Paroles: kā pareizi rīkoties: 10 soļi

2024 Autors: John Day | [email protected]. Pēdējoreiz modificēts: 2024-01-30 10:57

Šī gada sākumā mana sieva zaudēja piekļuvi dažiem saviem kontiem. Viņas parole tika ņemta no uzlauztas vietnes, pēc tam tā tika izmantota, lai piekļūtu citiem kontiem. Tikai tad, kad vietnes sāka viņai paziņot par neveiksmīgiem pieteikšanās mēģinājumiem, viņa saprata, ka viss notiek.

Esmu runājis arī ar vairākiem cilvēkiem, kuri saka, ka izmanto vienu un to pašu paroli katrai vietnei. Ar šīm divām lietām ir bijis pietiekami, lai mudinātu mani uzrakstīt šo pamācību.

Paroļu drošība ir ļoti maza daļa no tiešsaistes drošības kopumā. Gandrīz katram kontam ir nepieciešama kāda veida pieteikšanās, lai ļautu piekļūt visam, ko tas aizsargā. Šī virkne bieži vien ir viss, kas stāv starp uzbrucēju un jūsu personisko informāciju, naudu, personīgajiem attēliem vai ceļojuma punktiem, kurus esat savācis gadiem ilgi.

Šīs pamācības mērķis ir aptvert dažas paroļu izveides paraugprakses. Ja esat kāds, kuram ir viena un tā pati parole katrai vietnei, kura paroles ir tastatūras paraugs, vai arī parolē ir vārds “parole”, šī pamācība ir paredzēta jums.

Atruna

Es neesmu drošības eksperts. Šī informācija laika gaitā ir apgūta un pētīta, un tā ir tikai ieteikums un kopsavilkums par ļoti sarežģītu tēmu. Šī apmācība tika uzrakstīta 2018. gada sākumā un var būt novecojusi līdz tās lasīšanai.

TL; DR

Ja jums nerūp visa mana argumentācija un paskaidrojumi par parolēm un vēlaties tikai vienkāršu veidu, kā izveidot drošas paroles, pārejiet uz pēdējo darbību.

1. solis: padariet to garu

Garums ir viena ļoti svarīga paroles drošības sastāvdaļa. Tā kā datoru ātrums pieaug arvien straujāk, paroles var izmēģināt pārsteidzošā ātrumā. To sauc par "brutālu spēku" paroļu uzlaušanu. Tā sasaista visas iespējamās rakstzīmju kombinācijas, līdz atrodat atbilstošo.

Teorētiski tas padara jebkuru paroli uzlaužamu, ņemot vērā pietiekami daudz laika. Par laimi, jo garāka parole, jo ilgāk tas prasīs šāda veida uzbrukumu. Katrs raksturs, ko pievienojat garumam, padara grūtības daudz grūtākas. Ja tas ir pietiekami ilgs laiks, var paiet desmitgades, lai to atrastu šādā veidā, tāpēc uzbrucējam tas nav tā vērts.

Piemērs

Pieņemsim, ka jums ir parole, kas sastāv tikai no lielajiem burtiem. Šī nav laba ideja, taču tā ir tikai ilustratīva. Katru reizi, kad parolei pievienojat citu rakstzīmi, tā reizina iespējamo paroļu skaitu ar 26. Ja jums būtu 1 rakstzīmju parole, tai būtu 26 iespējamās paroles, 2 rakstzīmēm - 676 iespējamās paroles utt..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kā redzat, katrs pievienotais burts šo uzbrukumu padara daudz grūtāku un praktiski neiespējamu, ja ir pietiekami daudz rakstzīmju. Atcerieties, ka tas ir tikai ar lielajiem burtiem. Kad tie kļūst sarežģītāki, šis efekts palielinās.

