Þessi grein mun fjalla um hvernig á að búa til öruggt lykilorð, hvaða meginreglur ætti að fylgja þegar þú býrð til þau, hvernig á að geyma lykilorð og lágmarka möguleika á boðflenna að fá aðgang að upplýsingum og reikningum þínum.
Þetta efni er framhald af greininni "Hvernig lykilorðið þitt er hægt að tölvusnápur" og felur í sér að þú þekkir efni sem þar er að finna, og án þess að vita, þá þekkir þú allar helstu leiðir sem lykilorð geta verið í hættu.
Búðu til lykilorð
Í dag, þegar þú skráir hvaða Internet reikning sem er, búa til lykilorð, sérðu venjulega lykilorð styrkleikans. Næstum alls staðar virkar það á grundvelli mat á eftirfarandi tveimur þáttum: lengd lykilorðsins; Tilvist sérstakra stafa, hástafi og tölur í lykilorðinu.
Þrátt fyrir þá staðreynd að þetta eru mjög mikilvægar þættir viðnám gegn lykilorðinu gegn sprungu með brute force, lykilorð sem virðist að kerfið sé áreiðanlegt er ekki alltaf það. Til dæmis er lykilorð eins og "Pa $$ w0rd" (og hér eru sérstakir stafir og tölur) líkleg til að vera klikkaður mjög fljótt - vegna þess að (eins og lýst er í fyrri greininni) búa menn sjaldan með einstaka lykilorð (minna en 50% lykilorð eru einstök) og þessi möguleiki er líklega til þegar í leka gagnagrunni sem boðberar hafa.
Hvernig á að vera? Besta kosturinn er að nota lykilorð rafala (fáanlegt á Netinu í formi netnotenda, eins og í flestum lykilorðstjórum tölvu), búa til langar handahófi lykilorð með sérstökum stafi. Í flestum tilfellum verður lykilorð 10 eða fleiri slíkra stafa einfaldlega ekki áhugavert við tölvusnápur (það er hugbúnaður hans verður ekki stilltur til að velja slíkar valkosti) vegna þess að tímakostnaður borgar sig ekki. Nýlega hefur innbyggður lykilorð rafall birtist í Google Chrome vafranum.
Í þessari aðferð er aðal galli þess að slíkt lykilorð er erfitt að muna. Ef þörf er á að halda lykilorðinu í höfðinu, þá er annar kostur á grundvelli þess að lykilorð 10 stafir, sem innihalda hástafi og sértákn, er klikkaður af brutu gildi þúsunda eða fleiri (tiltekin númer eru háð leyfilegu stafatöflunni), en lykilorð 20 stafir, sem inniheldur aðeins lágstafir í latneskum stöfum (jafnvel þótt árásarmaðurinn veit um þetta).
Þannig verður lykilorð sem samanstendur af 3-5 einföldu ensku ensku orðunum auðvelt að muna og næstum ómögulegt að sprunga. Og að hafa skrifað hvert orð með hástöfum, hækka við fjölda valkosta í seinni gráðu. Ef þetta eru 3-5 rússneska orð (aftur, handahófi en ekki nöfn og dagsetningar) skrifaðar í ensku skipulagi er einnig fjarlægt hugsanlega möguleika á háþróaðri aðferðum við að nota orðabækur til að velja lykilorð.
Það er örugglega ekki rétt leið til að búa til lykilorð: það eru kostir og gallar á ýmsa vegu (tengjast getu til að muna það, áreiðanleika og aðrar breytur) en grundvallarreglur eru sem hér segir:
- Lykilorðið verður að innihalda verulega fjölda stafa. Algengasta takmörkunin í dag er 8 stafir. Og þetta er ekki nóg ef þú þarft örugg lykilorð.
- Ef unnt er, þá innihalda sérstafir, hástafir og tölustafi í lykilorðinu.
- Taktu aldrei persónulegar upplýsingar í lykilorðinu þínu, jafnvel þótt það hafi verið skrifað á skynsamlegan hátt. Engar dagsetningar, fornafn og eftirnöfn. Til dæmis, að slökkva á lykilorði sem samsvarar hvaða degi nútíma júlíska dagatalið frá 0-ári til dagsins í dag (eins og 07/18/2015 eða 18072015 osfrv.) Tekur frá sekúndum til klukkustunda (og klukkan verður aðeins fengin vegna tafa milli tilrauna í sumum tilfellum).
