Seguridad ng password

Tatalakayin ng artikulong ito kung paano lumikha ng isang secure na password, kung anong mga prinsipyo ang dapat sundin kapag nililikha ang mga ito, kung paano mag-imbak ng mga password at i-minimize ang pagkakataon ng mga manlolupot na ma-access ang iyong impormasyon at mga account.

Ang materyal na ito ay isang pagpapatuloy ng artikulong "Kung paano ma-hack ang iyong password" at nagpapahiwatig na pamilyar ka sa materyal na ipinakita doon, at kung wala iyon, alam mo ang lahat ng mga pangunahing paraan kung saan maaaring ikompromiso ang mga password.

Lumikha ng mga password

Ngayon, kapag nagrerehistro ng anumang Internet account, ang paglikha ng isang password, karaniwang makikita mo ang tagapagpahiwatig ng lakas ng password. Halos saanman ito gumagana batay sa pagtatasa ng sumusunod na dalawang salik: ang haba ng password; ang pagkakaroon ng mga espesyal na character, malalaking titik at numero sa password.

Sa kabila ng katotohanan na ang mga ito ay talagang mahalagang mga parameter ng paglaban sa password sa pag-crack sa pamamagitan ng malupit na puwersa, ang isang password na mukhang malakas ay hindi palaging ang kaso. Halimbawa, ang isang password tulad ng "Pa $$ w0rd" (at narito ang mga espesyal na character at numero) ay malamang na maging mabilis na basag - dahil sa ang katunayan na (tulad ng inilarawan sa nakaraang artikulo) ang mga tao ay bihirang lumikha ng mga natatanging mga password (mas mababa sa 50% ng mga password ay natatangi) at ang pagpipiliang ito ay malamang na umiiral sa leaked database na may mga intruder.

Paano magiging? Ang pinakamahusay na pagpipilian ay ang paggamit ng mga generators ng password (magagamit sa Internet sa anyo ng mga online na kagamitan, pati na rin sa karamihan sa mga tagapamahala ng password ng computer), na lumilikha ng mahabang random na mga password gamit ang mga espesyal na character. Sa karamihan ng mga kaso, ang isang password ng 10 o higit pang mga naturang character ay hindi magiging interesado sa hacker (ibig sabihin, ang kanyang software ay hindi mai-configure upang piliin ang mga naturang pagpipilian) dahil sa ang katunayan na ang mga gastos sa oras ay hindi nagbabayad. Kamakailan lamang, lumitaw ang built-in na generator ng password sa Google Chrome browser.

Sa ganitong paraan, ang pangunahing sagabal ay ang mga password na ito ay mahirap matandaan. Kung kailangan mo ng isang password sa iyong ulo, may isa pang pagpipilian, batay sa katunayan na ang isang password ng 10 character, na naglalaman ng mga malalaking titik at mga espesyal na character, ay na-crack ng isang malupit na puwersa ng libu-libo o higit pa (tiyak na mga numero depende sa pinahihintulutang hanay ng character), kaysa sa isang password ng 20 character, na naglalaman lamang ng maliit na latin character (kahit na ang magsasalakay alam tungkol dito).

Kaya, ang isang password na binubuo ng 3-5 simpleng random na mga salitang Ingles ay madaling maalala at halos imposible na i-crack. At isinulat ang bawat salita na may isang malaking letra, binago namin ang bilang ng mga pagpipilian sa ikalawang antas. Kung ang mga ito ay 3-5 Russian na salita (muli, random, ngunit hindi mga pangalan at petsa) na nakasulat sa layout ng Ingles, ang hypothetical posibilidad ng sopistikadong mga pamamaraan ng paggamit ng mga diksyunaryo para sa pagpili ng isang password ay inalis din.

