Par paroles drošību

Šajā rakstā tiks runāts par to, kā izveidot drošu paroli, kādiem principiem vajadzētu ievērot tos, veidojot tos, kā uzglabāt paroles un samazināt uzbrucēju piekļuves iespējamību jūsu informācijai un kontiem.

Šis materiāls ir turpinājums rakstam “Kā jūsu parole var uzlauzt” un nozīmē, ka jūs esat pazīstams ar tur iesniegto materiālu vai jau zināt visus galvenos ceļus, ar kuriem var apdraudēt paroles.

Paroļu izveidošana

Šodien, reģistrējot jebkuru interneta kontu, izveidojot paroli, jūs parasti redzat paroles uzticamības indikatora indikatoru. Gandrīz visur, kur tas darbojas, pamatojoties uz šādu divu faktoru novērtējumu: paroles garums; Īpašo rakstzīmju, lielo burtu un ciparu klātbūtne parolē.

Neskatoties uz to, ka šie ir patiešām svarīgi paroles stabilitātes parametri uz uzlaušanas metodi par izpildes metodi, parole, kas sistēmai šķiet ticama, ne vienmēr ir tāda pati. Piemēram, tāda parole kā "Pa $ $ w0rd" (un šeit ir īpaši simboli un cipari), visticamāk, tiks uzlauzta ļoti ātri - tāpēc, ka (kā aprakstīts iepriekšējā rakstā), cilvēki reti rada unikālu paroles (mazāk nekā 50% no paroles ir unikālas), un norādītā opcija ar lielu varbūtību jau ir plūstošajās bāzēs, kas ir pieejamas uzbrucējiem.

Kā būt? Labākais risinājums ir izmantot paroļu ģeneratorus (internetā ir tiešsaistes utilītas, kā arī lielākajā daļā datora paroļu pārvaldītāju), izveidojot garas nejaušas paroles, izmantojot īpašas rakstzīmes. Vairumā gadījumu parole 10 vai vairāk šādus simbolus vienkārši neinteresē krekeru (t.E. Tās programmatūra netiks konfigurēta šādu opciju izvēlei) tāpēc, ka iztērētais laiks netiks atmaksāts. Nesen būvētais paroļu ģenerators parādījās pārlūkā Google Chrome.

Šajā metodē galvenais trūkums ir tāds, ka šādas paroles ir grūti atcerēties. Ja ir nepieciešams turēt paroli galvā, ir vēl viena opcija, kuras pamatā ir fakts, ka tūkstošiem vai vairāk (konkrētie skaitļi ir atkarīgi no pieļaujamās kopas, kas ir 10 rakstzīmju, kas satur lielos burtus un īpašus simbolus simboli) laiki, vieglāk, tas ir vieglāk, tas ir vieglāk. nekā 20 rakstzīmju parole, kas satur tikai mazos latīņu simbolus (pat ja krekeris par to zina).

Tādējādi paroli, kas sastāv no 3-5 vienkāršiem nejaušiem angļu vārdiem. Un, uzrakstot katru vārdu ar nosaukuma vēstuli, mēs otrajā pakāpē uzcelsim opciju skaitu. Ja šie ir 3-5 krievu vārdi (atkal nejauši, nevis vārdi un datumi), kas rakstīti angļu valodā, tiek noņemta arī izsmalcinātu vārdnīcu izmantošanas metožu hipotētiska iespēja paroļu izvēlei.

Varbūt, iespējams, nav pareizas pieejas paroļu izveidošanai: dažādos veidos ir priekšrocības un trūkumi (saistīti ar spēju to atcerēties, uzticamību un citus parametrus), bet pamatprincipi izskatās šādi:

• Parolei vajadzētu būt ievērojamam skaitam rakstzīmju. Visizplatītākais ierobežojums šodien ir 8 rakstzīmes. Un ar to nepietiek, ja jums nepieciešama droša parole.
• Ja iespējams, parolē, kapitāla un lielie burti, cipari jāiekļauj īpašus simbolus parolē, kapitālā un lielos burtos.
• Nekad neiekļaujiet personas datus parolē, pat tos ierakstījis šķietami "viltīgie" veidi. Nav datumu, vārdu un uzvārdu. Piemēram, uzlaušanas parole ir jebkurš mūsdienu Džuliana kalendāra datums no 0. gada un līdz šai dienai (18. tips.07.2015 vai 18072015 un T.Pūtīt.) prasīs no sekundēm līdz stundām (un tad pulkstenis izrādīsies tikai tāpēc, ka dažos gadījumos ir kavēšanās starp mēģinājumiem).

