A jelszó biztonságáról
- 1337
- 238
- Bodnár András Martin
Ez a cikk arról fog beszélni, hogyan lehet biztonságos jelszót létrehozni, milyen alapelveket kell betartania azok létrehozásakor, hogyan kell tárolni a jelszavakat, és minimalizálni az információkhoz és a támadókhoz való hozzáférés valószínűségét, hogy a támadók hozzáférhessenek az Ön adatainak és számláinak.
Ez az anyag a „Hogyan lehet feltörhet a jelszavad” című cikk folytatása, és azt jelenti, hogy ismeri az ott bemutatott anyagot, vagy már ismeri az összes fő utat, amellyel a jelszavak veszélybe kerülhetnek.
Jelszavak létrehozása
Ma, amikor bármilyen internetes fiók regisztrálása, jelszó létrehozásakor, általában látja a jelszó megbízhatóságának mutatóját. Szinte mindenhol a következő két tényező értékelése alapján működik: jelszó hossza; Különleges karakterek, nagybetűk és számok jelenléte a jelszóban.
Annak ellenére, hogy ezek valóban fontos paraméterei a jelszó stabilitásának a végrehajtási hackelés módszerére, a jelszó, amely a rendszer számára megbízhatónak tűnik, nem mindig ugyanaz. Például egy olyan jelszót, mint a "PA $ $ W0RD" (és itt vannak speciális szimbólumok és számok), valószínűleg nagyon gyorsan feltörnek - annak a ténynek köszönhetően, hogy (az előző cikkben leírtak szerint) az emberek ritkán hoznak létre egyedi egyedi személyeket. Jelszavak (a jelszavak kevesebb mint 50% -a egyedi), és a megadott opció nagy valószínűséggel már a támadók számára elérhető áramlási bázisokban található.
Hogyan legyen? A legjobb megoldás a jelszógenerátorok használata (online segédprogramok vannak az interneten, valamint a legtöbb jelszókezelőnél), hosszú véletlenszerű jelszavak létrehozása speciális karakterekkel. A legtöbb esetben a 10 vagy több ilyen szimbólum jelszava egyszerűen nem érdekli a kekszet (T.E. Szoftverét nem fogják konfigurálni az ilyen lehetőségek kiválasztására), mivel a eltöltött idő nem fog megtérülni. A nemrégiben épített jelszógenerátor megjelent a Google Chrome böngészőben.
Ebben a módszerben a fő hátrány az, hogy ezeket a jelszavakat nehéz megjegyezni. Ha szükség van a jelszó fejében tartására, akkor van egy másik lehetőség, amely alapján a 10 karakterből álló jelszót, amely nagybetűket és speciális szimbólumokat tartalmaz, több ezer vagy annál több (a konkrét számok függnek a megengedett készletektől szimbólumok) Könnyebben, könnyebb, könnyebb. Ha egy 20 karakterből álló jelszó, amely csak kisbetűs latin szimbólumokat tartalmaz (még akkor is, ha a kekszet tud róla).
Így egy 3-5 egyszerű, véletlenszerű angol szavakból álló jelszó könnyen emlékezni fog, és szinte lehetetlen feltörni. És miután minden szót írt a címmel, a második fokozatot felállítjuk a lehetőségek számát. Ha ezek 3-5 orosz szó (ismét véletlenszerű, és nem nevek és dátumok) az angol elrendezésben, akkor a szótárak jelszavak kiválasztásához történő felhasználásának kifinomult módszereinek hipotetikus lehetőségét is eltávolítják.
Lehet, hogy valószínűleg nincs helyes megközelítés a jelszavak létrehozásához: Különböző módon vannak előnyök és hátrányok (kapcsolódnak az emlékezet képességéhez, a megbízhatósághoz és más paraméterekhez), de az alapelvek a következők:
- A jelszónak jelentős számú karakterből kell állnia. A leggyakoribb korlátozás ma 8 karakter. És ez nem elég, ha biztonságos jelszóra van szüksége.
- Ha lehetséges, akkor a jelszó, a tőke és a tőkevelek, a számok, a számok speciális szimbólumait kell tartalmaznia.
- Soha ne vegye be a személyes adatokat a jelszóba, még a látszólag "ravasz" módjaival is rögzítve az Ön számára. Nincsenek dátumok, nevek és vezetéknevek. Például a hackelés jelszó a modern julian naptár bármely dátuma a 0. évtől és a mai napig (18. típus.07.2015 vagy 18072015 és t.P.) másodpercekig órákig tart (és akkor az óra csak az egyes esetekben a kísérletek közötti késések miatt fordul elő).
