เกี่ยวกับรหัสผ่านความปลอดภัย

บทความนี้กล่าวถึงวิธีการสร้างรหัสผ่านที่ปลอดภัยซึ่งหลักการควรปฏิบัติตามเมื่อสร้างวิธีการจัดเก็บรหัสผ่านและลดโอกาสในการเข้าถึงข้อมูลและบันทึกการบัญชีของคุณ

วัสดุนี้เป็นความต่อเนื่องของบทความ "แฮ็ครหัสผ่านของคุณอย่างไร" และหมายถึงว่าคุณคุ้นเคยกับวัสดุที่กำหนดไว้หรือไม่แม้แต่รู้ว่าเส้นทางหลักทั้งหมดที่รหัสผ่านสามารถบุกรุกได้

การสร้างรหัสผ่าน

วันนี้เมื่อลงทะเบียนบัญชีอินเทอร์เน็ตใด ๆ การสร้างรหัสผ่านคุณมักจะเห็นตัวบ่งชี้ความน่าเชื่อถือของรหัสผ่าน เกือบทุกที่มันทำงานบนพื้นฐานของการประเมินปัจจัยสองประการต่อไปนี้: ความยาวรหัสผ่าน; การปรากฏตัวของอักขระพิเศษตัวอักษรตัวพิมพ์ใหญ่และตัวเลขในรหัสผ่าน

แม้จะมีความจริงที่ว่าสิ่งเหล่านี้เป็นพารามิเตอร์ความเสถียรของรหัสผ่านที่สำคัญสำหรับวิธีการแฮ็คของการดับเพลิงรหัสผ่านที่ดูเหมือนว่าระบบที่เชื่อถือได้ไม่เสมอไป ตัวอย่างเช่นรหัสผ่านเช่น "PA $$ W0rd" (และยังมีอักขระพิเศษและตัวเลข) มีแนวโน้มมากที่สุดจะถูกแฮ็คอย่างรวดเร็ว - เนื่องจากความจริงที่ว่า (ตามที่อธิบายไว้ในบทความก่อนหน้านี้) คนไม่ค่อยสร้างที่ไม่ซ้ำกัน รหัสผ่าน (น้อยกว่า 50% ของรหัสผ่านไม่ซ้ำกัน) และตัวเลือกที่ระบุมีแนวโน้มที่จะมีอยู่ในฐานข้อมูลที่รั่วไหลออกมาจากผู้บุกรุก

จะเป็นอย่างไร ตัวเลือกที่ดีที่สุดคือการใช้เครื่องกำเนิดรหัสผ่าน (มีออนไลน์ในรูปแบบของยูทิลิตี้ออนไลน์เช่นเดียวกับในผู้จัดการรหัสผ่านส่วนใหญ่สำหรับคอมพิวเตอร์) สร้างรหัสผ่านสุ่มยาวโดยใช้อักขระพิเศษ ในกรณีส่วนใหญ่รหัสผ่านของตัวละคร 10 ตัวหรือมากกว่านั้นจะไม่เป็นที่สนใจของแฮ็กเกอร์ (I.e. ซอฟต์แวร์ของมันจะไม่ได้รับการกำหนดค่าให้เลือกตัวเลือกดังกล่าว) เนื่องจากความจริงที่ว่าค่าใช้จ่ายจะไม่จ่าย เครื่องกำเนิดรหัสผ่านในตัวล่าสุดปรากฏในเบราว์เซอร์ Google Chrome

ในวิธีการที่ระบุข้อเสียเปรียบหลักคือรหัสผ่านดังกล่าวยากที่จะจำได้ หากจำเป็นต้องเก็บรหัสผ่านไว้ในหัวมีตัวเลือกอื่นตามความจริงที่ว่ารหัสผ่านออกจาก 10 ตัวอักษรที่มีตัวอักษรพิมพ์ใหญ่และอักขระพิเศษถูกเลือกโดยวิธีการจับในพันและอื่น ๆ (จำนวนเฉพาะที่ขึ้นอยู่กับ ชุดอักขระที่อนุญาต) คูณง่ายกว่ารหัสผ่านของ 20 ตัวอักษรที่มีตัวอักษรละตินตัวพิมพ์เล็กเท่านั้น (แม้ว่าแฮ็กเกอร์จะรู้เรื่องนี้)