Þú getur athugað hversu sterk lykilorðið þitt er á síðunni (þó að slá inn lykilorð á sumum vefsvæðum, sérstaklega án https, er ekki öruggasta æfingin) //rumkin.com/tools/password/passchk.php. Ef þú vilt ekki skoða raunverulegt lykilorð skaltu slá inn svipaðan (frá sama fjölda stöfum og með sömu stafatöflu) til að fá hugmynd um áreiðanleika þess.
Við innslátt stafir reiknar þjónustan entropy (skilyrðið er fjöldi valkosta, þar sem entropy er 10 bita, fjöldi valkosta er 2 í tíunda vald) fyrir tiltekið lykilorð og veitir upplýsingar um áreiðanleika ýmissa gilda. Lykilorð með entropy meira en 60 eru nánast ómögulegt að sprunga jafnvel meðan á markvissu vali stendur.
Ekki nota sömu lykilorð fyrir mismunandi reikninga.
Ef þú ert með mikið flókið lykilorð, en þú notar það þar sem það er mögulegt, verður það sjálfkrafa alveg óáreiðanlegt. Um leið og tölvusnápur brjótast inn á einhvern af þeim vefsvæðum þar sem þú notar slíkt lykilorð og fá aðgang að því, getur þú verið viss um að það sé strax prófað (sjálfkrafa með sérstökum hugbúnaði) á öllum öðrum vinsælum tölvupósti, gaming, félagsþjónustu og jafnvel Netbankar (Leiðir til að sjá hvort lykilorðið þitt hefur þegar verið lekið er skráð í lok fyrri greinarinnar).
Einstakt lykilorð fyrir hverja reikning er erfitt, það er óþægilegt, en það er nauðsynlegt ef þessi reikningur hefur einhverja þýðingu fyrir þig. Þó, fyrir sumar skráningar sem hafa engin gildi fyrir þig (þ.e. þú ert tilbúin til að tapa þeim og mun ekki hafa áhyggjur) og innihalda ekki persónulegar upplýsingar, getur þú ekki lagt þig á einstaka lykilorð.
Tvíþættur auðkenning
Jafnvel sterkir lykilorð tryggja ekki að enginn geti slegið inn reikninginn þinn. Þú getur stýrt lykilorði með einum eða öðrum hætti (phishing, til dæmis, sem algengasta valkosturinn) eða fáðu það frá þér.
Næstum öll alvarleg fyrirtæki á netinu, þar á meðal Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam og aðrir, hefur nýlega bætt við getu til að virkja tvíþætt (eða tvíþætt) auðkenningu á reikningum sínum. Og ef öryggi er mikilvægt fyrir þig, mæli ég mjög með því að taka þátt í henni.
Framkvæmd tvíþættra auðkenningar er aðeins mismunandi fyrir mismunandi þjónustu en grundvallarreglan er sem hér segir:
- Þegar þú slærð inn reikninginn frá óþekktum tækjum, eftir að þú slóst inn rétt aðgangsorð, er beðið um að þú fáir viðbótarprófanir.
- Staðfestingin fer fram með hjálp SMS-kóðans, sérstaks forrits í snjallsíma, með fyrirfram tilbúnum prentaðum kóða, tölvupóstskeyti, vélbúnaðarlykil (síðasta valkosturinn birtist hjá Google, þetta fyrirtæki er almennt það besta hvað varðar tvíþætt auðkenningu).
Þannig, jafnvel þótt árásarmaðurinn hafi lært aðgangsorðið þitt, mun hann ekki geta skráð sig inn á reikninginn þinn án þess að hafa aðgang að tækjunum þínum, síma eða tölvupósti.
Ef þú skilur ekki fullkomlega hvernig tvíþættur auðkenning virkar, mæli ég með að lesa greinar á Netinu sem varið er um þetta efni eða lýsingar og leiðbeiningar um aðgerðir á vefsvæðum þar sem hún er framkvæmd (ég mun ekki geta sett nákvæmar leiðbeiningar í þessari grein).
Lykilorð geymsla
Erfitt einstakt lykilorð fyrir hvert vefsvæði - frábært, en hvernig á að geyma þau? Ólíklegt er að allar þessar lykilorð séu í huga. Geymsla geymdra lykilorða í vafranum er áhættusamt fyrirtæki: Þeir verða ekki aðeins viðkvæmari fyrir óviðkomandi aðgangi en geta einfaldlega tapað ef kerfistruflanir verða og þegar samstilling er óvirk.
