O bezpečnosti hesla
- 3382
- 609
- Leopold Kyseľ
Tento článok bude hovoriť o tom, ako vytvoriť bezpečné heslo, aké princípy by sa mali pri ich vytváraní dodržiavať, ako uložiť heslá a minimalizovať pravdepodobnosť prístupu k vašim informáciám a účtom útočníkom.
Tento materiál je pokračovaním článku „Ako môže vaše heslo hackovať“ a znamená, že ste oboznámení s materiálom, ktorý je tam prezentovaný alebo už poznáte všetky hlavné cesty, s ktorými môžu byť heslá ohrozené.
Vytváranie hesiel
Dnes pri registrácii akéhokoľvek internetového účtu, vytvorenia hesla, zvyčajne vidíte indikátor ukazovateľa spoľahlivosti spoľahlivosti hesla. Takmer všade, kde funguje na základe hodnotenia nasledujúcich dvoch faktorov: dĺžka hesla; prítomnosť špeciálnych znakov, kapitálových písmen a čísel v hesle.
Napriek tomu, že ide o skutočne dôležité parametre stability hesla k hackerskej metóde presadzovania, heslo, ktoré sa zdá byť spoľahlivé pre systém, nie je vždy rovnaké. Napríklad heslo ako „pa $ $ W0RD“ (a tu existujú špeciálne symboly a čísla), s najväčšou pravdepodobnosťou sa budú hacknúť veľmi rýchlo - kvôli tomu, že (ako je opísané v predchádzajúcom článku), ľudia zriedka vytvárajú jedinečný Heslá (menej ako 50% hesiel je jedinečné) a určená možnosť s vysokou pravdepodobnosťou je už v tečúcich základoch k dispozícii útočníkom.
Ako byť? Najlepšou možnosťou je používať generátory hesiel (na internete sú online verejné služby, ako aj u väčšiny správcov hesiel pre počítač) a vytvárajú dlhé náhodné heslá pomocou špeciálnych znakov. Vo väčšine prípadov heslo 10 a viac takýchto symbolov jednoducho nebude zaujímavé pre sušienku (t.e. Jeho softvér nebude nakonfigurovaný na výber takýchto možností) z dôvodu skutočnosti, že strávený čas sa nevyplatí. Nedávno postavený generátor hesiel sa objavil v prehliadači Google Chrome.
V tejto metóde je hlavnou nevýhodou, že takéto heslá je ťažké si zapamätať. Ak je potrebné zadržať heslo v hlave, existuje iná možnosť založená na skutočnosti, že heslo 10 znakov obsahujúcich kapitálové písmená a špeciálne symboly sa hackujú tisíckami alebo viac (špecifické čísla závisia od prípustnej sady symboly) časy ľahšie, je to jednoduchšie, je to jednoduchšie. Ako heslo 20 znakov obsahujúcich iba malé latinské symboly (aj keď o tom cracker vie).
Heslo, ktoré sa skladá z 3-5 jednoduchých náhodných anglických slov. A po napísaní každého slova s titulným písmenom postavíme počet možností do druhého stupňa. Ak ide o 3-5 ruských slov (opäť náhodných, a nie mená a dátumy) napísaných v anglickom rozložení, je tiež odstránená hypotetická možnosť sofistikovaných metód používania slovníkov na výber hesiel.
Možno pravdepodobne neexistuje žiadny správny prístup k vytváraniu hesiel: rôznymi spôsobmi existujú výhody a nevýhody (súvisiace so schopnosťou zapamätať si ho, spoľahlivosť a ďalšie parametre), ale základné princípy vyzerajú takto:
- Heslo by malo pozostávať z významného počtu znakov. Najbežnejším obmedzením je dnes 8 znakov. A to nestačí, ak potrebujete bezpečné heslo.
- Ak je to možné, mali by ste do hesla, kapitálových a kapitálových písmen, čísel zahrnúť špeciálne symboly.
- Nikdy nezahrňte osobné údaje do hesla, dokonca aj zaznamenané zdanlivo „prefíkanými“ spôsobmi pre vás. Žiadne dátumy, mená a priezviská. Napríklad hackerské heslo je akýkoľvek dátum moderného kalendára Juliana od 0. roku a do dnešného dňa (typ 18.07.2015 alebo 18072015 a T.P.) bude trvať od sekundy do hodín (a potom sa hodiny ukážu iba v dôsledku oneskorení medzi pokusmi v niektorých prípadoch).
