सुरक्षा संकेतशब्द बद्दल

हा लेख एक सुरक्षित पासवर्ड कसा तयार करावा यावर चर्चा आहे, जे आपल्या माहितीवर प्रवेश कसा ठेवायचा आणि आपल्या माहितीवर प्रवेश मिळविण्याची शक्यता कमी करावी याविषयीचे सिद्धांत केले पाहिजेत.

ही सामग्री "आपला संकेतशब्द कसे खाच करू शकेल" हा लेख सतत आहे आणि याचा अर्थ असा आहे की आपण तेथे असलेल्या सामग्रीशी परिचित आहात किंवा संकेतशब्दांशी तडजोड केल्या जाणार्या सामग्रीशिवाय आपण परिचित आहात.

संकेतशब्द तयार करणे

आज, कोणत्याही इंटरनेट खात्याची नोंदणी करताना, पासवर्ड तयार करताना, आपण सहसा संकेतशब्द विश्वासार्हता सूचक पहा. जवळजवळ सर्वत्र ते खालील दोन घटकांच्या मूल्यांकनाच्या आधारावर कार्य करते: संकेतशब्द लांबी; पासवर्डमध्ये विशेष वर्ण, कॅपिटल अक्षरे आणि संख्या उपस्थिती.

हे खरोखर महत्त्वाचे संकेतशब्द स्थिरता पॅरामीटर्स आहे, विझिंग पद्धत हॅकिंग पद्धत, एक पासवर्ड विश्वासार्ह आहे जो विश्वासार्ह आहे जो नेहमीच नाही. उदाहरणार्थ, "पीए $$ W0RD" सारखे पासवर्ड (आणि तेथे विशेष अक्षरे आणि संख्या देखील आहेत), बहुतेकदा, त्वरीत हॅक केले जाईल - (मागील लेखात वर्णन केल्याप्रमाणे) लोक क्वचितच अद्वितीय तयार करतात. संकेतशब्द (50% पेक्षा कमी संकेतशब्द अद्वितीय आहेत) आणि निश्चित पर्याय घुसखोरांपासून उपलब्ध लीक डेटाबेसमध्ये जास्त शक्यता आहे.

कसे असावे? संकेतशब्द जेनरेटर वापरणे हा सर्वोत्तम पर्याय आहे (ऑनलाइन युटिलिटिजच्या स्वरूपात तसेच संगणकासाठी बर्याच संकेतशब्द व्यवस्थापकांमध्ये ऑनलाइन आहे, विशेष वर्णांचा वापर करून दीर्घ यादृच्छिक संकेतशब्द तयार करणे. बर्याच बाबतीत, 10 किंवा त्यापेक्षा जास्त वर्णांमधून संकेतशब्द केवळ हॅकर (I.E.E.E., त्याचे सॉफ्टवेअर कॉन्फिगर केले जाणार नाही) या घटनेची किंमत कमी होणार नाही. अलीकडे बिल्ट-इन पासवर्ड जेनरेटर Google Chrome ब्राउझरमध्ये दिसू लागले.

निर्दिष्ट पद्धतीमध्ये, मुख्य गैरसोंड म्हणजे असे संकेतशब्द लक्षात ठेवणे कठीण आहे. जर हेडमध्ये पासवर्ड ठेवण्याची गरज असेल तर, हजारो आणि अधिकवर अवलंबून असलेल्या विशिष्ट संख्या (विशिष्ट संख्या अवलंबून) वर्णांचे अनुमत संच) टाइम्स सोपे, 20 वर्णांचे संकेतशब्द केवळ केवळ लोअरकेस लॅटिन वर्ण (जरी हॅकरला त्याबद्दल माहित असेल तरीही).

अशा प्रकारे, 3-5 सोप्या यादृच्छिक इंग्रजी शब्दांचा संकेतशब्द सहजपणे लक्षात ठेवला जाईल आणि खाच करणे जवळजवळ अशक्य होईल. आणि मी प्रत्येक शब्द राजधानी पत्र लिहिले, आम्ही दुसर्या पदवी मध्ये पर्यायांची संख्या तयार करू. जर हे 3-5 रशियन शब्द (पुन्हा यादृच्छिक, नावे आणि तारखा नाही) असतील, तर इंग्रजी मांडणीमध्ये लिहिलेले, संकेतशब्द निवडण्यासाठी शब्दकोश वापरण्याच्या अत्याधुनिक पद्धतींची हायपोथेटिकल शक्यता देखील काढून टाकते.

