Parole: Cum să le faci corect: 10 pași
Parole: Cum să le faci corect: 10 pași

Cuprins:

Anonim
Parole: Cum să le faci corect
Parole: Cum să le faci corect
Parole: Cum să le faci corect
Parole: Cum să le faci corect

La începutul acestui an, soția mea a pierdut accesul la unele dintre conturile ei. Parola ei a fost preluată de pe un site încălcat, apoi a fost folosită pentru a intra în alte conturi. Abia după ce site-urile au început să o notifice cu privire la încercările eșuate de conectare, și-a dat seama că se întâmplă ceva.

De asemenea, am vorbit cu o serie de oameni care spun că folosesc aceeași parolă pentru fiecare site. Aceste două lucruri au fost suficiente pentru a mă stimula să scriu acest Instructable.

Securitatea parolei este o parte foarte mică a securității online în ansamblu. Aproape fiecare cont necesită un fel de autentificare pentru a permite accesul la tot ceea ce protejează. Acel șir este adesea tot ceea ce se află între un atacator și informațiile dvs. personale, bani, imagini personale sau acele puncte de călătorie pe care le colectați de ani de zile.

Acest instructiv își propune să acopere unele dintre cele mai bune practici pentru crearea parolelor. Dacă sunteți cineva care are aceeași parolă pentru fiecare site web, a cărui parolă este un model de pe tastatură sau aveți cuvântul „parolă” în parola dvs., acest instructiv este pentru dvs.

Declinare de responsabilitate

Nu sunt expert în securitate. Aceste informații au fost învățate și cercetate de-a lungul timpului și sunt doar o recomandare și un rezumat al unui subiect foarte complex. Acest tutorial a fost scris la începutul anului 2018 și poate fi depășit în momentul în care l-ați citit.

TL; DR

Dacă nu vă pasă de toate raționamentele și explicațiile mele din spatele parolelor și doriți doar o modalitate ușoară de a crea parole sigure, treceți la ultimul pas.

Pasul 1: Faceți-l lung

Fă-l lung
Fă-l lung

Lungimea este o componentă foarte importantă pentru securitatea parolei. Odată cu creșterea vitezei computerelor, parolele pot fi încercate la viteze uimitoare. Aceasta se numește cracarea parolei „forță brută”. Se leagă fiecare combinație posibilă de caractere până când o găsești pe cea care se potrivește.

În teorie, acest lucru face ca orice parolă să fie crackabilă, având suficient timp. Din fericire, cu cât parola este mai lungă, cu atât ar dura mai mult acest tip de atac. Fiecare personaj pe care îl adăugați la lungime îngreunează mult dificultatea. Dacă este suficient de lungă, ar putea dura zeci de ani pentru a o găsi în acest fel, ceea ce face ca nu merită pentru un atacator.

Exemplu

Să presupunem că aveți o parolă care este doar cu majuscule. Aceasta nu este o idee bună, dar aceasta este doar în scop ilustrativ. De fiecare dată când adăugați un alt caracter la parolă, acesta multiplică numărul de parole posibile cu 26. Dacă ați avea o parolă de 1 caracter, ar avea 26 de parole posibile, 2 caractere ar avea 676 de parole posibile, etc..

  1. 26
  2. 676
  3. 17576
  4. 456976
  5. 11881376
  6. 308915776
  7. 8031810176
  8. 208827064576
  9. 5429503678976
  10. 141167095653376
  11. 3670344486987780
  12. 95428956661682200
  13. 2481152873203740000
  14. 64509974703297200000
  15. 1677259342285730000000

După cum puteți vedea, fiecare literă pe care o adăugați face acest atac mult mai greu și practic imposibil cu suficiente caractere. Amintiți-vă, acest lucru este doar cu majuscule. Odată ce devin mai complexi, acest efect devine mărit.

Pasul 2: Faceți-l complex

Faceți-o complexă
Faceți-o complexă

Complexitatea este un alt factor important în securitatea parolei. Dacă vreodată un site web este încălcat, este probabil ca numele de utilizator și parolele să fie extrase. Ca un nivel de securitate de bază, sperăm că site-ul web are parolele hash (similar cu criptarea) înainte de stocare. Acest lucru înseamnă că sunt zdruncinați înainte de a intra în baza de date și nu există nicio modalitate de a inversa acest zăpăceală.

Toate acestea sună bine. Nu contează care este parola dvs. pentru că este zgârcită, nu? Nu este cazul dacă parola dvs. nu este complexă. Există algoritmi de hash standard folosiți (SHA1, MD5, SHA512, etc.) și vor avea întotdeauna hash același lucru în același mod. De exemplu, dacă utilizați SHA1 și parola dvs. a fost „parolă”, aceasta va fi stocată în baza de date ca „5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8”, întotdeauna.

