Dan l-artikolu ser jiddiskuti kif tinħoloq password sigura, liema prinċipji għandhom jiġu segwiti fil-ħolqien tagħhom, kif taħżen il-passwords u timminimizza ċ-ċans li l-intruders jaċċessaw l-informazzjoni u l-kontijiet tiegħek.
Dan il-materjal huwa kontinwazzjoni ta ’l-artiklu“ Kif il-password tiegħek tista ’tiġi hacked” u jimplika li int familjari mal-materjal ippreżentat hemmhekk, u mingħajrha, taf il-modi bażiċi kollha li bihom il-passwords jistgħu jiġu kompromessi.
Oħloq passwords
Illum, meta tirreġistra kwalunkwe kont tal-Internet, toħloq password, normalment tara l-indikatur tas-saħħa tal-password. Kważi kullimkien jaħdem fuq il-bażi ta 'valutazzjoni taż-żewġ fatturi li ġejjin: it-tul tal-password; il-preżenza ta ’karattri speċjali, ittri kapitali u numri fil-password.
Minkejja l-fatt li dawn huma parametri tassew importanti ta 'reżistenza tal-password għal qsim permezz ta' brute force, password li tidher b'saħħitha mhux dejjem il-każ. Pereżempju, password bħal "Pa $$ w0rd" (u hawn hemm karattri u numri speċjali) x'aktarx tinqasam malajr ħafna - minħabba l-fatt li (kif deskritt fl-artikolu preċedenti) in-nies rarament joħolqu passwords uniċi (inqas minn 50% tal-passwords huma uniċi) u din l-għażla x'aktarx diġà teżisti fil-bażijiet tad-data nixxew li għandhom l-intruders.
Kif tkun? L-aħjar għażla hija li jintużaw ġeneraturi tal-password (disponibbli fuq l-Internet fil-forma ta 'utilitajiet onlajn, kif ukoll f'ħafna maniġers tal-password tal-kompjuter), u joħolqu passwords twal każwali bl-użu ta' karattri speċjali. Fil-biċċa l-kbira tal-każijiet, password ta ’10 karattri jew iktar bħal dawn sempliċement ma tkunx ta’ interess għall-hacker (jiġifieri, is-software tiegħu mhux se jiġi kkonfigurat biex jagħżel dawn l-għażliet) minħabba l-fatt li l-ispejjeż tal-ħin ma jħallsux. Riċentement, fil-browser Google Chrome deher ġeneratur tal-password inkorporat.
F'dan il-metodu, l-iżvantaġġ ewlieni huwa li passwords bħal dawn huma diffiċli biex tiftakar. Jekk hemm il-ħtieġa li tinżamm password fir-ras, hemm għażla oħra, ibbażata fuq il-fatt li password ta ’10 karattri, li jkun fiha ittri kapitali u karattri speċjali, hija kkrekkjata minn forza brute ta’ eluf jew aktar (numri speċifiċi jiddependu fuq is-sett ta ’karattri permess), t minn password ta ’20 karattru, li jkun fiha biss karattri Latini żgħar (anke jekk l-attakkant jaf b’dan).
Għalhekk, password li tikkonsisti minn 3-5 kliem sempliċi bl-Ingliż bl-addoċċ tkun faċli biex tiftakar u kważi impossibli li tinqata '. U wara li kiteb kull kelma b'ittra kapitali, inżidu n-numru ta 'għażliet għat-tieni grad. Jekk dawn huma 3-5 kliem Russi (għal darb'oħra, każwali, imma mhux ismijiet u dati) miktuba fit-tqassim bl-Ingliż, titneħħa wkoll il-possibbiltà ipotetika ta 'metodi sofistikati ta' użu ta 'dizzjunarji għall-għażla ta' password.
Bla dubju m'hemm l-ebda approċċ ġust għall-ħolqien tal-passwords: hemm vantaġġi u żvantaġġi f'diversi modi (relatati mal-kapaċità li tiftakarha, l-affidabbiltà u parametri oħra), iżda l-prinċipji bażiċi huma kif ġej:
- Il-password għandha tikkonsisti f'numru sinifikanti ta 'karattri. L-iktar restrizzjoni komuni llum hija 8 karattri. U dan mhux biżżejjed jekk għandek bżonn password sigura.
- Jekk possibli, inkludi karattri speċjali, ittri kbar u żgħar, numri fil-password.
- Qatt m'għandek tinkludi d-data personali fil-password tiegħek, anke jekk kienet miktuba b'modi li jidhru għaqlija. Ebda dati, ismijiet u kunjomijiet. Pereżempju, il-ksur ta 'password li tirrappreżenta kwalunkwe data tal-kalendarju Julian modern mill-0 sena sal-lum (bħal 07/18/2015 jew 18072015, eċċ.) Jieħu minn sekonda għal sigħat (u l-arloġġ jinkiseb biss minħabba dewmien bejn tentattivi għal xi każijiet).