संकेतशब्दांच्या निर्मितीसाठी निश्चितपणे योग्य दृष्टीकोन कदाचित नाही: विविध मार्गांनी फायदे आणि तोटे आहेत (हे लक्षात ठेवण्याची क्षमता, विश्वसनीयता आणि इतर पॅरामीटर्स), परंतु मूलभूत तत्त्वे यासारखे दिसतात:

• संकेतशब्दामध्ये महत्त्वपूर्ण वर्ण असणे आवश्यक आहे. आज सर्वात सामान्य निर्बंध 8 वर्ण आहे. आणि आपल्याला संरक्षित संकेतशब्दाची आवश्यकता असल्यास हे पुरेसे नाही.
• शक्य असल्यास, विशेष वर्ण, शीर्षक आणि कॅपिटल अक्षरे, संख्या संकेतशब्द समाविष्ट करणे आवश्यक आहे.
• कधीही "कनिंग" मार्गांनी रेकॉर्ड केलेल्या संकेतशब्दावर वैयक्तिक डेटा समाविष्ट करू नका. कोणतीही तारीख, नावे आणि उपनाव. उदाहरणार्थ, 0 व्या वर्षापासून आधुनिक ज्युलियन कॅलेंडरच्या कोणत्याही तारखेपासून दर्शविणारा पासवर्ड हॅक करणे (फॉर्म 07/18/2015 किंवा 18072015) सेकंद ते तासांपर्यंत (आणि मग घड्याळ केवळ यशस्वी होईल काही प्रकरणांच्या प्रयत्नांमधील विलंब झाल्यामुळे).

आपण साइटवर आपला संकेतशब्द किती विश्वसनीय आहे हे तपासू शकता (जरी काही साइटवर संकेतशब्द एंट्री, विशेषत: HTTPS शिवाय, सर्वात सुरक्षित सराव नाही) http://rumkin.com/tools/password/passChk.php. आपण आपला खरा संकेतशब्द तपासू इच्छित नसल्यास, त्याच्या विश्वासार्हतेची कल्पना मिळविण्यासाठी समान (समान संख्येच्या वर्णांसह आणि त्यापैकी समान सेटसह) प्रविष्ट करा.

वर्णांमध्ये प्रवेश केल्यानंतर, सेवा एंट्रॉपी (सशर्त, 10 बिट्सच्या एंज्रॉपीसाठी पर्यायांची संख्या, दिलेल्या संकेतशब्दासाठी 2 ते दहाव्या डिग्रीसाठी 2 ते दहावी पदवी आहे). केंद्रित निवडी दरम्यान अगदी 60 पेक्षा जास्त एंट्रॉपीसह संकेतशब्द जवळजवळ अशक्य आहेत.

वेगवेगळ्या खात्यांसाठी समान संकेतशब्द वापरू नका.

आपल्याकडे उत्कृष्ट अवघड संकेतशब्द असल्यास, परंतु आपण कुठेही आपण ते वापरता, ते स्वयंचलितपणे पूर्णपणे विश्वासार्ह नसते. जेव्हा आपण अशा संकेतशब्दाचा वापर करता तेव्हा हॅकर्स खाच करतात आणि त्यात प्रवेश मिळतात, याची खात्री करा की ते इतर सर्व लोकप्रिय पोस्टल, गेम, सोशल सर्व्हिसेस आणि कदाचित ऑनलाइन बॅंकांवर त्वरित चाचणी (स्वयंचलितपणे, विशिष्ट सॉफ्टवेअर वापरून) चाचणी केली जाईल. (मागील लेखाच्या शेवटी आपला संकेतशब्द आधीच सादर केला आहे की नाही हे पाहण्यासाठी मार्ग).

प्रत्येक खात्यासाठी एक अनन्य संकेतशब्द कठीण आहे, तो असुविधाजनक आहे, परंतु हे खाते आपल्यासाठी कमीतकमी महत्त्वपूर्ण असल्यास आवश्यक आहे. जरी, काही नोंदणीसाठी जे आपल्यासाठी मूल्य नसते (म्हणजेच, आपण त्यांना गमावण्यास आणि काळजी करू नका) आणि वैयक्तिक माहिती नाही, आपण अद्वितीय संकेतशब्दांसह ताणू शकत नाही.

दोन-घटक प्रमाणीकरण

अगदी विश्वसनीय संकेतशब्द देखील हमी देत ​​नाहीत की कोणीही आपल्या खात्यात जाऊ शकत नाही. आपण एक मार्ग किंवा दुसर्या (फिशिंग, उदाहरणार्थ, सर्वात सामान्य पर्याय म्हणून किंवा आपल्याशी परिचित होण्यासाठी संकेतशब्द चोरू शकता.

Google, Yandex, Mail.RU, फेसबुक, संपर्क, मायक्रोसॉफ्ट, ड्रॉपबॉक्स, लास्टपास, स्टीम आणि इतरांसह जवळजवळ सर्व गंभीर ऑनलाइन कंपन्या तुलनेने अलीकडेच खात्यात दोन-घटक (किंवा दोन-चरण) प्रमाणीकरण सक्षम करण्याची क्षमता जोडतात. आणि आपण सुरक्षिततेसाठी महत्वाचे असल्यास, मी सक्षम करण्यासाठी जोरदार शिफारस करतो.