Talagang walang tamang paraan ang paglikha ng mga password: may mga pakinabang at disadvantages sa iba't ibang paraan (may kaugnayan sa kakayahang matandaan ito, pagiging maaasahan at iba pang mga parameter), ngunit ang mga pangunahing mga prinsipyo ay ang mga sumusunod:

• Ang password ay dapat na binubuo ng isang makabuluhang bilang ng mga character. Ang pinaka-karaniwang paghihigpit sa ngayon ay 8 character. At hindi ito sapat kung kailangan mo ng isang secure na password.
• Kung maaari, isama ang mga espesyal na character, upper at lower case letter, numero sa password.
• Huwag isama ang personal na data sa iyong password, kahit na ito ay nakasulat sa tila matalino na paraan. Walang mga petsa, mga pangunang pangalan at apelyido. Halimbawa, ang paglabag sa isang password na kumakatawan sa anumang petsa ng modernong kalendaryo ng Julian mula 0 hanggang ika-taon hanggang ngayon (tulad ng 07/18/2015 o 18072015, atbp.) Ay kukuha mula sa mga segundo hanggang oras (at ang orasan ay makukuha lamang dahil sa mga pagkaantala sa pagitan ng mga pagtatangka para sa ilang mga kaso).

Maaari mong suriin kung gaano malakas ang iyong password sa site (bagaman ang pagpasok ng mga password sa ilang mga site, lalo na walang https, ay hindi ang pinakaligtas na kasanayan) //rumkin.com/tools/password/passchk.php. Kung hindi mo nais na suriin ang iyong tunay na password, ipasok ang isang katulad (mula sa parehong bilang ng mga character at may parehong hanay ng mga character) upang makakuha ng isang ideya ng pagiging maaasahan nito.

Sa kurso ng pagpasok ng mga character, kinakalkula ng serbisyo ang entropy (kondisyonal, ang bilang ng mga opsyon, para sa entropy ay 10 bits, ang bilang ng mga opsyon ay 2 sa ikasampung lakas) para sa isang ibinigay na password at nagbibigay ng impormasyon sa pagiging maaasahan ng iba't ibang mga halaga. Ang mga password na may isang entropy na higit sa 60 ay halos imposible upang i-crack kahit na sa panahon ng naka-target na pagpipilian.

Huwag gamitin ang parehong mga password para sa iba't ibang mga account.

Kung mayroon kang isang mahusay na komplikadong password, ngunit ginagamit mo ito hangga't maaari, awtomatiko itong nagiging ganap na hindi kapani-paniwala. Sa sandaling masira ang mga hack sa alinman sa mga site kung saan mo ginagamit ang isang password at makakuha ng access dito, maaari mong siguraduhin na agad itong nasubukan (awtomatikong, gamit ang espesyal na software) sa lahat ng iba pang mga popular na email, paglalaro, mga serbisyong panlipunan, at marahil online na mga bangko (Mga paraan upang makita kung ang iyong password ay na-leaked ay nakalista sa dulo ng nakaraang artikulo).

Ang isang natatanging password para sa bawat account ay mahirap, ito ay hindi maginhawa, ngunit ito ay kinakailangan kung ang mga account na ito ay anumang kahalagahan sa iyo. Kahit na, para sa ilang mga pagrerehistro na walang halaga para sa iyo (ibig sabihin, handa ka na mawala ang mga ito at hindi mag-alala) at hindi naglalaman ng personal na impormasyon, hindi mo maaaring pilasin ang iyong sarili ng mga natatanging password.

Dalawang-factor na pagpapatotoo

Kahit na ang mga strong password ay hindi ginagarantiyahan na walang sinuman ang makakapasok sa iyong account. Maaari kang magnakaw ng isang password sa isang paraan o isa pa (halimbawa, phishing, bilang ang pinaka-madalas na pagpipilian) o kumuha ito mula sa iyo.