Crearea hash-urilor necesită timp și eșuarea computerului, iar calcularea tuturor hash-urilor posibile pentru toate parolele posibile este practic imposibilă. Ceea ce a făcut oamenii este să creeze „dicționare” din parole comune. Lucruri precum „parolă” sau „qwerty” vor fi desigur acolo, precum și altele mai puțin frecvente. Vor fi milioane de parole în aceste dicționare și va dura doar câteva secunde pentru a trece prin fiecare intrare și a compara hash-ul cunoscut cu hash-ul parolei dvs. Aceasta se numește „atac de dicționar”. Dacă a dvs. este una dintre cele care au fost deja calculate, garblingul nu vă va proteja parola și poate fi utilizat pe alte site-uri.

De asemenea, schimbarea literelor în cifre nu adaugă complexitate. Poate părea mai complex schimbarea E la 3 sau I la 1, dar aceasta este o practică atât de obișnuită încât nu adaugă mai multă siguranță. Programele de cracking au o opțiune care va încerca automat aceste variații.

Pasul 3: faceți-l unic

Faceți-l unic
Faceți-l unic

Amintirea parolelor este dificilă. Întrucât viața noastră devine din ce în ce mai online, nu este neobișnuit ca fiecare persoană să aibă peste 50 de conturi online, fiecare cu propriile date de conectare. Acest lucru poate fi foarte greu de urmărit.

Cel mai obișnuit mod în care oamenii se ocupă de acest lucru este alegerea unei parole „bune” și utilizarea acesteia pe o grămadă de site-uri web diferite. Aceasta este o idee teribilă. Tot ce este nevoie este ca o singură încălcare a securității sau un site web de phishing să obțină numele dvs. de utilizator și parola pentru a porni mingea. Atacatorii ar putea încerca acel nume de utilizator și parola pe sute de site-uri web în câteva secunde. Acest lucru îi va duce automat pe fiecare site web cu același nume de utilizator ca cel compromis.

Știu că a avea o parolă diferită pentru fiecare site pare o sarcină descurajantă, dar vom analiza cum să gestionăm acest lucru mai târziu.

Pasul 4: Nimic personal

Nimic personal
Nimic personal

Informațiile dvs. nu sunt atât de private pe cât credeți. O căutare rapidă online ar putea găsi cu ușurință data sau adresa de naștere. Dacă a fost încălcat un alt cont, pot fi obținute cu ușurință chiar și mai multe informații. Dacă există un atacator care încearcă să intre în conturile dvs., acestea ar fi parole evidente de încercat. De asemenea, lasă intrarea deschisă membrilor familiei, prietenilor sau chiar cunoștințelor.

Pasul 5: tratați toate parolele cu aceeași grijă

Când aveți de-a face cu site-uri web, ar trebui să tratați securitatea tuturor cu același nivel de îngrijire. De exemplu, dacă aveți un login pe site-ul dvs. preferat pentru pisici, ar trebui să luați aceleași măsuri de precauție ca datele dvs. de conectare la bancă. S-ar putea să nu pară prea mult să pierzi accesul la toate acele mustăți adorabile, dar asta ar putea fi doar o piatră de temelie pentru un atacator. Încălcarea acestui site „neimportant” ar putea oferi atacatorului mai multe informații despre dvs., cum ar fi un alt nume de utilizator pe care l-ați folosit, un e-mail diferit pe care l-ați folosit pentru a vă autentifica sau informații reale care ar putea fi utilizate pentru a debloca alte site-uri web.

De asemenea, dacă este un site web neimportant, există o șansă mai mare ca acestea să nu urmeze practicile de securitate adecvate, ceea ce înseamnă că dacă parola dvs. este lungă și complexă, dar nu este unică, iar parolele nu sunt hashizate corect atunci când sunt stocate, acea parolă poate fi utilizată cu ușurință pe alte site-uri web. Din nou, doar pentru că site-ul este „neimportant”, nu înseamnă că securitatea dvs. este.

Pasul 6: Păstrați-l ascuns

Păstrați-l ascuns
Păstrați-l ascuns

Bun - stocare offline

Stocarea offline poate fi o opțiune bună dacă sunteți o persoană uitată. Având un stick USB pe care îl păstrați blocat cu parolele pe acesta, acesta protejează împotriva majorității atacurilor, cu excepția familiei și a prietenilor. Doar în cazul în care pierdeți acest stick, cumva, asigurați-vă că fișierul de parolă sau întreaga unitate este criptat și că stick-ul este salvat undeva foarte sigur.

Această metodă are multă siguranță, dar cu prețul comodității.