दोन-घटक प्रमाणीकरणाच्या ऑपरेशनचे अंमलबजावणी विविध सेवांसाठी किंचित भिन्न आहे, परंतु मूलभूत सिद्धांत खालीलप्रमाणे आहे:

1. अज्ञात डिव्हाइससह खाते प्रविष्ट करताना, योग्य संकेतशब्द प्रविष्ट केल्यानंतर आपल्याला अतिरिक्त तपासणी करण्यास सांगितले जाते.
2. एसएमएस कोड वापरून तपासणी, स्मार्टफोनवर एक विशेष अनुप्रयोग, पूर्व-तयार मुद्रित कोड, ई-मेल संदेश, हार्डवेअर की (Google वर अंतिम पर्याय दिसून आला आहे, ही कंपनी सामान्यतः दोन-घटकांच्या संदर्भात आहे प्रमाणीकरण).

अशा प्रकारे, आक्रमणकर्त्याने आपला संकेतशब्द शोधला तरीही तो आपल्या डिव्हाइसेस, टेलिफोन, ईमेलमध्ये प्रवेश न करता आपले खाते प्रविष्ट करण्यात सक्षम होणार नाही.

आपण पूर्णपणे समजू शकत नसल्यास, दोन-घटक प्रमाणीकरण कसे कार्य करते, मी या विषयावर या विषयावर किंवा आपल्या साइटवरील मार्गदर्शन आणि मार्गदर्शन या विषयावरील लेख वाचण्याची शिफारस करतो (या लेखातील फक्त तपशीलवार सूचना चालू केल्या जाणार नाहीत. ).

संकेतशब्द संचयन

प्रत्येक साइटसाठी अत्याधुनिक अद्वितीय संकेतशब्द उत्कृष्ट आहेत, परंतु त्यांना कसे संग्रहित करावे? हे सर्व संकेतशब्द आपल्या डोक्यात ठेवण्यास सक्षम असतील. ब्राउझरमध्ये जतन केलेले संकेतशब्द संग्रहित करणे ही एक धोकादायक अवज्ञा आहे: ते केवळ अनधिकृत प्रवेशासाठी अधिक असुरक्षित बनले नाहीत, परंतु सिस्टम अपयशी झाल्यास आणि सिंक्रोनाइझेशन अक्षम झाल्यासच गमावले जाऊ शकते.

सर्वोत्कृष्ट उपाय हा सर्वसाधारणपणे संकेतशब्द व्यवस्थापक आहे, जो आपल्या सर्व गुप्त डेटा एनक्रिप्टेड सिक्योर स्टोरेजमध्ये संचयित करतो (दोन्ही ऑफलाइन आणि ऑनलाइन दोन्ही), जो एक मास्टर संकेतशब्द वापरून केला जातो (याव्यतिरिक्त आपण दोन-घटक प्रमाणीकरण सक्षम करू शकता. ). तसेच, यापैकी बहुतेक प्रोग्राम संकेतशब्द विश्वासार्हता व्युत्पन्न आणि मूल्यांकन करण्यासाठी साधनांसह सुसज्ज आहेत.

दोन वर्षांपूर्वी, मी सर्वोत्तम संकेतशब्द व्यवस्थापकांविषयी एक स्वतंत्र लेख लिहिला (तो पुन्हा लिखित किमतीची आहे, परंतु ते काय आहे आणि लेखापासून काय लोकप्रिय आहे याचा विचार करण्यासाठी. काही आपल्या डिव्हाइसवरील सर्व संकेतशब्द संग्रहित करणे जसे की सामान्य ऑफलाइन सोल्यूशन, जसे की सर्व संकेतशब्द संग्रहित करणे, इतर अधिक कार्यात्मक उपयुक्तता आहेत, जे सिंक्रोनाइझेशन वैशिष्ट्ये (lessass, dustlannan) आहेत.

प्रसिद्ध संकेतशब्द व्यवस्थापक सामान्यत: त्यांना संग्रहित करण्यासाठी एक अतिशय सुरक्षित आणि विश्वासार्ह मार्ग मानले जातात. तथापि, काही तपशीलांवर विचार करणे योग्य आहे:

• आपल्या सर्व संकेतशब्दांमध्ये प्रवेश करण्यासाठी आपल्याला फक्त एक मास्टर संकेतशब्द माहित असणे आवश्यक आहे.
• ऑनलाइन स्टोरेज हॅकिंगच्या घटनेत (अक्षरशः एक महिन्यापूर्वी, सर्वात लोकप्रिय lastpass संकेतशब्द व्यवस्थापन सेवा हॅक झाल्या आहेत) आपल्याला आपले सर्व संकेतशब्द बदलणे आवश्यक आहे.