ดังนั้นรหัสผ่านที่ประกอบด้วยคำศัพท์ภาษาอังกฤษแบบสุ่มอย่างง่าย 3-5 ตัวจะสามารถจดจำได้ง่ายและแทบจะเป็นไปไม่ได้ที่จะแฮ็ค และฉันเขียนทุกคำจากอักษรตัวใหญ่เราจะสร้างจำนวนตัวเลือกในระดับที่สอง หากนี่จะเป็นคำศัพท์ภาษารัสเซีย 3-5 (สุ่มอีกครั้งไม่ใช่ชื่อและวันที่) เขียนในเลย์เอาต์ภาษาอังกฤษนอกจากนี้ยังลบความเป็นไปได้ทางกายภาพของวิธีการที่ซับซ้อนในการใช้พจนานุกรมเพื่อเลือกรหัสผ่าน

วิธีการที่เหมาะสมในการสร้างรหัสผ่านอาจจะไม่: ในหลาย ๆ วิธีมีข้อดีและข้อเสีย (เกี่ยวข้องกับความสามารถในการจำความน่าเชื่อถือและพารามิเตอร์อื่น ๆ ) แต่หลักการพื้นฐานมีลักษณะดังนี้:

รหัสผ่านจะต้องประกอบด้วยอักขระจำนวนมาก ข้อ จำกัด ที่พบบ่อยที่สุดในวันนี้คือ 8 ตัวอักษร และนี่ไม่เพียงพอหากคุณต้องการรหัสผ่านที่ป้องกัน
หากเป็นไปได้อักขระพิเศษชื่อเรื่องและตัวพิมพ์ใหญ่ตัวเลขควรรวมอยู่ในรหัสผ่าน
อย่ารวมข้อมูลส่วนบุคคลเกี่ยวกับรหัสผ่านแม้กระทั่งบันทึกด้วยวิธี "ไหวพริบ" ที่ดูเหมือน ไม่มีวันที่ชื่อและนามสกุล ตัวอย่างเช่นการแฮ็ครหัสผ่านที่แสดงวันที่ใด ๆ ของปฏิทิน Julian ที่ทันสมัยตั้งแต่ปีที่ 0 ถึงวันนี้ (ของแบบฟอร์ม 07/18/2015 หรือ 18072015 ฯลฯ ) จะใช้เวลานับวินาทีถึงชั่วโมง (แล้วนาฬิกาจะประสบความสำเร็จเท่านั้น เนื่องจากความล่าช้าระหว่างความพยายามสำหรับบางกรณี)

คุณสามารถตรวจสอบว่ารหัสผ่านของคุณเชื่อถือได้อย่างไรบนไซต์ (แม้ว่ารหัสผ่านในบางเว็บไซต์โดยเฉพาะอย่างยิ่งโดยไม่มี https ไม่ใช่การปฏิบัติที่ปลอดภัยที่สุด) http://rumkin.com/tools/password/passchk.php หากคุณไม่ต้องการตรวจสอบรหัสผ่านจริงของคุณให้ป้อนข้อมูลเดียวกัน (จากจำนวนอักขระเท่ากันและกับชุดเดียวกัน) เพื่อรับแนวคิดเกี่ยวกับความน่าเชื่อถือ

ในการเข้าสู่ตัวละครบริการคำนวณเอนโทรปี (มีเงื่อนไขจำนวนตัวเลือกสำหรับเอนโทรปี 10 บิตจำนวนตัวเลือกคือ 2 ถึงระดับที่สิบ) สำหรับรหัสผ่านที่กำหนดและให้ใบรับรองสำหรับความน่าเชื่อถือของค่าต่าง ๆ รหัสผ่านที่มีเอนโทรปีมากกว่า 60 แทบจะเป็นไปไม่ได้ที่จะแฮ็คแม้ในระหว่างการเลือกที่มุ่งเน้น

