חומר זה הוא המשך של המאמר "איך יכול לפרוץ את הסיסמה שלך" ורומז כי אתה מכיר את הסט חומר בחוץ או אפילו בלי לדעת את כל הנתיבים העיקריים שיכולים להיפגע סיסמאות.
יצירת סיסמה
היום, בעת הרשמה כול חשבון אינטרנט, יצירת סיסמה, אתה בדרך כלל רואה את החיווי אמין סיסמה. כמעט בכל מקום זה עובד על בסיס ההערכה של שני הגורמים הבאים: אורכי סיסמה; הנוכחות של תווים מיוחדים, אותיות גדולות ומספרים את הסיסמה.
למרות העובדה כי אלה הם באמת פרמטרי יציבות סיסמא חשוב פריצה בשיטה של כיבוי, סיסמא שנראית למערכת אמינה, הוא לא תמיד כך. לדוגמה, סיסמה כמו "Pa $$ W0RD" (ויש גם תווים מיוחדים, ומספרים), ככל הנראה, יהיו פרוצים מהר מאוד - בשל העובדה כי (כפי שמתואר במאמר הקודם) אנשים לעיתים רחוקות ליצור ייחודי סיסמה (פחות מ 50% של סיסמה ייחודיים) ואת האפשרות המצוינת גדולה יש סיכוי במסדי נתונים דלפו זמין מפני פולשים.
איך להיות? האפשרות האופטימלית היא להשתמש גנרטורים סיסמה (יש באינטרנט בצורה של כלי עזר באינטרנט, כמו גם מנהלי הסיסמה ביותר עבור מחשב), יצירת ארוך סיסמאות אקראיות באמצעות תווים מיוחדים. ברוב המקרים, את סיסמה מתוך 10 או תווים כאלה יותר פשוט לא תהיה לעניין ההאקר (למשל, התוכנה שלה לא להיות מוגדרת כדי לבחור אפשרויות כאלה) בשל העובדה כי העלות של זמן לא תשתלם. באחרונה מובנה מחולל סיסמה הופיע בדפדפן של Google Chrome.
בשנת השיטה שצוינה, החסרון העיקרי הוא כי סיסמה כאלה קשות לזכור. אם יש צורך לשמור את הסיסמה בראש, קיימת אפשרות נוספת המבוססת על העובדה כי הסיסמה מתוך 10 תווים המכילים אותיות גדולות ותווים מיוחדים נבחרה על ידי שיטת קורע באלף ועוד (מספרים ספציפיים תלוי הקבוצה של דמויות המותרות) פעמים פשוט יותר, מאשר סיסמה של 20 תווים המכילים באותיות לטיניות קטנות בלבד (גם אם ההאקר יודע על זה).
לפיכך, סיסמה המורכבת 3-5 מילים פשוטות באנגלית אקראית ייזכר בקלות כמעט בלתי אפשרי לפרוץ. וכתבתי כל מילה מן המכתב הון, נוכל לבנות את מספר האפשרויות מדרגה שנייה. אם זה יהיה 3-5 מילות רוסיות (שוב אקראיים, לא שמות ותאריכים), שנכתבו בפריסה אנגלית, גם מסיר את האפשרות ההיפותטית של שיטות מתוחכמות של שימוש במילונים לבחור סיסמא.
בהחלט הגישה הנכונה ליצירת סיסמאות הוא כנראה לא: בדרכים שונות יש יתרונות וחסרונות (הקשורים ליכולת לזכור אותו, אמינות פרמטרים אחרים), אבל העקרונות הבסיסיים להיראות כך:
- הסיסמא חייבת להכיל מספר לא מבוטל של דמויות. ההגבלה הנפוצה ביותר כיום היא 8 תווים. וזה לא מספיק אם אתה צריך סיסמא מוגנת.
- אם דמויות אפשריות, מיוחדות, אותיות כותרת והון, מספרים יש לכלול את הסיסמא.
- לעולם אין לכלול פרטים אישיים על הסיסמה, אפילו נרשמו על ידי דרכים "ערמומי" לכאורה. אין תאריכים, שמות ושמות משפחה. לדוגמה, פריצה סיסמה המייצגים כל מועד בלוח השנה המודרנית ג'וליאן מהשנה ה 0 וכדי היום (מהצורה 2015/07/18 או 18,072,015, וכו ') ייקח מן שניות שעות (ואז השעון יצליח רק בשל עיכובים בין ניסיונות לחלק מהמקרים).
