Este material é unha continuación do artigo "Como pode piratear o seu contrasinal" e implica que está familiarizado co material establecido por aí ou sen saber todos os camiños principais que os contrasinais poden ser comprometidos.
Creación de contrasinais
Hoxe, ao rexistrar calquera conta de Internet, creando un contrasinal, adoita ver o indicador de fiabilidade do contrasinal. Case en todas partes funciona con base na avaliación dos seguintes dous factores: lonxitudes de contrasinal; A presenza de caracteres especiais, maiúsculas e números no contrasinal.
A pesar do feito de que estes son realmente importantes parámetros de estabilidade de contrasinal para hackear o método de extinción, un contrasinal que parece que o sistema fiable non é sempre iso. Por exemplo, un contrasinal como "PA $$ W0RD" (e tamén hai caracteres especiais e números), moi probablemente, será pirateado moi rápido - debido ao feito de que (como se describe no artigo anterior) a xente raramente crea única Os contrasinais (menos do 50% dos contrasinais son únicos) e a opción especificada é máis probable que teña dispoñibles bases de datos filtradas de intrusos.
Como ser? A opción ideal é usar xeradores de contrasinais (hai en liña en forma de utilidades en liña, así como na maioría dos xestores de contrasinal para unha computadora), creando longos contrasinais aleatorios usando caracteres especiais. Na maioría dos casos, o contrasinal de 10 ou máis personaxes simplemente non será de interese para o hacker (é dicir, o seu software non se configurará para seleccionar tales opcións) debido ao feito de que o custo do tempo non pagará. O xerador de contrasinal recentemente incorporado apareceu no navegador de Google Chrome.
No método especificado, a principal desvantaxe é que tales contrasinais son difíciles de lembrar. Se hai necesidade de manter o contrasinal na cabeza, hai outra opción en función do feito de que o contrasinal de 10 caracteres que conteñen letras maiúsculas e caracteres especiais son seleccionados polo método de rebentar en miles e máis (números específicos dependen de O conxunto permitido de caracteres) veces máis sinxelo, que unha contraseña de 20 caracteres que conteñen só caracteres latinos minúsculos (aínda que o hacker sabe sobre iso).
Así, unha contraseña composta por 3-5 simples palabras de inglés aleatorio será facilmente recordado e case imposible de piratear. E escribín cada palabra da letra maiúscula, construiremos o número de opcións no segundo grao. Se isto será 3-5 palabras rusas (de novo aleatorio, non nomes e datas), escrito en deseño inglés, tamén elimina a hipotética posibilidade de métodos sofisticados de utilizar dicionarios para seleccionar un contrasinal.
Definitivamente o enfoque correcto para a creación de contrasinais probablemente non sexa: de varias maneiras hai vantaxes e desvantaxes (relacionadas coa capacidade de recordalo, fiabilidade e outros parámetros), pero os principios básicos parecen así:
- O contrasinal debe consistir nun número significativo de caracteres. A restrición máis común hoxe é de 8 caracteres. E isto non é suficiente se necesitas un contrasinal protexido.
- Se é posible, os caracteres especiais, o título e as maiúsculas, os números deben incluírse no contrasinal.
- Nunca inclúa datos persoais sobre o contrasinal, mesmo rexistrado por formas aparentemente "astucias". Sen datas, nomes e apelidos. Por exemplo, piratear un contrasinal que representa calquera data do calendario de Julián moderno a partir do ano 0 e hoxe (da forma 07/18/2015 ou 18072015, etc.) levará de segundos a horas (e entón o reloxo só terá éxito Debido a atrasos entre intentos por algúns casos).
Podes comprobar como fiable o teu contrasinal no sitio (aínda que a entrada de contrasinal nalgúns sitios, especialmente sen HTTPS, non é a práctica máis segura) http://rumkin.com/tools/password/passchk.php. Se non queres comprobar o teu contrasinal real, introduza o mesmo (do mesmo número de caracteres e co mesmo conxunto) para ter unha idea da súa fiabilidade.
No transcurso de entrar en caracteres, o servizo calcula a entropía (condicionalmente, o número de opcións para a entropía de 10 bits, o número de opcións é de 2 a outro grao) para un contrasinal dado e proporciona un certificado para a fiabilidade de varios valores. Os contrasinais con entropía máis de 60 son case imposibles de hackear mesmo durante unha selección centrada.
Non use os mesmos contrasinais para diferentes contas.
Se ten un excelente contrasinal difícil, pero o usa en todas partes onde pode, automáticamente non se fai completamente fiable. En canto a hackers piratear calquera dos sitios onde usa un contrasinal e obter acceso a el, asegúrese de que será probado de inmediato (automaticamente, usando software especial) en todos os demais postais populares, xogos, servizos sociais e quizais bancos en liña (Formas de ver se o seu contrasinal xa está presentado ao final do artigo anterior).
Un contrasinal único para cada conta é difícil, é inconveniente, pero é necesario que estas contas sexan polo menos algunha importancia para ti. Aínda que, para algúns rexistros que non teñen valor para ti (é dicir, está preparado para perde-los e non se preocupe) e non contén información persoal, non pode estirar con contrasinais únicos.
Autenticación de dous factores
Incluso os contrasinais fiables non garanten que ninguén poida ir á súa conta. Pode roubar o contrasinal dun xeito ou outro (phishing, por exemplo, como a opción máis común) ou estar familiarizado con vostede.
