandi, semakin sulit serangan itu menjadi. Anggaplah, misalnya, bahwa 50 karakter yang berbeda yang diperbolehkan dalam password. Kemudian jika Anda menambahkan satu karakter tambahan untuk kata sandi yang ada, pencarian brute-force untuk password yang benar akan diharapkan untuk mengambil 50 kali lebih lama.
Beberapa sistem Unix, misalnya, menerima password logon hingga delapan karakter. password login untuk beberapa ISP serupa. Sayangnya, password tersebut agak lemah dan mudah diserang. Anda tentu harus menggunakan lagi password jika sistem memungkinkan ini.
Dokumen untuk beberapa perangkat lunak enkripsi, seperti PGP dan GnuPG, selalu berbicara tentang passphrase, bukan password, untuk menekankan bahwa mereka dapat dari setiap panjang akal, yang terdiri dari banyak kata atau kelompok karakter, dipisahkan (opsional) dengan spasi.
Seberapa kuat harus passphrase menjadi?
passphrase adalah jauh bagian terlemah dari banyak sistem enkripsi, setidaknya bagi banyak pengguna, yang menggunakan kata sandi yang lemah dalam praktek. Jika penyerang ingin mendapatkan akses ke data terenkripsi pengguna biasa, itu akan jauh lebih efisien untuk mencoba untuk memecahkan kata sandi daripada mencoba setiap pembacaan sandi nyata. Inilah sebabnya mengapa sangat penting untuk memilih kata sandi yang baik.
Bahkan untuk organisasi yang kuat seperti instansi pemerintah dengan sumber daya yang besar komputasi, itu akan menjadi biaya yang paling efektif untuk mencoba untuk memecahkan kata sandi. Hal ini sering mengatakan bahwa teknik sederhana untuk mendapatkan akses ke data terenkripsi adalah 'serangan karet selang' (mengalahkan korban, atau menggunakan metode penyiksaan lainnya, sampai passphrase terungkap). teknik tersebut lain adalah untuk menanam bug elektronik atau program tersembunyi di komputer pengguna, untuk menangkap semua penekanan tombol. Atau, bahkan tanpa akses fisik ke komputer atau user, penyerang yang serius dapat memantau, dari kejauhan, emisi elektronik dari komputer dan dengan demikian merekam kata sandi tersebut. Hal ini dikenal sebagai 'serangan Tempest'. Ini tidak mudah untuk menjaga terhadap setiap serangan tersebut mungkin. Tapi Anda mungkin tidak perlu khawatir tentang mereka, kecuali jika Anda adalah target yang serius dari penyelidikan pemerintah, atau jika Anda hidup di bawah rezim yang menindas.
Masuk akal untuk memilih kata sandi yang sama dalam kekuatan untuk cryptosystem yang digunakan, karena setiap sistem tersebut hanya sekuat link terlemah. Artikel ini menjelaskan beberapa trik sederhana yang dapat membantu untuk mencapai tujuan tersebut.
Memilih passphrase yang kuat
Secara umum, tujuannya harus untuk membuat passphrase yang mudah diingat dan untuk mengetik bila diperlukan, tetapi sangat sulit untuk orang lain untuk menebak, bahkan untuk seseorang yang mengenal Anda dengan baik. Hal ini juga harus cukup panjang untuk membuat setiap serangan kamus atau serangan brute-force tidak praktis.
Salah satu metode terkenal adalah untuk memilih, oleh beberapa proses acak, satu set kata-kata dari kamus. Teknik ini kadang-kadang disebut 'diceware'. Metode ini dilaksanakan oleh program RISC OS! RNDpass oleh Tony Hopstaken, yang tersedia dari situs web ini.
Dengan kamus sebagai besar sebagai salah satu yang termasuk dalam! RNDpass, frasa sandi yang terdiri dari 8 atau lebih acak kata kemungkinan untuk menahan setiap serangan yang mungkin, karena jumlah besar kemungkinan kombinasi, terutama jika passphrase yang diubah dalam beberapa cara tak terduga untuk mencegah serangan kamus murni.
