Tatalakayin ng artikulong ito kung paano lumikha ng isang secure na password, kung anong mga alituntunin ang dapat sundin kapag lumilikha ang mga ito, kung paano mag-imbak ng mga password at mabawasan ang posibilidad ng mga nakakahamak na gumagamit na nakakuha ng access sa iyong impormasyon at account.
Ang materyal na ito ay isang pagpapatuloy ng artikulong "Paano mapupuksa ang iyong password" at ipinapahiwatig na pamilyar ka sa materyal na ipinakita doon o alam mo na ang lahat ng pangunahing paraan kung saan maaaring makompromiso ang mga password.
Lumikha ng mga password
Ngayon, kapag nagrehistro ng isang account sa Internet, na lumilikha ng isang password, karaniwang nakikita mo ang isang tagapagpahiwatig ng lakas ng password. Halos saanman ito gumagana batay sa isang pagtatasa ng mga sumusunod na dalawang kadahilanan: haba ng password; ang pagkakaroon ng mga espesyal na character, mga titik ng kapital at numero sa password.
Sa kabila ng katotohanan na ang mga ito ay talagang mahalagang mga parameter ng paglaban sa password sa pag-hack sa pamamagitan ng malupit na puwersa, ang isang password na tila maaasahan sa system ay hindi palaging ganoon. Halimbawa, ang isang password na tulad ng "Pa $$ w0rd" (at may mga espesyal na character at numero dito) ay malamang na mabulabog nang napakabilis - dahil sa katotohanan na (tulad ng inilarawan sa nakaraang artikulo) ang mga tao ay bihirang lumikha ng mga natatanging password (mas mababa sa 50% ng mga password ay natatangi) at ang ipinahiwatig na pagpipilian ay malamang na nasa mga leak na database na magagamit sa mga umaatake.
Paano maging Ang pinakamahusay na pagpipilian ay ang paggamit ng mga generator ng password (magagamit sa Internet bilang mga online utility, pati na rin sa karamihan sa mga tagapamahala ng password para sa mga computer), na lumilikha ng mahabang random na mga password gamit ang mga espesyal na character. Sa karamihan ng mga kaso, ang isang password ng 10 o higit pa sa mga character na ito ay hindi lamang magiging interesado sa cracker (i.e., ang kanyang software ay hindi mai-configure upang piliin ang gayong mga pagpipilian) dahil sa ang katunayan na ang oras na ginugol ay hindi babayaran. Kamakailan lamang, lumitaw ang isang built-in na generator ng password sa browser ng Google Chrome.
Sa pamamaraang ito, ang pangunahing kawalan ay ang mga naturang password ay mahirap tandaan. Kung may pangangailangan na tandaan ang password, mayroong isa pang pagpipilian batay sa katotohanan na ang isang 10-character na password na naglalaman ng mga malalaking titik at mga espesyal na character ay basag sa pamamagitan ng paghahanap sa libu-libo o higit pa (mga tiyak na numero ay nakasalalay sa wastong set ng character), mas madali ang mga oras, kaysa sa isang 20-character na password na naglalaman lamang ng maliliit na character na Latin (kahit na alam ng cracker).
Sa gayon, ang isang password na binubuo ng 3-5 simpleng random na mga salitang Ingles ay madaling tandaan at halos imposible na mag-crack. At ang pagsulat ng bawat salita na may isang titik ng kapital, pinalaki namin ang bilang ng mga pagpipilian sa ikalawang degree. Kung ito ay 3-5 salita ng Ruso (muli random, sa halip na mga pangalan at petsa) na nakasulat sa layout ng Ingles, ang hypothetical posibilidad ng sopistikadong pamamaraan ng paggamit ng mga diksyonaryo para sa pagpili ng password ay aalisin din.
