O varnosti gesla

Ta članek bo govoril o tem, kako ustvariti varno geslo, katera načela bi se morala držati pri ustvarjanju, kako shranjevati gesla in zmanjšati verjetnost dostopa do vaših podatkov in računov s strani napadalcev.

To gradivo je nadaljevanje članka "Kako lahko vaše geslo vdre", in pomeni, da ste seznanjeni s tamkajšnjim gradivom ali že poznate vse glavne poti, s katerimi je mogoče ogrožati gesla.

Ustvarjanje gesel

Danes, ko registrirate kateri koli internetni račun in ustvarite geslo, običajno vidite indikator kazalnika zanesljivosti gesla. Skoraj povsod deluje na podlagi ocene naslednjih dveh dejavnikov: dolžina gesla; prisotnost posebnih znakov, kapitalskih črk in številk v geslu.

Kljub dejstvu, da so to res pomembni parametri stabilnosti gesla do metode taksiranja, geslo, ki se zdi zanesljivo za sistem, ni vedno enako. Na primer, geslo, kot je "pa $ $ w0rd" (in tu so posebni simboli in številke), bo najverjetneje zelo hitro zasuto - zaradi dejstva, da (kot je opisano v prejšnjem članku) ljudje redko ustvarjajo edinstveno Gesla (manj kot 50% gesel je edinstvenih) in določena možnost z veliko verjetnostjo je že v tekočih bazah, ki so na voljo napadalcem.

Kako biti? Najboljša možnost je uporaba generatorjev gesel (na internetu so spletne pripomočke, pa tudi pri večini upravljavcev gesel za računalnik), ki ustvarjajo dolga naključna gesla z posebnimi znaki. V večini primerov geslo 10 ali več takšnih simbolov preprosto ne bo zanimivo za krekerja (t.e. Njegova programska oprema ne bo konfigurirana za izbiro takšnih možnosti) zaradi dejstva, da se porabljen čas ne bo izplačal. Nedavno vgrajen generator gesla se je pojavil v brskalniku Google Chrome.

Pri tej metodi je glavna pomanjkljivost taka gesla težko zapomniti. Če je treba v glavi držati geslo, obstaja še ena možnost, ki temelji na dejstvu, da geslo, ki vsebuje kapitalske črke in posebne simbole simboli) krat lažje, lažje je, lažje je.

Tako si bo geslo, sestavljeno iz 3-5 preprostih naključnih angleških besed. In ko smo napisali vsako besedo z naslovno pismo, postavljamo število možnosti do druge stopnje. Če gre za 3-5 ruskih besed (spet naključne in ne imena in datumi), zapisane v angleški postavitvi, se odstrani tudi hipotetična možnost prefinjenih metod uporabe slovarjev za izbiro gesel.

Morda verjetno ni pravilnega pristopa k ustvarjanju gesel: na različne načine obstajajo prednosti in slabosti (povezane s sposobnostjo zapomnitve, zanesljivosti in drugih parametrov), vendar osnovna načela izgledajo na naslednji način:

• Geslo mora sestavljeno iz velikega števila znakov. Najpogostejša omejitev je danes 8 znakov. In to ni dovolj, če potrebujete varno geslo.
• Če je mogoče, morate v geslo, kapital in kapitalske črke vključiti posebne simbole, številke.
• Nikoli ne vključite osebnih podatkov v geslo, ki jih celo zabeleži na videz "zviti" načini za vas. Brez datumov, imen in priimkov. Na primer, hekersko geslo je kateri koli datum sodobnega julijanskega koledarja iz 0. leta in do danes (tip 18.07.2015 ali 18072015 in t.Str.) bo trajalo od sekund do ur (nato pa se bo ura izkazala le zaradi zamud med poskusi nekaterih primerov).

Lahko preverite, kako zanesljivo je vaše geslo na spletnem mestu (čeprav vnos gesel na nekatera spletna mesta, še posebej brez HTTPS, ni najvarnejša praksa) http: // Rumkin.Com/Orodja/geslo/passchk.Php. Če ne želite preveriti svojega pravega gesla, vnesite podobno (iz istega števila znakov in z istim nizom), da dobite predstavo o njegovi zanesljivosti.