Case todas as empresas en liña serias, incluíndo Google, Yandex, Mail.ru, Facebook, en contacto, Microsoft, Dropbox, LastPass, Steam e outros con relativamente recentemente engadido a capacidade de activar a autenticación de dous factores (ou dous pasos) en contas. E se é importante para a seguridade, recoméndovos encarecidamente que active.
A implementación do funcionamento da autenticación de dous factores é un pouco diferente para varios servizos, pero o principio básico é o seguinte:
- Ao introducir a conta cun dispositivo descoñecido, despois de introducir o contrasinal correcto, solicítase que sexa un cheque adicional.
- A verificación ocorre usando o código SMS, unha aplicación especial no teléfono intelixente, a través de códigos impresos pre-preparados, mensaxes de correo electrónico, unha tecla de hardware (a última opción apareceu en Google, esta empresa é xeralmente de primeira liña en termos de dous factores autenticación).
Así, aínda que o atacante descubrise o seu contrasinal, non poderá ingresar a súa conta, sen ter acceso aos seus dispositivos, teléfono, correo electrónico.
Se non se entende completamente, como funciona a autenticación de dous factores, recomendo ler o artigo en Internet sobre este tema ou descricións e orientacións nos sitios a si mesmo, onde se implementa (só instrucións detalladas neste artigo non se activará ).
Almacenamento de contrasinais
Os contrasinais únicos sofisticados para cada sitio son excelentes, pero como almacenalos? Non é que todos estes contrasinais poderán manter a cabeza. O almacenamento de contrasinais gardados no navegador é un descoñecido arriscado: non só se fan máis vulnerables ao acceso non autorizado, senón que se poden perder en caso de fallos do sistema e cando a sincronización está desactivada.
A solución óptima son os xestores de contrasinais, en xeral, representando programas que almacenan todos os seus datos secretos nun almacenamento seguro cifrado (tanto fóra de liña como en liña), o acceso ao que se realiza usando un contrasinal mestre (ademais pode habilitar a autenticación de dous factores ). Ademais, a maioría destes programas están equipados con ferramentas para xerar e avaliar a fiabilidade dos contrasinais.
Fai un par de anos, escribín un artigo separado sobre os mellores xestores de contrasinais (vale a pena reescrito, pero para ter unha idea do que é e que programas son populares do artigo. Algúns prefiren solucións sen conexión simples, como Keepass ou 1Password, almacenando todos os contrasinais no seu dispositivo, outros son utilidades máis funcionales, que tamén son características de sincronización (LastPass, Dashlane).
Os famosos xestores de contrasinal generalmente son considerados como unha forma moi segura e fiable de almacenalos. Non obstante, paga a pena considerar algúns detalles:
- Para acceder a todos os seus contrasinais, cómpre coñecer só un contrasinal mestre.
- No caso dun almacenamento en liña de hackers (literalmente un mes, o servizo máis popular LastPass xestión de contrasinais foi hackeado) Vai ter que cambiar todos os seus contrasinais.
Como máis podes gardar os teus contrasinais importantes? Aquí tes un par de opcións:
- En papel de forma segura, o acceso ao que terá vostede e os membros da súa familia (non son axeitados para contrasinais que desexa usar a miúdo).
- Base de datos de contrasinal sen conexión (por exemplo, keepass), almacenada nunha información duradeira e duplicada nalgún lugar en caso de perda.
Optimal Na miña opinión, a combinación de todos os elementos descritos anteriormente é o seguinte enfoque: os contrasinais máis importantes (o correo electrónico principal, co que se poden restaurar outras contas, o banco, etc.) almacénase na cabeza e (ou ) en papel nun lugar seguro. Menos importante e, ao mesmo tempo, a miúdo úsase debe ser encomendado cos xestores de contrasinal.
Información adicional
Espero que unha combinación de dous artigos sobre contrasinais a alguén que axudou a prestar atención a algúns aspectos da seguridade que non pensou. Por suposto, non teño en conta todas as opcións posibles, pero a lóxica sinxela e algunha comprensión dos principios axudarán a decidir de forma independente o que está a facer o que está facendo nun punto específico. Unha vez máis, algúns dos elementos mencionados e varios adicionais:
- Use diferentes contrasinais para diferentes sitios.
- Os contrasinais deben ser difíciles, pode aumentar a dificultade máis forte, aumentando a lonxitude do contrasinal.
- Non empregue datos persoais (que se poden fundar) ao crear un contrasinal, consellos para iso, controlar as preguntas para a recuperación.
- Use a autenticación de dous pasos cando sexa posible.
- Busca unha forma ideal de asegurar o almacenamento de contrasinal.
- Fancy Phishing (comproba as direccións de sitios, cifrado) e spyware. En todas partes, onde lle piden que introduza un contrasinal, comproba se realmente o introduce no sitio correcto. Vexa que non hai software malicioso na computadora.
- Se é posible, non use os seus contrasinais en ordenadores estranxeiros (se é necesario, faino no modo "Incognito" do navegador e, aínda mellor marcado desde o teclado en pantalla), en redes Wi-Fi públicas, especialmente se hai Non hai cifrado HTTPS ao conectarse ao sitio.
- Quizais non debe gardar a máis importante, realmente representante de vitalidade, contrasinais nunha computadora ou en liña.
Algo coma isto. Creo que conseguín elevar o grao de paranoia. Eu entendo que a maior parte do inconveniente descrito parece, pode haber pensamentos como "Ben, será de bypass," pero o único exclusividade da preguiza, cando seguidas por regras simples de seguridade, ao gardar información confidencial, pode haber só a ausencia de A súa importancia ea súa vontade de que será o patrimonio de terceiros.