О безбедности лозинке
- 3154
- 262
- Levi Block
Овај чланак ће говорити о томе како да креирају сигурну лозинку, који би се принципи придржавао приликом стварања лозинке и минимизирајући вероватноћу приступа вашим информацијама и рачунима нападача.
Овај материјал је наставак чланка "Како ваша лозинка може да хакује" и подразумева да сте упознати са материјалом који је представљен тамо или већ знајте све главне стазе са којима се могу угрозити лозинке.
Стварање лозинки
Данас, када региструјете било који Интернет налог, креирање лозинке, обично видите индикатор индикатора поузданости лозинке. Скоро свуда ради на основу процене следећих два фактора: дужина лозинке; присуство посебних ликова, великих слова и бројева у лозинци.
Упркос чињеници да су то заиста важни параметри стабилности лозинке у методу хаковања извршења, лозинком, која изгледа поуздано према систему, није увек иста. На пример, лозинка попут "ПА $ $ В0РД" (а постоје посебни симболи и бројеви), највјероватније ће се врло брзо хаковати - због чињенице да (како је описано у претходном чланку), људи ретко стварају јединствене Лозинке (мање од 50% лозинки су јединствене) и одређена опција са високом вероватноћом већ је у току нападачима нападачи.
Како бити? Најбоља опција је да се користи генератори лозинке (на Интернету постоје интернет комуналне услуге, као и у већини менаџера лозинке за рачунар), стварајући дуге случајне лозинке користећи посебне знакове. У већини случајева лозинка од 10 или више таквих симбола једноставно неће бити од интереса за крекере (Т.е. Његов софтвер неће бити конфигурисан за избор таквих опција) због чињенице да се време проведено неће исплатити. Недавно изграђени генератор лозинке појавио се у претраживачу Гоогле Цхроме-а.
У овој методи главни недостатак је да се такве лозинке тешко памте. Ако постоји потреба за одржавањем лозинке у глави, постоји још једна опција на основу чињенице да је лозинка од 10 знакова капиталних слова и посебних симбола хако тражена хиљадама или више (одређени бројеви зависе од дозвољеног сета) Симболи) Времена лакше, лакше је, лакше је. Од лозинке од 20 знакова који садрже само малих латино-симбола (чак и ако крекер зна за то).
Дакле, лозинка која се састоји од 3-5 једноставних случајних енглеских речи биће лако памтити и готово немогуће хаковати. И писати сваку реч са насловом Писмо, постављамо број опција на други степен. Ако су ово 3-5 руских речи (поново насумично, а не имена и датуми) написана у енглеском језику, уклоњена је и хипотетичка могућност софистицираних метода коришћења речника за избор лозинки и такође.
Можда вероватно не постоји тачан приступ стварању лозинки: на разним начинима на који постоје предности и недостаци (у вези са способношћу да га се сети, поузданост и друге параметре), али основни принципи изгледају на следећи начин:
- Лозинка треба да се састоји од значајног броја знакова. Најчешће ограничење данас је 8 знакова. И то није довољно ако вам је потребна сигурна лозинка.
- Ако је могуће, треба да укључите посебне симболе у лозинку, капитал и велика слова, бројеве.
- Никада не укључују личне податке у лозинку, чак и забиљежени наизглед "лукавим" начинима вама. Нема датума, имена и презимена. На пример, хакирање лозинка је сваки датум модерног јулијског календара од 0 године и до данас (тип 18.Сензација.2015 или 18072015 и Т.П.) Узет ће од секунди до сати (а затим ће се сат испасти само због кашњења између покушаја неких случајева).
Можете да проверите колико је ваша лозинка поуздана на сајту (иако уносе лозинке на неким местима, посебно без ХТТПС-а није најсигурнија пракса) хттп: // Румкин.ЦОМ / Алати / Лозинка / Пассцхк.Пхп. Ако не желите да проверите своју праву лозинку, унесите сличан (од истог броја знакова и са истим сетом) да бисте добили представу о његовој поузданости.
У току улазних симбола, услуга израчунава ентропију (условно, број опција, за ентропију од 10 бита, број опција је 2 у десетом степену) за дату лозинку и даје потврду о поузданости различитих вредности. Лозинке са ентропијом више од 60 су готово немогуће хаковати чак и током циљаног избора.
Не користите исте лозинке за различите рачуне
Ако имате велику тешку лозинку, али користите га где год је то могуће, аутоматски постаје потпуно поуздан. Чим хакери хакују било коју од места где користите такву лозинку и приступите му, будите сигурни да ће бити одмах тестиран (аутоматски, коришћење посебног софтвера) на свим осталим популарним поштанским, играма, социјалним услугама и можда Интернетске банке (начини да видите да ли је ваша лозинка већ довела на крају претходног чланка).
Јединствена лозинка за сваки рачун је тешка, не може се значајно, али је потребно ако су ти рачуни барем одређени значај за вас. Иако за неке регистрације који немају вредност за вас (то јесте, спремни сте да их изгубите и нећете бринути) и не садржете личне податке, не можете да се оптерећујете јединственим лозинкама.
Две аутентификације
Чак и поуздане лозинке не гарантују да нико не може ући у ваш рачун. Лозинка се може украсти на овај или онај начин (на пример, на пример, као најчешћа опција) или сазнајте од вас.