อย่าใช้รหัสผ่านเดียวกันสำหรับบัญชีที่แตกต่างกัน

หากคุณมีรหัสผ่านที่ยากที่ยอดเยี่ยม แต่คุณใช้มันทุกที่ที่คุณสามารถทำได้โดยอัตโนมัติจะไม่น่าเชื่อถืออย่างสมบูรณ์ ทันทีที่แฮ็กเกอร์แฮ็คไซต์ใด ๆ ที่คุณใช้รหัสผ่านดังกล่าวและเข้าถึงได้ตรวจสอบให้แน่ใจว่าจะถูกทดสอบทันที (โดยอัตโนมัติโดยใช้ซอฟต์แวร์พิเศษเกมอื่น ๆ อื่น ๆ ที่เป็นที่นิยมเกมบริการสังคมและบางทีธนาคารออนไลน์ (วิธีที่จะดูว่ารหัสผ่านของคุณถูกนำเสนอแล้วในตอนท้ายของบทความก่อนหน้า)

รหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชีเป็นเรื่องยากมันไม่สะดวก แต่จำเป็นหากบัญชีเหล่านี้มีความสำคัญอย่างน้อยสำหรับคุณ แม้ว่าสำหรับการลงทะเบียนบางส่วนที่ไม่มีคุณค่าให้กับคุณ (นั่นคือคุณพร้อมที่จะสูญเสียพวกเขาและไม่ต้องกังวล) และไม่มีข้อมูลส่วนบุคคลคุณไม่สามารถเครียดด้วยรหัสผ่านที่ไม่ซ้ำกัน

การรับรองความถูกต้องสองปัจจัย

แม้แต่รหัสผ่านที่เชื่อถือได้ยังไม่รับประกันว่าจะไม่มีใครสามารถไปที่บัญชีของคุณ คุณสามารถขโมยรหัสผ่านด้วยวิธีใดวิธีหนึ่ง (ฟิชชิ่งเช่นเป็นตัวเลือกที่พบบ่อยที่สุด) หรือจะคุ้นเคยกับคุณ

บริษัท ออนไลน์ที่จริงจังเกือบทั้งหมดรวมถึง Google, Yandex, Mail.ru, Facebook, ติดต่อ, Microsoft, Dropbox, Lastpass, Steam และอื่น ๆ ที่เพิ่งเพิ่มความสามารถในการเปิดใช้งานการรับรองความถูกต้องสองปัจจัย (หรือสองขั้นตอน) ในบัญชี และหากคุณมีความสำคัญต่อความปลอดภัยฉันขอแนะนำให้เปิดใช้งาน

การรับรองความถูกต้องของ Google สองขั้นตอน

การดำเนินการของการดำเนินการการรับรองความถูกต้องสองปัจจัยนั้นแตกต่างกันเล็กน้อยสำหรับบริการต่าง ๆ แต่หลักการพื้นฐานมีดังนี้:

เมื่อป้อนบัญชีกับอุปกรณ์ที่ไม่รู้จักหลังจากป้อนรหัสผ่านที่ถูกต้องคุณจะถูกขอให้รับเช็คเพิ่มเติม
การตรวจสอบเกิดขึ้นโดยใช้รหัส SMS แอปพลิเคชันพิเศษบนสมาร์ทโฟนผ่านรหัสพิมพ์ล่วงหน้าข้อความอีเมลคีย์ฮาร์ดแวร์ (ตัวเลือกสุดท้ายปรากฏที่ Google บริษัท นี้โดยทั่วไปเป็นแนวหน้าในแง่ของสองปัจจัย การรับรองความถูกต้อง).

ดังนั้นแม้ว่าผู้โจมตีพบรหัสผ่านของคุณเขาจะไม่สามารถเข้าสู่บัญชีของคุณได้โดยไม่ต้องเข้าถึงอุปกรณ์โทรศัพท์อีเมลของคุณ

หากคุณไม่เข้าใจอย่างเต็มที่วิธีการพิสูจน์ตัวตนแบบสองปัจจัยฉันขอแนะนำให้อ่านบทความบนอินเทอร์เน็ตในหัวข้อนี้หรือคำอธิบายและคำแนะนำบนเว็บไซต์ด้วยตัวเองซึ่งมีการใช้งาน (คำแนะนำโดยละเอียดในบทความนี้จะไม่เปิดอยู่ .

