O sigurnosti lozinke

Ovaj će članak govoriti o tome kako stvoriti sigurnu lozinku, na što bi se principi trebali pridržavati prilikom stvaranja, kako pohraniti lozinke i minimizirati vjerojatnost pristupa vašim podacima i računima od strane napadača.

Ovaj je materijal nastavak članka "Kako se vaša lozinka može hakirati" i podrazumijeva da ste upoznati s tamošnjim materijalom ili već znate sve glavne staze s kojima se lozinke mogu ugroziti.

Stvaranje lozinki

Danas, prilikom registracije bilo kojeg internetskog računa, izrade lozinke, obično vidite pokazatelj indikatora pouzdanosti lozinke. Gotovo svugdje radi na temelju procjene sljedeća dva faktora: duljine lozinke; Prisutnost posebnih znakova, glavnih slova i brojeva u lozinci.

Unatoč činjenici da su to zaista važni parametri stabilnosti lozinke na metodu provedbe hakiranja, lozinka, koja se čini pouzdanim sustavu, nije uvijek isti. Na primjer, lozinka poput "PA $ $ W0RD" (i ovdje postoje posebni simboli i brojevi), najvjerojatnije, bit će hakirani vrlo brzo - zbog činjenice da (kako je opisano u prethodnom članku), ljudi rijetko stvaraju jedinstveno jedinstveno Lozinke (manje od 50% lozinki su jedinstvene), a navedena opcija s velikom vjerojatnošću već je u protočnim bazama dostupnim napadačima.

Kako biti? Najbolja opcija je korištenje generatora lozinki (na internetu postoje internetski uslužni programi, kao i kod većine upravitelja lozinki za računalo), stvarajući duge slučajne lozinke pomoću posebnih znakova. U većini slučajeva lozinka od 10 ili više takvih simbola jednostavno neće biti zanimljiva za kreker (t.e. Njegov softver neće biti konfiguriran za odabir takvih opcija) zbog činjenice da se vrijeme provedenog neće isplatiti. Nedavno izgrađeni generator lozinki pojavio se u pregledniku Google Chrome.

U ovoj je metodi glavni nedostatak to što je takve lozinke teško zapamtiti. Ako treba držati lozinku u glavi, postoji još jedna opcija koja se temelji na činjenici da lozinku od 10 znakova koji sadrže velika slova i posebne simbole hakira tisuće ili više (određeni brojevi ovise o dopuštenom skupu Simboli) puta lakše, lakše je, lakše je. Od lozinke od 20 znakova koji sadrže samo latino simbole (čak i ako kreker zna za to).

Stoga će se lako zapamtiti lozinka koja se sastoji od 3-5 jednostavnih nasumičnih engleskih riječi i gotovo je nemoguće hakirati. I nakon što smo svaku riječ napisali naslovnim slovom, postavljamo broj opcija do drugog stupnja. Ako su to 3-5 ruskih riječi (opet nasumično, a ne imena i datumi) napisane u engleskom izgledu, uklanja se i hipotetička mogućnost sofisticiranih metoda korištenja rječnika za odabir lozinki.

Možda vjerojatno ne postoji ispravan pristup stvaranju lozinki: na različite načine postoje prednosti i nedostaci (u vezi s mogućnošću pamćenja, pouzdanosti i drugih parametara), ali osnovni principi izgledaju kako slijedi:

• Lozinka bi se trebala sastojati od značajnog broja znakova. Najčešće ograničenje danas je 8 znakova. I to nije dovoljno ako vam treba sigurna lozinka.
• Ako je moguće, trebali biste uključiti posebne simbole u lozinku, kapital i glavna slova, brojeve.
• Nikada ne uključite osobne podatke u lozinku, čak ni zabilježeni naizgled "lukavi" načini za vas. Nema datuma, imena i prezimena. Na primjer, lozinka za hakiranje je bilo koji datum modernog julijanskog kalendara iz 0. godine i do danas (tip 18.07.2015. ili 18072015 i t.P.) trajati od sekundi do sati (a zatim će sat ispasti samo zbog kašnjenja između pokušaja za neke slučajeve).