Скоро све озбиљне мрежне компаније, укључујући Гоогле, Иандек, пошту.Ру, у контакту, Мицрософт, Дропсбок, ЛастПасс, Стеам и други додали су могућност укључивања два -Фацтор (или два -Свајте) аутентификације на рачуне. И ако вам је сигурност важна, топло је препоручујем да га укључи.
Примена две аутентификације са два -Фацтор-а је нешто другачија за различите услуге, али основни принцип изгледа на следећи начин:
- На улазу на рачун са непознатог уређаја, након уноса исправне лозинке, од вас ће се тражити да прођете додатни чек.
- Провера се одвија помоћу СМС кода, посебне апликације на паметном телефону, путем претходно припремљених штампаних кодова, е-маилом, хардверском кључем (последња опција се појавила у Гоогле-у, ова компанија је углавном предност која се тиче две факторске аутентичности).
Дакле, чак и ако је нападач препозна вашу лозинку, неће моћи да оде на ваш рачун без приступа вашим уређајима, телефоном, е-МАИЛ.
Ако у потпуности не разумете како двије -Фацтор аутентификациона дела препоручујем читање чланака на Интернету посвећене овој теми или описима и смерницама да се на самјестране локације примене (не могу да укључим детаљне упутства у овом члану), не могу да укључим детаљне упутства у овом члану. ).
Складиште за лозинку
Сложене јединствене лозинке за сваку веб локацију је одлична, али како их сместити? Мало је вероватно да се све ове лозинке могу имати на уму. Складиштење сачуваних лозинки у претраживачу је ризичан подухват: не само да постају само рањивији на неовлашћени приступ, али се једноставно могу изгубити у случају неуспеха система и ако је синхронизација искључена.
Руководиоци лозинки сматрају се најбољим решењем, у општем погледу, који представљају програме који чувају све ваше тајне податке у шифрираном сигурном складишту (како се приступа неком на мрежи), који се приступа једном мастер парлосполовом (можете додатно укључити два фактор аутентичности). Већина ових програма је такође опремљена производима алата и оцењивањем поузданости лозинке.
Пре неколико година написао сам засебан чланак о најбољим менаџерима лозинке (то би требало преписати, али добити идеју о томе шта је то и који програми могу бити популарни у складу са чланом). Неки преферирају једноставна решења ван мреже, попут Кеевасс или 1Пассворд, чување свих лозинки на вашем уређају, други су функционалније комуналне услуге које такође представљају могућности синхронизације (ЛастПасс, Дасхлане).
Познати менаџери лозинки се углавном сматрају врло сигурним и поузданим начином да их чувају. Међутим, вреди размотрити неке детаље:
- Да бисте приступили свим лозинкама, морате да знате само један мастер условну слободу.
- У случају хаковања онлајн меморија (пре само месец дана, најпопуларнија услуга управљања лозинком на свету) Морате да промените све своје лозинке.
Како другачије можете да сачувате своје важне лозинке? Ево неколико опција:
- На папиру у сефу, приступ који ћете ви и ваша породица имати (није погодно за лозинке које су потребне за често употребу).
- Оффлине база података лозинке (на пример, Кеевасс), сачувана на трајној акумулатору информација и дуплирана негде у случају губитка.
Оптимална комбинација свих горе наведеног је следећи приступ: најважније лозинке (главна е-пошта са којим можете да вратите друге рачуне, банку итд.П.) сачувано у глави и (или) на папиру на поузданом месту. Мање важно и истовремено, често се користи треба да се повере програмима - менаџери лозинке.
Додатне Информације
Надам се да је комбинација два чланака о теми лозинки за неке од вас помогла да обратите пажњу на неке аспекте безбедности о којима нисте размишљали. Наравно, нисам узео у обзир све могуће опције, већ једноставна логика и неко разумевање принципа ће помоћи самостално одлучивању колико се сигурно чини у одређеном тренутку. Још једном, неке поменуте и неколико додатних бодова:
- Користите различите лозинке за различита места.
- Лозинке би требало да буду тешке, тешко можете повећати потешкоће повећавајући дужину лозинке.
- Не користите личне податке (које можете сазнати) приликом креирања саме лозинке, наговештавају о томе, контролише питања за рестаурацију.
- Користите две аутентификације за двоструку стабилу у којој је то могуће.
- Пронађите оптимални начин сигурно чување лозинки.
- Страх лажњице (проверите адресе локација, доступност шифровања) и шпијунских програма. Где год траже да уђу у лозинку, проверите да ли га заиста унесете на праву веб страницу. Проверите да ли на рачунару нема штетног.
- Ако је могуће, не користите своје лозинке на рачунарима других људи (ако је потребно, урадите то у режиму претраживача "Инцогнито", и набавите га са тастатуре на екрану још боље), у јавним отвореним Ви-Фи мрежама, посебно ако нема ХТТПС енкрипција приликом повезивања на сајт.
- Можда не бисте требали да похраните најважније, заиста представљајући животну вредност, лозинке на рачунару или на мрежи.
Овако нешто. Мислим да сам успео да поставим степен параноје. Разумијем да је велики од описаних изгледа непријатно, мисли се могу појавити попут "па, то ће ме заобићи", али једино оправдање лењости када следи једноставна безбедносна правила када чување поверљивих информација може бити само одсуство његовог значаја за чињеницу да ће она постати имовина трећих лица.
- « Мицрософт је објавио услужни програм за блокирање ажурирања Виндовс 10
- Питања и одговори о Виндовс 10 »