Beberapa tips sederhana untuk 'mendistorsi' passphrase dijelaskan di bawah. Jika mereka diterapkan dengan sedikit kecerdikan, mereka akan bekerja dengan baik bahkan jika pengguna dimulai dengan frasa sandi 'normal' dalam bahasa Inggris (bukan kata-kata acak, seperti yang diberikan oleh! RNDpass) dan mendistorsi itu sedemikian rupa sehingga menjadi cukup tak terduga.
Sebuah metode khusus beberapa melakukan hal ini dapat otomatis di! RNDpass, sebagai pilihan. 'Acak' (yang dihasilkan komputer) distorsi dari passphrase yang terdiri dari kata-kata yang normal tidak diragukan lagi lebih aman dari distorsi ditambahkan dengan tangan secara intuitif, tapi mungkin diperlukan lebih banyak usaha untuk mengingat mereka.
Password untuk situs web
Ya, saya berbicara tentang 'password' di sini, tidak 'passphrase'. Banyak situs yang meminta pengguna untuk mendaftar untuk beberapa layanan meminta 'password', dan dalam beberapa kasus mereka memaksakan batas yang agak ketat panjangnya. Dalam kasus tersebut, password dibangun atas dasar ide-ide yang dibahas sejauh akan agak lemah, dan pendekatan yang berbeda diperlukan.
Solusi efektif dalam hal ini adalah untuk membangun sebuah sandi yang terdiri dari karakter benar-benar acak. Salah satu cara untuk melakukan hal ini akan menggunakan program RISC OS ! Passwd oleh Paul Vigay.
Dalam konfigurasi default,! Passwd memungkinkan pengguna untuk membuat password 8 karakter acak yang terdiri dari karakter abjad, yang mungkin muncul dalam kasus baik atas atau bawah, serta angka 0 sampai 9. Sandi khas dari jenis ini adalah 'w4JBM6mb '.
Namun, program ini memungkinkan pengguna untuk mengkonfigurasi berbagai pilihan, seperti panjang password, apakah karakter khusus lain seperti '$' atau '!' diperbolehkan, apakah huruf kedua atas dan bawah yang akan digunakan, dan sebagainya. Dengan cara ini, pengguna dapat menghasilkan password yang kuat dengan keamanan maksimum yang diperbolehkan oleh situs web tertentu.
Sekarang mari kita kembali ke passphrase yang terdiri dari banyak 'kata', yang lebih tepat untuk sebagian besar program enkripsi.
Mendistorsi 'sederhana' passphrase untuk membuatnya lebih kuat
• Pertama-tama, Anda mungkin mulai dengan satu set kata-kata acak seperti yang dihasilkan oleh! RNDpass (lebih aman, tapi lebih sulit untuk mengingat) atau urutan bermakna dari kata-kata (kurang aman, tapi lebih mudah untuk diingat). Jika Anda memilih pendekatan yang terakhir, tidak menggunakan terkenal kutipan, peribahasa atau ungkapan. Semua ini ada di kamus, termasuk beberapa dalam bentuk elektronik, yang dapat digunakan untuk cracking tujuan. Salah satu kemungkinan akan memilih frase dari sebuah buku secara acak, sebaiknya menghindari kalimat lengkap. Cobalah untuk menghindari frase dengan struktur gramatikal konvensional, diprediksi. Jika perlu, mengganti beberapa kata dengan konyol, kata-kata tak terduga.
• Ketika 'distorsi' frasa sandi sederhana, yang terbaik adalah untuk menghindari penggunaan hanya kata-kata kamus, dalam rangka untuk menggagalkan setiap serangan kamus mungkin.
