Slaptažodžiai: kaip tai padaryti teisingai: 10 žingsnių

2024 Autorius: John Day | [email protected]. Paskutinį kartą keistas: 2024-01-30 10:48

Šių metų pradžioje mano žmona prarado prieigą prie kai kurių savo paskyrų. Jos slaptažodis buvo paimtas iš pažeistos svetainės, tada jis buvo naudojamas patekti į kitas paskyras. Tik tada, kai svetainės nepradėjo jai pranešti apie nesėkmingus prisijungimo bandymus, ji suprato, kad viskas vyksta.

Aš taip pat kalbėjau su daugeliu žmonių, kurie sako, kad naudoja tą patį slaptažodį visose svetainėse. Šių dviejų dalykų pakako, kad paskatinčiau mane parašyti šią instrukciją.

Slaptažodžio saugumas yra labai maža viso interneto saugumo dalis. Beveik kiekvienai paskyrai reikalingas tam tikras prisijungimas, kad būtų galima pasiekti viską, ką ji saugo. Ši eilutė dažnai yra viskas, kas stovi tarp užpuoliko ir jūsų asmeninės informacijos, pinigų, asmeninių nuotraukų ar tų kelionės taškų, kuriuos rinkote daugelį metų.

Šios instrukcijos tikslas-aptarti keletą geriausių slaptažodžių kūrimo praktikų. Jei esate tas, kuris turi tą patį slaptažodį kiekvienoje svetainėje, kurio slaptažodžiai yra klaviatūros šablonas, arba jei jūsų slaptažodyje yra žodis „slaptažodis“, ši instrukcija skirta jums.

Atsisakymas

Nesu saugumo ekspertas. Ši informacija buvo išmokta ir ištirta laikui bėgant ir yra tik labai sudėtingos temos rekomendacija ir santrauka. Ši pamoka buvo parašyta 2018 m. Pradžioje ir gali būti pasenusi, kai ją perskaitysite.

TL; DR

Jei jums nerūpi visi mano samprotavimai ir paaiškinimai, susiję su slaptažodžiais, ir tiesiog norite paprasto būdo, kaip sukurti saugius slaptažodžius, pereikite prie paskutinio veiksmo.

1 žingsnis: padarykite tai ilgai

Ilgis yra labai svarbus slaptažodžio saugumo komponentas. Kadangi kompiuterių greitis auga vis sparčiau, slaptažodžius galima išbandyti nuostabiu greičiu. Tai vadinama „žiaurios jėgos“slaptažodžio įsilaužimu. Tai suriša visus įmanomus simbolių derinius, kol rasite tą, kuris atitinka.

Teoriškai dėl to bet koks slaptažodis gali būti nulaužtas, atsižvelgiant į pakankamai laiko. Laimei, kuo ilgesnis slaptažodis, tuo ilgiau užtruks šio tipo ataka. Kiekvienas simbolis, kurį pridedate prie ilgio, sunkumą žymiai apsunkina. Jei jis pakankamai ilgas, gali prireikti dešimtmečių, kad jį surastų tokiu būdu, todėl užpuolikui to neverta.

Pavyzdys

Tarkime, kad turite slaptažodį, kurį sudaro tik didžiosios raidės. Tai nėra gera idėja, tačiau tai skirta tik iliustracijai. Kiekvieną kartą, kai prie slaptažodžio pridedate kitą simbolį, jis padaugina galimų slaptažodžių skaičių iš 26. Jei turėtumėte 1 simbolio slaptažodį, jis turėtų 26 galimus slaptažodžius, 2 simboliai - 676 galimus slaptažodžius ir tt Tai pradeda greitai snigti..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kaip matote, kiekviena jūsų pridėta raidė daro šią ataką daug sunkesnę ir praktiškai neįmanomą, jei yra pakankamai simbolių. Atminkite, kad tai tik didžiosiomis raidėmis. Kai jie tampa sudėtingesni, šis poveikis padidėja.