Možete provjeriti koliko je vaša lozinka pouzdana na web mjestu (iako unos lozinki na nekim web lokacijama, posebno bez HTTPS -a, nije najsigurnija praksa) http: // rumkin.Com/alati/lozinka/passchk.Php. Ako ne želite provjeriti svoju stvarnu lozinku, unesite sličnu (iz istog broja znakova i s istim setom) da biste dobili ideju o njegovoj pouzdanosti.

Tijekom ulaznih simbola, usluga izračunava entropiju (uvjetno, broj opcija, za entropiju od 10 bita, broj opcija je 2 u desetom stupnju) za određenu lozinku i daje potvrdu o pouzdanosti različitih vrijednosti. Lozinke s entropijom više od 60 gotovo je nemoguće hakirati čak i tijekom ciljanog odabira.

Ne koristite iste lozinke za različite račune

Ako imate veliku tešku lozinku, ali koristite je gdje god je to moguće, automatski postaje potpuno pouzdan. Čim hakeri hakiraju bilo koju od web lokacija na kojima koristite takvu lozinku i pristupate joj, budite sigurni da će se odmah testirati (automatski, koristeći poseban softver) na svim ostalim popularnim poštama, igrama, socijalnim uslugama i možda u Internetske banke (načini da se vidi je li vaša lozinka već vođena na kraju prethodnog članka).

Jedinstvena lozinka za svaki račun je teška, neugodna je, ali potrebna je ako su ti računi barem nešto važnosti za vas. Iako, za neke registracije koje nemaju vrijednost za vas (to jest, spremni ste ih izgubiti i nećete se brinuti) i ne sadrže osobne podatke, ne možete naprezati jedinstvenim lozinkama.

Dva provjera autentičnosti

Čak ni pouzdane lozinke ne jamče da nitko ne može unijeti vaš račun. Lozinka se može ukrasti na ovaj ili onaj način (phishing, na primjer, kao najčešća opcija) ili saznati od vas.

Gotovo sve ozbiljne internetske tvrtke, uključujući Google, Yandex, Mail.Ru, u kontaktu, Microsoft, Dropbox, LastPass, Steam i drugi, dodali su mogućnost da se u račune uključe dvije provjere autentičnosti (ili dva -stadija). I, ako vam je sigurnost važna, toplo preporučujem da je uključite.

Provedba provjere autentičnosti s dva faktora malo je drugačija za različite usluge, ali osnovni princip izgleda kako slijedi:

1. Na ulazu na račun s nepoznatog uređaja, nakon što unesete ispravnu lozinku, od vas se traži da prođete dodatnu provjeru.
2. Provjera se odvija pomoću SMS koda, posebne aplikacije na pametnom telefonu, putem unaprijed pripremljenih ispisanih kodova, e-pošte, hardverskog ključa (posljednja opcija pojavljena u Googleu, ova je tvrtka općenito prednost koja se odnosi na provjeru autentičnosti s dvofaktorom).

Dakle, čak i ako je napadač prepoznao vašu lozinku, neće moći otići na vaš račun bez pristupa vašim uređajima, telefonu, e -mail.

Ako u potpunosti ne razumijete kako funkcionira provjera autentičnosti s dva faktora, preporučujem da pročitate članke na Internetu posvećenim ovoj temi ili opisima i smjernicama za akciju na samim web lokacijama, gdje se u ovom članku implementira (ne mogu uključiti detaljne upute ).

Pohrana lozinke

Složene jedinstvene lozinke za svaku web stranicu su izvrsne, ali kako ih pohraniti? Malo je vjerojatno da se sve ove lozinke mogu imati na umu. Pohrana spremljenih lozinki u pregledniku rizičan je poduhvat: one ne samo da su osjetljiviji na neovlašteni pristup, već se jednostavno mogu izgubiti u slučaju neuspjeha i ako je sinkronizacija isključena.

