Пароли: Как да ги направим правилно: 10 стъпки

2024 Автор: John Day | [email protected]. Последно модифициран: 2024-01-30 07:53

По -рано тази година съпругата ми загуби достъп до някои от сметките си. Паролата й е взета от нарушен сайт, след което е използвана за влизане в други акаунти. Едва когато сайтовете започнаха да я уведомяват за неуспешни опити за влизане, тя разбра, че става нещо.

Говорил съм и с редица хора, които казват, че използват една и съща парола за всеки сайт. Тези две неща бяха достатъчни, за да ме подтикнат да напиша тази инструкция.

Защитата с парола е много малка част от онлайн сигурността като цяло. Почти всеки акаунт изисква някакъв вид вход, за да позволи достъп до всичко, което защитава. Този единствен низ често е всичко, което стои между нападател и вашата лична информация, пари, лични снимки или тези точки за пътуване, които събирате от години.

Тази инструкция има за цел да обхване някои най-добри практики за създаване на пароли. Ако сте някой, който има една и съща парола за всеки уебсайт, чиито пароли са модел на клавиатурата или имате думата „парола“в паролата си, тази инструкция е за вас.

Опровержение

Не съм експерт по сигурността. Тази информация е научена и изследвана във времето и е само препоръка и обобщение на много сложна тема. Този урок е написан в началото на 2018 г. и може да е остарял, докато го прочетете.

TL; DR

Ако не ви е грижа за всички мои разсъждения и обяснения зад паролите и просто искате лесен начин за създаване на защитени пароли, преминете към последната стъпка.

Стъпка 1: Направете го дълъг

Дължината е един много важен компонент за сигурността на паролата. Тъй като скоростта на компютрите расте все по -бързо, паролите могат да бъдат изпробвани с невероятна скорост. Това се нарича разбиване на парола „груба сила“. Той свързва всяка възможна комбинация от знаци, докато намерите тази, която съвпада.

На теория това прави всяка парола пробита, като се има предвид достатъчно време. За щастие, колкото по -дълга е паролата, толкова по -дълго ще отнеме този тип атака. Всеки герой, който добавите към дължината, прави трудността много по -трудна. Ако е достатъчно дълъг, може да отнеме десетилетия, за да го намерите по този начин, което го прави не си струва за нападател.

Пример

Да предположим, че имате парола, която е само с главни букви. Това не е добра идея, но това е само за илюстрация. Всеки път, когато добавите друг знак към паролата, той умножава броя на възможните пароли с 26. Ако имате парола с 1 знак, тя ще има 26 възможни пароли, 2 знака ще имат 676 възможни пароли и т.н..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Както можете да видите, всяка добавена буква прави атаката много по -трудна и практически невъзможна с достатъчно знаци. Не забравяйте, че това е само с главни букви. След като станат по -сложни, този ефект се увеличава.

Стъпка 2: Направете го сложно

Сложността е друг голям фактор за сигурността на паролата. Ако някога даден уебсайт бъде нарушен, има вероятност потребителските имена и пароли да бъдат изтеглени. Като основно ниво на сигурност, надяваме се, че уебсайтът има хеширани пароли (подобно на криптиране) преди съхранение. Това означава, че те са изкривени, преди да влязат в базата данни, и няма начин да се обърне това изкривяване.

Всичко това звучи добре. Няма значение каква е паролата ви, защото е изкривена, нали? Това не е така, ако паролата ви не е сложна. Използвани са стандартни алгоритми за хеширане (SHA1, MD5, SHA512 и т.н.) и те винаги ще хешират едно и също нещо по същия начин. Например, ако използвате SHA1 и паролата ви е „парола“, тя ще се съхранява в базата данни като „5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8“, винаги.