Tista 'tiċċekkja kemm hija b'saħħitha l-password tiegħek fuq is-sit (għalkemm id-dħul tal-passwords f'xi siti, speċjalment mingħajr https, mhuwiex l-iktar prattika sikura) //rumkin.com/tools/password/passchk.php. Jekk ma tridx tiċċekkja l-password vera tiegħek, ikteb waħda simili (mill-istess numru ta 'karattri u bl-istess sett ta' karattri) biex tieħu idea ta 'l-affidabilità tagħha.
Matul id-dħul ta ’karattri, is-servizz jikkalkula l-entropija (kondizzjonalment, in-numru ta’ għażliet, għal entropy huwa 10 bits, in-numru ta ’għażliet huwa 2 għall-għaxar qawwa) għal password partikolari u jipprovdi informazzjoni dwar l-affidabbiltà ta’ valuri varji. Passwords b'entropija ta 'aktar minn 60 huma kważi impossibbli li jiġu kkrekkjati anke waqt għażla mmirata.
Tużax l-istess passwords għal kontijiet differenti.
Jekk għandek password kumplessa kbira, imma tużah kull meta jkun possibbli, din awtomatikament issir kompletament affidabbli. Hekk kif il-hackers jidħlu f'xi wieħed mis-siti fejn tuża password bħal din u jkollok aċċess għaliha, tista 'tkun ċert li din tiġi eżaminata minnufih (awtomatikament, bl-użu ta' softwer speċjali) fuq l-email popolari l-oħra kollha, logħob, servizzi soċjali, u forsi anke banek onlajn (Modi biex tara jekk il-password tiegħek diġà nixxietx huma elenkati fl-aħħar tal-artikolu preċedenti).
Password unika għal kull kont hija diffiċli, hija inkonvenjenti, iżda huwa neċessarju jekk dawn il-kontijiet huma ta 'importanza għalik. Għalkemm, għal xi reġistrazzjonijiet li m'għandhom l-ebda valur għalik (jiġifieri, lest li titlefhom u ma tinkwetax) u li ma fihx informazzjoni personali, tista 'ma tisforzax ruħek bil-passwords uniċi.
Awtentikazzjoni b'żewġ fatturi
Anki passwords b'saħħithom ma jiggarantixxux li ħadd ma jista 'jidħol fil-kont tiegħek. Tista 'tisraq password b'xi mod jew ieħor (phishing, per eżempju, bħala l-iktar għażla frekwenti) jew ġġibu mingħandek.
Kważi l-kumpaniji onlajn serji kollha inklużi Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam u oħrajn reċentement żiedu l-abbiltà li jippermettu awtentikazzjoni b'żewġ fatturi (jew żewġ stadji) fil-kontijiet tagħhom. U, jekk is-sigurtà hija importanti għalik, nirrakkomanda ħafna l-inklużjoni tagħha.
L-implimentazzjoni ta 'awtentikazzjoni b'żewġ fatturi hija kemmxejn differenti għal servizzi differenti, iżda l-prinċipju bażiku huwa kif ġej: t
- Meta tidħol fil-kont minn apparat mhux magħruf, wara li tiddaħħal il-password korretta, int mitlub tagħmel eżami addizzjonali.
- Il-verifika sseħħ bl-għajnuna ta ’kodiċi SMS, applikazzjoni speċjali fuq smartphone, permezz ta’ kodiċi stampati mħejjija qabel, messaġġ E-mail, ċavetta tal-ħardwer (l-aħħar għażla tidher fuq Google, din il-kumpanija hija ġeneralment l-aqwa f’termini ta ’awtentikazzjoni b’żewġ fatturi).
Għalhekk, anke jekk l-attakkant ikun sar jaf il-password tiegħek, hu ma jkunx jista 'jidħol fil-kont tiegħek mingħajr aċċess għall-apparat, it-telefon jew l-e-mail tiegħek.
Jekk ma tifhimx bis-sħiħ kif taħdem l-awtentikazzjoni b'żewġ fatturi, nirrakkomanda li taqra artikli fuq l-Internet iddedikati għal dan is-suġġett jew deskrizzjonijiet u linji gwida għall-azzjoni fuq is-siti fejn hija implimentata (mhux se nkun nista ninkludi struzzjonijiet dettaljati f'dan l-artikolu).
Ħażna tal-password
Passwords uniċi diffiċli għal kull sit - kbira, imma kif taħżinhom? Mhux probabbli li dawn il-passwords kollha jistgħu jinżammu fil-moħħ. Il-ħażna ta 'passwords maħżuna fil-browser hija impriża riskjuża: mhux biss isiru aktar vulnerabbli għal aċċess mhux awtorizzat, imma jistgħu sempliċement jintilfu fil-każ ta' falliment tas-sistema u meta s-sinkronizzazzjoni tkun diżattiva.
L-aħjar soluzzjoni hija kkunsidrata bħala maniġers tal-password, ġeneralment tirrappreżenta programmi li jaħżnu d-data sigrieta tiegħek kollha f'repositorju sigur kriptat (kemm offline kif ukoll online), li huwa aċċessat permezz ta 'password prinċipali waħda (tista' wkoll tippermetti awtentikazzjoni b'żewġ fatturi). Barra minn hekk, ħafna minn dawn il-programmi huma mgħammra b'għodod għall-ġenerazzjoni u l-valutazzjoni tal-affidabbiltà tal-passwords.
