U ovom članku će se raspravljati o tome kako stvoriti sigurnu lozinku, koja načela treba slijediti pri njihovom kreiranju, kako pohraniti lozinke i minimizirati mogućnost da uljezi pristupe vašim informacijama i računima.
Ovaj materijal je nastavak članka "Kako se vaša lozinka može sjeckati" i podrazumijeva da ste upoznati sa materijalom koji se tamo nalazi, a bez toga znate sve osnovne načine na koje se lozinke mogu kompromitirati.
Kreirajte lozinke
Danas, kada registrujete bilo koji Internet nalog, kreirate lozinku, obično vidite indikator snage lozinke. Skoro svuda radi na osnovu procjene sljedeća dva faktora: dužine lozinke; prisustvo posebnih znakova, velikih slova i brojeva u lozinku.
Uprkos činjenici da su ovo zaista važni parametri otpornosti lozinki na pucanje brutalnom silom, lozinka koja se čini jakom nije uvek slučaj. Na primjer, lozinka poput "Pa $$ w0rd" (a tu su i posebni znakovi i brojevi) će vjerojatno biti vrlo brzo razbijena - zbog činjenice da (kao što je opisano u prethodnom članku) ljudi rijetko stvaraju jedinstvene lozinke (manje od 50% lozinki je jedinstveno) i ova opcija će verovatno već postojati u procurjelim bazama podataka koje uljezi imaju.
Kako biti? Najbolja opcija je da koristite generatore lozinki (dostupne na Internetu u obliku mrežnih uslužnih programa, kao iu većini računalnih lozinki menadžera), stvarajući duge slučajne lozinke koristeći specijalne znakove. U većini slučajeva, lozinka od 10 ili više takvih znakova jednostavno neće biti interesantna za hakere (tj. Njegov softver neće biti konfiguriran da bira takve opcije) zbog činjenice da se troškovi vremena ne isplate. Nedavno je ugrađeni generator lozinki pojavio u pregledniku Google Chrome.
U ovoj metodi, glavni nedostatak je da je takve lozinke teško zapamtiti. Ako postoji potreba da zadržite lozinku u glavi, postoji još jedna mogućnost, zasnovana na činjenici da je lozinka od 10 znakova, koja sadrži velika slova i specijalne znakove, napukla brutalna sila od tisuću ili više (određeni brojevi ovise o dopuštenom skupu znakova), od lozinke od 20 znakova, koja sadrži samo mala slova latinica (čak i ako napadač zna za to).
Dakle, lozinka koja se sastoji od 3-5 jednostavnih slučajnih engleskih riječi lako će se pamtiti i gotovo je nemoguće ispucati. I kad smo napisali svaku riječ velikim slovom, povećali smo broj opcija na drugi stupanj. Ako je riječ o 3-5 ruskih riječi (opet, slučajnim, ali ne i imenima i datumima) napisanim na engleskom jeziku, hipotetička mogućnost sofisticiranih metoda korištenja rječnika za odabir lozinke je također uklonjena.
Definitivno ne postoji pravi pristup kreiranju lozinki: postoje prednosti i nedostaci na različite načine (vezano za sposobnost pamćenja, pouzdanosti i drugih parametara), ali osnovni principi su sledeći:
- Lozinka se mora sastojati od značajnog broja znakova. Najčešće ograničenje danas je 8 znakova. A ovo nije dovoljno ako vam je potrebna sigurna lozinka.
- Ako je moguće, uključite posebne znakove, velika i mala slova, brojeve u lozinku.
- Nikada ne unosite lične podatke u svoju lozinku, čak i ako je napisana na naizgled pametan način. Nema datuma, imena i prezimena. Na primer, razbijanje lozinke koja predstavlja bilo koji datum modernog Julijanskog kalendara od 0-te godine do današnjeg dana (kao što je 07/18/2015 ili 18072015, itd.) Će trajati od sekunde do sati (a sat će se dobiti samo zbog kašnjenja između pokušaja za neke slučajeve).
