In hierdie artikel word bespreek hoe om 'n veilige wagwoord te skep, watter beginsels gevolg moet word by die skep daarvan, hoe om wagwoorde te stoor en die waarskynlikheid dat kwaadwillige gebruikers toegang tot u inligting en rekeninge sal verminder, tot die minimum beperk.
Hierdie materiaal is 'n voortsetting van die artikel "Hoe kan u wagwoord gekraak word" en impliseer dat u vertroud is met die materiaal wat daar aangebied word, of al die belangrikste maniere ken waarop wagwoorde in die gedrang kan kom.
Skep wagwoorde
Wanneer u vandag 'n internetrekening registreer en 'n wagwoord skep, sien u gewoonlik 'n aanduiding van wagwoordsterkte. Byna oral werk dit op grond van die volgende twee faktore: die wagwoordlengte; die teenwoordigheid van spesiale karakters, hoofletters en syfers in die wagwoord.
Ondanks die feit dat dit regtig belangrike parameters is van wagwoordweerstand teen kaping deur brute krag, is 'n wagwoord wat vir die stelsel betroubaar lyk, nie altyd so nie. Byvoorbeeld, 'n wagwoord soos "Pa $$ w0rd" (en hier is spesiale karakters en syfers) sal waarskynlik baie vinnig gekraak word - omdat mense (soos in die vorige artikel beskryf) selde unieke wagwoorde skep (minder as 50% van die wagwoorde is uniek) en die aangeduide opsie is waarskynlik reeds in die uitgelekte databasisse beskikbaar vir die aanvallers.
Hoe om te wees Die beste opsie is om wagwoordgenerators te gebruik (beskikbaar op die internet in die vorm van aanlynprogramme, sowel as in die meeste wagwoordbestuurders vir rekenaars), om lang ewekansige wagwoorde te skep met spesiale karakters. In die meeste gevalle sal 'n wagwoord van tien of meer van hierdie karakters eenvoudig nie vir die cracker belangstel nie (d.w.s. sy sagteware sal nie ingestel wees om sulke opsies te kies nie), omdat die tyd wat spandeer word, nie sal betaal nie. Onlangs het 'n ingeboude wagwoordgenerator in die Google Chrome-blaaier verskyn.
In hierdie metode is die grootste nadeel dat dit moeilik is om sulke wagwoorde te onthou. As u die wagwoord in gedagte moet hou, is daar 'n ander opsie, gebaseer op die feit dat 'n wagwoord van tien karakters met hoofletters en spesiale karakters gekraak word deur die tel van duisende of meer (spesifieke getalle hang af van 'n geldige karaktersysteem) keer makliker dan 'n wagwoord van 20 karakters wat slegs Latynse karakters met klein letters bevat (selfs as die cracker daarvan weet).
Dus, 'n wagwoord wat bestaan uit 3-5 eenvoudige ewekansige Engelse woorde, is maklik om te onthou en byna onmoontlik om te kraak. En nadat ons elke woord met 'n hoofletter geskryf het, verhoog ons die aantal opsies na die tweede graad. As dit 3-5 Russiese woorde sal wees (weer willekeurig, eerder as name en datums) wat in die Engelse uitleg geskryf is, word die hipotetiese moontlikheid van gesofistikeerde metodes om woordeboeke te gebruik om wagwoordkeuse te kies, ook verwyder.
Miskien is daar geen definitiewe korrekte benadering tot die skep van wagwoorde nie: in verskillende metodes is daar voordele en nadele (wat verband hou met die vermoë om dit te onthou, betroubaarheid en ander parameters), maar die basiese beginsels is soos volg:
- Die wagwoord moet uit 'n beduidende aantal karakters bestaan. Die algemeenste beperking vandag is 8 karakters. En dit is nie genoeg as u 'n veilige wagwoord benodig nie.
- As dit moontlik is, moet spesiale karakters, hoofletters en kleinletters in die wagwoord ingesluit word.
- Moet nooit persoonlike data in die wagwoord insluit nie, selfs nie met 'n “moeilike” metode nie. Geen datums, name en van nie. Byvoorbeeld, die breek van 'n wagwoord wat enige datum van die moderne Juliaanse kalender van die 0de jaar tot die hedendaagse tyd (van die 18 Julie 2015 of 18072015, ens.) Voorstel, sal van sekondes tot ure duur (en selfs dan sal die klok slegs uitstel weens vertragings tussen pogings vir sommige gevalle).