2. solis: padariet to sarežģītu

Sarežģītība ir vēl viens liels paroļu drošības faktors. Ja kāda vietne kādreiz tiek uzlauzta, visticamāk, tiks izņemti lietotājvārdi un paroles. Kā pamata drošības līmenis, cerams, ka vietnē pirms glabāšanas ir paroles, kuras ir sajauktas (līdzīgi kā šifrēšana). Tas nozīmē, ka tie ir izkropļoti, pirms tie nonāk datu bāzē, un nav iespējams to mainīt.

Tas viss izklausās labi. Nav svarīgi, kāda ir jūsu parole, jo tā ir izkropļota, vai ne? Tas tā nav, ja jūsu parole nav sarežģīta. Tiek izmantoti standarta jaukšanas algoritmi (SHA1, MD5, SHA512 utt.), Un tie vienmēr sajauks to pašu. Piemēram, ja izmantojat SHA1 un jūsu parole bija "parole", tā vienmēr tiks saglabāta datu bāzē kā "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Jaukšanas izveide prasa laiku un datora kustību, un visu iespējamo paroļu aprēķināšana visām iespējamām parolēm ir praktiski neiespējama. Cilvēki ir izveidojuši parasto paroļu "vārdnīcas". Protams, būs pieejamas tādas lietas kā "parole" vai "qwerty", kā arī retāk sastopamas. Šajās vārdnīcās būs miljoniem paroļu, un būs nepieciešamas tikai dažas sekundes, lai izietu cauri katram ierakstam un salīdzinātu zināmo hash ar jūsu paroles jaukšanu. To sauc par "vārdnīcas uzbrukumu". Ja jūsu ir viens no tiem, kas jau ir aprēķināts, garbling neaizsargās jūsu paroli, un to var izmantot citās vietnēs.

Turklāt burtu maiņa uz cipariem nerada sarežģītību. Var šķist sarežģītāk mainīt E uz 3 vai I uz 1, taču tā ir tik izplatīta prakse, ka tā vairs nepievieno drošību. Krekinga programmām ir iespēja, kas automātiski izmēģinās šīs variācijas.

3. darbība: padariet to unikālu

Atcerēties paroles ir grūti. Tā kā mūsu dzīve kļūst arvien tiešsaistē, nav nekas neparasts, ka katrai personai ir vairāk nekā 50 tiešsaistes kontu, katrs ar savu pieteikumvārdu. Tam var būt ļoti grūti izsekot.

Visizplatītākais veids, kā cilvēki to risina, ir izvēlēties vienu "labu" paroli un izmantot to daudzās dažādās vietnēs. Tā ir šausmīga ideja. Viss, kas nepieciešams, ir viens drošības pārkāpums vai viena pikšķerēšanas vietne, lai iegūtu jūsu lietotājvārdu un paroli, lai sāktu bumbu. Uzbrucēji varētu izmēģināt šo lietotājvārdu un paroli simtiem vietņu dažu sekunžu laikā. Tādējādi viņi automātiski nokļūtu katrā vietnē ar tādu pašu lietotājvārdu kā apdraudētajā.

Es zinu, ka katrai vietnei atšķirīga parole šķiet grūts uzdevums, taču mēs to aplūkosim vēlāk.

4. solis: nekas personisks

Jūsu informācija nav tik privāta, kā jūs domājat. Ātrā meklēšana tiešsaistē var viegli atrast jūsu dzimšanas datumu vai adresi. Ja ir pārkāpts cits konts, var iegūt vēl vairāk informācijas. Ja kāds uzbrucējs mēģina iekļūt jūsu kontos, tās būtu acīmredzamas mēģināšanas paroles. Tas arī atstāj ieeju ģimenes locekļiem, draugiem vai pat paziņām.

5. darbība: izturieties pret visām parolēm ar tādu pašu piesardzību

Strādājot ar vietnēm, pret to drošību jārīkojas vienādi rūpīgi. Piemēram, ja jums ir pieteikšanās jūsu iecienītākajā kaķu vietnē, jums jāveic tādi paši piesardzības pasākumi kā jūsu bankas pieteikšanās. Varbūt nešķiet daudz zaudēt piekļuvi visiem šiem burvīgajiem ūsām, bet tas varētu būt tikai atspēriena punkts uzbrucējam. Pārkāpjot šo "nesvarīgo" vietni, uzbrucējs varētu iegūt vairāk informācijas par jums, piemēram, citu lietotājvārdu, kuru izmantojāt, citu e -pastu, kuru izmantojāt, lai pieteiktos, vai faktisku informāciju, ko varētu izmantot citu vietņu atbloķēšanai.