Možete proveriti koliko je vaša lozinka na sajtu (iako unos lozinke na nekim lokacijama, posebno bez https-a, nije najsigurnija praksa) //rumkin.com/tools/password/passchk.php. Ako ne želite da proverite pravu lozinku, unesite sličnu (iz istog broja znakova i sa istim skupom znakova) da biste dobili ideju o njenoj pouzdanosti.
U toku unosa znakova, usluga izračunava entropiju (uslovno, broj opcija, za entropiju je 10 bita, broj opcija je 2 do desete snage) za datu lozinku i daje informacije o pouzdanosti različitih vrijednosti. Lozinke s entropijom većom od 60 gotovo je nemoguće ispucati čak i tijekom ciljane selekcije.
Nemojte koristiti iste lozinke za različite račune.
Ako imate veliku kompleksnu lozinku, ali je koristite gdje god je to moguće, ona automatski postaje potpuno nepouzdana. Čim hakeri upadnu u bilo koju lokaciju na kojoj koristite takvu lozinku i dobijete pristup njoj, možete biti sigurni da će odmah biti testirana (automatski, koristeći specijalni softver) na svim drugim popularnim e-mailovima, igrama, socijalnim uslugama, a možda čak i online banke (Načini da vidite da li je vaša lozinka već procurila navedeni su na kraju prethodnog članka).
Jedinstvena lozinka za svaki nalog je teška, nezgodna, ali je neophodna ako su ti računi od bilo kakve važnosti za vas. Iako, za neke registracije koje nemaju vrednost za vas (to jest, spremni ste da ih izgubite i nećete brinuti) i ne sadrže lične podatke, možda se nećete naprezati jedinstvenim lozinkama.
Dvofaktorska autentifikacija
Čak i jake lozinke ne garantuju da niko ne može ući na vaš račun. Lozinku možete ukrasti na ovaj ili onaj način (phishing, na primjer, kao najčešća opcija) ili ga dobiti od vas.
Gotovo sve ozbiljne online kompanije, uključujući Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam i druge, nedavno su dodale mogućnost da omoguće autentifikaciju u dva faktora (ili dva koraka) u svojim računima. I, ako vam je sigurnost važna, preporučujem njeno uključivanje.
Implementacija dvofaktorske autentifikacije je malo drugačija za različite usluge, ali osnovni princip je sljedeći:
- Kada unosite račun iz nepoznatog uređaja, nakon unosa ispravne lozinke, od vas se traži da prođete dodatno testiranje.
- Provera se vrši uz pomoć SMS koda, posebne aplikacije na pametnom telefonu, pomoću prethodno pripremljenih štampanih kodova, e-mail poruke, hardverskog ključa (poslednja opcija se pojavila na Google-u, ova kompanija je generalno najbolja u smislu autentifikacije u dva faktora).
Stoga, čak i ako je napadač naučio vašu lozinku, on neće moći da se prijavljuje na vaš račun bez pristupa vašim uređajima, telefonu ili e-pošti.
Ako ne razumete u potpunosti kako funkcionira autentifikacija u dva faktora, preporučujem čitanje članaka na Internetu posvećenih ovoj temi ili opisa i smjernica za djelovanje na web-lokacijama na kojima se provodi (neću biti u mogućnosti uključiti detaljne upute u ovom članku).
Skladištenje lozinke
Teške jedinstvene lozinke za svaku stranicu - odlične, ali kako ih pohraniti? Malo je verovatno da se sve ove lozinke mogu imati na umu. Čuvanje pohranjenih lozinki u pretraživaču predstavlja rizičan potez: oni ne samo da postaju ranjiviji na neovlašteni pristup, već se mogu jednostavno izgubiti u slučaju pada sustava i kada je sinkronizacija onemogućena.
Najbolje rješenje se smatra menadžerima lozinki, koji općenito predstavljaju programe koji pohranjuju sve vaše tajne podatke u šifrirano sigurno spremište (i offline i online), kojem se pristupa pomoću jedne glavne lozinke (također možete omogućiti autentifikaciju s dva faktora). Takođe, većina ovih programa je opremljena alatima za generisanje i procenu pouzdanosti lozinki.
