Bahan ini adalah kesinambungan artikel "Bagaimana boleh menggodam kata laluan anda" dan membayangkan bahawa anda sudah biasa dengan bahan yang ditetapkan di sana atau tanpa tahu semua laluan utama yang boleh dikompromikan oleh kata laluan.
Mencipta kata laluan
Hari ini, apabila mendaftarkan mana-mana akaun Internet, membuat kata laluan, anda biasanya melihat penunjuk kebolehpercayaan kata laluan. Hampir di mana-mana ia berfungsi berdasarkan penilaian dua faktor berikut: panjang kata laluan; Kehadiran aksara khas, huruf besar dan nombor dalam kata laluan.
Walaupun ini adalah parameter kestabilan kata laluan yang sangat penting untuk kaedah penggodaman pemadaman, kata laluan yang seolah-olah sistem yang boleh dipercayai, tidak semestinya. Sebagai contoh, kata laluan seperti "PA $$ W0rd" (dan terdapat juga aksara khas, dan nombor), kemungkinan besar, akan digodam dengan cepat - disebabkan oleh fakta bahawa (seperti yang diterangkan dalam artikel sebelumnya) orang jarang mencipta unik Kata laluan (kurang daripada 50% kata laluan adalah unik) dan pilihan yang dinyatakan lebih besar mungkin mempunyai pangkalan data yang dibocorkan dari penceroboh.
Bagaimana untuk menjadi? Pilihan optimum adalah menggunakan penjana kata laluan (terdapat dalam talian dalam bentuk utiliti dalam talian, serta dalam kebanyakan pengurus kata laluan untuk komputer), mewujudkan kata laluan rawak yang panjang menggunakan aksara khas. Dalam kebanyakan kes, kata laluan daripada 10 atau lebih watak seperti itu tidak akan menarik kepada penggodam (iaitu, perisiannya tidak akan dikonfigurasikan untuk memilih pilihan tersebut) kerana hakikat bahawa kos masa tidak akan dibayar. Penjana kata laluan yang baru terbina dalam muncul dalam penyemak imbas Google Chrome.
Dalam kaedah yang ditentukan, kelemahan utama ialah kata laluan sedemikian sukar untuk diingat. Sekiranya terdapat keperluan untuk menyimpan kata laluan di kepala, terdapat satu lagi pilihan berdasarkan fakta bahawa kata laluan daripada 10 aksara yang mengandungi huruf besar dan aksara khas dipilih oleh kaedah busting dalam ribuan dan banyak lagi (nombor tertentu bergantung kepada Set aksara yang dibenarkan) masa lebih mudah, daripada kata laluan 20 aksara yang mengandungi hanya huruf kecil huruf kecil (walaupun penggodam tahu mengenainya).
Oleh itu, kata laluan yang terdiri daripada 3-5 perkataan bahasa Inggeris yang mudah akan mudah diingati dan hampir mustahil untuk menggodam. Dan saya menulis setiap perkataan dari huruf besar, kita akan membina jumlah pilihan dalam ijazah kedua. Jika ini akan menjadi 3-5 perkataan Rusia (sekali lagi rawak, bukan nama dan tarikh), yang ditulis dalam susun atur bahasa Inggeris, juga menghilangkan kemungkinan hipotesis kaedah yang canggih menggunakan kamus untuk memilih kata laluan.
Pasti pendekatan yang tepat untuk penciptaan kata laluan mungkin tidak: Dalam pelbagai cara terdapat kelebihan dan kekurangan (berkaitan dengan keupayaan untuk mengingatnya, kebolehpercayaan dan parameter lain), tetapi prinsip-prinsip asas kelihatan seperti ini:
- Kata laluan mesti terdiri daripada sejumlah besar aksara. Sekatan yang paling biasa hari ini ialah 8 aksara. Dan ini tidak mencukupi jika anda memerlukan kata laluan yang dilindungi.
- Jika boleh, aksara khas, tajuk dan huruf besar, nombor harus dimasukkan dalam kata laluan.
- Tidak pernah termasuk data peribadi mengenai kata laluan, walaupun direkodkan dengan cara yang "licik". Tiada tarikh, nama dan nama keluarga. Sebagai contoh, menggodam kata laluan yang mewakili tarikh kalendar Julian moden dari tahun ke-0 dan hari ini (dari Borang 07/18/2015 atau 18072015, dan sebagainya) akan mengambil masa dari beberapa saat hingga jam (dan kemudian jam itu hanya akan berjaya Kerana kelewatan antara percubaan untuk beberapa kes).
