Apie slaptažodžio saugumą

Šiame straipsnyje bus kalbama apie tai, kaip sukurti saugų slaptažodį, kokių principų turėtų laikytis kuriant juos, kaip saugoti slaptažodžius ir sumažinti prieigos prie jūsų informacijos ir užpuolikų prieigos tikimybę.

Ši medžiaga yra straipsnio „Kaip gali nulaužti slaptažodis“ tęsinys ir reiškia, kad esate susipažinęs su ten pateikta medžiaga arba jau žinote visus pagrindinius kelius, kuriais gali būti pažeista slaptažodžiai.

Slaptažodžių kūrimas

Šiandien, registruodami bet kurią interneto paskyrą, sukurdami slaptažodį, paprastai matote slaptažodžio patikimumo indikatoriaus indikatorių. Beveik visur, kur jis veikia, remiantis šių dviejų veiksnių įvertinimu: slaptažodžio ilgiu; Specialiųjų simbolių, kapitalo raidžių ir skaičių buvimas slaptažodyje.

Nepaisant to, kad tai yra tikrai svarbūs slaptažodžio stabilumo parametrai į įsilaužimo metodą, slaptažodis, kuris atrodo patikimas sistemai, ne visada yra tas pats. Pvz., Slaptažodis, pavyzdžiui, „PA $ $ $ W0RD“ (ir čia yra specialūs simboliai ir skaičiai), greičiausiai bus nulaužtas labai greitai - dėl to, kad (kaip aprašyta ankstesniame straipsnyje) žmonės retai kuria unikalią Slaptažodžiai (mažiau nei 50% slaptažodžių yra unikalūs), o nurodyta parinktis, turinčios didelę tikimybę.

Kaip būti? Geriausia galimybė yra naudoti slaptažodžių generatorius (internete yra internetinės komunalinės paslaugos, taip pat daugumoje kompiuterio slaptažodžių valdytojų), kuriant ilgus atsitiktinius slaptažodžius naudojant specialiuosius simbolius. Daugeliu atvejų 10 ar daugiau tokių simbolių slaptažodis tiesiog nedomins krekeriu (t.e. Jos programinė įranga nebus sukonfigūruota tokių parinkčių pasirinkimui) dėl to, kad praleistas laikas nebus atsiperka. Neseniai sukurtas slaptažodžių generatorius pasirodė „Google Chrome“ naršyklėje.

Taikant šį metodą, pagrindinis trūkumas yra tas, kad tokius slaptažodžius sunku atsiminti. Jei reikia laikyti slaptažodį galvoje, yra dar viena parinktis, pagrįsta tuo, kad 10 simbolių, kuriuose yra didžiosios raidės ir specialūs simboliai simboliai) Laikai lengviau, lengviau, lengviau. 20 simbolių, kuriuose yra 20 simbolių, kuriuose yra tik mažosios raidės lotyniški simboliai (net jei „Cracker“ apie tai žino).

Taigi, slaptažodį, kurį sudaro 3-5 paprasti atsitiktiniai angliški žodžiai. Ir parašę kiekvieną žodį su pavadinimo raide, mes pastatome parinkčių skaičių į antrą laipsnį. Jei tai yra 3–5 rusų žodžiai (vėlgi atsitiktiniai, o ne vardai ir datos), parašyti angliškame išdėstyme, taip pat pašalinama hipotetinė galimybė, kaip modernūs žodynų naudojimo slaptažodžiai pasirinkimui, taip pat pašalinama.

Turbūt nėra teisingo požiūrio į slaptažodžių kūrimą: Įvairiais būdais yra pranašumų ir trūkumų (susijusių su gebėjimu jį atsiminti, patikimumą ir kitus parametrus), tačiau pagrindiniai principai atrodo taip:

• Slaptažodį turėtų sudaryti nemažas skaičius simbolių. Šiandien dažniausias apribojimas yra 8 simboliai. Ir to nepakanka, jei jums reikia saugaus slaptažodžio.
• Jei įmanoma, į slaptažodį, kapitalo ir kapitalo raides, numerius turėtumėte įtraukti specialius simbolius.
• Niekada neįtraukite asmens duomenų į slaptažodį, net įrašytą iš pažiūros „gudrių“ būdų jums. Jokių datų, vardų ir pavardės. Pavyzdžiui, įsilaužimo slaptažodis yra bet kokia šiuolaikinio Juliano kalendoriaus data nuo 0 -erių metų ir iki šios dienos (18 tipas.07.2015 arba 18072015 ir T.P.) užtruks nuo sekundžių iki valandų (o tada laikrodis pasirodys tik dėl vėlavimo tarp bandymų kai kuriais atvejais).