Môžete skontrolovať, aké spoľahlivé je vaše heslo na webe (aj keď zadávanie hesiel na niektorých stránkach, najmä bez HTTPS nie je najbezpečnejšou praxou) http: // rumkin.Com/nástroje/heslo/passchk.Php. Ak nechcete skontrolovať svoje skutočné heslo, zadajte podobné (z rovnakého počtu znakov a s rovnakou sadou), aby ste získali predstavu o jeho spoľahlivosti.
V priebehu vstupných symbolov služba vypočíta entropiu (podmienečne počet možností pre entropiu 10 bitov je počet možností 2 v desiatom stupni) pre dané heslo a poskytuje certifikát o spoľahlivosti rôznych hodnôt. Heslá s entropiou viac ako 60 je takmer nemožné preniknúť aj počas cieleného výberu.
Nepoužívajte rovnaké heslá pre rôzne účty
Ak máte veľké ťažké heslo, ale používate ho všade, kde je to možné, automaticky sa stáva úplne spoľahlivým. Akonáhle hackeri hackujú ktoréhokoľvek z stránok, na ktorých používate takéto heslo a získate prístup k nemu, uistite sa, že bude okamžite testovaný (automaticky pomocou špeciálneho softvéru) na všetkých ostatných populárnych poštových, hraniach, sociálnych službách a možno aj v Online banky (spôsoby, ako zistiť, či je vaše heslo už vedené na konci predchádzajúceho článku).
Jedinečné heslo pre každý účet je ťažké, je nepohodlné, ale je potrebné, či sú tieto účty pre vás aspoň určitým dôležitým významom. Aj keď pre niektoré registrácie, ktoré pre vás nemajú žiadnu hodnotu (to znamená, ste pripravení stratiť ich a nebudete sa báť) a neobsahujte osobné informácie, nemôžete sa namáhať jedinečnými heslami.
Dve -faktorové overovanie
Ani spoľahlivé heslá nezaručujú, že nikto nemôže zadať váš účet. Heslo je možné ukradnúť tak či onak (napríklad phishing ako najbežnejšia možnosť) alebo zistiť od vás.
Takmer všetky vážne online spoločnosti vrátane Google, Yandex, Mail.Ru, v kontakte, Microsoft, Dropbox, LastPass, Steam a ďalšie pridal možnosť zahrnúť do účtov dve autentifikácie s dvoma faktormi (alebo s dvoma stupňami). A ak je pre vás dôležitá bezpečnosť, dôrazne ju odporúčame zahrnúť.
Implementácia autentifikácie dvoch faktorov sa pre rôzne služby mierne líši, ale základný princíp vyzerá nasledovne:
- Pri vstupe do účtu z neznámeho zariadenia, po zadaní správneho hesla, ste požiadaní, aby ste podstúpili ďalšiu kontrolu.
- Kontrola sa uskutočňuje pomocou kódu SMS, špeciálnej aplikácie na smartfóne, prostredníctvom vopred pripravených tlačených kódov, e-mailu, hardvérového kľúča (posledná možnosť sa objaví v spoločnosti Google, táto spoločnosť je vo všeobecnosti výhodou, ktorá sa týka dvojfaktorovej autentifikácie).
Takže, aj keď útočník rozpoznal vaše heslo, nebude môcť ísť na váš účet bez prístupu k vašim zariadeniam, telefónom, e -mail.
Ak úplne nechápete, ako funguje dvojfaktorové autentifikácia, odporúčam čítanie článkov na internete venovanom tejto téme alebo popisoch a usmerneniach k činnosti na samotných stránkach, kde sa implementujú (nemôžem zahrnúť podrobné pokyny do tohto článku ).
Ukladanie hesla
Zložité jedinečné heslá pre každú stránku sú vynikajúce, ale ako ich uložiť? Je nepravdepodobné, že by sa dali pamätať na všetky tieto heslá. Ukladanie uložených hesiel v prehliadači je riskantným záväzkom: nielenže sa stávajú zraniteľnejšími voči neoprávnenému prístupu, ale môžu sa jednoducho stratiť v prípade zlyhania systému a či je synchronizácia vypnutá.
