Mainpage / Mga Artikulo /

Tungkol sa mga password sa seguridad

Anonim

Tungkol sa mga ligtas na password
Tinatalakay ng artikulong ito kung paano lumikha ng isang secure na password, kung aling mga prinsipyo ang dapat sundin kapag lumilikha ng mga ito, kung paano mag-imbak ng mga password at i-minimize ang posibilidad na magkaroon ng access sa iyong impormasyon at mga talaan ng accounting ng attackers.

Ang materyal na ito ay isang pagpapatuloy ng artikulong "Paano Maaaring I-hack ang Iyong Password" at nagpapahiwatig na pamilyar ka sa materyal na itinakda doon o kahit na alam ang lahat ng mga pangunahing landas na maaaring makompromiso ang mga password.

Paglikha ng mga password

Ngayon, kapag nagrerehistro ng anumang internet account, ang paglikha ng isang password, karaniwang makikita mo ang indicator ng pagiging maaasahan ng password. Halos lahat ng dako ito ay gumagana batay sa pagtatasa ng mga sumusunod na dalawang mga kadahilanan: haba ng password; Ang pagkakaroon ng mga espesyal na character, malalaking titik at numero sa password.

Sa kabila ng katotohanan na ang mga ito ay talagang mahalagang mga parameter ng katatagan ng password para sa pag-hack ng paraan ng extinguishing, isang password na tila sa sistema maaasahan, ay hindi palaging na. Halimbawa, ang isang password tulad ng "PA $$ W0RD" (at mayroon ding mga espesyal na character, at mga numero), malamang, ay ma-hack nang mabilis - dahil sa ang katunayan na (tulad ng inilarawan sa nakaraang artikulo) ang mga tao ay bihirang lumikha ng natatanging Ang mga password (mas mababa sa 50% ng mga password ay natatangi) at ang tinukoy na pagpipilian ay mas malamang na magkaroon ng mga leaked database na magagamit mula sa mga intruder.

Paano maging? Ang pinakamainam na pagpipilian ay ang paggamit ng mga generator ng password (mayroong online sa anyo ng mga online na utility, pati na rin sa karamihan ng mga tagapamahala ng password para sa isang computer), na lumilikha ng matagal na random na mga password gamit ang mga espesyal na character. Sa karamihan ng mga kaso, ang password mula sa 10 o higit pang mga naturang mga character ay hindi magiging interesado sa hacker (I.e., ang software nito ay hindi mai-configure upang piliin ang mga pagpipilian) dahil sa ang katunayan na ang halaga ng oras ay hindi magbabayad. Ang kamakailan-lamang na built-in na password generator ay lumitaw sa browser ng Google Chrome.

Sa tinukoy na paraan, ang pangunahing kawalan ay ang mga naturang password ay mahirap matandaan. Kung may pangangailangan na panatilihin ang password sa ulo, may isa pang pagpipilian batay sa katotohanan na ang password sa 10 character na naglalaman ng malalaking titik at mga espesyal na character ay pinili ng paraan ng busting sa libu-libo at higit pa (tiyak na mga numero ang nakasalalay sa Ang pinahihintulutang hanay ng mga character) beses mas simple, kaysa sa isang password ng 20 mga character na naglalaman lamang ng maliliit na latin character (kahit na alam ng hacker tungkol dito).

Random Password Generator.

Kaya, ang isang password na binubuo ng 3-5 simpleng random na salitang Ingles ay madaling maaalala at halos imposible na sumibak. At isinulat ko ang bawat salita mula sa capital letter, itatayo namin ang bilang ng mga opsyon sa ikalawang antas. Kung ito ay magiging 3-5 Russian na mga salita (muli random, hindi mga pangalan at mga petsa), nakasulat sa layout ng Ingles, din ang nag-aalis ng hypothetical posibilidad ng mga sopistikadong paraan ng paggamit ng mga dictionaries upang pumili ng isang password.