Turklāt, ja tā ir nesvarīga vietne, pastāv lielāka iespēja, ka tā neievēro pareizu drošības praksi, kas nozīmē, ka, ja jūsu parole ir gara un sarežģīta, bet nav unikāla un ja paroles netiek pareizi sajauktas, šo paroli var viegli izmantot citās vietnēs. Atkal, tikai tāpēc, ka vietne ir "nesvarīga", tas nenozīmē, ka jūsu drošība ir.

6. solis: turiet to paslēptu

Labi - krātuve bezsaistē

Bezsaistes krātuve var būt laba iespēja, ja esat aizmāršīgs cilvēks. Ja USB zibatmiņas disks tiek turēts aizslēgts ar parolēm, tas aizsargā pret lielāko daļu uzbrukumu, izņemot ģimeni un draugus. Tikai gadījumā, ja jūs kaut kā pazaudējat šo nūju, pārliecinieties, vai paroles fails vai viss disks ir šifrēts un ka nūja ir dublēta kaut kur ļoti drošā vietā.

Šai metodei ir liela drošība, bet par ērtības cenu.

Iemesls, kādēļ tam vajadzētu būt bezsaistē, ir sīkāk izskaidrots zemāk. Paturiet prātā, ka daudzas ierīces tagad tiek automātiski dublētas mākonī, pat ja jūs to nedomājāt. Turklāt, ja kādreiz pievienosit šo nūju ierīcei, kurā ir vīruss vai kura ir apdraudēta, datus var viegli nokopēt.

Labāk - atcerieties visu

Atcerieties visas savas paroles. Ja esat neticami apdāvināts, tas varētu būt risinājums. Kāds tos nevar atrast, un jums tie vienmēr ir līdzi. Daži mīnusi ir tādi, ka lielākā daļa no mums nav pārsteidzoši, atceroties sarežģītas lietas, un mēdz runāt mazliet par daudz pēc dzēriena vai diviem. Jo īpaši, ja jāatceras desmitiem paroļu, tas, iespējams, nav pat laicīga cilvēka izvēle.

Labākais - bez krātuves

Labākajā gadījumā jūs tos vispār neglabājat. Vai nu kaut kā atcerieties visas savas unikālās, garās, sarežģītās paroles, vai arī ir veids, kā tās atjaunot lidojuma laikā. Ja jūs zināt sastāvdaļas, kas vajadzīgas, lai tās atjaunotu, tad uzbrucējs nekādā veidā nevar tās "atrast", jo tās nepastāv, kamēr tas nav vajadzīgs. Tas var likties sarežģīti, bet patiesībā tā nav. Vairāk par šo vēlāk.

Bezsaistes nozīme

Vietnes pārvalda cilvēki. Lielākajai daļai vietņu ir droši uzskatīt, ka šiem cilvēkiem parasti ir labi nodomi, taču pat labākie cilvēki var kļūdīties. Tikai pagājušajā gadā tika konstatēti vairāki milzīgi vietņu drošības pārkāpumi lielos, parasti drošos uzņēmumos, piemēram, Linked-In, Yahoo, Equifax, Apple un Uber. Tie ir lieli uzņēmumi ar drošības nodaļām, un tie tika pārkāpti.

Mākoņu krātuve izklausās izsmalcināti, un tā piedāvā ērtības, taču patiesībā “mākonis” ir kāda cita dators, ko izmantojat failu glabāšanai. Kā jau teicu iepriekš, cilvēki var kļūdīties. Ja tas notiks, jūsu paroles varētu būt pieejamas visai pasaulei. Mākoņu vietnes ir milzīgs uzbrucēju mērķis, jo tām ir daudz datu. Pārtrauciet mākoņa vietni, iegūstiet piekļuvi visai informācijai, ko potenciāli miljoniem cilvēku ir saglabājuši.