Halos lahat ng mga seryosong online na kumpanya kabilang ang Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam at iba pa ay nagdagdag kamakailan ng kakayahan upang paganahin ang dalawang-factor (o dalawang-hakbang na) authentication sa kanilang mga account. At, kung ang kaligtasan ay mahalaga sa iyo, lubos kong inirerekumenda ang pagsasama nito.

Ang pagpapatupad ng dalawang-factor na pagpapatunay ay bahagyang naiiba para sa iba't ibang mga serbisyo, ngunit ang pangunahing alituntunin ay ang mga sumusunod:

1. Kapag nagpapasok ng account mula sa isang hindi kilalang aparato, pagkatapos maipasok ang tamang password, hihilingin kang sumailalim sa karagdagang pagsubok.
2. Ang pagpapatunay ay nagaganap sa tulong ng isang SMS code, isang espesyal na application sa isang smartphone, sa pamamagitan ng naunang naka-print na mga code, isang E-mail na mensahe, isang hardware key (ang huling pagpipilian ay lumitaw sa Google, ang kumpanya na ito ay karaniwang ang pinakamahusay sa mga tuntunin ng dalawang-factor na pagpapatotoo).

Kaya, kahit na natutunan ng magsasalakay ang iyong password, hindi siya makakapag-log in sa iyong account nang walang pag-access sa iyong mga device, telepono, o e-mail.

Kung hindi mo lubos na nauunawaan kung paano gumagana ang dalawang-factor na pagpapatotoo, inirerekomenda ko ang mga artikulo sa pagbabasa sa Internet na nakatuon sa paksang ito o mga paglalarawan at mga alituntunin para sa aksyon sa mga site kung saan ipinatupad ito (hindi ko maipasama ang mga detalyadong tagubilin sa artikulong ito).

Imbakan ng password

Mahirap na natatanging mga password para sa bawat site - mahusay, ngunit kung paano i-imbak ang mga ito? Malamang na ang lahat ng mga password na ito ay maaaring malagay sa isip. Ang pag-iimbak ng naka-imbak na mga password sa browser ay isang peligrosong pagsisikap: hindi lamang sila nagiging mas mahina sa hindi awtorisadong pag-access, ngunit maaari lamang mawawala sa kaganapan ng isang pag-crash ng system at kapag naka-disable ang pag-synchronize.

Ang pinakamagandang solusyon ay itinuturing na mga tagapamahala ng password, sa pangkalahatan ay kumakatawan sa mga program na nag-iimbak ng lahat ng iyong lihim na data sa naka-encrypt na secure na repository (parehong offline at online), na na-access gamit ang isang master password (maaari mo ring paganahin ang dalawang-factor na pagpapatunay). Gayundin, ang karamihan sa mga programang ito ay nilagyan ng mga tool para sa pagbuo at pagtatasa ng pagiging maaasahan ng mga password.

Ilang taon na ang nakalilipas, nagsulat ako ng isang magkahiwalay na artikulo tungkol sa Pinakamahusay na Tagapangasiwa ng Password (ito ay nagkakahalaga ng muling pagsusulat, ngunit maaari kang makakuha ng ideya kung ano ito at kung ano ang mga programa ay popular mula sa artikulo). Mas gusto ng ilan ang mga simpleng offline na solusyon, tulad ng KeePass o 1Password, na nag-iimbak ng lahat ng mga password sa iyong device, iba pa - mas maraming mga functional na kagamitan na kumakatawan din sa mga kakayahan sa pag-synchronize (LastPass, Dashlane).

Ang mga kilalang tagapamahala ng password ay karaniwang itinuturing na isang napaka-ligtas at maaasahang paraan upang i-imbak ang mga ito. Gayunman, ito ay nagkakahalaga ng pagsasaalang-alang ng ilang mga detalye:

• Upang ma-access ang lahat ng iyong mga password kailangan mong malaman lamang ng isang master password.
• Sa kaso ng pag-hack ng online na imbakan (literal na isang buwan na ang nakakalipas, ang pinakasikat na serbisyo sa pamamahala ng password, LastPass, ay na-hack), kailangan mong baguhin ang lahat ng iyong mga password.