Galite patikrinti, koks patikimas slaptažodis yra svetainėje (nors įvesti slaptažodžius kai kuriose svetainėse, ypač be HTTPS nėra saugiausia praktika) http: // „Rumkin“.Com/įrankiai/slaptažodis/passchk.Php. Jei nenorite patikrinti tikro slaptažodžio, įveskite panašų (iš to paties skaičiaus simbolių ir su tuo pačiu rinkiniu), kad gautumėte idėją apie jo patikimumą.

Įvesties simbolių metu paslauga apskaičiuoja entropiją (sąlygiškai - parinkčių skaičių - 10 bitų entropijos, variantų skaičius yra 2 dešimtasis laipsnis) tam tikram slaptažodžiui ir pateikia sertifikatą apie įvairių verčių patikimumą. Slaptažodžiai, kurių entropija yra daugiau nei 60.

Nenaudokite tų pačių slaptažodžių skirtingoms paskyroms

Jei turite didelį sunkų slaptažodį, tačiau naudojate jį visur, kur įmanoma, jis automatiškai tampa visiškai ne patikimas. Kai tik įsilaužėliai nulaužė bet kurią svetainę, kurioje jūs naudojate tokį slaptažodį ir gausite prieigą prie jo, įsitikinkite, kad ji bus nedelsiant išbandyta (automatiškai, naudojant specialią programinę įrangą) visuose kituose populiariuose pašto, žaidimų, socialinių paslaugų ir galbūt IN IN. Internetiniai bankai (būdai, kaip sužinoti, ar jūsų slaptažodis jau vadovaujamas ankstesnio straipsnio pabaigoje).

Unikalus kiekvienos paskyros slaptažodis yra sunkus, jis yra nepatogus, tačiau būtina, jei šios sąskaitos bent jau jums yra svarbi. Nors kai kuriems registracijoms, kurios neturi jokios vertės (tai yra, esate pasirengęs juos prarasti ir nesijaudinkite) ir neturite asmeninės informacijos, negalite įtempti su unikaliais slaptažodžiais.

Du faktoriaus autentifikavimas

Net patikimi slaptažodžiai negarantuoja, kad niekas negali įvesti jūsų paskyros. Slaptažodis gali būti pavogtas vienaip ar kitaip (sukčiavimas, pavyzdžiui, kaip dažniausia parinktis) arba sužinoti iš jūsų.

Beveik visos rimtos internetinės įmonės, įskaitant „Google“, „Yandex“, paštą.Ru, „Contact“, „Microsoft“, „Dropbox“, „LastPass“, „Steam“ ir kiti, pridėjo galimybę į sąskaitas įtraukti dvi faktorininko (arba dviejų –tapo) autentifikacijas. Ir jei jums svarbu saugumas, aš labai rekomenduoju jį įtraukti.

Dviejų faktorių autentifikavimo įgyvendinimas šiek tiek skiriasi įvairioms paslaugoms, tačiau pagrindinis principas atrodo taip:

1. Prie įėjimo į sąskaitą iš nežinomo įrenginio, įvedus teisingą slaptažodį, jūsų paprašoma atlikti papildomą patikrinimą.
2. Čekis vyksta naudojant SMS kodą, specialią išmaniojo telefono programą, naudojant iš anksto paruoštus spausdintus kodus, el. Paštą, aparatinės įrangos raktą (paskutinė parinktis pasirodė „Google“, ši įmonė paprastai yra pranašumas, susijęs su dviejų faktorių autentifikavimu).

Taigi, net jei užpuolikas atpažins jūsų slaptažodį, jis negalės eiti į jūsų sąskaitą be prieigos prie jūsų įrenginių, telefono, e -mail.

Jei nevisiškai suprantate, kaip veikia dviejų faktorių autentifikavimas, aš rekomenduoju perskaityti straipsnius internete, skirtuose šiai temai ar aprašymams bei patarimams, kurie veikia pačiose svetainėse, kur jis įgyvendinamas (šiame straipsnyje negaliu įtraukti išsamias instrukcijas šiame straipsnyje ).

Slaptažodžio saugojimas

Sudėtingi unikalūs kiekvienos svetainės slaptažodžiai yra puikūs, tačiau kaip juos laikyti? Mažai tikėtina, kad visus šiuos slaptažodžius galima atsiminti. Išsaugotų slaptažodžių saugojimas naršyklėje yra rizikinga įmonė: jie ne tik tampa labiau pažeidžiami neteisėtos prieigos, bet ir gali būti tiesiog prarasti sistemos nesugebėjimo, o jei sinchronizacija bus išjungta.