U kan kyk hoe sterk u wagwoord op die webwerf is (alhoewel u wagwoorde op sommige webwerwe invul, veral sonder https, is dit nie die veiligste praktyk nie) //rumkin.com/tools/password/passchk.php. As u nie u regte wagwoord wil verifieer nie, voer 'n soortgelyke een (van dieselfde aantal karakters en met dieselfde stel karakters) in om 'n idee te kry van die sterkte daarvan.
In die proses om karakters in te voer, bereken die diens die entropie (voorwaardelik is die aantal opsies vir entropie 10 bis, die aantal opsies is 2 tot die tiende krag) vir 'n gegewe wagwoord en bied hulp met die betroubaarheid van verskillende waardes. Wagwoorde met 'n entropie van meer as 60 is amper onmoontlik om te kraak selfs tydens die doelgerigte seleksie.
Moenie dieselfde wagwoorde vir verskillende rekeninge gebruik nie
As u 'n wonderlike, ingewikkelde wagwoord het, maar u gebruik dit waar u ook al kan, word dit outomaties heeltemal onbetroubaar. Sodra hackers by enige van die webwerwe inbreek waar u so 'n wagwoord gebruik en toegang daartoe verkry, moet u seker wees dat dit onmiddellik getoets word (outomaties, met behulp van spesiale sagteware) op alle ander gewilde e-pos, speletjies, sosiale dienste, en miskien selfs Aanlyn banke (maniere om te sien of u wagwoord reeds gelek het, word aan die einde van die vorige artikel gegee).
Die unieke wagwoord vir elke rekening is moeilik, dit is ongerieflik, maar dit is nodig as hierdie rekeninge ten minste vir u van belang is. Alhoewel, vir sommige registrasies wat geen waarde vir u het nie (dit wil sê, u is bereid om dit te verloor en nie bekommerd is nie) en nie persoonlike inligting bevat nie, kan u nie uithaal met unieke wagwoorde nie.
Tweefaktor-verifikasie
Selfs sterk wagwoorde waarborg nie dat niemand by u rekening kan aanmeld nie. Die wagwoord kan op die een of ander manier gesteel word (uitvissing, byvoorbeeld as die mees algemene opsie) of van u verkry word.
Byna al die groot aanlynondernemings, waaronder Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam en ander, het sedert relatief onlangs die moontlikheid bygevoeg om verifikasie van twee faktore (of tweestap) in rekeninge moontlik te maak. En as sekuriteit vir u belangrik is, beveel ek dit aan.
Die implementering van twee-faktor-verifikasie werk effens anders vir verskillende dienste, maar die basiese beginsel is soos volg:
- As u vanaf 'n onbekende toestel by u rekening aanmeld, word u gevra om 'n ekstra tjek na te gaan nadat u die regte wagwoord ingevul het.
- Die tjek vind plaas met behulp van die SMS-kode, 'n spesiale toepassing op die slimfoon, met behulp van vooraf voorbereide gedrukte kodes, 'n e-posboodskap, 'n hardeware-sleutel (die laaste opsie kom van Google; hierdie maatskappy is gewoonlik 'n leier in terme van twee-faktor-verifikasie).
Dus, selfs as 'n aanvaller u wagwoord uitgevind het, sou hy nie by u rekening kon aanmeld sonder toegang tot u toestelle, telefoon, e-pos nie.
As u nie ten volle begryp hoe tweefaktor-verifikasie werk nie, beveel ek aan dat u artikels op die internet lees oor hierdie onderwerp of beskrywings en riglyne vir optrede op die werwe self, waar dit geïmplementeer word (ek sal net nie gedetailleerde instruksies in hierdie artikel kan insluit nie).
Wagwoordberging
Gesofistikeerde unieke wagwoorde vir elke webwerf is wonderlik, maar hoe stoor ek dit? Dit is onwaarskynlik dat al hierdie wagwoorde in gedagte gehou kan word. Om gestoorde wagwoorde in 'n blaaier te stoor, is 'n riskante onderneming: dit raak nie net meer kwesbaar vir ongemagtigde toegang nie, maar kan eenvoudig verlore gaan in geval van 'n stelselstorting en as sinchronisasie gedeaktiveer word.