2 žingsnis: Padarykite tai sudėtingą

Sudėtingumas yra dar vienas svarbus slaptažodžio saugumo veiksnys. Jei svetainė kada nors bus pažeista, tikėtina, kad naudotojų vardai ir slaptažodžiai bus ištrinti. Kaip pagrindinis saugumo lygis, tikiuosi, kad svetainė prieš saugojimą turi slaptažodžius (taip pat kaip ir šifravimas). Tai reiškia, kad jie yra iškraipyti prieš patekdami į duomenų bazę, ir nėra jokio būdo pakeisti šį garblingą.

Visa tai skamba gerai. Nesvarbu, koks jūsų slaptažodis, nes jis suklaidintas, tiesa? Taip nėra, jei jūsų slaptažodis nėra sudėtingas. Yra naudojami standartiniai maišos algoritmai (SHA1, MD5, SHA512 ir tt) ir jie visada maišys tą patį. Pavyzdžiui, jei naudojate SHA1 ir jūsų slaptažodis buvo „slaptažodis“, jis visada bus saugomas duomenų bazėje kaip „5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8“.

Maišų sukūrimas užima daug laiko ir reikalauja kompiuterio, o visų galimų slaptažodžių maišų apskaičiavimas praktiškai neįmanomas. Žmonės padarė įprastų slaptažodžių „žodynus“. Žinoma, bus tokių dalykų kaip „slaptažodis“ar „qwerty“, taip pat ir rečiau. Šiuose žodynuose bus milijonai slaptažodžių ir užtruks vos kelias sekundes, kad peržiūrėtumėte kiekvieną įrašą ir palygintumėte žinomą maišą su jūsų slaptažodžio maiša. Tai vadinama „žodyno ataka“. Jei jūsų yra vienas iš tų, kurie jau buvo apskaičiuoti, garbingas neapsaugos jūsų slaptažodžio ir gali būti naudojamas kitose svetainėse.

Be to, raidžių keitimas į skaičius nesudaro sudėtingumo. Keisti E į 3 arba I į 1 gali atrodyti sudėtingiau, tačiau tai yra tokia įprasta praktika, kad ji nebeteikia saugumo. Krekingo programos turi galimybę automatiškai išbandyti tuos variantus.

3 žingsnis: padarykite jį unikaliu

Prisiminti slaptažodžius yra sunku. Kai mūsų gyvenimas tampa vis internetinis, neretai kiekvienas žmogus turi daugiau nei 50 internetinių paskyrų, kurių kiekvienas turi savo prisijungimo duomenis. Tai gali būti labai sunku sekti.

Dažniausiai žmonės tai sprendžia pasirinkdami vieną „gerą“slaptažodį ir naudodamiesi daugybe skirtingų svetainių. Tai siaubinga mintis. Viskas, ko reikia, yra vienas saugumo pažeidimas arba viena sukčiavimo svetainė, kad gautumėte vartotojo vardą ir slaptažodį, kad pradėtumėte riedėti. Užpuolikai per kelias sekundes galėjo išbandyti tą vartotojo vardą ir slaptažodį šimtuose svetainių. Taip jie automatiškai patektų į kiekvieną svetainę su tokiu pat vartotojo vardu kaip ir pažeista.

Žinau, kad kiekvienai svetainei skirtingas slaptažodis atrodo nelengva užduotis, tačiau kaip tai tvarkyti, aptarsime vėliau.

4 žingsnis: nieko asmeniško

Jūsų informacija nėra tokia privati, kaip manote. Greita paieška internete gali lengvai rasti jūsų gimimo datą ar adresą. Jei buvo pažeista kita sąskaita, galima lengvai gauti dar daugiau informacijos. Jei yra užpuolikas, kuris bando patekti į jūsų paskyras, tai būtų akivaizdūs slaptažodžiai. Tai taip pat palieka galimybę patekti šeimos nariams, draugams ar net pažįstamiems.