Esmu pārliecināts, ka daļa no tā ir paranoja, taču, aiz šīm parolēm slēpjot milzīgu savas dzīves daļu, aizsargājiet tās kā tādas.

7. solis: mans ieteikums

Šī ir ļoti ilga preambula, lai izskaidrotu paroļu drošības galvenos pīlārus. Ja ievērojat šīs 6 vadlīnijas, jums vajadzētu būt minimālām drošības problēmām tiešsaistē, un, ja kaut kas notiek, tam vajadzētu apstāties pie avota, nevis izplatīties pārējā tiešsaistes dzīvē.

Ir daudz dažādu veidu, kā jūs varat atrisināt šīs problēmas. Daži no tiem ir labāki par citiem un sniedz dažādas priekšrocības. Mans mīļākais risinājums ir SuperGenPass (SGP). Es nekādā veidā neesmu saistīts, esmu tikai fans.

Vienkārša lietošana

SGP ir lietotne jūsu tālrunim un poga, kuru varat pievienot pārlūkam. Kad dodaties uz vietni un tā pieprasa jūsu pieteikšanos, noklikšķiniet uz pogas. Parādīsies mazs logs. Ievadiet savu galveno paroli. SGP ģenerēs paroli šai vietnei un ievadīs to paroļu lodziņā!

Ilgi

Jūs varat izvēlēties izveidotās paroles garumu. Tādējādi tiks ģenerētas paroles līdz 24 rakstzīmēm, kas ir diezgan droši, taču jūs varat izvēlēties īsāku, ja dažas vietnes ierobežo jūsu paroles garumu.

Komplekss

Tiek izmantoti lielie, mazie un cipari, kas ir diezgan droši. Viņi neievēro nevienu atpazīstamu modeli bez vārdiem vai frāzēm. Šajā virknē nav neviena URL vai galvenās paroles.

Unikāls

Katrai vietnei būs pilnīgi unikāla parole. Paroles, piemēram, example1.com un example2.com, ir pilnīgi atšķirīgas, lai gan sākotnējās "sastāvdaļās" ir tikai viena rakstzīme. Kā redzams zemāk esošajā piemērā, starp "sastāvdaļām" un iegūto paroli nav nekādas saistības, un tās ĻOTI atšķiras viena no otras.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Uzglabāšana

Tas neglabā un nepārsūta datus. To var palaist pilnīgi bezsaistē, ja jūs uztraucaties un kāds nevar atrast vai nozagt tos.

8. darbība: SGP: iestatīšana

SGP iestatīšana ir ļoti vienkārša. Pirmkārt, jūs, iespējams, vēlēsities to pievienot grāmatzīmju joslai. Lai to izdarītu, dodieties uz:

chriszarate.github.io/supergenpass/

Būs 2 pogas, no kurām izvēlēties. Lai iestatītu parasto datoru, velciet kreiso pogu grāmatzīmju joslā. Tādējādi jums būs jāizmanto jauna poga.

Ja turpmāk izmantojat kāda cita datoru, varat atlasīt pogu labajā pusē. Tas ļaus jums izmantot SGP, neko nemainot viņu pārlūkprogrammā. Tā ir arī mobilā pārlūka opcija.

Kad tas ir pievienots grāmatzīmju joslai, noklikšķiniet uz pogas. Tas atvērs nelielu logu jūsu tīmekļa lapas stūrī. Noklikšķinot uz mazā zobrata, tiks atvērti iestatījumi.

Garums

Skaitlis kreisajā pusē ir tā ģenerētās paroles garums. Es iesaku pārlūkot visbiežāk izmantotās vietnes un iestatīt to uz lielāko skaitu, ko šīs vietnes atļaus. Ieteicams lietot vairāk par 12 gadiem, bet jo ilgāk, jo labāk, jo īpaši tāpēc, ka jums tas nav jāatceras.