Besta lausnin er talin vera lykilorðsstjórar, almennt fulltrúar forrita sem geyma öll leyndarmál gögnin þín í dulkóðaðri öruggri geymslu (bæði offline og á netinu), sem er aðgengilegt með einu lykilorði lykilorðs (þú getur einnig virkjað tvíþætt auðkenningu). Einnig eru flestar þessara áætlana búin tæki til að búa til og meta áreiðanleika lykilorðanna.
Fyrir nokkrum árum skrifaði ég sérstaka grein um bestu lykilorðastjóra (það er þess virði að endurskrifa, en þú getur fengið hugmynd um hvað það er og hvaða forrit eru vinsælar af greininni). Sumir kjósa einfaldar lausnir á netinu, eins og KeePass eða 1Password, sem geyma öll lykilorð í tækinu þínu, aðrir - fleiri hagnýtar tól sem einnig tákna samstillingargetu (LastPass, Dashlane).
Vel þekkt lykilorðsstjórar eru almennt talin mjög örugg og áreiðanleg leið til að geyma þau. Hins vegar er vert að íhuga nokkrar upplýsingar:
- Til að fá aðgang að öllum lykilorðum þínum þarftu aðeins að vita eitt lykilorð.
- Þegar um er að ræða tölvusnápur á netinu (bókstaflega fyrir mánuði síðan, vinsælasta lykilorðastjórnun heims, LastPass, var tölvusnápur) verður þú að breyta öllum lykilorðum þínum.
Hvernig getur þú annað hvort vistað mikilvæg lykilorð? Hér eru nokkrar möguleikar:
- Á pappír í öruggum aðgangi sem þú og fjölskyldumeðlimir þínir vilja hafa (ekki hentugur fyrir lykilorð sem þú þarft oft að nota).
- Ónettengt lykilorð gagnagrunnur (til dæmis KeePass) sem er geymt á varanlegum gagnageymslutæki og afritað einhvers staðar ef um er að ræða tap.
Að mínu mati er besta samsetningin af öllu sem lýst er hér að framan eftirfarandi leið: Mikilvægustu lykilorðin (aðal tölvupósturinn sem þú getur endurheimt aðra reikninga, banka osfrv.) Er geymdur í höfuðinu og (eða) á pappír á öruggum stað. Minni mikilvægt og á sama tíma ætti að nota oft notuð lykilorð stjórnendur.
Viðbótarupplýsingar
Ég vona að samsetningin af tveimur greinum um lykilorð við suma af ykkur hjálpaði til að vekja athygli á sumum öryggisþáttum sem þú hugsaðir ekki um. Auðvitað tók ég ekki tillit til allra mögulegra valkosta, en einföld rökfræði og einhver skilningur á meginreglunum mun hjálpa mér að ákveða hversu öruggt það sem þú ert að gera á tilteknu augnabliki. Enn og aftur, sumir nefnd og nokkrar viðbótarupplýsingar:
- Notaðu mismunandi lykilorð fyrir mismunandi síður.
- Lykilorð ætti að vera flókið, erfiðast er að auka flókið með því að auka lykilorðið lengd.
- Ekki nota persónuupplýsingar (sem þú getur fundið út) þegar þú býrð til lykilorðið sjálft, vísbendingar þess, prófaðu spurningar um endurheimt.
- Notaðu tvíþætt staðfesting þar sem það er mögulegt.
- Finndu besta leiðin til að halda lykilorðunum þínum öruggum.
- Vertu á varðbergi gagnvart phishing (athuga heimilisföng vefsvæði, dulkóðun) og spyware. Hvar sem þeir eru beðnir um að slá inn lykilorð skaltu athuga hvort þú ert að slá inn það á réttum stað. Gakktu úr skugga um að engin malware sé á tölvunni.
- Ef það er mögulegt skaltu ekki nota lykilorðin þín á tölvum annarra (ef nauðsyn krefur, gerðu það í hvetjahamur vafrans eða jafnvel betra skaltu nota lyklaborðið á skjánum) á almennum opnum Wi-Fi netum, sérstaklega ef þú ert ekki með https dulkóðun þegar þú tengist vefsvæðinu .
- Kannski ættirðu ekki að geyma mikilvægustu, sannarlega dýrmætur, lykilorð á tölvu eða á netinu.
Eitthvað svoleiðis. Ég held að ég hafi tekist að hækka gráðu ofsóknar. Ég skil að mikið af ofangreindu virðist óþægilegt, hugsanir eins og "jæja, það mun fara framhjá mér" getur komið upp, en eina afsökunin fyrir að vera latur þegar einföld öryggisreglur um geymslu trúnaðarupplýsinga geta aðeins verið skortur á mikilvægi og reiðubúin til að að það verði eign þriðja aðila.