การจัดเก็บรหัสผ่าน

รหัสผ่านที่ไม่ซ้ำกันที่ซับซ้อนสำหรับแต่ละไซต์นั้นยอดเยี่ยม แต่จะเก็บไว้ได้อย่างไร มันแทบจะแทบจะแทบจะไม่สามารถเก็บไว้ในหัวของคุณได้ การจัดเก็บรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์เป็น Undepair ที่มีความเสี่ยง: พวกเขาไม่เพียง แต่จะเสี่ยงต่อการเข้าถึงที่ไม่ได้รับอนุญาต แต่ก็สามารถสูญหายได้ในกรณีที่ระบบล้มเหลวและเมื่อการซิงโครไนซ์ถูกปิดใช้งาน

โซลูชันที่ดีที่สุดคือตัวจัดการรหัสผ่านโดยทั่วไปเป็นตัวแทนของโปรแกรมที่เก็บข้อมูลลับทั้งหมดของคุณในที่เก็บข้อมูลที่ปลอดภัย (ทั้งออฟไลน์และออนไลน์) เข้าถึงซึ่งดำเนินการโดยใช้รหัสผ่านหลักหนึ่งรหัสผ่าน (นอกจากนี้คุณสามารถเปิดใช้งานการรับรองความถูกต้องสองปัจจัย . นอกจากนี้โปรแกรมเหล่านี้ส่วนใหญ่มีเครื่องมือในการสร้างและประเมินความน่าเชื่อถือของรหัสผ่าน

สองสามปีที่ผ่านมาฉันเขียนบทความแยกต่างหากเกี่ยวกับผู้จัดการรหัสผ่านที่ดีที่สุด (มันคุ้มค่าที่จะเขียนใหม่ แต่เพื่อให้ได้ความคิดเกี่ยวกับสิ่งที่เป็นอยู่และโปรแกรมใดที่ได้รับความนิยมจากบทความ บางคนชอบโซลูชันออฟไลน์ที่เรียบง่ายเช่น Keepass หรือ 1Password จัดเก็บรหัสผ่านทั้งหมดในอุปกรณ์ของคุณอื่น ๆ เป็นโปรแกรมอรรถประโยชน์ที่ใช้งานได้มากขึ้นซึ่งยังมีคุณสมบัติการซิงโครไนซ์ (LastPass, Dashlane)

ผู้จัดการรหัสผ่านที่มีชื่อเสียงโดยทั่วไปถือว่าเป็นวิธีที่ปลอดภัยและเชื่อถือได้ในการเก็บไว้ อย่างไรก็ตามมันคุ้มค่าที่จะพิจารณารายละเอียดบางอย่าง:

ในการเข้าถึงรหัสผ่านทั้งหมดของคุณคุณต้องรู้รหัสผ่านหลักเดียวเท่านั้น
ในกรณีที่มีการแฮ็คเก็บข้อมูลออนไลน์ (ตามตัวอักษรเมื่อหนึ่งเดือนที่ผ่านมาบริการการจัดการรหัสผ่าน LastPass ที่ได้รับความนิยมมากที่สุดได้ถูกแฮ็ค) คุณจะต้องเปลี่ยนรหัสผ่านทั้งหมดของคุณ

คุณสามารถบันทึกรหัสผ่านที่สำคัญของคุณได้อย่างไร นี่คือตัวเลือกคู่หนึ่ง:

บนกระดาษอย่างปลอดภัยเข้าถึงซึ่งคุณจะมีคุณและสมาชิกในครอบครัวของคุณ (ไม่เหมาะสำหรับรหัสผ่านที่คุณต้องการใช้บ่อย)
ฐานข้อมูลรหัสผ่านออฟไลน์ (ตัวอย่างเช่น Keepass) เก็บไว้ในข้อมูลที่ทนทานและทำซ้ำที่ไหนสักแห่งในกรณีที่สูญเสีย