Jūs varat pārbaudīt, cik uzticama ir jūsu parole vietnē (lai gan paroles dažās vietnēs ievadīšana, it īpaši bez https, nav drošākā prakse) http: // rumkin.Com/rīki/parole/passchk.Php. Ja nevēlaties pārbaudīt savu reālo paroli, ievadiet līdzīgu (no tā paša rakstzīmju skaita un ar to pašu komplektu), lai iegūtu priekšstatu par tā uzticamību.

Ievades simbolu laikā pakalpojums aprēķina entropiju (nosacīti, opciju skaits, kas paredzēts 10 bitu entropijai, ir 2 desmitajā pakāpē) par paroli un sniedz sertifikātu par dažādu vērtību uzticamību. Paroles ar entropiju vairāk nekā 60 ir gandrīz neiespējami uzlauzt pat mērķa atlases laikā.

Nelietojiet vienas un tās pašas paroles dažādiem kontiem

Ja jums ir lieliska sarežģīta parole, bet jūs to izmantojat, kur vien iespējams, tā automātiski kļūst pilnīgi uzticama. Tiklīdz hakeri uzlauž kādu no vietnēm, kur jūs izmantojat šādu paroli, un piekļūstiet tai piekļuvi, pārliecinieties, ka tā tiks nekavējoties pārbaudīta (automātiski, izmantojot īpašu programmatūru) uz visiem citiem populārajiem pasta, spēlēm, sociālajiem pakalpojumiem un, iespējams, iekšā Tiešsaistes bankas (veidi, kā redzēt, vai jūsu parole jau tiek vadīta iepriekšējā raksta beigās).

Katra konta unikāla parole ir sarežģīta, tā ir neērta, taču ir nepieciešams, ja šie konti jums ir vismaz zināma nozīme. Lai gan dažām reģistrācijām, kurām jums nav vērtības (tas ir, jūs esat gatavs tās pazaudēt un neuztraucaties) un nesaturat personisko informāciju, jūs nevarat saspringt ar unikālām parolēm.

Divu faktoru autentifikācija

Pat uzticamas paroles negarantē, ka neviens nevar ievadīt jūsu kontu. Paroli var nozagt vienā vai otrā veidā (pikšķerēšana, piemēram, kā visizplatītākā iespēja) vai uzzināt no jums.

Gandrīz visi nopietnie tiešsaistes uzņēmumi, ieskaitot Google, Yandex, Mail.Ru, kontaktā, Microsoft, Dropbox, LastPass, Steam un citi ir pievienojuši iespēju kontos iekļaut divu faktoru (vai divu stikla) ​​autentifikāciju. Un, ja drošība jums ir svarīga, es ļoti iesaku to iekļaut.

Divu faktoru autentifikācijas ieviešana dažādiem pakalpojumiem ir nedaudz atšķirīga, bet pamatprincips izskatās šādi:

1. Pēc ieejas kontā no nezināmas ierīces, pēc pareizās paroles ievadīšanas jums tiek lūgts veikt papildu čeku.
2. Pārbaude notiek, izmantojot SMS kodu, īpašu lietojumprogrammu viedtālrunī, izmantojot iepriekš sagatavotus drukātus kodus, e-pastu, aparatūras atslēgu (pēdējā opcija, kas parādīta Google, parasti ir priekšrocība, kas attiecas uz divu faktoru autentifikāciju).

Tādējādi, pat ja uzbrucējs atpazina jūsu paroli, viņš nevarēs doties uz jūsu kontu bez piekļuves jūsu ierīcēm, tālrunim, E -Mail.

Ja jūs pilnībā nesaprotat, kā darbojas divu faktoru autentifikācija, es iesaku lasīt rakstus internetā, kas veltīts šai tēmai, vai apraksti un norādījumi darbībai pašās vietnēs, kur tā tiek ieviesta (es šajā rakstā nevaru iekļaut detalizētas instrukcijas ).

Paroli

Katras vietnes sarežģītas unikālas paroles ir lieliskas, bet kā tās uzglabāt? Maz ticams, ka visas šīs paroles var paturēt prātā. Saglabāto paroļu glabāšana pārlūkprogrammā ir riskants uzņēmums: tās ne tikai kļūst neaizsargātākas pret neatļautu piekļuvi, bet arī var vienkārši zaudēt sistēmas kļūmes gadījumā un ja sinhronizācija tiek izslēgta.