Paano pa mai-save mo ang iyong mahahalagang password? Narito ang ilang mga pagpipilian:

• Sa papel sa isang ligtas, pag-access kung saan ikaw at ang iyong mga miyembro ng pamilya ay magkakaroon (hindi angkop para sa mga password na madalas mong kailangang gamitin).
• Offline database ng password (halimbawa, KeePass) na naka-imbak sa isang matibay na data storage device at na-duplicate sa isang lugar sa kaso ng pagkawala.

Sa aking opinyon, ang pinakamahusay na kumbinasyon ng lahat ng bagay na inilarawan sa itaas ay ang sumusunod na paraan: ang pinakamahalagang mga password (ang pangunahing E-mail, kung saan maibabalik ang iba pang mga account, bangko, atbp.) Ay nakaimbak sa ulo at (o) sa papel sa isang ligtas na lugar. Hindi mahalaga at, kasabay nito, ang mga madalas na ginagamit ay dapat italaga sa mga tagapamahala ng password.

Karagdagang impormasyon

Umaasa ako na ang kumbinasyon ng dalawang artikulo sa mga password sa ilan sa inyo ay nakatulong upang maakit ang pansin sa ilang aspeto ng seguridad na hindi ninyo iniisip. Siyempre, hindi ko isinasaalang-alang ang lahat ng mga posibleng pagpipilian, ngunit ang simpleng lohika at ang ilang pag-unawa sa mga prinsipyo ay tutulong sa aking sarili na magpasya kung gaano kaligtas ang iyong ginagawa sa isang partikular na sandali. Muli, ang ilang nabanggit at ilang karagdagang mga punto:

• Gumamit ng iba't ibang mga password para sa iba't ibang mga site.
• Ang mga password ay dapat kumplikado, ang pinakamahirap ay upang madagdagan ang pagiging kumplikado sa pamamagitan ng pagtaas ng haba ng password.
• Huwag gumamit ng personal na data (na maaari mong malaman) kapag nililikha ang password mismo, mga pahiwatig nito, mga tanong sa pagsubok para sa pagbawi.
• Gumamit ng dalawang-hakbang na pagpapatotoo kung saan maaari.
• Hanapin ang pinakamahusay na paraan upang mapanatiling ligtas ang iyong mga password.
• Maging maingat sa phishing (tingnan ang mga address ng mga site, ang presensya ng pag-encrypt) at spyware. Hangga't hihilingin ang mga ito na magpasok ng isang password, suriin kung talagang pinapasok mo ito sa tamang site. Tiyakin na walang malware sa computer.
• Kung maaari, huwag gamitin ang iyong mga password sa mga computer ng ibang tao (kung kinakailangan, gawin ito sa mode ng incognito ng browser, o mas mahusay, gamitin ang on-screen na keyboard), sa mga bukas na pampublikong mga network ng Wi-Fi, lalo na kung wala kang pag-encrypt ng https kapag kumunekta sa site .
• Marahil hindi mo dapat iimbak ang pinakamahalaga, tunay na mahalaga, mga password sa isang computer o online.

Isang bagay na katulad nito. Sa palagay ko nakuha ko ang antas ng paranoya. Naiintindihan ko na ang karamihan sa mga nasa itaas ay tila mahirap, ang mga saloobing tulad ng "maayos, ito ay lalampas sa akin" ay maaaring lumabas, ngunit ang tanging dahilan para sa pagiging tamad kapag sumusunod sa simpleng mga panuntunan sa kaligtasan para sa pagtatag ng kumpidensyal na impormasyon ay maaari lamang itong kakulangan ng kahalagahan at ang iyong pagiging handa sa na ito ay magiging pag-aari ng mga ikatlong partido.

Panoorin ang video: Validar seguridad de campo de password básico con jQuery (Abril 2024).