Ellenőrizheti, hogy a jelszava mennyire megbízható a webhelyen (bár a jelszavak beírása egyes webhelyeken, különösen a https nélkül, nem a legbiztonságosabb gyakorlat) http: // rumkin.Com/eszközök/jelszó/passchk.PHP. Ha nem akarja ellenőrizni a valódi jelszavát, írjon be egy hasonló (azonos számú karakterből és ugyanazzal a készletből), hogy képet kapjon annak megbízhatóságáról.
A bemeneti szimbólumok során a szolgáltatás kiszámítja az entrópiát (feltételesen, a 10 bites entrópia entrópiájához az opciók száma a tizedik fokon 2), és tanúsítványt ad a különféle értékek megbízhatóságáról. A több mint 60 -nél nagyobb entrópiával rendelkező jelszavakat szinte lehetetlen feltörni még egy célzott választás során.
Ne használja ugyanazokat a jelszavakat a különböző fiókokhoz
Ha nagy nehéz jelszava van, de ahol csak lehetséges, akkor az automatikusan nem lesz megbízható. Amint a hackerek feltörnek olyan webhelyeket, ahol ilyen jelszót használnak, és hozzáférést kapnak, győződjön meg arról, hogy az azonnali tesztelésre kerül (automatikusan, speciális szoftver használatával) az összes többi népszerű postai, játék, szociális szolgáltatások és esetleg be. Online bankok (módja annak, hogy megnézhesse, hogy a jelszavát már az előző cikk végén vezetik -e).
Az egyes fiókok egyedi jelszava nehéz, kényelmetlen, de szükség van, ha ezek a fiókok legalább bizonyos jelentőséggel bírnak az Ön számára. Bár néhány olyan regisztráció esetén, amelyeknek nincs értéke (azaz készen állsz arra, hogy elveszítse őket, és nem fog aggódni), és nem tartalmaz személyes információkat, az egyedi jelszavakkal nem szánhatja meg.
Két -tényező hitelesítés
Még a megbízható jelszavak sem garantálják, hogy senki sem írhatja be a fiókját. A jelszót úgy vagy úgy ellophatják (például adathalász, például a leggyakoribb lehetőség), vagy megtudhatja tőled.
Szinte az összes komoly online vállalat, beleértve a Google, a Yandex, a Mail.A RU, az érintkezésben, a Microsoft, a Dropbox, a LastPass, a Steam és mások hozzáadta a lehetőséget, hogy két -tényező (vagy kétlépcsős) hitelesítést tartalmazzon a fiókokba. És ha a biztonság fontos az Ön számára, akkor határozottan ajánlom, hogy vegye be.
A két -tényező hitelesítés végrehajtása a különféle szolgáltatásoknál kissé eltér, de az alapelv az alábbiak szerint néz ki:
- A fiók bejáratánál ismeretlen eszközről, a helyes jelszó megadása után felkérést kapunk egy további ellenőrzésen.
- A csekk az SMS kóddal, az okostelefonon található speciális alkalmazás, az előre elkészített nyomtatott kódok, az e-mail, a hardverkulcs segítségével zajlik (az utolsó lehetőség a Google-ban megjelent, ez a vállalat általában egy olyan előny, amely a két tényezői hitelesítésre vonatkozik).
Így még akkor is, ha a támadó felismerte a jelszavát, nem lesz képes a fiókjába menni anélkül, hogy hozzáférhet az eszközökhöz, telefonhoz, e -mailhez.
Ha nem érti teljesen, hogy két -tényező hitelesítés hogyan működik, azt javaslom, hogy olvassa el a témának szentelt cikkeket, vagy leírást és útmutatást nyújtson maguk a webhelyeken, ahol megvalósul (nem tudom részletes utasításokat tartalmazni ebbe a cikkbe ).
Jelszó -tárolás
Kiváló, egyedi jelszavak az egyes webhelyekhez, de hogyan tárolhatjuk őket? Nem valószínű, hogy ezeket a jelszavakat szem előtt lehet tartani. A mentett jelszavak tárolása a böngészőben kockázatos vállalkozás: nemcsak érzékenyebbé válnak az illetéktelen hozzáféréssel szemben, hanem a rendszer meghibásodása esetén egyszerűen elveszhetnek, és ha a szinkronizálás kikapcsol.