Motivul pentru care ar trebui să fie offline este explicat mai detaliat mai jos. Rețineți că o mulțime de dispozitive sunt salvate automat în cloud acum, chiar dacă nu ați vrut să faceți acest lucru. De asemenea, dacă conectați vreodată acest stick la un dispozitiv care are un virus sau este compromis, datele ar putea fi copiate cu ușurință.

Mai bine - Amintește-ți totul

Amintiți-vă toate parolele. Dacă sunteți incredibil de supradotați, aceasta ar putea fi o opțiune. Nu există nicio modalitate prin care cineva să le găsească și tu le ai întotdeauna la tine. Unele aspecte negative sunt că majoritatea dintre noi nu sunt uimitori să-și amintească lucruri complexe și tind să vorbească puțin prea mult după o băutură sau două. Mai ales cu zeci de parole de reținut, probabil că nu este nici măcar o opțiune pentru profanul.

Cel mai bun - Fără depozitare

Cel mai bun caz este ca dvs. să nu le stocați deloc. Fie că îți amintești cumva toate parolele tale unice, lungi și complexe, fie ai o modalitate de a le recrea din mers. Dacă știți ingredientele necesare pentru a le recrea, atunci nu există nicio modalitate în care un atacator le-ar putea „găsi”, deoarece acestea nu există până când nu este nevoie. Acest lucru poate părea complicat, dar chiar nu este. Mai multe despre asta mai târziu.

Importanța offline

Site-urile web sunt gestionate de oameni. Pentru majoritatea site-urilor, este probabil sigur să presupunem că aceste persoane au în general intenții bune, dar chiar și cei mai buni oameni pot face greșeli. Numai anul trecut, au existat o serie de încălcări uriașe ale securității site-urilor web ale unor companii mari, în general sigure, precum Linked-In, Yahoo, Equifax, Apple și Uber, doar pentru a numi câteva. Acestea sunt companii mari cu departamente de securitate și au fost încălcate.

Stocarea în cloud sună extraordinar și oferă comoditate, dar ceea ce este un „cloud” este în realitate computerul altcuiva pe care îl utilizați pentru a stoca fișierele. Așa cum am spus mai sus, oamenii pot face greșeli. Dacă se întâmplă acest lucru, parolele dvs. ar putea fi disponibile pentru lume. Site-urile cloud sunt o țintă uriașă pentru atacatori din cauza cantității de date pe care o dețin. Rupeți site-ul cloud, obțineți acces la toate informațiile stocate potențial de milioane de oameni.

Sunt sigur că unele dintre acestea sunt paranoia, dar cu o bucată imensă din viața ta ascunsă în spatele acestor parole, protejează-le ca atare.

Pasul 7: Recomandarea mea

Recomandarea mea
Recomandarea mea

Acesta a fost un preambul foarte lung pentru a explica principalii piloni ai securității parolelor. Dacă urmați aceste 6 linii directoare, ar trebui să aveți probleme minime de securitate online și, dacă se întâmplă ceva, ar trebui să se oprească la sursă, nu să se răspândească în restul vieții dvs. online.

Există multe modalități diferite de a rezolva aceste provocări. Unele sunt mai bune decât altele și oferă beneficii diferite. Soluția mea preferată este SuperGenPass (SGP). Nu sunt afiliat în niciun fel, sunt doar un fan.

Simplu de utilizat

SGP are o aplicație pentru telefon și un buton pe care îl puteți adăuga în browser. Când accesați un site web și acesta vă solicită datele de conectare, faceți clic pe buton. Va apărea o fereastră mică. Introduceți parola principală. SGP va genera o parolă pentru acest site și o va introduce în caseta de parole pentru dvs.!

Lung

Puteți alege lungimea parolei create. Acest lucru va genera parole de până la 24 de caractere, ceea ce este destul de sigur, dar puteți alege mai scurt dacă unele site-uri web vă limitează lungimea parolei.

Complex

Se utilizează majuscule, minuscule și numere, ceea ce este destul de sigur. Nu urmează niciun model recunoscut fără cuvinte sau fraze. Nimic din adresa URL sau parola principală nu este în acest șir.

Unic

Fiecare site web va avea o parolă complet unică. Parolele pentru example1.com și example2.com sunt complet diferite, chiar dacă există un singur caracter diferit în „ingredientele” inițiale. După cum puteți vedea în exemplul de mai jos, nu există nicio legătură între „ingrediente” și parola rezultată și acestea sunt FOARTE diferite între ele.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Depozitare

Nu stochează și nu transmite date. Poate fi rulat complet offline dacă sunteți îngrijorat și nu există nicio modalitate prin care cineva să le găsească sau să le fure.