5 veiksmas: vienodai atsargiai elkitės su visais slaptažodžiais

Dirbdami su svetainėmis, visų jų saugumą turėtumėte vertinti taip pat atsargiai. Pavyzdžiui, jei esate prisijungę prie savo mėgstamos katės svetainės, turėtumėte imtis tų pačių atsargumo priemonių kaip ir prisijungdami prie banko. Gali atrodyti, kad nėra daug prarasti prieigą prie visų tų žavių ūsų, tačiau tai gali būti tik žingsnis užpuolikui. Pažeidus tą „nesvarbią“svetainę, užpuolikas gali gauti daugiau informacijos apie jus, pvz., Kitą naudotojo vardą, kurį naudojote, kitą el. Pašto adresą, kurį naudojote prisijungdami, arba faktinę informaciją, kuri galėtų būti naudojama atrakinant kitas svetaines.

Be to, jei tai nesvarbi svetainė, yra didesnė tikimybė, kad jie nesilaikys tinkamos saugumo praktikos, o tai reiškia, kad jei jūsų slaptažodis yra ilgas ir sudėtingas, bet ne unikalus, o saugomi slaptažodžiai nėra tinkamai sumaišyti, tą slaptažodį galima lengvai naudoti kitose svetainėse. Vėlgi, tik todėl, kad svetainė yra „nesvarbi“, dar nereiškia, kad jūsų saugumas yra.

6 žingsnis: paslėpkite

Gerai - saugojimas neprisijungus

Saugojimas neprisijungus gali būti geras pasirinkimas, jei esate užsimiršęs žmogus. Turėdami užrakintą USB atmintinę su slaptažodžiais, ji apsaugo nuo daugumos atakų, išskyrus šeimą ir draugus. Tik tuo atveju, jei kažkaip pamestumėte šią lazdą, įsitikinkite, kad slaptažodžio failas arba visas diskas yra užšifruotas ir kad lazdos atsarginė kopija sukurta labai saugioje vietoje.

Šis metodas turi daug saugumo, tačiau patogumo kaina.

Priežastis, kodėl ji turėtų būti neprisijungus, išsamiau paaiškinta toliau. Atminkite, kad dabar daugelis įrenginių automatiškai sukuriami atsarginių kopijų kūrimo debesyje, net jei to nenorėjote. Be to, jei kada nors prijungsite šią lazdelę prie įrenginio, kuriame yra virusas arba kuris yra pažeistas, duomenys gali būti lengvai nukopijuoti.

Geriau - prisimink viską

Prisiminkite visus savo slaptažodžius. Jei esate neįtikėtinai talentingas, tai gali būti pasirinkimas. Niekas negali jų rasti, ir jūs visada turite juos su savimi. Kai kurios neigiamos pusės yra tai, kad dauguma iš mūsų nenuostabu prisiminti sudėtingus dalykus ir yra linkę šiek tiek per daug kalbėti po gėrimo ar dviejų. Ypač jei reikia prisiminti dešimtis slaptažodžių, tai greičiausiai net nėra pasauliečio pasirinkimas.

Geriausia - nėra saugyklos

Geriausias scenarijus yra tai, kad jų visai nesaugosite. Arba kažkaip prisiminkite visus savo unikalius, ilgus, sudėtingus slaptažodžius arba turite būdą juos atkurti skrisdami. Jei žinote ingredientus, kurių reikia norint juos atkurti, užpuolikas niekaip negali jų „rasti“, nes jų nėra, kol jų prireiks. Tai gali atrodyti sudėtinga, bet tai tikrai nėra. Daugiau apie tai vėliau.

Neprisijungus svarba

Svetaines tvarko žmonės. Daugumos svetainių turbūt galima drąsiai manyti, kad šie žmonės paprastai turi gerus ketinimus, tačiau net geriausi žmonės gali padaryti klaidų. Vien pernai buvo padaryta daugybė didžiulių didelių, paprastai saugių kompanijų, tokių kaip „Linked-In“, „Yahoo“, „Equifax“, „Apple“ir „Uber“, svetainės saugumo pažeidimų. Tai didelės įmonės, turinčios saugumo skyrius, ir jos buvo pažeistos.

Debesies saugykla skamba įmantriai ir siūlo patogumą, tačiau „debesis“iš tikrųjų yra kažkieno kompiuteris, kurį naudojate failams saugoti. Kaip minėjau aukščiau, žmonės gali padaryti klaidų. Jei taip atsitiks, jūsų slaptažodžiai gali būti prieinami visam pasauliui. Debesų svetainės yra milžiniškas užpuolikų taikinys dėl turimų duomenų kiekio. Sulaužykite debesies svetainę ir gaukite prieigą prie visos informacijos, kurią potencialiai išsaugojo milijonai žmonių.