A jelszókezelőket általában a legjobb megoldásnak tekintik, és olyan programokat képviselnek, amelyek az összes titkos adatot titkosított biztonságos tárolóban tárolják (offline és online is), amelyhez egy fő parole segítségével érhetők el (emellett két tényezői hitelesítést is tartalmazhat). Ezeknek a programoknak a többsége generáló eszközökkel és a jelszó megbízhatóságának értékelésével is rendelkezik.
Pár évvel ezelőtt külön cikket írtam a legjobb jelszókezelőkről (azt át kell írni, de kaphat egy képet arról, hogy mi az, és milyen programok lehetnek népszerűek a cikkből). Néhányan inkább az egyszerű offline megoldásokat részesítik előnyben, mint például a Keepass vagy az 1Password, az összes jelszó tárolása a készüléken, mások funkcionális segédprogramok, amelyek szintén a szinkronizálás képességeit képviselik (LastPass, Dashlane).
A híres jelszókezelőket általában nagyon biztonságos és megbízható módszernek tekintik azok tárolására. Érdemes azonban megfontolni néhány részletet:
- Az összes jelszó eléréséhez csak egy főhellyel kell tudnia.
- Az online tárolás feltörése esetén (csak egy hónappal ezelőtt a világ legnépszerűbb LastPass jelszó -kezelési szolgáltatása) meg kell változtatnia az összes jelszavát.
Hogyan lehetne elmenteni a fontos jelszavait? Íme néhány lehetőség:
- Papíron egy biztonságos, hozzáféréshez, amelyhez Önnek és családjának (nem alkalmas jelszavakra, amelyeket gyakran használni kell).
- Offline jelszó -adatbázis (például Keepass), tartós információs akkumulátorra menti, és valahol veszteség esetén másol.
A fentiek optimális kombinációja a következő megközelítés: a legfontosabb jelszavak (a fő e-mail, amellyel más számlákat, bankot stb. Visszaállíthat.P.) a fejben és (vagy) papíron tárolva egy megbízható helyen. Kevésbé fontos, és ugyanakkor gyakran használják a programokba - jelszókezelők.
további információ
Remélem, hogy néhány, a jelszavak témájáról szóló cikk kombinációja segített figyelni a biztonság egyes aspektusaira, amelyekre nem gondoltál. Természetesen nem vettem figyelembe az összes lehetséges lehetőséget, de az egyszerű logika és az alapelvek bizonyos megértése segít abban, hogy önállóan döntsön el, mennyire biztonságos, amit egy adott pillanatban teszel. Ismét az említett néhány és több további pont:
- Használjon különböző jelszavakat a különböző webhelyekhez.
- A jelszavaknak nehéznek kell lenniük, a jelszó hosszának növelésével erősen növelheti a nehézséget.
- Ne használjon személyes adatokat (amit megtudhat), amikor maga a jelszó létrehozásakor utal, utal arra, hogy ellenőrizze a helyreállítás kérdéseit.
- Használjon két fokozatú hitelesítést, ahol lehetséges.
- Keresse meg a jelszavak biztonságos tárolásának optimális módját.
- Féljen az adathalásztól (ellenőrizze a webhelyek címeit, a titkosítás rendelkezésre állását) és a kémprogramok. Bárhová is kérik, hogy írjon be egy jelszót, ellenőrizze, hogy valóban beírja -e a megfelelő weboldalra. Győződjön meg arról, hogy a számítógépen nincs káros.
- Ha lehetséges, ne használja a jelszavakat más emberek számítógépén (ha szükséges, akkor tegye meg az „Incognito” böngésző módban, és még jobban szerezze be a képernyő billentyűzetét), a nyilvános nyitott Wi-Fi hálózatokban, különösen, ha nincs nem. HTTPS titkosítás, amikor csatlakozik a webhelyhez.
- Lehet, hogy nem szabad a legfontosabb, az életértéket, a jelszavakat a számítógépen vagy az interneten tárolni.
Valami ilyesmi. Azt hiszem, sikerült bizonyos fokú paranoiát emelnem. Megértem, hogy a leírtak nagy része kényelmetlennek tűnik, gondolatok merülhetnek fel, mint „nos, ez megkerülni fog”, de a lustaság egyetlen igazolása, amikor a bizalmas információk tárolásakor csak a fontosság hiánya és készenléte lehet. azért, hogy harmadik felek tulajdonává válik.
- « A Microsoft kiadott egy segédprogramot a Windows 10 frissítések blokkolásához
- Kérdések és válaszok a Windows 10 -ről »