• Kebanyakan program enkripsi memungkinkan Anda untuk menggunakan karakter non-abjad, seperti nomor atau simbol lain pada keyboard Anda. Ini dapat dimasukkan di tempat-tempat tak terduga.Misalnya, Anda dapat mengubah kata 'komputer' ke 'c0mputer', '98% komputer ', atau' comput # '. Penggunaan karakter tambahan dapat meningkatkan jumlah kemungkinan passphrase sangat besar, tanpa membuat mereka jauh lebih sulit untuk diingat. Cara terbaik adalah untuk menempatkan mereka di tempat-tempat tak terduga. Seorang penyerang dapat menebak, misalnya, bahwa Anda diganti 'o' oleh '0', yang merupakan trik umum.
• Passphrases di banyak program enkripsi, termasuk PGP dan GnuPG, adalah case-sensitive. Ini berarti bahwa itu adalah ide yang baik untuk campuran huruf besar dan kecil. Misalnya, 'komputer', komputer dan KOMPUTER semua akan diperlakukan sebagai yang berbeda.
• Jika Anda tahu ada kata-kata dari bahasa asing, Anda dapat menyertakan beberapa di passphrase Anda.
• Anda dapat menemukan kata-kata omong kosong Anda sendiri, seperti yang terkenal kata 'Jabberwocky' diciptakan oleh Lewis Carroll.
• Anda dapat membuat benar-benar berarti 'kata' yang terdiri dari rupanya karakter 'acak', tetapi yang mudah diingat. Misalnya, 'ilro' mungkin berdiri untuk 'I love RISC OS'.
• Ingatlah bahwa Anda dapat menggunakan karakter ASCII yang dapat dicetak, bukan hanya orang-orang yang muncul pada keyboard. Misalnya, © simbol hak cipta dapat diperoleh di komputer RISC OS dengan menekan tombol ALT, mengetik 169 pada keypad numerik, dan kemudian melepaskan tombol ALT. Rincian tentang bagaimana untuk mendapatkan semua karakter tersebut dapat ditemukan dalam Panduan Pengguna komputer Anda.
• Anda bisa menyembunyikan kata-kata kamus dengan menggunakan ejaan yang aneh dan tak terduga. Misalnya, kata 'komputer' dapat diubah untuk 'komputta'.
• kata-kata kamus bisa juga disembunyikan dengan menggunakan spasi ekstra, atau menghilangkan ruang, seperti dalam 'com puter' atau 'Acorncomputer'.
• Teknik menyarankan atas menjadi lebih efektif bila digunakan dalam kombinasi. Sebuah contoh mungkin 'kata' 'MY2c0mputas @ home'.
Bagaimana untuk mengingat passphrase Anda?
Kebanyakan ahli keamanan setuju bahwa itu bukan ide yang baik untuk menggunakan frasa sandi yang sama untuk setiap tujuan. Jika salah satu dari mereka entah bagaimana terganggu, bisa memungkinkan seseorang untuk masuk ke semua akun aman atau program. Hal ini dapat berisiko untuk menaruh semua telur Anda dalam satu keranjang!
Hal ini menimbulkan pertanyaan tentang bagaimana untuk mengingat semua password Anda atau passphrase. Anda mungkin memiliki puluhan atau bahkan ratusan dari mereka, terutama jika Anda memiliki account di situs-situs.
Salah satu solusi adalah untuk menjaga semua passphrase Anda dalam satu file, yang itu sendiri terus dienkripsi dengan frasa sandi penguasa tunggal yang kuat. Sejumlah program enkripsi yang baik yang tersedia dari situs ini, dan semua ini dapat digunakan untuk mengenkripsi daftar passphrase.
Sebuah kata akhir nasihat: Apa pun yang Anda lakukan, jangan pernah menuliskan passphrase atau menyimpannya dalam file teks biasa. Jika Anda melakukannya, itu mencari masalah. passphrases Anda harus hanya ada di kepala Anda, atau hanya dalam bentuk terenkripsi!