Anda boleh menyemak bagaimana kata laluan anda yang boleh dipercayai di laman web ini (walaupun kemasukan kata laluan di beberapa laman web, terutamanya tanpa https, bukanlah amalan paling selamat) http://rumkin.com/tools/password/passchk.php. Jika anda tidak mahu menyemak kata laluan sebenar anda, masukkan yang sama (dari bilangan aksara yang sama dan dengan set yang sama) untuk mendapatkan idea kebolehpercayaannya.
Dalam perjalanan memasuki aksara, perkhidmatan ini mengira entropi (secara bersyarat, bilangan pilihan untuk entropi 10 bit, bilangan opsyen adalah 2 hingga kesepuluh) untuk kata laluan yang diberikan dan menyediakan sijil untuk kebolehpercayaan pelbagai nilai. Kata laluan dengan entropi lebih daripada 60 hampir mustahil untuk menggodam walaupun semasa pemilihan yang difokuskan.
Jangan gunakan kata laluan yang sama untuk akaun yang berbeza.
Jika anda mempunyai kata laluan yang sangat baik, tetapi anda menggunakannya di mana-mana di mana anda boleh, ia secara automatik tidak dapat dipercayai. Sebaik sahaja penggodam menggodam mana-mana laman web di mana anda menggunakan kata laluan sedemikian dan dapatkan akses kepadanya, pastikan ia akan diuji dengan segera (secara automatik, menggunakan perisian khas) pada semua pos yang popular, permainan, perkhidmatan sosial, dan mungkin bank dalam talian (cara untuk melihat sama ada kata laluan anda telah dibentangkan pada akhir artikel sebelumnya).
Kata laluan yang unik untuk setiap akaun adalah sukar, ia adalah sukar, tetapi perlu jika akaun ini sekurang-kurangnya mempunyai kepentingan untuk anda. Walaupun, bagi sesetengah pendaftaran yang tidak mempunyai nilai untuk anda (iaitu, anda sudah bersedia untuk kehilangan dan tidak bimbang) dan tidak mengandungi maklumat peribadi, anda tidak boleh terikan dengan kata laluan yang unik.
Pengesahan dua faktor
Malah kata laluan yang boleh dipercayai tidak menjamin bahawa tiada siapa yang boleh pergi ke akaun anda. Anda boleh mencuri kata laluan dengan satu cara atau yang lain (phishing, sebagai contoh, sebagai pilihan yang paling biasa) atau mengenali anda.
Hampir semua syarikat dalam talian yang serius termasuk Google, Yandex, Mail.ru, Facebook, dalam hubungan, Microsoft, Dropbox, LastPass, stim dan lain-lain dengan yang agak baru-baru ini menambah keupayaan untuk membolehkan pengesahan dua faktor (atau dua langkah) dalam akaun. Dan jika anda penting untuk keselamatan, saya sangat mengesyorkannya untuk membolehkannya.
Pelaksanaan pengendalian pengesahan dua faktor sedikit berbeza untuk pelbagai perkhidmatan, tetapi prinsip asas adalah seperti berikut:
- Apabila memasuki akaun dengan peranti yang tidak diketahui, selepas memasukkan kata laluan yang betul, anda diminta menjalani pemeriksaan tambahan.
- Memeriksa berlaku menggunakan kod SMS, aplikasi khas pada telefon pintar, melalui kod bercetak yang telah disediakan, mesej e-mel, kunci perkakasan (pilihan terakhir muncul di Google, syarikat ini umumnya garis depan dari segi dua faktor pengesahan).
Oleh itu, walaupun penyerang mendapati kata laluan anda, dia tidak akan dapat memasukkan akaun anda, tanpa akses ke peranti anda, telefon, e-mel.
Jika anda tidak difahami sepenuhnya, bagaimana pengesahan dua faktor berfungsi, saya cadangkan membaca artikel di Internet mengenai topik atau penerangan dan panduan ini di laman web anda sendiri, di mana ia dilaksanakan (hanya arahan terperinci dalam artikel ini tidak akan dihidupkan ).
Penyimpanan kata laluan
Kata laluan unik yang canggih untuk setiap laman web yang sangat baik, tetapi bagaimana untuk menyimpannya? Ia tidak semua kata laluan ini akan dapat mengekalkan kepala anda. Menyimpan Kata Laluan yang disimpan dalam penyemak imbas adalah undePair yang berisiko: mereka bukan sahaja menjadi lebih terdedah kepada akses yang tidak dibenarkan, tetapi hanya boleh hilang dalam kes kegagalan sistem dan apabila penyegerakan dinyahdayakan.