Marahil ay walang tiyak na tamang diskarte sa paglikha ng mga password: sa iba't ibang mga pamamaraan mayroong mga pakinabang at kawalan (nauugnay sa kakayahang matandaan ito, pagiging maaasahan, at iba pang mga parameter), gayunpaman, ang mga pangunahing prinsipyo ay ang mga sumusunod:
- Ang password ay dapat na binubuo ng isang makabuluhang bilang ng mga character. Ang pinaka-karaniwang limitasyon ngayon ay 8 character. At ito ay hindi sapat kung kailangan mo ng isang secure na password.
- Kung maaari, mga espesyal na character, mga letra sa itaas at mas mababang kaso, dapat isama ang mga numero sa password.
- Huwag kailanman isama ang personal na data sa password, kahit na naitala sa pamamagitan ng tila "nakakalito" na pamamaraan. Walang mga petsa, pangalan at apelyido Halimbawa, ang pagsira sa isang password na kumakatawan sa anumang petsa ng modernong kalendaryo ng Julian mula ika-0 taon hanggang sa kasalukuyang araw (ng uri ng Hulyo 18, 2015 o 18072015, atbp.) Aabutin mula sa ilang segundo hanggang oras (at kahit noon, ang orasan ay lalabas lamang dahil sa mga pagkaantala sa pagitan ng mga pagtatangka para sa ilang mga kaso).
Maaari mong suriin kung gaano kalakas ang iyong password sa site (kahit na ang pagpasok ng mga password sa ilang mga site, lalo na kung wala ang https ay hindi ang pinakaligtas na kasanayan) //rumkin.com/tools/password/passchk.php. Kung hindi mo nais na i-verify ang iyong totoong password, magpasok ng isang katulad na (mula sa parehong bilang ng mga character at may parehong hanay ng mga character) upang makakuha ng isang ideya ng lakas nito.
Sa proseso ng pagpasok ng mga character, kinakalkula ng serbisyo ang entropy (kondisyon, ang bilang ng mga pagpipilian para sa entropy ay 10 bits, ang bilang ng mga pagpipilian ay 2 hanggang sa ikasampung kapangyarihan) para sa isang naibigay na password at nagbibigay ng tulong sa pagiging maaasahan ng iba't ibang mga halaga. Ang mga password na may isang entropy na higit sa 60 ay halos imposible upang i-crack kahit na sa target na pagpili.
Huwag gumamit ng parehong mga password para sa iba't ibang mga account
Kung mayroon kang isang mahusay, kumplikadong password, ngunit ginagamit mo ito hangga't maaari, awtomatikong ito ay magiging ganap na hindi maaasahan. Sa sandaling masira ang mga hacker sa alinman sa mga site kung saan gumagamit ka ng naturang password at makakuha ng access dito, siguraduhin na agad itong susuriin (awtomatiko, gamit ang espesyal na software) sa lahat ng iba pang tanyag na email, gaming, serbisyong panlipunan, at marahil kahit na mga online na bangko (Mga paraan upang makita kung ang iyong password ay na tumagas ay ibinigay sa pagtatapos ng nakaraang artikulo).
Ang natatanging password para sa bawat account ay mahirap, mahirap ito, ngunit kinakailangan kung ang mga account na ito ay hindi bababa sa ilang kahalagahan sa iyo. Bagaman, para sa ilang mga pagrerehistro na walang halaga para sa iyo (iyon ay, handa ka na mawala ang mga ito at hindi mag-alala) at hindi naglalaman ng personal na impormasyon, hindi ka makakapantay sa mga natatanging password.
Dalawang-factor na pagpapatunay
Kahit na ang mga malakas na password ay hindi ginagarantiyahan na walang maaaring mag-log in sa iyong account. Ang password ay maaaring ninakaw sa isang paraan o sa iba pa (phishing, halimbawa, bilang ang pinaka-karaniwang pagpipilian) o nakuha mula sa iyo.
Halos lahat ng mga pangunahing kumpanya sa online kasama ang Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam at iba pa ay nagdagdag ng kakayahang paganahin ang dalawang-factor (o dalawang hakbang) na pagpapatunay sa mga account mula pa noong kamakailan. At, kung ang seguridad ay mahalaga sa iyo, inirerekumenda kong i-on ito.