आपण आपले महत्त्वाचे संकेतशब्द कसे वाचवू शकता? येथे पर्याय एक जोडी आहेत:

• एका सुरक्षिततेवर, ज्यामध्ये आपण आणि आपल्या कुटुंबाचे सदस्य (आपण वापरू इच्छित संकेतशब्दांसाठी योग्य नाही) प्रविष्ट करा.
• ऑफलाइन संकेतशब्द डेटाबेस (उदाहरणार्थ, सुरु ठेवा), एक टिकाऊ माहितीवर संग्रहित आणि नुकसान झाल्यास कुठेतरी डुप्लिकेट केले.

माझ्या मते सर्वोत्कृष्ट उल्लेखित वरील सर्व उपरोक्त संयोजन खालील दृष्टिकोन आहे: सर्वात महत्वाचे संकेतशब्द (मुख्य ई-मेल, कोणत्या इतर खात्यासह पुनर्संचयित केले जाऊ शकते, बँक, इ.) डोके मध्ये संग्रहित केले जाते आणि (किंवा ) एक सुरक्षित ठिकाणी कागदावर. कमी महत्वाचे आणि त्याच वेळी, वारंवार वापरल्या जाणार्या संकेतशब्द व्यवस्थापकांसह सोपवल्या पाहिजेत.

अतिरिक्त माहिती

मला आशा आहे की आपल्याकडून एखाद्या व्यक्तीवर दोन लेखांचे मिश्रण आपल्याकडून एखाद्या सुरक्षिततेच्या काही पैलूंकडे लक्ष देण्यात आले आहे जे आपण विचार करीत नाही. अर्थात, मी सर्व संभाव्य पर्यायांकडे लक्ष दिले नाही, परंतु साधे लॉजिक आणि तत्त्वांचे काही समजून घेणे स्वतंत्रपणे ठरविण्यात मदत करेल जे आपण विशिष्ट ठिकाणी काय करत आहात ते किती सुरक्षित आहे. पुन्हा एकदा, उल्लेख केलेल्या काही आणि अनेक अतिरिक्त आयटम:

• विविध साइट्ससाठी भिन्न संकेतशब्द वापरा.
• संकेतशब्द कठीण असले पाहिजे, आपण संकेतशब्द लांबी वाढविण्यास कठिणता वाढवू शकता.
• पासवर्ड तयार करताना वैयक्तिक डेटा (जे स्थापित केले जाऊ शकते) वापरू नका, पुनर्प्राप्तीसाठी प्रश्न नियंत्रित करा.
• जेथे शक्य असेल तेथे दोन-चरण प्रमाणीकरण वापरा.
• संकेतशब्द संचयन सुरक्षित करण्यासाठी इष्टतम मार्ग शोधा.
• फॅन्सी फिशिंग (साइट्स, एन्क्रिप्शन) आणि स्पायवेअरचे पत्ते तपासा. सर्वत्र, ते आपल्याला संकेतशब्द प्रविष्ट करण्यास सांगतात, आपण खरोखर योग्य साइटवर प्रविष्ट केल्यास तपासा. संगणकावर कोणताही दुर्भावनायुक्त सॉफ्टवेअर नाही हे पहा.
• शक्य असल्यास, परकीय कॉम्प्यूटर्सवर आपले संकेतशब्द वापरू नका (आवश्यक असल्यास, ते "गुप्त" मोडमध्ये आणि ऑन-स्क्रीन कीबोर्डवरून अगदी चांगले डायल करा) सार्वजनिक ओपन वाय-फाय नेटवर्कमध्ये, विशेषतः तेथे असल्यास साइटशी कनेक्ट करताना कोणतीही HTTPS एनक्रिप्शन आहे.
• कदाचित आपण सर्वात महत्त्वाचे संगोपन करू नये, खरोखर संगणकावर किंवा ऑनलाइन संकेतशब्दांचे प्रतिनिधित्व करू नये.

यासारखेच काहीसे. मला वाटते की मी पॅरानोआची पदवी वाढविली आहे. मी समजतो की वर्णन केलेले बरेच काही असुविधाजनक दिसते, "ठीक आहे, ते बायपास" सारखे विचार असू शकतात परंतु आळसपणाची एकमेव खासता येते, जेव्हा सहज सुरक्षितता नियमांद्वारे, गोपनीय माहिती संग्रहित करताना, केवळ अनुपस्थिती असू शकते त्याचे महत्त्व आणि ती आपली इच्छा आहे की ती तृतीय पक्षांची वारसा असेल.