Tiyak na ang tamang diskarte sa paglikha ng mga password ay marahil hindi: sa iba't ibang mga paraan may mga pakinabang at disadvantages (may kaugnayan sa kakayahang matandaan ito, pagiging maaasahan at iba pang mga parameter), ngunit ang mga pangunahing prinsipyo ay ganito:

  • Ang password ay dapat binubuo ng isang makabuluhang bilang ng mga character. Ang pinaka-karaniwang paghihigpit ngayon ay 8 character. At ito ay hindi sapat kung kailangan mo ng protektadong password.
  • Kung maaari, mga espesyal na character, pamagat at malalaking titik, ang mga numero ay dapat isama sa password.
  • Huwag isama ang personal na data sa password, kahit na naitala sa pamamagitan ng tila "tuso" na paraan. Walang mga petsa, mga pangalan at apelyido. Halimbawa, ang pag-hack ng isang password na kumakatawan sa anumang petsa ng modernong kalendaryong Julian mula sa 0th year at hanggang ngayon (ng form 07/18/2015 o 18072015, atbp.) Ay aabutin mula sa ilang segundo hanggang oras (at pagkatapos ay magtagumpay lamang ang orasan dahil sa mga pagkaantala sa pagitan ng mga pagtatangka para sa ilang mga kaso).

Maaari mong suriin kung gaano ka maaasahan ang iyong password sa site (bagaman ang password entry sa ilang mga site, lalo na walang HTTPS, ay hindi ang pinakaligtas na kasanayan) http://rumkin.com/tools/password/passchk.php. Kung hindi mo nais na suriin ang iyong tunay na password, ipasok ang parehong (mula sa parehong bilang ng mga character at may parehong hanay ng mga ito) upang makakuha ng isang ideya ng kahusayan nito.

Sinusuri ang pagiging kumplikado ng password

Sa kurso ng pagpasok ng mga character, kinakalkula ng serbisyo ang entropy (kondisyonal, ang bilang ng mga pagpipilian para sa entropy ng 10 bits, ang bilang ng mga pagpipilian ay 2 hanggang ika-sampung degree) para sa isang naibigay na password at nagbibigay ng isang sertipiko para sa pagiging maaasahan ng iba't ibang mga halaga. Ang mga password na may entropy higit sa 60 ay halos imposible na sumibak kahit na sa isang nakatuon na seleksyon.

Huwag gamitin ang parehong mga password para sa iba't ibang mga account.

Kung mayroon kang isang mahusay na mahirap na password, ngunit ginagamit mo ito sa lahat ng dako kung saan maaari mong, ito ay awtomatikong nagiging hindi ganap na maaasahan. Sa lalong madaling hack ng mga hacker ang alinman sa mga site kung saan ginagamit mo ang ganitong password at makakuha ng access dito, siguraduhing agad itong masuri (awtomatikong, gamit ang espesyal na software) sa lahat ng iba pang mga sikat na postal, laro, serbisyong panlipunan, at marahil mga online na bangko (Mga paraan upang makita kung ang iyong password ay ipinakita na sa dulo ng nakaraang artikulo).

Suriin ang iyong password leakage

Ang isang natatanging password para sa bawat account ay mahirap, ito ay hindi maginhawa, ngunit ito ay kinakailangan kung ang mga account na ito ay hindi bababa sa ilang mga kahalagahan para sa iyo. Kahit na, para sa ilang mga pagrerehistro na walang halaga para sa iyo (iyon ay, ikaw ay handa na mawala ang mga ito at huwag mag-alala) at hindi naglalaman ng personal na impormasyon, hindi ka maaaring pilasin sa mga natatanging password.

Dalawang-factor na pagpapatunay

Kahit maaasahang mga password ay hindi ginagarantiyahan na walang sinuman ang maaaring pumunta sa iyong account. Maaari mong magnakaw ang password sa isang paraan o isa pang (phishing, halimbawa, bilang ang pinaka-karaniwang pagpipilian) o upang maging pamilyar sa iyo.

Halos lahat ng malubhang mga online na kumpanya kabilang ang Google, Yandex, Mail.ru, Facebook, sa contact, Microsoft, Dropbox, LastPass, Steam at iba pa na may relatibong kamakailan idinagdag ang kakayahang paganahin ang dalawang-factor (o dalawang hakbang) na pagpapatunay sa mga account. At kung mahalaga ka sa seguridad, masidhing inirerekomenda ko ito upang paganahin.

Dalawang yugto ng Google Authentication.