Paroļu pārvaldītāji tiek uzskatīti par labāko risinājumu, vispārīgi pārstāvot programmas, kas visus jūsu slepenos datus glabā šifrētā drošā krātuvē (gan bezsaistē, gan tiešsaistē), kurām piekļūst, izmantojot vienu galveno nosacīto nosacījumu (varat papildus iekļaut divu faktoru autentifikāciju). Lielākā daļa šo programmu ir aprīkota arī ar ģenerēšanas rīkiem un paroles uzticamības novērtēšanu.

Pirms pāris gadiem es uzrakstīju atsevišķu rakstu par labākajiem paroļu pārvaldītājiem (tas būtu jāpārraksta, bet iegūstu priekšstatu par to, kas tas ir un kādas programmas var būt populāras no raksta). Daži dod priekšroku vienkāršiem bezsaistes risinājumiem, piemēram, Keepass vai 1Password, visu jūsu ierīces paroļu glabāšanai, citi ir funkcionālāki utilītas, kas atspoguļo arī sinhronizācijas iespējas (LastPass, Dašlāns).

Slavenie paroļu vadītāji parasti tiek uzskatīti par ļoti drošu un uzticamu to glabāšanas veidu. Tomēr ir vērts apsvērt dažas detaļas:

• Lai piekļūtu visām jūsu parolēm, jums jāzina tikai viena galvenā nosacīta pamatne.
• Tiešsaistes krātuves uzlaušanas gadījumā (tikai pirms mēneša, vispopulārākais LastPass paroļu pārvaldības pakalpojums pasaulē) jums būs jāmaina visas jūsu paroles.

Kā citādi jūs varat saglabāt savas svarīgās paroles? Šeit ir pāris iespējas:

• Uz papīra drošā piekļuve, kurai jums un jūsu ģimenei būs (nav piemēroti parolēm, kuras bieži ir vajadzīgas).
• Bezsaistes paroļu datu bāze (piemēram, Keepass), saglabāta uz izturīgas informācijas akumulatora un zaudējumu gadījumā kaut kur dublēta.

Visu iepriekš minēto optimālā kombinācija ir šāda pieeja: vissvarīgākās paroles (galvenais e-pasts, ar kuru varat atjaunot citus kontus, banku utt.Pūtīt.) glabā galvā un (vai) uz papīra uzticamā vietā. Mazāk svarīgs un tajā pašā laikā bieži tiek izmantots programmām - paroļu pārvaldītājiem.

Papildus informācija

Es ceru, ka dažu no jums divu rakstu kombinācija par paroļu tēmu palīdzēja pievērst uzmanību dažiem drošības aspektiem, par kuriem jūs nedomājāt. Protams, es neesmu ņēmis vērā visas iespējamās iespējas, bet vienkārša loģika un zināma principu izpratne palīdzēs patstāvīgi izlemt, cik droši jūs darāt noteiktā brīdī. Vēlreiz daži no minētajiem un vairākiem papildu punktiem:

• Izmantojiet dažādas paroles dažādām vietnēm.
• Parolēm jābūt sarežģītām, jūs varat stingri palielināt grūtības, palielinot paroles garumu.
• Nelietojiet personas datus (ko varat uzzināt), izveidojot pašu paroli, norādot uz tiem, kontrolējiet jautājumus atjaunošanai.
• Izmantojiet divu stikla autentifikāciju, kur tā ir iespējama.
• Atrodiet optimālu paroļu drošas glabāšanas veidu.
• Baidieties no pikšķerēšanas (pārbaudiet vietņu adreses, šifrēšanas pieejamību) un spiegu programmas. Lai kur viņi lūgtu ievadīt paroli, pārbaudiet, vai jūs to patiešām ievadāt pareizajā vietnē. Pārliecinieties, ka datorā nav kaitīga.
• Ja iespējams, nelietojiet savas paroles citu cilvēku datoros (ja nepieciešams, dariet to “inkognito” pārlūka režīmā un vēl labāk iegūstiet to no ekrāna tastatūras), publiskos atvērtos Wi-Fi tīklos, it īpaši, ja nav HTTPS šifrēšana, izveidojot savienojumu ar vietni.
• Varbūt jums nevajadzētu uzglabāt vissvarīgāko, patiešām attēlojot dzīves vērtību, paroles datorā vai tiešsaistē.

Kaut kas tamlīdzīgs. Es domāju, ka man izdevās paaugstināt zināmu paranoja pakāpi. Es saprotu, ka liela daļa aprakstīto šķiet neērtības, domas var rasties kā “labi, tas mani apiet”, bet vienīgais slinkuma pamatojums, ievērojot vienkāršus drošības noteikumus, glabājot konfidenciālu informāciju, var būt tikai tā nozīmes un jūsu gatavības neesamība par to, ka viņa kļūs par trešo personu īpašumu.