Създаването на хешове отнема време и компютърна грешка, а изчисляването на всички възможни хешове за всички възможни пароли е практически невъзможно. Това, което хората са направили, е да направят „речници“на общи пароли. Разбира се, ще има неща като „парола“или „qwerty“, както и по -рядко срещани. В тези речници ще има милиони пароли и ще отнеме само секунди, за да преминете през всеки запис и да сравните известния хеш с хеш на вашата парола. Това се нарича "атака по речник". Ако вашият е един от тези, които вече са изчислени, изкривяването няма да защити вашата парола и може да се използва на други сайтове.

Също така промяната на букви в цифри не добавя сложност. Може да изглежда по -сложно промяната на E на 3 или I на 1, но това е толкова често срещана практика, че не добавя повече сигурност. Крекинг програмите имат опция, която автоматично ще изпробва тези варианти.

Стъпка 3: Направете го уникален

Запомнянето на пароли е трудно. Тъй като животът ни става все по -онлайн, не е необичайно всеки човек да има повече от 50 онлайн акаунта, всеки със собствен вход. Това може да бъде много трудно да се проследи.

Най -често срещаният начин хората да се справят с това е като избират една „добра“парола и я използват на куп различни уебсайтове. Това е ужасна идея. Всичко, което е необходимо, е едно нарушение на сигурността или един фишинг уебсайт, за да получите вашето потребителско име и парола, за да стартирате топката. Нападателите биха могли да изпробват това потребителско име и парола на стотици уебсайтове в рамките на секунди. Това автоматично ще ги въведе във всеки уебсайт със същото потребителско име като компрометирания.

Знам, че наличието на различна парола за всеки сайт изглежда като трудна задача, но по -късно ще разгледаме как да се справим с това.

Стъпка 4: Нищо лично

Вашата информация не е толкова лична, колкото си мислите. Бързо търсене онлайн може лесно да намери вашата дата на раждане или адрес. Ако друг акаунт е бил нарушен, лесно може да се получи още повече информация. Ако има нападател, който се опитва да влезе във вашите акаунти, това би било очевидна парола за опит. Той също така оставя вход отворен за членове на семейството, приятели или дори познати.

Стъпка 5: Лекувайте всички пароли със същата грижа

Когато се занимавате с уебсайтове, трябва да се отнасяте към сигурността на всички тях със същото ниво на грижа. Например, ако имате вход в любимия си уебсайт за котки, трябва да вземете същите предпазни мерки като данните си за вход в банката. Може да не изглежда много много да загубите достъп до всички тези очарователни мустаци, но това може да бъде само стъпка за нападателя. Нарушаването на този „маловажен“уебсайт може да даде на нападателя повече информация за вас, като например различно потребителско име, което сте използвали, различен имейл, който сте използвали за вход, или действителна информация, която може да се използва за отключване на други уебсайтове.

Също така, ако това е маловажен уебсайт, има по -голям шанс те да не следват правилните практики за сигурност, което означава, че ако паролата ви е дълга и сложна, но не е уникална и паролите не се хешират правилно, когато се съхраняват, тази парола може лесно да се използва на други уебсайтове. Отново, само защото сайтът е „незначителен“, не означава, че вашата сигурност е такава.

Стъпка 6: Дръжте го скрит

Добре - офлайн съхранение

Офлайн съхранението може да бъде добър вариант, ако сте забравителен човек. Наличието на USB стик, който държите заключен с паролите си, предпазва от повечето атаки, с изключение на семейството и приятелите. Само в случай, че по някакъв начин загубите този стик, уверете се, че файлът с паролата или цялото устройство е криптиран и че пръчката е архивирана някъде много сигурно.

Този метод има много сигурност, но с цената на удобството.

Причината, поради която трябва да е офлайн, е обяснена по -подробно по -долу. Имайте предвид, че много устройства се архивират автоматично в облака сега, дори и да не сте искали. Също така, ако някога включите този стик в устройство, което има вирус или е компрометирано, данните могат лесно да бъдат копирани.