Upravitelji lozinki smatraju se najboljim rješenjem, općenito, koji predstavljaju programe koji pohranjuju sve vaše tajne podatke u šifriranu sigurnu pohranu (i izvan mreže i online), koje se pristupa pomoću jednog glavnog uvjetnog otpusta (dodatno možete uključiti dvofaktorsku provjeru autentičnosti). Većina ovih programa također je opremljena generiranjem alata i procjenom pouzdanosti lozinke.

Prije nekoliko godina napisao sam zaseban članak o najboljim upraviteljima lozinki (trebao bi biti prepisan, ali dobijte ideju o tome što je i koji programi mogu biti popularni iz članka). Neki preferiraju jednostavna izvanmrežna rješenja, poput KeepAss ili 1Password, pohranjivanje svih lozinki na vašem uređaju, drugi su funkcionalniji uslužni programi koji također predstavljaju mogućnosti sinkronizacije (LastPass, Dashlane).

Poznati menadžeri lozinki uglavnom se smatraju vrlo sigurnim i pouzdanim načinom pohrane. Međutim, vrijedno je razmotriti neke detalje:

• Da biste pristupili svim lozinkama, morate znati samo jedan glavni uvjetni otpust.
• U slučaju hakiranja internetske pohrane (prije samo mjesec dana, najpopularnija usluga upravljanja lozinkom za LastPass u svijetu) morat ćete promijeniti sve svoje lozinke.

Kako inače možete spremiti svoje važne lozinke? Evo nekoliko opcija:

• Na papiru u sigurnom pristupu na koji ćete imati vi i vaša obitelj (nije prikladno za lozinke koje se trebaju često koristiti).
• Baza podataka izvanmrežne lozinke (na primjer, KeepAss), spremljena na trajni akumulator informacija i negdje duplicirana u slučaju gubitka.

Optimalna kombinacija svega navedenog je sljedeći pristup: najvažnije lozinke (glavna e-mail s kojom možete vratiti druge račune, banku itd.P.) pohranjeno u glavi i (ili) na papiru na pouzdanom mjestu. Manje važan i, istodobno, često se koristi trebao biti povjeren programima - Upravitelji lozinki.

dodatne informacije

Nadam se da je kombinacija dva članka na temu lozinki za neke od vas pomogla obratiti pažnju na neke aspekte sigurnosti o kojima niste razmišljali. Naravno, nisam uzeo u obzir sve moguće opcije, ali jednostavna logika i neko razumijevanje principa pomoći će neovisno odlučiti koliko ste sigurni u određenom trenutku. Još jednom, neke od spomenutih i nekoliko dodatnih točaka:

• Koristite različite lozinke za različite web stranice.
• Lozinke bi trebale biti teške, poteškoće možete snažno povećati povećanjem dužine lozinke.
• Ne koristite osobne podatke (koje možete saznati) prilikom izrade same lozinke, nagovještava je, kontrolira pitanja za obnovu.
• Koristite provjeru autentičnosti u dva staja.
• Pronađite optimalni način sigurnog pohrane lozinki.
• Boje se krađe identiteta (provjerite adrese web mjesta, dostupnost šifriranja) i špijunskih programa. Gdje god traže da unese lozinku, provjerite jeste li je stvarno unijeli na desno web mjesto. Provjerite da na računalu nema štetne.
• Ako je moguće, nemojte koristiti svoje lozinke na računalima drugih ljudi (ako je potrebno, učinite to u načinu "inkognito" preglednika i još bolje ga nabavite s tipkovnice zaslona), u javnim otvorenim Wi-Fi mrežama, pogotovo ako nema HTTPS enkripcija prilikom povezivanja na web mjesto.
• Možda ne biste trebali pohraniti najvažnije, stvarno predstavljajući životnu vrijednost, lozinke na računalo ili na mreži.

Nešto kao ovo. Mislim da sam uspio podići stupanj paranoje. Razumijem da se velik dio opisanog izgleda neugodno, misli se mogu pojaviti poput "Pa, zaobići će me", ali jedino opravdanje za lijenost kada slijedimo jednostavne sigurnosne pravila prilikom pohrane povjerljivih podataka može biti samo odsutnost njegove važnosti i vaše spremnosti Za činjenicu da će ona postati vlasništvo trećih strana.