Ang pagpapatupad ng pagpapatakbo ng dalawang-factor na pagpapatunay ay bahagyang naiiba para sa iba't ibang mga serbisyo, ngunit ang pangunahing prinsipyo ay ang mga sumusunod:

  1. Kapag pumapasok sa account sa isang hindi kilalang aparato, pagkatapos ng pagpasok ng tamang password, hihilingin kang sumailalim sa isang karagdagang tseke.
  2. Ang pag-check ay nangyayari gamit ang SMS code, isang espesyal na application sa smartphone, sa pamamagitan ng mga pre-prepared na naka-print na code, mga mensaheng e-mail, isang hardware key (ang huling pagpipilian ay lumitaw sa Google, ang kumpanya na ito ay karaniwang front-line sa mga tuntunin ng dalawang-factor pagpapatunay).

Kaya, kahit na natuklasan ng magsasalakay ang iyong password, hindi niya maipasok ang iyong account, nang walang access sa iyong device, telepono, email.

Kung hindi mo lubos na nauunawaan, kung paano gumagana ang dalawang-factor na pagpapatunay, inirerekumenda ko ang pagbabasa ng artikulo sa internet sa paksang ito o mga paglalarawan at patnubay sa mga site sa iyong sarili, kung saan ito ay ipinatupad (ang mga detalyadong tagubilin sa artikulong ito ay hindi maaabutan ).

Imbakan ng mga password

Ang mga sopistikadong natatanging mga password para sa bawat site ay mahusay, ngunit kung paano iimbak ang mga ito? Ito ay halos lahat ng mga password na ito ay maaaring panatilihin sa iyong ulo. Ang pag-iimbak ng naka-save na mga password sa browser ay isang mapanganib na undepair: hindi lamang sila nagiging mas mahina sa hindi awtorisadong pag-access, ngunit maaari lamang mawala sa kaso ng mga pagkabigo ng system at kapag ang pag-synchronize ay hindi pinagana.

Ang pinakamainam na solusyon ay ang mga tagapamahala ng password, sa pangkalahatan, na kumakatawan sa mga programa na nag-iimbak ng lahat ng iyong lihim na data sa isang naka-encrypt na secure na imbakan (parehong offline at online), ang pag-access sa kung saan ay isinasagawa gamit ang isang master password (Bukod pa rito maaari mong paganahin ang dalawang-factor na pagpapatunay ). Gayundin, karamihan sa mga programang ito ay nilagyan ng mga tool para sa pagbuo at pag-evaluate ng pagiging maaasahan ng mga password.

Paglikha ng Master Password Lastpass.

Ilang taon na ang nakalilipas, sumulat ako ng isang hiwalay na artikulo tungkol sa mga pinakamahusay na tagapamahala ng password (ito ay nagkakahalaga ng muling pagsusulat, ngunit upang makakuha ng isang ideya kung ano ito at kung anong mga programa ang popular mula sa artikulo. Ang ilan ay mas gusto ang simpleng mga solusyon sa offline, tulad ng KeepAss o 1Password, na nagtatago ng lahat ng mga password sa iyong device, ang iba ay mas maraming functional na mga kagamitan, na mga tampok sa pag-synchronize (LastPass, Dashlane).

Ang mga sikat na tagapamahala ng password ay karaniwang itinuturing bilang isang ligtas at maaasahang paraan upang iimbak ang mga ito. Gayunpaman, ito ay nagkakahalaga ng pagsasaalang-alang ng ilang mga detalye:

  • Upang ma-access ang lahat ng iyong mga password, kailangan mong malaman lamang ng isang master password.
  • Sa kaganapan ng isang online na pag-hack ng imbakan (literal sa isang buwan na nakalipas, ang pinakasikat na serbisyo sa pamamahala ng password ng LastPass ay na-hack) Kailangan mong baguhin ang lahat ng iyong mga password.

Paano mo mai-save ang iyong mahahalagang password? Narito ang isang pares ng mga pagpipilian:

  • Sa papel sa isang ligtas, access kung saan magkakaroon ka at mga miyembro ng iyong pamilya (hindi angkop para sa mga password na gusto mong gamitin madalas).
  • Offline na database ng password (halimbawa, KeepAss), na nakaimbak sa isang matibay na impormasyon at na-duplicate sa isang lugar sa kaso ng pagkawala.