Esu tikras, kad kai kurie iš jų yra paranoja, tačiau už šių slaptažodžių slepiasi didžiulė jūsų gyvenimo dalis, saugokite juos kaip tokius.

7 žingsnis: mano rekomendacija

Tai buvo labai ilga preambulė, paaiškinanti pagrindinius slaptažodžio saugumo ramsčius. Jei laikysitės šių 6 gairių, internete turėsite minimalių saugumo problemų, o jei kas nors atsitiks, tai turėtų sustoti ties šaltiniu, o ne išplisti į visą jūsų internetinį gyvenimą.

Šiuos iššūkius galite išspręsti įvairiais būdais. Kai kurie yra geresni už kitus ir teikia kitokią naudą. Mano mėgstamiausias sprendimas yra „SuperGenPass“(SGP). Aš jokiu būdu nesu susijęs, aš tik gerbėjas.

Paprasta naudoti

SGP turi programą jūsų telefonui ir mygtuką, kurį galite pridėti prie savo naršyklės. Kai einate į svetainę ir ji prašo jūsų prisijungti, spustelėkite mygtuką. Atsiras mažas langas. Įveskite pagrindinį slaptažodį. SGP sukurs šios svetainės slaptažodį ir įves jį į slaptažodžio lauką!

Ilgas

Galite pasirinkti sukurto slaptažodžio ilgį. Taip bus sugeneruoti iki 24 simbolių slaptažodžiai, kurie yra gana saugūs, tačiau galite pasirinkti trumpesnius, jei kai kurios svetainės riboja jūsų slaptažodžio trukmę.

Kompleksas

Naudojamos didžiosios, mažosios raidės ir skaičiai, kurie yra gana saugūs. Jie nesilaiko jokio atpažįstamo modelio be žodžių ar frazių. Šioje eilutėje nėra jūsų URL ar pagrindinio slaptažodžio.

Unikalus

Kiekviena svetainė turės visiškai unikalų slaptažodį. Slaptažodžiai, pavyzdžiui, example1.com ir example2.com, yra visiškai skirtingi, nors pradiniuose „ingredientuose“yra tik vienas simbolis. Kaip matote toliau pateiktame pavyzdyje, tarp „ingredientų“ir gauto slaptažodžio nėra jokio ryšio ir jie LABAI skiriasi vienas nuo kito.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Sandėliavimas

Ji nesaugo ir neperduoda jokių duomenų. Jį galima paleisti visiškai neprisijungus, jei esate susirūpinę ir niekas negali jų rasti ar pavogti.

8 žingsnis: SGP: sąranka

SGP nustatymas yra labai paprastas. Pirma, tikriausiai norėsite jį pridėti prie savo žymių juostos. Norėdami tai padaryti, eikite į:

chriszarate.github.io/supergenpass/

Bus pasirinkti 2 mygtukai. Norėdami nustatyti įprastą kompiuterį, vilkite kairįjį mygtuką į savo žymių juostą. Tai suteiks jums naują mygtuką, kurį galėsite naudoti.

Jei ateityje naudosite kito asmens kompiuterį, galite pasirinkti dešinėje esantį mygtuką. Tai leis jums naudoti SGP nieko nekeičiant jų naršyklėje. Tai taip pat yra naršyklės mobiliesiems parinktis.

Kai jis bus įtrauktas į jūsų žymių juostą, spustelėkite mygtuką. Jūsų tinklalapio kampe bus atidarytas mažas langas. Spustelėję mažą pavarą, atsidarysite nustatymai.

Ilgis

Skaičius kairėje yra slaptažodžio, kurį jis sukurs, ilgis. Rekomenduoju peržvelgti dažniausiai naudojamas svetaines ir nustatyti didžiausią skaičių, kurį leidžia šios svetainės. Rekomenduojama daugiau nei 12 metų, bet kuo ilgiau, tuo geriau, ypač todėl, kad nereikia to prisiminti.