Jaukuma veids

Ir divas iespējas, kāda veida jaucējs tiek izmantots, MD5 un SHA. Abi ģenerēs paroles ar lielajiem burtiem, mazajiem burtiem un cipariem. Šīs izmaiņas ir vienkāršs veids, kā mainīt visas paroles, saglabājot to pašu galveno paroli.

Slepena parole

Slepenās paroles sadaļa ir papildu veids, kā pārliecināties, vai viss ir drošībā. Ja sīklietotne startē, ja jums ir slepena parole, tā parādīs nelielu attēlu paroles lodziņā. Šai parolei vienmēr jābūt vienādai, kad tā sākas. Ja tas tiek palaists un šis attēls nav tāds, kāds tas parasti ir, pastāv iespēja, ka kāds mēģina iegūt jūsu galveno paroli.

Galvenā parole

Iestatīšanas laikā tas nav nepieciešams, bet tas ir ļoti svarīgi. Noteikti izvēlieties spēcīgu paroli. Šī ir viena parole, kuru vienmēr ievadāt katrā vietnē. Pārliecinieties, ka tas ir kaut kas tāds, ko varat atcerēties, bet ir sarežģīts, garš un nav personisks.

Notiek saglabāšana

Kad esat izvēlējies visus iestatījumus, vēlreiz noklikšķiniet uz saglabāšanas ikonas un zobrata ikonas, lai aizvērtu iestatījumus

9. darbība: izmantojiet SGP

Lai izmantotu SGP, pārlūkojiet vietni, kā parasti. Kad jums jāievada parole, noklikšķiniet uz pogas SGP, ko pievienojāt grāmatzīmju joslai. Ja, iestatot SGP, izmantojāt slepenu paroli, pārliecinieties, vai attēls, kas tiek parādīts paroļu lodziņā, atbilst tam, kāds tas bija iestatīšanas laikā.

Ievadiet savu galveno paroli un nospiediet Enter. Tas aprēķinās jūsu unikālo paroli šai vietnei un aizpildīs to jūsu vietā! Rakstot galveno paroli, ikona tiks atjaunināta. Ja attēls neatbilst parastajai ikonai, vai nu nepareizi ievadījāt galveno paroli, vai arī kāds mēģina iegūt jūsu paroli.

Atkarībā no tā, kā vietne ir uzrakstīta, iespējams, ka SGP nevarēs ievadīt jūsu paroli vai arī vietne nesapratīs, ka tā ir ievadīta. Ja tas tā ir, varat noklikšķināt uz kopēšanas ikonas blakus ģenerētās paroles lodziņam un ielīmēt to manuāli.

Kad parole ir ievadīta, noklikšķiniet uz Pieteikšanās un esat tur!

10. solis: pēdējās domas

SGP var nedarboties visiem, un tas ir labi. Tas nav ideāls risinājums, jo tāda nav. Ja jums ir cits pakalpojums vai metode, kuru vēlaties izmantot parolēm, ņemiet vērā 6 drošas paroles darbības. Ja jūsu pašreizējā metode neatbilst dažām no šīm jomām, iespējams, ir pienācis laiks meklēt citu risinājumu. Jā, var paiet puse dienas, lai mainītu visus savus kontus, taču tas, visticamāk, nesāpēs mazāk nekā jūsu kontu pārkāpšana.

Piezīme par tiešsaistes krātuvi: ja pakalpojums saglabā jūsu paroles tiešsaistē/“mākonī”, pārbaudiet to drošības praksi, lai pārliecinātos, ka tās ir labas. Iespējams, vietne jums pateiks, ko viņi dara, lai aizsargātu jūsu paroles, ja viņi to dara pareizi. Ja neesat pārliecināts, nosūtiet viņiem e -pastu un jautājiet. Ja viņi nevar sniegt jums labu/kodolīgu/precīzu atbildi, esiet piesardzīgs, izmantojot šo pakalpojumu.