Pasul 8: SGP: Configurare

SGP: Configurare
SGP: Configurare
SGP: Configurare
SGP: Configurare

Configurarea SGP este foarte simplă. Mai întâi, probabil că veți dori să îl adăugați la bara de marcaje. Pentru a face acest lucru, accesați:

chriszarate.github.io/supergenpass/

Vor fi 2 butoane din care să alegeți. Pentru a configura un computer pe care îl folosiți de obicei, trageți butonul din stânga în bara de marcaje. Acest lucru vă va oferi un nou buton de utilizat.

Dacă utilizați computerul altcuiva în viitor, puteți selecta butonul din dreapta. Acest lucru vă va permite să utilizați SGP fără a schimba nimic în browserul lor. Este, de asemenea, o opțiune pentru un browser mobil.

După ce a fost adăugat la bara de marcaje, faceți clic pe buton. Se va deschide o mică fereastră în colțul paginii dvs. web. Dacă faceți clic pe uneltele mici, se vor deschide setările.

Lungime

Numărul din stânga este lungimea parolei pe care o va genera. Vă recomand să căutați printre site-urile pe care le utilizați cel mai mult și să le setați la cel mai mare număr pe care aceste site-uri îl vor permite. Se recomandă peste 12 ani, dar cu cât este mai lung, cu atât mai bine, mai ales că nu trebuie să vă amintiți.

Tipul Hash

Există două opțiuni pentru ce tip de hash este utilizat, MD5 și SHA. Ambele vor genera parole cu litere mari, litere mici și cifre. Schimbarea acestui lucru este o modalitate simplă de a vă schimba toate parolele, păstrând în același timp aceeași parolă principală.

Parolă secretă

Secțiunea de parolă secretă este o modalitate suplimentară de a vă asigura că totul este sigur. Când pornește applet-ul, dacă aveți o parolă secretă, va afișa o imagine mică în caseta de parolă. Această parolă ar trebui să fie întotdeauna aceeași atunci când începe. Dacă pornește și această imagine nu este ceea ce este de obicei, există șansa ca cineva să încerce să obțină parola dvs. principală.

Parola principala

Acest lucru nu este necesar în timpul configurării, dar este foarte important. Asigurați-vă că alegeți o parolă puternică. Aceasta este o singură parolă pe care o introduceți întotdeauna pe fiecare site. Asigurați-vă că este ceva ce vă puteți aminti, dar este complex, lung și nepersonal.

Economisire

După ce alegeți toate setările, faceți clic din nou pe pictograma de salvare și pe pictograma roată pentru a închide setările

Pasul 9: utilizați SGP

Folosiți SGP
Folosiți SGP
Folosiți SGP
Folosiți SGP

Pentru a utiliza SGP, navigați la un site web așa cum ați face în mod normal. Când trebuie să introduceți parola, faceți clic pe butonul SGP pe care l-ați adăugat la bara de marcaje. Dacă ați folosit o parolă secretă la configurarea SGP, asigurați-vă că imaginea care apare în caseta de parolă se potrivește cu ceea ce era când ați configurat-o.

Introduceți parola principală și apăsați Enter. Aceasta vă va calcula parola unică pentru acest site web și o va completa pentru dvs.! Pe măsură ce introduceți parola principală, pictograma se va actualiza. Dacă imaginea nu se potrivește cu pictograma pe care o aveți de obicei, fie ați introdus greșit parola principală, fie cineva încearcă să vă primească parola.

În funcție de modul în care este scris site-ul, este posibil ca SGP să nu poată introduce parola pentru dvs. sau site-ul să nu realizeze că a fost introdus. Dacă acesta este cazul, puteți face clic pe pictograma copiere de lângă caseta de parolă generată și lipiți-o manual.

Odată ce parola este introdusă, faceți clic pe Conectare și sunteți acolo!

Pasul 10: Gânduri finale

Este posibil ca SGP să nu funcționeze pentru toată lumea și asta este în regulă. Nu este soluția perfectă, deoarece nu există așa ceva. Dacă aveți un alt serviciu sau metodă pe care doriți să o utilizați pentru parole, rețineți cei 6 pași pentru o parolă sigură. Dacă metoda dvs. actuală este scurtă în câteva dintre aceste domenii, ar putea fi timpul să căutați o altă soluție. Da, s-ar putea să treacă o jumătate de zi pentru a vă schimba toate conturile, dar acest lucru ar fi probabil mai puțin dureros decât să vi se încalce conturile.

O notă despre stocarea online: dacă serviciul vă stochează parolele online / în „cloud”, verificați practicile de securitate pentru a vă asigura că sunt bune. Site-ul vă va spune probabil ce fac pentru a vă proteja parolele dacă o fac corect. Dacă nu sunteți sigur, trimiteți-le un e-mail și întrebați. Dacă nu vă pot oferi un răspuns bun / concis / precis, fiți precauți atunci când utilizați acel serviciu.