Sigurnost lozinke

Ovaj će članak raspravljati o tome kako stvoriti sigurnu lozinku, koja načela treba slijediti prilikom izrade, kako pohraniti zaporke i minimizirati vjerojatnost da hakeri pristupaju vašim podacima i računima.

Ovaj je materijal nastavak članka "Kako se zaporka može hakirati", a podrazumijeva da ste upoznati s materijalom koji se tamo prezentira ili već znate sve glavne načine na koje se lozinke mogu ugroziti.

Stvorite lozinke

Danas, prilikom registracije bilo kojeg internetskog računa, stvaranjem lozinke obično vidite pokazatelj jačine zaporke. Gotovo svugdje radi na temelju procjene sljedećih dva čimbenika: duljina lozinke; prisutnost posebnih znakova, velikih slova i brojeva u lozinku.

Unatoč činjenici da su to stvarno važni parametri lozinke otpornosti na pucanje silom, lozinka koja se čini jaka nije uvijek slučaj. Na primjer, lozinka poput "Pa $$ w0rd" (i ovdje ima posebnih znakova i brojeva) vjerojatno će biti vrlo brzo napuknuta - zbog činjenice da (kao što je opisano u prethodnom članku) ljudi rijetko stvaraju jedinstvene zaporke (manje od 50%Lozinke su jedinstvene) i ta je mogućnost najvjerojatnije već u propuštanim bazama podataka koje uljeze imaju.

Kako biti? Najbolja je opcija upotreba generatora za lozinku (dostupna na internetu u obliku mrežnih alata, kao i kod većine računalnih lozinki), stvarajući dugo slučajne lozinke pomoću posebnih znakova. U većini slučajeva lozinka od 10 ili više takvih znakova jednostavno neće biti od interesa hakera (tj. Njegov softver neće biti konfiguriran za odabir takvih opcija) zbog činjenice da se troškovi vremena ne isplati. Nedavno je ugrađen generator zaporke pojavio se u pregledniku Google Chrome.

U ovoj metodi glavni je nedostatak taj da je takve lozinke teško zapamtiti. Ako postoji potreba da zapamtite zaporku, postoji još jedna mogućnost, koja se temelji na činjenici da je lozinka od 10 znakova, s velikim slovima i posebnim znakovima, napuknuta metodom brute force tisuća ili više (određeni brojevi ovise o dozvoljenom skupu znakova) od lozinke od 20 znakova, koja sadrži samo malene latinske znakove (čak i ako napadač zna za to).

Dakle, lozinka koja se sastoji od 3-5 jednostavnih slučajnih engleskih riječi bit će lako zapamtiti i gotovo nemoguće ispucati. I nakon što smo zapisali svaku riječ velikim slovom, povećavamo broj opcija na drugi stupanj. Ako su to 3-5 ruske riječi (opet, slučajne, ali ne i nazive i datumi) napisane u engleskom rasporedu, uklanja se ipotencijalna mogućnost sofisticiranih metoda za korištenje rječnika za odabir lozinke.

Nema sigurnih pristupa stvaranju lozinke: postoje razne prednosti i nedostatci (povezani s mogućnošću pamćenja, pouzdanosti i ostalim parametrima), ali osnovna načela su kako slijedi:

  • Lozinka se mora sastojati od značajnog broja znakova. Najčešći ograničenje danas je 8 znakova. A to nije dovoljno ako vam je potrebna sigurna lozinka.
  • Ako je moguće, uključite posebne znakove, gornja i mala slova, brojeve u lozinku.
  • Nikada nemojte unositi osobne podatke u lozinku, čak i ako je napisan na naizgled lukav način. Nema datuma, imena i prezimena. Na primjer, prekidanje zaporke koja predstavlja bilo koji datum suvremenog Julijskog kalendara od 0. godine do danas (kao što je 18.07.2015 ili 18072015 itd.) Trajat će od sekundi do sati (isatovi su samo zbog kašnjenja između pokušaja u nekim slučajevima).