По -добре - запомнете всичко

Запомнете всичките си пароли. Ако сте невероятно надарени, това може да е вариант. Няма начин някой да ги намери и винаги ги имате със себе си. Някои недостатъци са, че повечето от нас не са невероятни в запомнянето на сложни неща и са склонни да говорят прекалено много след питие или две. Особено с десетки пароли, които трябва да запомните, това вероятно дори не е опция за неспециалистите.

Най -добро - без съхранение

Най-добрият сценарий е изобщо да не ги съхранявате. Или някак си запомнете всичките си уникални, дълги, сложни пароли, или намерете начин да ги пресъздадете в движение. Ако знаете съставките, необходими за тяхното пресъздаване, тогава няма начин нападателят да ги „намери“, защото те не съществуват, докато не е необходимо. Това може да звучи сложно, но всъщност не е така. Повече за това по -късно.

Значението на офлайн

Уебсайтовете се управляват от хора. За повечето уебсайтове вероятно е безопасно да се предположи, че тези хора обикновено имат добри намерения, но дори и най -добрите хора могат да правят грешки. Само през миналата година имаше редица огромни нарушения на сигурността на уебсайтове на големи, като цяло сигурни компании като Linked-In, Yahoo, Equifax, Apple и Uber, само за да назовем само няколко. Това са големи компании с отдели за охрана и те са пробити.

Облачното съхранение звучи фантастично и предлага удобство, но това, което в действителност е „облак“, е компютърът на някой друг, който използвате за съхраняване на вашите файлове. Както казах по -горе, хората могат да правят грешки. Ако това се случи, вашите пароли могат да бъдат достъпни за света. Облачните сайтове са гигантска цел за нападателите поради количеството данни, които притежават. Разбийте облачния сайт, получете достъп до цялата информация, която потенциално са съхранили милиони хора.

Сигурен съм, че част от това е параноя, но с огромна част от живота си, скрита зад тези пароли, ги защитете като такива.

Стъпка 7: Моята препоръка

Това е много дълга преамбюла, която обяснява основните стълбове на сигурността на паролата. Ако следвате тези 6 указания, би трябвало да имате минимални проблеми със сигурността онлайн и ако нещо се случи, то трябва да спре при източника, а не да се разпространява до края на живота ви онлайн.

Има много различни начини да решите тези предизвикателства. Някои са по -добри от други и предоставят различни предимства. Любимото ми решение е SuperGenPass (SGP). Не съм свързан по никакъв начин, просто съм фен.

Лесен за използване

SGP има приложение за вашия телефон и бутон, който можете да добавите към браузъра си. Когато отидете на уебсайт и той поиска от вас вход, щракнете върху бутона. Ще се появи малък прозорец. Въведете вашата главна парола. SGP ще генерира парола за този сайт и ще я въведе в полето за парола вместо вас!

Дълго

Можете да изберете дължината на създадената парола. Това ще генерира пароли до 24 знака, което е доста сигурно, но можете да изберете по -кратък, ако някои уебсайтове ограничават дължината на вашата парола.

Комплекс

Използват се главни, малки и цифри, което е доста сигурно. Те не следват никакъв разпознаваем модел без думи или фрази. Нищо от вашия URL или главна парола не е в този низ.

Единствен по рода си

Всеки уебсайт ще има напълно уникална парола. Паролите за example1.com и example2.com са напълно различни, въпреки че има само един знак, различен в първоначалните „съставки“. Както можете да видите в примера по -долу, няма връзка между „съставките“и получената парола и те МНОГО се различават една от друга.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Съхранение

Той съхранява и не предава данни. Тя може да се изпълнява напълно офлайн, ако сте загрижени и няма начин някой да ги намери или открадне.

Стъпка 8: SGP: Настройка

Настройката на SGP е супер проста. Първо, вероятно ще искате да го добавите към лентата си с отметки. За да направите това, отидете на:

chriszarate.github.io/supergenpass/

Ще има 2 бутона за избор. За да настроите компютър, който обикновено използвате, плъзнете левия бутон в лентата на отметките. Това ще ви даде нов бутон за използване.