Maišymo tipas

Yra dvi pasirinktos maišos rūšys: MD5 ir SHA. Abu sukurs slaptažodžius su didžiosiomis raidėmis, mažosiomis raidėmis ir skaičiais. Tai pakeisti yra paprastas būdas pakeisti visus slaptažodžius, išlaikant tą patį pagrindinį slaptažodį.

Slaptas slaptažodis

Slapto slaptažodžio skyrius yra papildomas būdas įsitikinti, kad viskas saugu. Paleidus programėlę, jei turite slaptą slaptažodį, slaptažodžio laukelyje bus rodomas mažas vaizdas. Šis slaptažodis VISADA turi būti toks pat, kai jis prasideda. Jei jis paleidžiamas ir šis vaizdas nėra toks, koks yra paprastai, yra tikimybė, kad kažkas bando gauti jūsų pagrindinį slaptažodį.

Pagrindinis slaptažodis

Sąrankos metu tai nėra būtina, tačiau tai labai svarbu. Būtinai pasirinkite stiprų slaptažodį. Tai vienas slaptažodis, kurį visada įvedate kiekvienoje svetainėje. Įsitikinkite, kad tai yra kažkas, ką galite prisiminti, tačiau yra sudėtingas, ilgas ir neasmeniškas.

Taupoma

Kai pasirinksite visus nustatymus, spustelėkite išsaugojimo piktogramą ir dar kartą krumpliaračio piktogramą, kad uždarytumėte nustatymus

9 žingsnis: naudokite SGP

Norėdami naudoti SGP, eikite į svetainę, kaip įprastai. Kai reikia įvesti slaptažodį, spustelėkite SGP mygtuką, kurį pridėjote prie savo žymių juostos. Jei nustatydami SGP naudojote slaptą slaptažodį, įsitikinkite, kad slaptažodžio laukelyje rodomas vaizdas atitinka tą, kuris buvo jį nustatant.

Įveskite pagrindinį slaptažodį ir paspauskite „Enter“. Tai apskaičiuos jūsų unikalų šios svetainės slaptažodį ir užpildys jį už jus! Įvedant pagrindinį slaptažodį, piktograma bus atnaujinama. Jei vaizdas neatitinka įprastos piktogramos, arba neteisingai įvedėte pagrindinį slaptažodį, arba kažkas bando gauti jūsų slaptažodį.

Atsižvelgiant į tai, kaip svetainė parašyta, SGP gali nepavykti įvesti jūsų slaptažodžio arba svetainė gali nesuprasti, kad jis buvo įvestas. Tokiu atveju galite spustelėti kopijavimo piktogramą šalia sugeneruoto slaptažodžio laukelio ir įklijuoti rankiniu būdu.

Įvedę slaptažodį, spustelėkite Prisijungti ir esate ten!

10 žingsnis: paskutinės mintys

SGP gali neveikti visiems, ir tai gerai. Tai nėra tobulas sprendimas, nes to nėra. Jei turite kitą paslaugą ar metodą, kurį mėgstate naudoti slaptažodžiams, nepamirškite 6 žingsnių, kaip nustatyti saugų slaptažodį. Jei jūsų dabartinis metodas nepakankamas keliose iš šių sričių, gali būti laikas ieškoti kito sprendimo. Taip, gali užtrukti pusę dienos, kad pakeistumėte visas paskyras, tačiau tai greičiausiai nesukeltų galvos skausmo, nei jūsų sąskaitų pažeidimas.

Pastaba apie saugojimą internete: jei paslauga saugo jūsų slaptažodžius internete/„debesyje“, patikrinkite jų saugumo praktiką ir įsitikinkite, kad jie yra geri. Tikriausiai svetainė jums pasakys, ką jie daro, kad apsaugotų jūsų slaptažodžius, jei jie tai daro tinkamai. Jei nesate tikri, parašykite jiems el. Laišką ir paprašykite. Jei jie negali jums pateikti gero/glaustaus/tikslaus atsakymo, būkite atsargūs naudodami šią paslaugą.