Optimal sa aking opinyon ang kumbinasyon ng lahat ng inilarawan sa itaas ay ang sumusunod na diskarte: ang pinakamahalagang mga password (ang pangunahing e-mail, kung saan maaaring maibalik ang iba pang mga account, ang bangko, atbp.) Ay naka-imbak sa ulo at (o ) sa papel sa isang ligtas na lugar. Mas mahalaga at, sa parehong oras, madalas na ginagamit ay dapat na ipinagkatiwala sa mga tagapamahala ng password.

karagdagang impormasyon

Umaasa ako na ang isang kumbinasyon ng dalawang artikulo sa mga password sa isang tao mula sa iyo nakatulong magbayad ng pansin sa ilang mga aspeto ng seguridad na hindi mo iniisip. Siyempre, hindi ko isinasaalang-alang ang lahat ng posibleng pagpipilian, ngunit simpleng lohika at ilang pag-unawa sa mga prinsipyo ay makakatulong sa malaya na magpasya kung gaano kaligtas ang ginagawa mo sa isang partikular na punto. Muli, ang ilan sa mga nabanggit at ilang karagdagang mga item:

  • Gumamit ng iba't ibang mga password para sa iba't ibang mga site.
  • Ang mga password ay dapat na mahirap, maaari mong dagdagan ang kahirapan mas malakas, pagtaas ng haba ng password.
  • Huwag gumamit ng personal na data (na maaaring itatag) kapag lumilikha ng isang password, mga tip dito, kontrolin ang mga tanong para sa pagbawi.
  • Gumamit ng dalawang hakbang na pagpapatotoo kung posible.
  • Maghanap ng pinakamainam na paraan upang ma-secure ang imbakan ng password.
  • Magarbong phishing (suriin ang mga address ng mga site, encryption) at spyware. Sa lahat ng dako, kung saan hinihiling ka nila na magpasok ng isang password, suriin kung talagang ipasok mo ito sa tamang site. Panoorin na walang malisyosong software sa computer.
  • Kung maaari, huwag gamitin ang iyong mga password sa mga banyagang computer (kung kinakailangan, gawin ito sa mode na "Incognito" ng browser, at mas mahusay na dial mula sa on-screen na keyboard), sa mga pampublikong bukas na mga network ng Wi-Fi, lalo na kung mayroong ay walang pag-encrypt ng HTTPS kapag nakakonekta sa site.
  • Marahil hindi mo dapat iimbak ang pinakamahalaga, talagang kumakatawan sa sigla, mga password sa isang computer o online.

Isang bagay na tulad nito. Sa tingin ko pinamamahalaang ko ang antas ng paranoya. Naiintindihan ko na ang karamihan sa mga inilarawan ay tila hindi maginhawa, maaaring may mga saloobin tulad ng "mabuti, ito ay laktawan," ngunit ang tanging pagiging exclusiveness ng katamaran, kapag sinusundan ng simpleng mga patakaran sa kaligtasan, kapag nagtatago ng kumpidensyal na impormasyon, maaaring hindi lamang ang kawalan ng Ang kahalagahan nito at ang iyong pagpayag na siya ang magiging pamana ng mga ikatlong partido.