ที่เหมาะสมในความคิดของฉันการรวมกันของคำอธิบายข้างต้นทั้งหมดคือวิธีต่อไปนี้: รหัสผ่านที่สำคัญที่สุด (อีเมลหลักซึ่งบัญชีอื่น ๆ สามารถกู้คืนธนาคาร ฯลฯ ) เก็บไว้ในหัวและ (หรือ ) บนกระดาษในที่ปลอดภัย มีความสำคัญน้อยกว่าและในเวลาเดียวกันมักจะใช้ควรได้รับความไว้วางใจจากผู้จัดการรหัสผ่าน

ข้อมูลเพิ่มเติม

ฉันหวังว่าการรวมกันของสองบทความเกี่ยวกับรหัสผ่านไปยังใครบางคนจากคุณช่วยให้ความสนใจกับบางแง่มุมของความปลอดภัยที่คุณไม่ได้คิด แน่นอนฉันยังไม่ได้คำนึงถึงตัวเลือกที่เป็นไปได้ทั้งหมด แต่ตรรกะที่เรียบง่ายและความเข้าใจในหลักการบางอย่างจะช่วยให้ตัดสินใจอย่างอิสระว่าคุณกำลังทำอะไรที่ปลอดภัยในจุดใดจุดหนึ่ง อีกครั้งบางรายการที่กล่าวถึงและหลายรายการเพิ่มเติม:

ใช้รหัสผ่านที่แตกต่างกันสำหรับไซต์ต่าง ๆ
รหัสผ่านควรเป็นเรื่องยากคุณสามารถเพิ่มความยากลำบากที่แข็งแกร่งขึ้นเพิ่มความยาวของรหัสผ่าน
อย่าใช้ข้อมูลส่วนบุคคล (ซึ่งสามารถก่อตั้งขึ้น) เมื่อสร้างรหัสผ่านเคล็ดลับการควบคุมคำถามเพื่อการกู้คืน
ใช้การรับรองความถูกต้องสองขั้นตอนที่เป็นไปได้
ค้นหาวิธีที่ดีที่สุดในการรักษาความปลอดภัยที่เก็บข้อมูลรหัสผ่าน
ฟิชชิ่งแฟนซี (ตรวจสอบที่อยู่ของเว็บไซต์การเข้ารหัส) และสปายแวร์ ทุกที่ที่พวกเขาขอให้คุณป้อนรหัสผ่านตรวจสอบว่าคุณป้อนมันในเว็บไซต์ที่เหมาะสมจริงๆหรือไม่ ดูว่าไม่มีซอฟต์แวร์ที่เป็นอันตรายบนคอมพิวเตอร์
ถ้าเป็นไปได้อย่าใช้รหัสผ่านของคุณบนคอมพิวเตอร์ต่างประเทศ (หากจำเป็นให้ทำในโหมด "ไม่ระบุตัวตน" ของเบราว์เซอร์และแม้แต่การโทรที่ดีกว่าจากแป้นพิมพ์บนหน้าจอ) ในเครือข่าย Wi-Fi เปิดสาธารณะโดยเฉพาะอย่างยิ่งหากมี ไม่มีการเข้ารหัส HTTPS เมื่อเชื่อมต่อกับไซต์
บางทีคุณไม่ควรเก็บสิ่งที่สำคัญที่สุดจึงเป็นตัวแทนของพลังรหัสผ่านในคอมพิวเตอร์หรือออนไลน์

อะไรทำนองนี้ ฉันคิดว่าฉันจัดการเพื่อยกระดับความหวาดระแวง ฉันเข้าใจว่าสิ่งที่อธิบายไว้มากดูเหมือนจะไม่สะดวกอาจมีความคิดเช่น "ดีมันจะบายพาส" แต่มีเพียงการยกเว้นความเกียจคร้านเพียงอย่างเดียวเมื่อตามด้วยกฎความปลอดภัยที่เรียบง่ายเมื่อเก็บข้อมูลที่เป็นความลับอาจมีเพียงการขาด ความสำคัญและความตั้งใจของคุณที่เธอจะเป็นมรดกของบุคคลที่สาม