Die beste oplossing word as wagwoordbestuurders beskou, wat in die algemeen programme is wat al u geheime data in 'n geënkripteerde veilige berging (beide vanlyn en aanlyn) stoor, wat toegang verkry met behulp van een hoofwagwoord (u kan ook twee-faktor-verifikasie aktiveer). Die meeste van hierdie programme is ook toegerus met instrumente om wagwoordsterkte te genereer en te evalueer.
Ek het 'n paar jaar gelede 'n aparte artikel oor Best Password Managers geskryf (dit is die moeite werd om dit te herskryf, maar u kan 'n idee kry van wat dit is en watter programme uit die artikel gewild is). Sommige verkies eenvoudige vanlynoplossings, soos KeePass of 1Password, wat al die wagwoorde op u toestel stoor, ander verkies meer funksionele hulpprogramme wat ook sinchronisasievermoë bied (LastPass, Dashlane).
Bekende wagwoordbestuurders word oor die algemeen beskou as 'n baie veilige en betroubare manier om dit op te slaan. Dit is egter die moeite werd om 'n paar besonderhede te oorweeg:
- Om al u wagwoorde te bekom, hoef u slegs een hoofwagwoord te ken.
- In die geval van aanlyn-berging (letterlik 'n maand gelede is die gewildste LastPass-wagwoordbestuurdiens in die wêreld gekap), moet u al u wagwoorde verander.
Hoe anders kan ek my belangrike wagwoorde stoor? Hier is 'n paar opsies:
- Op papier in 'n kluis waartoe u en u familielede toegang sal hê (nie geskik vir wagwoorde wat gereeld gebruik moet word nie).
- 'N Aflyn wagwoorddatabasis (byvoorbeeld KeePass) wat op 'n langtermyn-opbergtoestel gestoor is en êrens gedupliseer word in geval van verlies.
Die optimale kombinasie van bogenoemde is na my mening die volgende benadering: die belangrikste wagwoorde (die belangrikste e-pos waarmee u ander rekeninge, bank, ens. Kan herstel) word in die kop en (of) op 'n veilige plek op papier gestoor. Minder belangrike en terselfdertyd dikwels gebruikte programme moet aan wagwoordbestuurderprogramme toegewys word.
Bykomende inligting
Ek hoop dat 'n kombinasie van twee artikels oor wagwoorde sommige van u gehelp het om aandag te gee aan sekere aspekte van sekuriteit waaraan u nie gedink het nie. Natuurlik het ek nie alle moontlike opsies in ag geneem nie, maar 'n eenvoudige logika en 'n mate van begrip van die beginsels sal my help om te besluit hoe veilig u op 'n spesifieke oomblik doen. Weereens, enkele genoemde en 'n paar bykomende punte:
- Gebruik verskillende wagwoorde vir verskillende webwerwe.
- Wagwoorde moet ingewikkeld wees, en u kan die kompleksiteit die beste verhoog deur die lengte van die wagwoord te vergroot.
- Moenie persoonlike inligting (wat u kan uitvind) gebruik wanneer u die wagwoord self skep nie, wenke daarvoor, sekuriteitsvrae vir herstel.
- Gebruik waar moontlik twee-stap-verifikasie.
- Vind die beste manier om wagwoorde veilig te stoor.
- Wees versigtig vir phishing (kyk na webadres, kodering) en spyware. Waar u ook al gevra word om 'n wagwoord in te voer, kyk of u dit regtig op die regte webwerf invoer. Hou u rekenaar vry van wanware.
- Moenie u wagwoorde op ander mense se rekenaars gebruik nie (indien nodig, doen dit in die "incognito" -modus van die blaaier, en selfs beter van die skermsleutelbord af), in openbare oop Wi-Fi-netwerke, veral as daar geen https-kodering is wanneer u aan die webwerf koppel nie .
- Miskien moet u nie die belangrikste wagwoorde op 'n rekenaar of aanlyn stoor wat regtig waardevol is nie.
Iets soos dit. Ek dink ek het daarin geslaag om die mate van paranoia te verhoog. Ek verstaan dat baie van die dinge wat beskryf word, ongemaklik lyk; gedagtes soos 'wel, dit sal my omseil', maar die enigste verskoning vir luiheid as u eenvoudige veiligheidsreëls volg by die bewaring van vertroulike inligting, kan slegs die gebrek aan die belangrikheid daarvan en u gereedheid om dat dit die eiendom van derdes sal word.