אתה יכול לבדוק איך אמין הסיסמה באתר (למרות כניסת הסיסמה באתרים מסוימים, במיוחד בלי HTTPS, איננה נוהגת הבטוחה) http://rumkin.com/tools/password/passchk.php. אם אתה לא רוצה לבדוק את הסיסמה האמיתית שלך, ולהזין אותו (מאותו מספר של תווים עם אותה קבוצה של אותם) כדי לקבל מושג על האמינות שלה.
במהלך תווים נכנסים, את מחשבת השירות האנטרופיה (מותנה, את מספר האפשרויות עבור האנטרופיה של 10 סיביים, את מספר האפשרויות הוא 2 עד לדרגה העשירית) סיסמה נתון מספקת תעודה למהימנות של ערכים שונים. סיסמאות עם אנטרופיה יותר מ -60 הם כמעט בלתי אפשרי לפרוץ אפילו במהלך בחירה ממוקדת.
אל תשתמשו באותה סיסמה עבור חשבונות שונים.
אם יש לך סיסמה מצוינת קשה, אבל אתה משתמש בו בכל מקום שבו אתה יכול, זה אוטומטית הופך לא אמין לחלוטין. ברגע האקרים לפרוץ כל האתרים שבהם אתה משתמש סיסמה כזו ולקבל גישה אליו, להיות בטוח שזה מיד תיבחן (אוטומטי, באמצעות תוכנה מיוחדת) על כל משחק הדואר, פופולריים אחרים, שירותים חברתיים, ואולי בנקים באינטרנט (דרכים כדי לבדוק אם הסיסמה שלך מוצגת כבר בסוף המאמר הקודם).
סיסמה ייחודית עבור כל חשבון הוא קשה, זה לא נוח, אבל זה הכרחי אם החשבונות האלה הם לפחות חלק חשיבות בשבילך. אמנם, עבור רישומים מסוימים שאין להם ערך בשבילך (כלומר, אתה מוכן לאבד אותם ואל תדאגו) ולא המכילים מידע אישי, אתה לא יכול להתאמץ עם סיסמאות ייחודיות.
אימות דו-גורמי
גם סיסמא אמינות אינם מבטיחות כי אף אחד לא יכול ללכת לחשבון שלך. אתה יכול לגנוב את הסיסמה עם בדרך זו או אחרת (phishing, למשל, כמו האפשרות הנפוצה ביותר) או להכיר אותך.
כמעט כל חברות מקוונות רצינית כולל Google, Yandex, Mail.Ru, פייסבוק, במגע, מיקרוסופט, Dropbox, LastPass, Steam ואחרים עם יחסית לאחרונה הוספנו את היכולת לאפשר שני גורמים (או שני שלבים) אימות בחשבונות. ואם אתה חשוב לביטחון, אני ממליץ בחום זה כדי לאפשר.
יישום והפעלה של אימות דו-גורמי שונה במקצת עבור שירותים שונים, אך העיקרון הבסיסי הוא כדלקמן:
- בעת הזנת החשבון עם התקן לא ידוע, לאחר הזנת הסיסמה הנכונה, תתבקש לעבור בדיקה נוספת.
- בדיקה מתרחשת באמצעות קוד SMS, יישום מיוחד על הטלפון החכם, באמצעות קודים מודפסים שהוכנו מראש, הודעות דואר אלקטרוני, מפתח חומרה (האפשרות האחרונה הופיעה בגוגל, החברה הזו היא בדרך כלל בחזית מבחינת שני גורמים אימות).
לפיכך, גם אם התוקף גיליתי את הסיסמה, הוא לא יוכל להיכנס לחשבון שלך, מבלי גישה למכשירים שלך, טלפון, דואר אלקטרוני.
אם אתם לא מובנים לחלוטין, איך שני גורמי יצירות אימות, אני ממליץ לקרוא את המאמר באינטרנט בנושא זה או תיאורי הדרכה באתרים עצמך, איפה שהוא מיושם (רק הוראות מפורטות במאמר זה לא יופעל על ).
חפצים של סיסמאות
סיסמאות ייחודיות מתוחכם עבור כל אתר מצוינים, אבל איך לאחסן אותם? זה כמעט כל הסיסמאות הללו יוכלו לשמור על הראש שלך. אחסון הסיסמאות שנשמרו בדפדפן הוא undepair מסוכן: הם לא רק הופכים פגיעים יותר גישה לא מורשית, אלא פשוט יכול ללכת לאיבוד במקרה של כשלים במערכת וכאשר סנכרון מושבת.
הפתרון האופטימלי הוא ממנהלי הסיסמה, בכלל, המייצגים תוכניות המאחסנים את כל הנתונים הסודיים שלך באופן אחסון מאובטח מוצפן (הן לא מקוון באינטרנט), גישה אשר מתבצעת באמצעות סיסמת המאסטר אחד (בנוסף אתה יכול לאפשר אימות דו-גורמי ). כמו כן, מרבית התוכניות מצויד בכלים ליצירה והערכה האמינות של סיסמא.