Možete provjeriti koliko je lozinka snažna na web sučelju (iako unos zaporki na nekim web mjestima, posebno bez https, nije najsigurnija praksa) http://rumkin.com/tools/password/passchk.php, Ako ne želite potvrditi svoju stvarnu lozinku, unesite sličan (iz istog broja znakova i s istim nizom znakova) da biste dobili ideju o njegovoj pouzdanosti.

Tijekom unosa znakova, usluga izračunava entropiju (uvjetno, broj opcija, za entropiju je 10 bita, broj opcija je od 2 do desete snage) za određenu lozinku i pruža informacije o pouzdanosti različitih vrijednosti. Zaporke s entropijom od više od 60 godina gotovo je nemoguće ispucati ni tijekom ciljanog odabira.

Nemojte koristiti iste lozinke za različite račune.

Ako imate veliku složenu lozinku, ali ga upotrebljavate gdje god je to moguće, automatski postaje potpuno nepouzdana. Čim se hakeri upadaju u neku od web mjesta na kojima koristite takvu lozinku i dobivate pristup, možete biti sigurni da će se odmah testirati (automatski, pomoću posebnog softvera) na svim ostalim popularnim e-pošti, igrama, socijalnim uslugama i možda u online banke (načina da vidite je li vaša lozinka već procurila navedena na kraju prethodnog članka).

Jedinstvena zaporka za svaki račun je teška, neugodna je, ali je neophodno ako ti računi imaju bilo kakvu važnost za vas. Iako, za neke registracije koje nemaju vrijednost za vas (tj. Da ste spremni izgubiti ih i ne brinite) i ne sadrže osobne podatke, nećete se moći nositi s jedinstvenim zaporkama.

Provjera autentičnosti s dva faktora

Čak i jake lozinke ne jamče da se nitko ne može prijaviti na vaš račun. Možete ukrasti lozinku na jedan ili drugi način (phishing, na primjer, kao najčešća opcija) ili ga preuzmite od vas.

Gotovo sve ozbiljne online tvrtke, uključujući Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam i ostale, nedavno su dodale mogućnost omogućavanja autentičnosti s dva faktora (ili dvostupanjskom). A ako vam je sigurnost važno, preporučujem njegovo uključivanje.

Implementacija autentifikacije s dva faktora neznatno je različita za različite usluge, ali osnovno načelo je sljedeće:

  1. Pri prijavi s nepoznatog uređaja, nakon unosa ispravne lozinke, od vas će se zatražiti dodatno testiranje.
  2. Provjera se provodi uz pomoć SMS koda, posebnog programa na pametnom telefonu, pomoću prethodno pripremljenih tiskanih kodova, poruke e-pošte, hardverskog ključa (zadnja opcija se pojavila na Googleu, ta je tvrtka općenito najbolja u smislu autentičnosti s dva faktora).

Dakle, čak i ako je napadač naučio vašu zaporku, neće se moći prijaviti na vaš račun bez pristupa vašim uređajima, telefonom ili e-poštom.

Ako u potpunosti ne razumijete kako funkcionira autentičnost dva faktora, preporučujem da čitate članke na internetu posvećenoj ovoj temi ili opise i smjernice za radnju na web mjestima na kojima se implementira (nećete moći uključiti detaljne upute u ovom članku).

Pohrana zaporke

Teške jedinstvene zaporke za svaku web-lokaciju - sjajne, ali kako ih pohraniti? Malo je vjerojatno da se sve ove lozinke mogu imati na umu. Pohranjivanje pohranjenih lozinki u pregledniku je riskantan pothvat: oni ne samo da postaju osjetljiviji na neovlašteni pristup, nego se mogu jednostavno izgubiti u slučaju pada sustava i kada je sinkronizacija onemogućena.

Najbolje rješenje smatra se lozinkama.Općenito govoreći, to su programi koji pohranjuju sve vaše tajne podatke u šifriranu sigurnu pohranu (izvan mreže i na mreži), kojima se pristupa pomoću jedne glavne lozinke (također možete omogućiti autentifikaciju s dva faktora). Također, većina tih programa opremljena je alatom za generiranje i procjenu pouzdanosti zaporki.