Med vhodnimi simboli storitev izračuna entropijo (pogojno število možnosti za entropijo 10 bitov, število možnosti je 2 v deseti stopnji) za dano geslo in daje potrdilo o zanesljivosti različnih vrednosti. Gesla z entropijo več kot 60 je skoraj nemogoče vdreti tudi med ciljno izbiro.

Ne uporabljajte istih gesel za različne račune

Če imate veliko težko geslo, vendar ga uporabljate, kadar koli je to mogoče, samodejno postane popolnoma ne zanesljivo. Takoj, ko hekerji vdrejo na katero koli od spletnih mest, kjer uporabljate takšno geslo in dobite dostop do njega, se prepričajte, da ga bo takoj preizkusila (samodejno z uporabo posebne programske opreme) na vseh drugih priljubljenih poštnih, igrah, socialnih storitvah in morda v v njem spletne banke (načini, kako preveriti, ali je vaše geslo že vodeno na koncu prejšnjega članka).

Edinstveno geslo za vsak račun je težko, neprijetno je, vendar je potrebno, če so ti računi vsaj nekaj pomembnega za vas. Čeprav za nekatere registracije, ki nimajo vrednosti za vas (to je, ste jih pripravljeni izgubiti in ne boste skrbeli) in ne vsebujejo osebnih podatkov, ne morete napeti z edinstvenimi gesli.

Dvofaktorska overjanje

Tudi zanesljiva gesla ne zagotavljajo, da nihče ne more vnesti vašega računa. Geslo lahko ukradete tako ali drugače (lažno predstavljanje, na primer kot najpogostejša možnost) ali ugotovite od vas.

Skoraj vsa resna spletna podjetja, vključno z Googlom, Yandexom, pošto.Ru, v stiku, Microsoft, Dropbox, LastPass, Steam in drugi so dodali možnost, da v račune vključijo dve faktorski (ali dve stopnji) overjenosti. In če je za vas pomembna varnost, toplo priporočam, da jo vključi.

Izvedba pristnosti dveh faktorjev je za različne storitve nekoliko drugačna, vendar osnovno načelo izgleda na naslednji način:

1. Na vhodu v račun iz neznane naprave po vnosu pravilnega gesla vas prosijo, da opravite dodatni pregled.
2. Preverjanje poteka s kodo SMS, posebno aplikacijo na pametnem telefonu s pomočjo vnaprej pripravljenih tiskanih kod, e-poštnega sporočila, strojne ključev (zadnja možnost, ki se je pojavila v Googlu, je to podjetje na splošno prednost, ki zadeva dvofaktorsko preverjanje pristnosti).

Torej, tudi če je napadalec prepoznal vaše geslo, ne bo mogel iti na vaš račun brez dostopa do vaših naprav, telefona, e -mail.

Če ne razumete v celoti, kako deluje pristnosti z dvema faktorji, priporočam branje člankov na internetu, ki so namenjeni tej temi ali opisi in napotki za dejanje na samih spletnih mestih, kjer se izvajajo (ne morem vključiti podrobnih navodil v ta članek ).

Shranjevanje gesla

Kompleksna edinstvena gesla za vsako spletno mesto so odlična, vendar kako jih shraniti? Malo verjetno je, da je mogoče upoštevati vsa ta gesla. Skladiščenje shranjenih gesel v brskalniku je tvegano podjetje: ne postanejo le bolj ranljivi za nepooblaščen dostop, ampak jih je mogoče preprosto izgubiti v primeru neuspeha sistema in če je sinhronizacija izklopljena.

Upravljavci gesel veljajo za najboljšo rešitev, na splošno, ki predstavljajo programe, ki vse svoje tajne podatke shranijo v šifrirano varno pomnilnik (tako brez povezave kot na spletu), do katerega je dostopen z eno glavno parolo (lahko dodatno vključite dvofaktorsko preverjanje pristnosti). Večina teh programov je opremljenih tudi z ustvarjanjem orodij in ocenjevanjem zanesljivosti gesla.

