Selvom hosting firmaer og 3. part plugins gør hvad de kan for at forhindre brute-force angreb, hvor hackere via gentagne forsøg, prøver at gætte kodeordet til dit site, gør du arbejdet spildt hvis du har et brugernavn som ‘admin’ og et password som ‘123456’.
Problemet er, at det er det første en hacker vil prøve, for at få adgang til dit site, fordi det er så almindeligt og fordi sådan et login vil være det foretrukne for folk der ikke tager password sikkerhed så tungt.
Almindeligvis ville man måske nok ændre brugernavn til f.eks Peter eller Jane og password til noget der er rigtig svært at gætte, som f.eks ‘%124aBj7&;’ !
Og ja, det bliver måske lidt bedre, nu er det sværere at gætte, men nej, faktisk ikke så svært alligevel, ikke for en computer i hvertfald. Det vil blot gøre at en alm. computer nu skal bruge lidt længere tid på at gætte det, men de fleste computere vil ikke have noget imod at bruge et par dage på at cracke et password, til gengæld vil et password som dette være tæt på umuligt for en alm. menneskelig hjerne at huske, også fordi den måske skal huske på 4-5 andre, lige så håbløse passwords, til forskellige ting.
Faktisk ville det være meget mere sikkert at have et password som ‘Jeg elsker Dominos pizza nr. 17’.
Nu er det ikke en meningsløs sekvens af tegn – men en hel sætning, eller en ‘passphrase’ og dermed er det blevet længere, faktisk så langt at det vil tage meget lang tid for en computer at cracke det, og samtidig er det nemt for en alm. menneskelig hjerne at huske.
illustrationen fra xkcd.com, forklarer problemet ret godt (klik for at forstørre).
Det kan måske stadig være en god idé stadig at bruge lidt ‘common subsitutions’ og lidt punctuation i en passphrase, da det giver sproget et større alfabet, men essensen er bare at det skal være nemt at huske, svært at cracke.
I øvrigt er det en god idé med en password database som KeePass , til at hjælpe med at huske passwords.
Et par interessante artikler som understreger vigtigheden af et robust password:
Password Vs Passphrase: Here’s 5 Reasons to Use Passphrase
WordPress blogs and more under global attack – check your passwords now!
New Brute Force Attacks Exploiting XMLRPC in WordPress
Brute Force Amplification Attacks Against WordPress XMLRPC