Ако използвате компютър на някой друг в бъдеще, можете да изберете бутона вдясно. Това ще ви позволи да използвате SGP, без да променяте нищо в браузъра им. Това е и опция за мобилен браузър.

След като бъде добавен към лентата с отметки, кликнете върху бутона. Той ще отвори малък прозорец в ъгъла на вашата уеб страница. Щракването върху малкото зъбно колело ще отвори настройките.

Дължина

Числото вляво е дължината на паролата, която ще генерира. Препоръчвам да прегледате сайтовете, които използвате най -много и да го настроите на най -големия брой, който тези сайтове ще позволят. Препоръчва се над 12, но колкото по -дълго, толкова по -добре, особено след като не е нужно да го помните.

Тип хеш

Има два варианта за какъв тип хеш се използва, MD5 и SHA. И двете ще генерират пароли с главни букви, малки букви и цифри. Промяната на това е лесен начин да промените всичките си пароли, като запазите същата главна парола.

Тайна парола

Разделът за секретна парола е допълнителен начин да се уверите, че всичко е защитено. Когато аплетът се стартира, ако имате тайна парола, той ще покаже малко изображение в полето за парола. Тази парола ВИНАГИ трябва да е същата, когато стартира. Ако се стартира и това изображение не е това, което обикновено е, има вероятност някой да се опита да получи вашата главна парола.

Главна парола

Това не е необходимо по време на настройката, но е много важно. Изберете силна парола. Това е една единствена парола, която винаги въвеждате на всеки сайт. Уверете се, че това е нещо, което можете да запомните, но е сложно, дълго и нелично.

Спестяване

След като изберете всичките си настройки, щракнете отново върху иконата за запазване и иконата на зъбно колело, за да затворите настройките

Стъпка 9: Използвайте SGP

За да използвате SGP, отворете уебсайт както обикновено. Когато трябва да въведете паролата си, щракнете върху бутона SGP, който сте добавили към лентата си с отметки. Ако сте използвали секретна парола при настройването на SGP, уверете се, че изображението, което се показва в полето за парола, съвпада с това, което е било, когато сте го настроили.

Въведете вашата главна парола и натиснете Enter. Това ще изчисли вашата уникална парола за този уебсайт и ще я попълни за вас! Докато въвеждате главната си парола, иконата ще се актуализира. Ако изображението не съответства на иконата, която обикновено имате, или сте въвели грешна главна парола, или някой се опитва да получи вашата парола.

В зависимост от начина, по който е написан сайтът, SGP може да не успее да въведе паролата вместо вас или сайтът може да не осъзнае, че е въведен. Ако случаят е такъв, можете да щракнете върху иконата за копиране до полето за генерирана парола и да я поставите ръчно.

След като въведете паролата си, щракнете върху Вход и сте там!

Стъпка 10: Заключителни мисли

SGP може да не работи за всички и това е ОК. Това не е идеалното решение, защото няма такова нещо. Ако имате друга услуга или метод, които обичате да използвате за пароли, имайте предвид 6 -те стъпки за сигурна парола. Ако сегашният ви метод не е успешен в няколко от тези области, може да е време да потърсите друго решение. Да, може да отнеме половин ден, за да промените всичките си акаунти, но това вероятно ще бъде по -малко главоболие, отколкото ако вашите акаунти бъдат нарушени.

Бележка относно онлайн съхранението: Ако услугата съхранява вашите пароли онлайн/в „облака“, проверете техните практики за сигурност, за да се уверите, че са добри. Вероятно сайтът ще ви каже какво правят, за да защитят вашите пароли, ако го правят правилно. Ако не сте сигурни, изпратете им имейл и попитайте. Ако не могат да ви дадат добър/кратък/точен отговор, бъдете внимателни, когато използвате тази услуга.