Prije nekoliko godina napisao sam zasebni članak o najboljim menadžerima šifri (vrijedi rewriting, ali možete dobiti ideju o tome što je to i o čemu su popularni programi.) Neki preferiraju jednostavna izvanmrežna rješenja, kao što su KeePass ili 1Password, koji pohranjuju sve lozinke na vašem uređaju, a drugi - više funkcionalnih uslužnih programa koji također predstavljaju mogućnosti sinkronizacije (LastPass, Dashlane).

Poznati menadžeri lozinki općenito se smatraju vrlo sigurnim i pouzdanim načinom pohranjivanja. Međutim, valja razmotriti neke detalje:

  • Da biste pristupili svim zaporkama, trebate znati samo jednu glavnu lozinku.
  • U slučaju hakiranja internetske pohrane (doslovno prije mjesec dana najpopularnija usluga LastPass za upravljanje zaporkom bila je sjeckana), morat ćete promijeniti sve svoje lozinke.

Kako još možete spremiti važne zaporke? Evo nekoliko opcija:

  • Na papiru u sefu, pristup kojemu ćete vi i članovi vaše obitelji imati (nije prikladan za zaporke koje često trebate koristiti).
  • Baze podataka izvanmrežne lozinke (na primjer, KeePass) pohranjene na trajnom uređaju za pohranu i duplicirane bilo gdje u slučaju gubitka.

Po mom mišljenju, najbolja kombinacija svih gore navedenih jesu sljedeći pristup: najvažnije lozinke (glavna e-pošta s kojom možete oporaviti druge račune, banku itd.) Pohranjuju se u glavu i (ili) na papiru na sigurnom mjestu. Manje važne, a istodobno često korištene, treba dodijeliti programima za upravljanje lozinkama.

Dodatne informacije

Nadam se da će vam kombinacija dva članka o zaporkama pomoći nekima da privučete pozornost na neke aspekte sigurnosti koje niste razmišljali. Naravno, nisam uzela u obzir sve moguće mogućnosti, ali jednostavna logika i razumijevanje načela pomoći će sami odlučiti koliko je sigurno ono što radite u određenom trenutku. Još jednom su spomenuti i neke dodatne točke:

  • Koristite različite zaporke za različite web stranice.
  • Lozinke bi trebale biti teške, prije svega možete povećati složenost povećanjem duljine lozinke.
  • Nemojte koristiti osobne podatke (koje možete saznati) prilikom izrade samog lozinke, njegovih savjeta, testnih pitanja za oporavak.
  • Koristite autentifikaciju u dva koraka gdje je to moguće.
  • Pronađite najbolji način da zaštitite svoje lozinke.
  • Budite oprezni zbog krađe identiteta (provjerite adrese web-lokacija, prisutnost šifriranja) i spywarea. Gdje god se od vas zatraži unos zaporke, provjerite jeste li ga stvarno unijeli na pravu stranicu. Provjerite da na računalu nema zlonamjernog softvera.
  • Ako je moguće, nemojte upotrebljavati zaporke na drugim računalima (ako je potrebno, učinite to u anonimnom načinu preglednika ili, još bolje, koristite zaslonsku tipkovnicu), u javnim otvorenim Wi-Fi mrežama, posebno ako nemate https šifriranje prilikom spajanja na web mjesto ,
  • Možda ne biste trebali pohraniti najvažnije, doista vrijedne lozinke na računalu ili na mreži.

Nešto takvo. Mislim da sam uspio podići stupanj paranoje. Razumijem da mnoge opisane stvari izgledaju neugodno, misle poput "dobro, to će me zaobići", ali jedini izgovor za lijenost kada slijedi jednostavna pravilaSigurnost pri pohranjivanju povjerljivih informacija može biti samo nedostatak njezine važnosti i spremnost da postane vlasništvo trećih osoba.