Penyelesaian yang optimum adalah pengurus kata laluan, secara umum, mewakili program yang menyimpan semua data rahsia anda dalam storan yang disulitkan selamat (kedua-dua offline dan dalam talian), akses yang dijalankan menggunakan satu kata laluan induk (tambahan anda boleh mengaktifkan pengesahan dua faktor ). Juga, kebanyakan program ini dilengkapi dengan alat untuk menjana dan menilai kebolehpercayaan kata laluan.
Beberapa tahun yang lalu, saya menulis artikel yang berasingan mengenai pengurus kata laluan terbaik (ia bernilai ditulis semula, tetapi untuk mendapatkan idea tentang apa yang ada dan program apa yang popular dari artikel itu. Sesetengah memilih penyelesaian luar talian yang mudah, seperti Keepass atau 1Password, menyimpan semua kata laluan pada peranti anda, yang lain adalah utiliti yang lebih berfungsi, yang juga ciri penyegerakan (LastPass, Dashlane).
Pengurus kata laluan terkenal umumnya dianggap sebagai cara yang sangat selamat dan boleh dipercayai untuk menyimpannya. Walau bagaimanapun, adalah perlu mempertimbangkan beberapa butiran:
- Untuk mengakses semua kata laluan anda, anda perlu tahu hanya satu kata laluan induk.
- Sekiranya terdapat peretasan penyimpanan dalam talian (secara literal sebulan yang lalu, perkhidmatan pengurusan kata laluan LastPass yang paling popular telah digodam) anda perlu menukar semua kata laluan anda.
Bagaimana lagi anda boleh menyimpan kata laluan penting anda? Berikut adalah sepasang pilihan:
- Di atas kertas dalam peti keselamatan, akses yang anda akan mempunyai anda dan ahli keluarga anda (tidak sesuai untuk kata laluan yang anda mahu gunakan dengan kerap).
- Pangkalan data kata laluan luar talian (contohnya, Keepass), disimpan pada maklumat yang tahan lama dan diduplikasi di suatu tempat dalam hal kerugian.
Optimum Pada pendapat saya, gabungan semua yang dinyatakan di atas adalah pendekatan berikut: Kata laluan yang paling penting (e-mel utama, yang mana akaun lain boleh dipulihkan, bank, dll.) Disimpan di kepala dan (atau ) di atas kertas di tempat yang selamat. Kurang penting dan, pada masa yang sama, sering digunakan harus diamanahkan dengan pengurus kata laluan.
Maklumat tambahan
Saya berharap gabungan dua artikel mengenai kata laluan kepada seseorang daripada anda membantu memberi perhatian kepada beberapa aspek keselamatan yang anda tidak fikirkan. Sudah tentu, saya tidak mengambil kira semua pilihan yang mungkin, tetapi logik mudah dan beberapa pemahaman tentang prinsip-prinsip akan membantu secara bebas menentukan betapa selamat apa yang anda lakukan pada satu titik tertentu. Sekali lagi, beberapa perkara yang disebutkan dan beberapa item tambahan:
- Gunakan kata laluan yang berbeza untuk laman web yang berbeza.
- Kata laluan harus sukar, anda boleh meningkatkan kesukaran yang lebih kuat, meningkatkan panjang kata laluan.
- Jangan gunakan data peribadi (yang boleh diasaskan) Apabila membuat kata laluan, tips kepadanya, mengendalikan soalan untuk pemulihan.
- Gunakan pengesahan dua langkah di mana mungkin.
- Cari cara yang optimum untuk menjamin penyimpanan kata laluan.
- Phishing Fancy (semak alamat tapak, penyulitan) dan spyware. Di mana-mana, di mana mereka meminta anda memasukkan kata laluan, semak jika anda benar-benar memasukinya di laman yang betul. Tonton bahawa tiada perisian berniat jahat pada komputer.
- Jika boleh, jangan gunakan kata laluan anda pada komputer asing (jika perlu, lakukan dalam mod "Incognito" penyemak imbas, dan lebih baik dail dari papan kekunci pada skrin), di rangkaian Wi-Fi terbuka awam, terutamanya jika ada bukan penyulitan HTTPS apabila menyambung ke laman web ini.
- Mungkin anda tidak boleh menyimpan yang paling penting, benar-benar mewakili kecergasan, kata laluan pada komputer atau dalam talian.
Sesuatu seperti ini. Saya fikir saya berjaya meningkatkan tahap paranoia. Saya faham bahawa banyak yang dijelaskan seolah-olah menyusahkan, mungkin ada pemikiran seperti "Nah, ia akan memintas," tetapi satu-satunya eksklusif kemalasan, apabila diikuti dengan peraturan keselamatan yang mudah, ketika menyimpan maklumat sulit, mungkin hanya ketiadaan Kepentingannya dan kesediaan anda untuk dia akan menjadi warisan pihak ketiga.