Pred nekaj leti sem napisal ločen članek o najboljših upravljavcih gesel (na novo bi ga bilo treba napisati, vendar si omislite, kaj je in kateri programi so lahko priljubljeni iz članka). Nekateri imajo raje preproste rešitve brez povezave, kot sta KeepASS ali 1Password, shranjevanje vseh gesel v vaši napravi, druge pa so bolj funkcionalne pripomočke, ki predstavljajo tudi zmogljivosti sinhronizacije (Lastpass, Dashlane).

Znani upravljavci gesel na splošno veljajo za zelo varen in zanesljiv način za njihovo shranjevanje. Vendar je vredno razmisliti o nekaterih podrobnostih:

• Če želite dostopati do vseh gesel, morate vedeti samo eno glavno pogojno.
• V primeru vdoranja spletnega pomnilnika (pred mesecem dni, najbolj priljubljene storitve upravljanja gesel LastPass na svetu) boste morali spremeniti vsa gesla.

Kako drugače lahko shranite pomembna gesla? Tu je nekaj možnosti:

• Na papirju v varnem dostopu, do katerega boste imeli vi in ​​vaša družina (ni primerno za gesla, ki so potrebna za pogosto uporabo).
• Baza podatkov brez povezave brez povezave (na primer KeepAsS), shranjena na trajnem akumulatorju informacij in podvojena nekje v primeru izgube.

Optimalna kombinacija vsega zgoraj navedenega je naslednji pristop: najpomembnejša gesla (glavna e-pošta, s katero lahko obnovite druge račune, banko itd.Str.) shranjeno v glavi in ​​(ali) na papirju na zanesljivem mestu. Manj pomembne in hkrati se pogosto uporabljamo programom - upravljavcem gesel.

Dodatne informacije

Upam, da je kombinacija dveh člankov na temo gesel za nekatere od vas pomagala biti pozoren na nekatere vidike varnosti, o katerih niste razmišljali. Seveda nisem upošteval vseh možnih možnosti, vendar bo preprosta logika in nekaj razumevanja načel pomagala neodvisno odločiti, kako varno, kaj počnete v določenem trenutku. Še enkrat, nekaj omenjenih in več dodatnih točk:

• Uporabite različna gesla za različna spletna mesta.
• Gesla bi morala biti težka, težave lahko močno povečate s povečanjem dolžine gesla.
• Ne uporabljajte osebnih podatkov (ki jih lahko ugotovite) pri ustvarjanju samega gesla namiguje, nadzorujte vprašanja za obnovo.
• Uporabite dvostopenjsko preverjanje pristnosti, kjer je mogoče.
• Poiščite optimalen način varnega shranjevanja gesel.
• Bojte se z lažnim predstavljanjem (preverite naslove spletnih mest, razpoložljivost šifriranja) in vohunske programe. Kjer koli prosijo, da vnesejo geslo, preverite, ali ga resnično vnesete na pravi spletni strani. Prepričajte se, da v računalniku ni škodljivega.
• Če je mogoče, ne uporabljajte gesel v računalnikih drugih ljudi (če je potrebno, to storite v načinu brskalnika "Incognito" in jih še bolje pridobite s zaslonske tipkovnice), v javnih odprtih omrežjih Wi-Fi, še posebej, če jih ni HTTPS šifriranje, ko se povežete s spletnim mestom.
• Morda ne bi smeli shranjevati najpomembnejše, resnično predstavljajo življenjsko vrednost, gesla v računalniku ali na spletu.

Nekaj ​​podobnega. Mislim, da mi je uspelo dvigniti stopnjo paranoje. Razumem, da se zdi, da je večina opisanih neprijetnih, misli se lahko pojavijo kot "no, me bo zaobšli", vendar je edina utemeljitev lenobe pri upoštevanju preprostih varnostnih pravil pri shranjevanju zaupnih informacij lahko le odsotnost njegovega pomena in vaše pripravljenosti Za to, da bo postala last tretjih oseb.