Pre nekoliko godina sam napisao poseban članak o najboljim menadžerima lozinki (vredno je prepisati, ali možete dobiti ideju o tome šta je to i koji programi su popularni u članku). Neki preferiraju jednostavna offline rješenja, kao što su KeePass ili 1Password, koji pohranjuju sve lozinke na vašem uređaju, druge - funkcionalnije alate koji također predstavljaju mogućnosti sinkronizacije (LastPass, Dashlane).
Dobro poznati menadžeri lozinki se generalno smatraju veoma sigurnim i pouzdanim načinom njihovog skladištenja. Međutim, vredi razmotriti neke detalje:
- Da biste pristupili svim vašim lozinkama, morate znati samo jednu glavnu lozinku.
- U slučaju hakovanja online skladišta (doslovno prije mjesec dana, najpopularnija usluga upravljanja lozinkama na svijetu, LastPass, bila je sjeckana), morat ćete promijeniti sve vaše lozinke.
Kako drugačije možete sačuvati važne lozinke? Evo nekoliko opcija:
- Na papiru u sefu, pristup kojem ćete vi i članovi vaše porodice imati (nije pogodan za lozinke koje često morate koristiti).
- Baza podataka za izvanmrežne lozinke (na primjer, KeePass) pohranjena je na trajnom uređaju za pohranu podataka i umnožena negdje u slučaju gubitka.
Po mom mišljenju, najbolja kombinacija svega gore opisanog je sledeći pristup: najvažnije lozinke (glavna e-pošta, sa kojom možete povratiti druge račune, banku, itd.) Čuvaju se u glavi i (ili) na papiru na sigurnom mestu. Manje važne i, u isto vrijeme, često korišćene, treba dodijeliti upraviteljima lozinki.
Dodatne informacije
Nadam se da je kombinacija dva članka o lozinkama nekim od vas pomogla da se skrene pažnja na neke aspekte sigurnosti o kojima niste razmišljali. Naravno, nisam uzeo u obzir sve moguće opcije, ali jednostavna logika i određeno razumijevanje principa će mi pomoći da odlučim koliko je sigurno ono što radite u određenom trenutku. Još jednom, neki su spomenuli i nekoliko dodatnih tačaka:
- Koristite različite lozinke za različite lokacije.
- Lozinke bi trebale biti komplicirane, najteže je povećati složenost povećanjem duljine lozinke.
- Nemojte koristiti lične podatke (koje možete saznati) prilikom izrade same lozinke, njenih savjeta, testiranja pitanja za oporavak.
- Koristite autentifikaciju u dva koraka gdje je to moguće.
- Pronađite najbolji način da zaštitite svoje lozinke.
- Budite oprezni u pogledu phishinga (provjerite adrese lokacija, prisutnost enkripcije) i špijunskog softvera. Gde god se od vas traži da unesete lozinku, proverite da li zaista ulazite na pravu stranicu. Uverite se da na računaru nema zlonamernog softvera.
- Ako je moguće, nemojte koristiti vaše lozinke na tuđim računalima (ako je potrebno, to radite u anonimnom načinu pregledača, ili još bolje, koristite tastaturu na ekranu), na javnim otvorenim Wi-Fi mrežama, posebno ako nemate https enkripciju prilikom povezivanja na lokaciju .
- Možda ne bi trebalo da čuvate najvažnije, zaista vredne lozinke na računaru ili na mreži.
Nešto tako. Mislim da sam uspio podići stepen paranoje. Razumijem da se gore navedeno čini nezgodnim, mogu se pojaviti misli kao "dobro, to će me zaobići", ali jedini izgovor da budete lijeni kada slijedite jednostavna pravila sigurnosti za čuvanje povjerljivih informacija može biti samo nedostatak važnosti i vaša spremnost da će postati vlasništvo trećih lica.