Magbasa pa

Torrent Client para sa Mac OS.
Apple desktop operating system, sa kabila ng maliwanag na malapit at pinahusay na seguridad, ay nagbibigay pa rin ng mga gumagamit nito na may kakayahang...
Paano i-on ang Internet sa Android
Sa mga Android device, ang Internet ay isang mahalagang bahagi na garantiya ang mahusay na operasyon ng maraming mga serbisyo ng system at pag-synchronize...
Mag-download ng mga driver para sa printer Epson L210.
Walang driver, ang anumang kagamitan ay hindi gumagana nang normal. Samakatuwid, ang pagbili ng aparato, agad na planuhin ang pag-install ng software...
Paano maglagay ng marka sa Excele: 5 Mga paraan ng Paggawa
Sa programa ng Microsoft Office, ang user kung minsan ay kailangan upang magsingit ng isang tik o, bilang isang iba't ibang mga tinatawag na elementong...
Itala ang imahe nang higit sa 4 GB sa FAT32 UEFI
Ang isa sa mga pangunahing problema na nakaharap sa mga gumagamit kapag lumilikha ng isang driver ng Flash Flash ng UEFI upang i-install ang Windows...
How to increase the laptop's operational memory
A little in laptops is exposed to upgrade (or, in any case, it is difficult), but increase the volume of RAM in many cases is quite easy. This step-by-step...
Keso para sa burgers, kung ano ang mas mahusay
Tupa karne breed: ang pinakamahusay na mga pangalan at ang kanilang mga katangian, ang pinakamalaking uri
Mga Uri ng Tela - Ano ang mga tela, ang kanilang pag-uuri, pangalan, komposisyon
Dizzying mga larawan na hindi mo malilimutan
10 mga problema ng bagong Renault Arkana, na hindi hulaan ng mga mamimili
E420 Sorbitol, Sorbitone Syrup - Pagkilos sa kalusugan, benepisyo at pinsala, paglalarawan
Kabarga: Angel amoy, demonyo fangs.
Kagiliw-giliw na impormasyon tungkol sa tantric sex, mga panuntunan nito
Ang contact cocaine ay maaaring matukoy sa pamamagitan ng fingerprint
Lahat ng tungkol sa dühs - cherry at cherry hybrids.
Ang mga hulihang binti ng aso ay umaalis at nagkakalat: ano ang gagawin | bakit, mga dahilan
23 Dahilan para Magmalasakit sa Kaarawan ni Jennifer Lawrence
Ang Pinakamagandang Estilo ng Kalye Mula sa Ika-5 at Ika-6 na Araw ng Paris Fashion Week
Mga Larawan ni Jennifer Aniston | Estilo ni Jennifer Aniston | Mga larawan ni Jennifer Aniston
Ang Kasunduan sa Verdun
Vietnamese-Style Pork Chops na may Sariwang Herb Salad
Ibinigay ng Hobby Lobby ang Higit sa 5,500 Ilegal na Na-import na Artifact
Para saan ang USB Port sa Nest Hello?
Patatas at pinausukang keso smart recipe | Napakakaunting mga sangkap para sa isang top side dish
Ang Pinakamahusay na Mga Kumpanya sa Pag-arkila ng Furniture ng 2022
Ano ang asul na oras?
Si Kim Kardashian ay minsang natakot na siya ay 'Never Going To Have Sex Again'
Ang Soho Loft na May Honey-Comb Skylight ay Sa wakas ay Nabenta ng $2.15 Million Pagkatapos ng 6 na Buwan sa Market
Nag-uusap ang NASA Astronaut Tungkol sa Pag-uwi Mula sa Buhay Sa Kalawakan
Paano magluto ng steamed rice nang masarap / Sa isang kasirola, mabagal na kusinilya, microwave - isang artikulo mula sa seksyong "Paano magluto" sa site
Ang Prevenge ay Naghahatid ng Isang Mahusay na Horror Story Tungkol sa Teroridad Ng Nalalapit na Pagiging Ina
Paano ipinta ang iyong mga kuko sa taglamig: mga kulay at diskarte upang ipakita
Paano Pumapasok ang Neurocomic sa Iyong Ulo
Mga Sikat na Babae na may ADHD na Natutong Lumiwanag
Ipinagtanggol ni Samuel L. Jackson ang paggamit ni Quentin Tarantino ng 'N-word'
Mag-ingat ang mga gumagamit ng Firefox: Pinupunas ng CCleaner ang mga setting ng extension ng Firefox bilang default
Nagpadala si Rihanna ng Mensahe Tungkol sa Kagandahan Sa Mga Larawan sa Website na Nagpapakita ng Peklat ng Modelo
Beyond the Beatles: Mga Hindi Inaasahang Koneksyon ni George Harrison sa SFF
7 Kahanga-hangang Ford F-150 Lightning Electric Truck Features
Manatiling Makipag-ugnayan sa Matalinong Paraan Sa Whatsapp – Magpadala At Makatanggap ng Mga Mensahe nang Libre
'The Miracle': Paano Nagsama-sama ang Queen Para Gumawa ng Isang Classic

© 2024 Pagkumpuni ng kompyuter
Mga computer at smartphone - Paano magtrabaho at magkumpuni, kapaki-pakinabang na mga tip

nl en af am ar az be bg bn bs ca ceb cs cy da de el eo es et eu fa fi fr fy ga gl gu ha he hi hmn hr ht hu hy id ig is it ja jv ka kk km kn ko ku ky lb lo lt lv mg mk ml mn mr ms mt my ne no ny or pa pl ps pt ro rw sd si sk sl sm sn so sq sr st su sv sw ta te tg th tk tl tr tt ug uk ur uz vi xh yi yo zh-CN zh-TW zu