כמה שנים לפני, כתבתי מאמר נפרד על מנהלי סיסמה הטובים ביותר (היא תיכתב מחדש שווה, אבל כדי לקבל מושג על מה הוא ומה תוכניות פופולריות מהמאמר. שמעדיפים פתרונות מחובר פשוטים, כמו KeePass או 1Password, לאחסון כל סיסמאות במכשיר, ואחרים הם כלי עזר פונקציונלי יותר, שהינם גם תכונות סנכרון (LastPass, Dashlane).
מנהלי הסיסמה מפורסמים נחשבים בדרך כלל כדרך בטוחה ואמינה מאוד לאחסן אותם. עם זאת, כדאי לקחת בחשבון כמה פרטים:
- כדי לגשת כל הסיסמאות שלכם, אתם צריכים לדעת את סיסמת המאסטר היחיד.
- במקרה של אחסון מקוון פריצה (פשוטו כמשמעו לפני כחודש, שירות לניהול סיסמאות LastPass הפופולרי ביותר נפרץ) תצטרך לשנות את כל הסיסמאות שלכם.
איך עוד אפשר להציל את הסיסמאות החשובות שלך? הנה זוג אפשרויות:
- על הנייר בכספת, גישה אשר תצטרך אותך ואת בני משפחתך (לא מתאים הסיסמאות שאתה רוצה להשתמש לעתים קרובות).
- נתון סיסמא מנותקים (למשל, KeePass), המאוחסנים מידע עמיד איפשהו כפול במקרה של אובדן.
אופטימלי לדעתי השילוב של כל המתואר לעיל הינו בגישה הבאה: את הסיסמאות החשובות ביותר (הדואר האלקטרוני הראשית, שבה חשבונות אחרים ניתן לשחזר, הבנק, וכו ') מאוחסן הראש (או על נייר) במקום בטוח. פחות חשוב, בעת ובעונה אחת, המשמש לעתים קרובות צריך להיות מופקד מנהלי הסיסמה.
מידע נוסף
אני מקווה שילוב של שתי כתבות על סיסמאות למישהו מכם עזר לשים לב להיבטים מסוימים של ביטחון כי אתה לא חושב על. כמובן, לא לקחתי בחשבון את כל האופציות האפשריות, אבל ההיגיון הפשוט והבנה כמה מהעקרונות יעזור להחליט באופן עצמאי כיצד בטוח מה אתה עושה בנקודה ספציפית. שוב, חלק מהפריטים המוזכרים וכמה נוספים:
- השתמש בסיסמאות שונות לאתרים שונים.
- סיסמאות צריכות להיות קשה, אתה יכול להגדיל את הקושי חזק, הגדלת אורך הסיסמה.
- אין להשתמש בנתונים אישיים (אשר יכול להתבסס) בעת יצירת סיסמה, טיפים אל, שאלות מלאות להתאוששות.
- השתמש באימות בן שני שלבים במידת האפשר.
- מצא דרך אופטימלית כדי לאבטח אחסון הסיסמה.
- פנסי דיוג (לבדוק את הכתובות של האתרים, הצפנה) ותוכנות ריגול. בכל מקום, שבו הם מבקשים ממך להזין סיסמה, לבדוק אם אתה באמת להיכנס אליו באתר הנכון. Watch כי אין תוכנה זדונית במחשב.
- במידת האפשר, אל תשתמש בסיסמאות שלך במחשבים זרים (במידת הצורך, לעשות את זה במצב "גלישה פרטית" של הדפדפן, ואפילו טוב יותר לחייג מהמקלדת על המסך), ברשתות ציבורי פתוח Wi-Fi, במיוחד אם יש אין הוא בהצפנת HTTPS בעת התחברות לאתר.
- אולי אתה לא צריך לאחסן את החשוב ביותר, באמת חיוניות המייצג, סיסמאות במחשב או באינטרנט.
משהו כזה. אני חושב שהצלחתי להעלות את מידת פרנויה. אני מבין שחלק גדול המתואר נראה לא נוח, ייתכנו מחשבות כמו "ובכן, זה יהיה לעקוף," אבל רק בלעדיות של עצלות, כאשר ואחריו כללי בטיחות פשוט, כאשר לאחסון מידע סודי, ייתכנו רק בהעדר חשיבותו ואת הנכונות שלך כל כך הייתי רוצה להיות המורשת של צדדים שלישיים.