Slaptažodžių valdytojai yra laikomi geriausiu sprendimu, paprastai atstovaujančiu programoms, kurios visus jūsų slaptus duomenis saugo užšifruotoje saugioje saugykloje (tiek neprisijungus, tiek internete), į kurią galima pasiekti naudojant vieną pagrindinį lygtinį paleidimą (taip pat galite įtraukti dviejų faktorių autentifikavimą). Daugelyje šių programų taip pat yra sukurtos generavimo įrankiai ir slaptažodžio patikimumo įvertinimas.

Prieš porą metų parašiau atskirą straipsnį apie geriausius slaptažodžių valdytojus (jis turėtų būti perrašytas, tačiau gaukite idėją, kas tai yra ir kokios programos gali būti populiarios iš straipsnio). Vieni renkasi paprastus sprendimus neprisijungus, pavyzdžiui, „Keepass“ ar „1Password“, saugodami visus jūsų įrenginio slaptažodžius, kiti yra labiau funkcinės komunalinės paslaugos, kurios taip pat atspindi sinchronizacijos galimybes („LastPass“, „Dashlane“).

Garsūs slaptažodžių valdytojai paprastai laikomi labai saugiu ir patikimu būdu juos saugoti. Tačiau verta apsvarstyti kai kurias detales:

• Norėdami pasiekti visus savo slaptažodžius, turite žinoti tik vieną pagrindinį lygtinį paleidimą.
• Jei įsilaužsite į internetinę saugyklą (vos prieš mėnesį, populiariausia „LastPass“ slaptažodžių valdymo paslauga pasaulyje) turėsite pakeisti visus slaptažodžius.

Kaip kitaip išsaugoti svarbius slaptažodžius? Čia yra keletas variantų:

• Popieriuje, saugiame, prieigą prie jūsų ir jūsų šeimos (netinka slaptažodžiams, kuriuos reikia dažnai naudoti).
• Slaptažodžių duomenų bazė neprisijungus.

Optimalus visų aukščiau išvardytų požiūrių derinys: svarbiausi slaptažodžiai (pagrindinis el. Paštas, su kuriuo galite atkurti kitas paskyras, banką ir kt.P.) laikoma galvoje ir (arba) ant popieriaus patikimoje vietoje. Mažiau svarbus ir tuo pat metu dažnai naudojamas turėtų būti patikėtas programoms - slaptažodžių valdytojams.

Papildoma informacija

Tikiuosi, kad dviejų straipsnių, susijusių su slaptažodžių tema, derinys kai kuriems iš jūsų padėjo atkreipti dėmesį į kai kuriuos saugumo aspektus, apie kuriuos jūs negalvojote. Žinoma, aš neatsižvelgiau. Dar kartą kai kurie paminėti ir keli papildomi punktai:

• Naudokite skirtingus slaptažodžius skirtingoms svetainėms.
• Slaptažodžiai turėtų būti sunkūs, galite stipriai padidinti sunkumą, padidindami slaptažodžio ilgį.
• Nenaudokite asmens duomenų (kuriuos galite sužinoti) kurdami patį slaptažodį, užuomina į jį, kontroliuokite restauravimo klausimus.
• Naudokite du stiebo autentifikavimą ten, kur įmanoma.
• Raskite optimalų saugaus slaptažodžių saugojimo būdą.
• Bijokite sukčiavimo (patikrinkite svetainių adresus, šifravimo prieinamumą) ir šnipinėjimo programas. Kad ir kur jie prašo įvesti slaptažodį, patikrinkite, ar tikrai įvesite jį tinkamoje svetainėje. Įsitikinkite, kad kompiuteryje nėra kenksmingų.
• Jei įmanoma, nenaudokite savo slaptažodžių kitų žmonių kompiuteriuose (jei reikia, darykite tai „incognito“ naršyklės režime ir dar geriau įsigykite jį iš ekrano klaviatūros), viešuose atviruose „Wi-Fi“ tinkluose, ypač jei nėra HTTPS šifravimas prisijungiant prie svetainės.
• Galbūt neturėtumėte saugoti svarbiausio, tikrai atspindinčio gyvenimo vertę, slaptažodžius kompiuteryje ar internete.

Kažkas panašaus į tai. Manau, kad man pavyko pakelti paranoja laipsnį. Aš suprantu, kad didelė aprašyta dalis atrodo nepatogi, mintys gali kilti kaip „gerai, tai mane apeis“, tačiau vienintelis tingumo pateisinimas, kai laikomasi paprastų saugos taisyklių, kai kaupiate konfidencialią informaciją, gali būti tik jos svarbos ir jūsų pasirengimo nebuvimas ir jūsų pasirengimas dėl to, kad ji taps trečiosios šalių nuosavybe.