Koppja ta 'snin ilu, kiteb artiklu separat dwar l-Aqwa Maniġers tal-Password (ta' min jinkiteb mill-ġdid, imma int tista 'tieħu idea ta' x'inhu u liema programmi huma popolari mill-artikolu). Uħud jippreferu soluzzjonijiet offline sempliċi, bħal KeePass jew 1Password, li jaħżnu l-passwords kollha fuq it-tagħmir tiegħek, oħrajn - utilitajiet aktar funzjonali li jirrappreżentaw ukoll kapaċitajiet ta 'sinkronizzazzjoni (LastPass, Dashlane).
Maniġers tal-password magħrufa huma ġeneralment meqjusa bħala mod sikur u affidabbli ħafna biex jaħżnuhom. Madankollu, ta 'min jikkunsidra xi dettalji:
- Biex taċċessa l-passwords kollha tiegħek għandek bżonn tkun taf password ewlenija waħda biss.
- Fil-każ ta ’hacking tal-ħażna online (litteralment xahar ilu, is-servizz tal-immaniġġjar tal-passwords l-aktar popolari fid-dinja, LastPass, ġie mifhum), ser ikollok bżonn tibdel il-passwords kollha tiegħek.
Kif inkella tista 'tiffranka l-passwords importanti tiegħek? Hawnhekk hawn ftit għażliet:
- Fuq karta f'talja, aċċess għaliha ser ikollok u l-membri tal-familja tiegħek (mhux adattat għal passwords li spiss għandek bżonn tuża).
- Dejtabejż tal-password offline (pereżempju, KeePass) maħżun fuq apparat tal-ħażna li jservi għal żmien twil u dduplikat kullimkien f'każ ta 'telf.
Fl-opinjoni tiegħi, l-aħjar kombinazzjoni ta 'dak kollu deskritt hawn fuq huwa l-approċċ li ġej: l-iktar passwords importanti (l-E-mail prinċipali, li bihom tista' tirkupra kontijiet oħra, bank, eċċ.) Huma maħżuna fir-ras u (jew) fuq karta f'post sigur. Inqas importanti u, fl-istess ħin, dawk użati ta ’spiss għandhom jiġu assenjati lill-maniġers tal-password.
Informazzjoni addizzjonali
Nispera li l-kombinazzjoni ta 'żewġ artikli dwar il-passwords ma' wħud minnkom għenet biex tiġbed l-attenzjoni għal xi aspetti tas-sigurtà li int ma ħsibtx dwarhom. Bla dubju, jien ma qisitx l-għażliet kollha possibli, imma loġika sempliċi u ftit fehim tal-prinċipji tgħin lili nnifsi niddeċiedi kemm sikur qed tagħmel f'mument partikolari. Għal darb'oħra, xi wħud imsemmija u ftit punti addizzjonali:
- Uża passwords differenti għal siti differenti.
- Il-passwords għandhom ikunu kkumplikati, l-iktar diffiċli hija li tiżdied il-kumplessità billi jiżdied it-tul tal-password.
- Tużax dejta personali (li tista 'ssir taf) meta toħloq il-password innifsu, il-ħjiel tiegħu, ittestja mistoqsijiet għall-irkupru.
- Uża awtentikazzjoni f'żewġ stadji fejn hu possibbli.
- Sib l-aħjar mod biex iżżomm il-passwords tiegħek siguri.
- Oqgħod attent li tagħmel is-phishing (iċċekkja l-indirizzi tas-siti, il-preżenza ta ’encryption) u spyware. Kull fejn jintalbu jdaħħlu password, iċċekkja jekk intix verament tiddaħħalha fuq is-sit it-tajjeb. Kun żgur li ma hemm l-ebda malware fuq il-kompjuter.
- Jekk possibli, tużax il-passwords tiegħek fuq kompjuters ta 'xi ħadd ieħor (jekk meħtieġ, għamilha fil-modalità incognito tal-browser, jew saħansitra aħjar, uża t-tastiera fuq l-iskrin), fuq netwerks pubbliċi Wi-Fi miftuħa, speċjalment jekk m'għandekx encryption https meta tikkonnettja mas-sit .
- Forsi m'għandekx taħżen il-passwords l-aktar importanti, tassew ta 'valur, fuq kompjuter jew online.
Xi ħaġa bħal dik. Naħseb li rnexxieli nżid il-grad ta 'paranojja. Jiena nifhem li ħafna minn dawn t'hawn fuq jidher inkonvenjenti, jistgħu jinqalgħu ħsibijiet bħal "sew, se tevini", imma l-unika skuża biex tkun għażżien meta ssegwi regoli sempliċi ta 'sigurtà għall-ħażna ta' informazzjoni kunfidenzjali tista 'tkun biss in-nuqqas ta' importanza u r-rieda tiegħek li li ssir proprjetà ta 'partijiet terzi.