Manažéri hesiel sa vo všeobecnosti považujú za najlepšie riešenie, ktoré predstavujú programy, ktoré ukladajú všetky vaše tajné údaje do šifrovaného zabezpečeného úložiska (offline aj online), ku ktorému je prístup k jednému hlavnému podmienečnému prepusteniu (dodatočne môžete obsahovať dvojfaktorovú autentifikáciu). Väčšina z týchto programov je tiež vybavená generujúcimi nástrojmi a hodnotením spoľahlivosti hesla.
Pred niekoľkými rokmi som napísal samostatný článok o najlepších manažéroch hesiel (malo by byť prepísané, ale získajte predstavu o tom, čo to je a aké programy môžu byť z článku populárne). Niektorí uprednostňujú jednoduché offline riešenia, ako napríklad Keepass alebo 1Password, ukladanie všetkých hesiel do vášho zariadenia, iné sú funkčné nástroje, ktoré tiež predstavujú možnosti synchronizácie (LastPass, Dashlane).
Slávni manažéri hesiel sa všeobecne považujú za veľmi bezpečný a spoľahlivý spôsob ich ukladania. Je však potrebné zvážiť niektoré podrobnosti:
- Ak chcete získať prístup k všetkým vašim heslám, musíte poznať iba jeden hlavný podmienečný podmienečný prepustený.
- V prípade hackovania online úložiska (len pred mesiacom, najpopulárnejšou službou správy hesla LastPass na svete) budete musieť zmeniť všetky svoje heslá.
Ako inak môžete uložiť svoje dôležité heslá? Tu je niekoľko možností:
- Na papieri v bezpečí, prístup, ku ktorému budete mať vy a vaša rodina (nie je vhodné pre heslá, ktoré sú potrebné často používať).
- Databáza hesiel offline (napríklad Keepass), uložená na odolnom akumulátore informácií a niekde duplikát v prípade straty.
Optimálna kombinácia všetkých vyššie uvedených je nasledujúci prístup: najdôležitejšie heslá (hlavný e-mail, s ktorým môžete obnoviť iné účty, banku atď.P.) uložené v hlave a (alebo) na papieri na spoľahlivom mieste. Menej dôležité a zároveň sa často používajú.
Ďalšie informácie
Dúfam, že kombinácia dvoch článkov na tému hesiel pre niektorých z vás pomohla venovať pozornosť niektorým aspektom bezpečnosti, o ktorých ste nepremýšľali. Samozrejme som nezohľadnil všetky možné možnosti, ale jednoduché logika a porozumenie zásadám pomôže nezávisle rozhodnúť sa, ako bezpečné to, čo robíte v konkrétnom okamihu. Opäť niektoré z uvedených a niekoľko ďalších bodov:
- Používajte rôzne heslá pre rôzne stránky.
- Heslá by mali byť ťažké, ťažkosti môžete silne zvýšiť zvýšením dĺžky hesla.
- Pri vytváraní samotného hesla nepoužívajte osobné údaje (ktoré zistíte).
- Použite dve -stupňové overenie, kde je to možné.
- Nájdite optimálny spôsob bezpečného ukladania hesiel.
- Strach z phishingu (skontrolujte adresy stránok, dostupnosť šifrovania) a špionážnych programov. Kdekoľvek požiadajú o zadanie hesla, skontrolujte, či ho skutočne zadáte na správnej webovej stránke. Uistite sa, že v počítači nie je škodlivý.
- Ak je to možné, nepoužívajte svoje heslá na počítačoch iných ľudí (ak je to potrebné, urobte to v režime „Incognito“ a získajte ich ešte lepšie z klávesnice obrazovky), vo verejných otvorených sieťach Wi-Fi, najmä ak neexistuje šifrovanie HTTPS pri pripojení k stránke.
- Možno by ste nemali ukladať najdôležitejšie, skutočne predstavujúce životnú hodnotu, heslá na počítači alebo online.
Niečo také. Myslím, že sa mi podarilo zvýšiť stupeň paranoja. Chápem, že väčšina opísaných sa zdá byť nepohodlné, myšlienky môžu vzniknúť ako „dobre, obíde ma“, ale jediné odôvodnenie lenivosti pri sledovaní jednoduchých bezpečnostných pravidiel pri ukladaní dôverných informácií môže byť iba absenciou jeho dôležitosti a vašej pripravenosti za to, že sa stane majetkom tretích strán.
- « Spoločnosť Microsoft vydala nástroj na blokovanie aktualizácií systému Windows 10
- Otázky a odpovede týkajúce sa systému Windows 10 »