Ang pagpapatupad ng dalawang-factor na pagpapatunay ay gumagana nang kaunti para sa iba't ibang mga serbisyo, ngunit ang pangunahing prinsipyo ay ang mga sumusunod:
- Kapag nag-log in ka sa iyong account mula sa isang hindi kilalang aparato, pagkatapos na ipasok ang tamang password, tatanungin kang dumaan sa isang karagdagang tseke.
- Ang pagpapatunay ay isinasagawa gamit ang SMS code, isang espesyal na aplikasyon sa smartphone, gamit ang mga pre-handa na nakalimbag na mga code, isang mensahe ng E-mail, isang key ng hardware (ang huling pagpipilian ay nagmula sa Google, ang kumpanyang ito sa pangkalahatan ay pinuno sa mga tuntunin ng pagpapatunay ng dalawang-factor).
Kaya, kahit na natagpuan ng isang umaatake ang iyong password, hindi niya mai-log in ang iyong account nang walang pag-access sa iyong mga aparato, telepono, email.
Kung hindi mo lubos na nauunawaan kung paano gumagana ang dalawang-factor na pagpapatunay, inirerekumenda kong basahin ang mga artikulo sa Internet tungkol sa paksang ito o mga paglalarawan at mga alituntunin para sa pagkilos sa mga site mismo, kung saan ito ay ipinatutupad (hindi ko lang magawang isama ang detalyadong mga tagubilin sa artikulong ito).
Imbakan ng password
Ang mga natatanging mga natatanging password para sa bawat site ay mahusay, ngunit paano ko iniimbak ang mga ito? Hindi malamang na ang lahat ng mga password na ito ay maaaring tandaan. Ang pag-iimbak ng mga naka-save na password sa isang browser ay isang mapanganib na pagsasagawa: hindi lamang sila ay naging mas mahina sa hindi awtorisadong pag-access, ngunit maaaring mawala sa kaganapan ng mga pag-crash ng system at kapag ang pag-synchronize ay hindi pinagana.
Ang pinakamahusay na solusyon ay itinuturing na mga tagapamahala ng password, na sa pangkalahatang mga termino ay mga programa na nag-iimbak ng lahat ng iyong lihim na data sa isang naka-encrypt na ligtas na tindahan (parehong offline at online), na-access gamit ang isang master password (maaari mo ring paganahin ang pagpapatunay ng dalawang-factor). Karamihan sa mga programang ito ay nilagyan din ng mga tool para sa pagbuo at pagsusuri ng lakas ng password.
Ilang taon na ang nakakaraan ay nagsulat ako ng isang hiwalay na artikulo tungkol sa Mga Pinakamahusay na Tagapangasiwa ng Password (sulit na isulat ito, ngunit maaari kang makakuha ng isang ideya kung ano ito at kung anong mga programa ang popular mula sa artikulo). Mas gusto ng ilan ang mga simpleng solusyon sa offline, tulad ng KeePass o 1Password, na nag-iimbak ng lahat ng mga password sa iyong aparato, mas gusto ng iba ang higit pang mga functional na kagamitan na nagbibigay din ng mga kakayahan sa pag-synchronise (LastPass, Dashlane).
Ang mga kilalang tagapamahala ng password ay karaniwang itinuturing bilang isang napaka ligtas at maaasahang paraan upang maiimbak ang mga ito. Gayunpaman, ito ay nagkakahalaga ng pagsasaalang-alang ng ilang mga detalye:
- Upang ma-access ang lahat ng iyong mga password kailangan mong malaman lamang ng isang master password.
- Sa kaso ng pag-hack ng online storage (literal isang buwan na ang nakakaraan, ang pinakasikat na serbisyo ng pamamahala ng password ng LastPass sa mundo ay na-hack), kakailanganin mong baguhin ang lahat ng iyong mga password.
Paano pa ko mai-save ang aking mahahalagang password? Narito ang ilang mga pagpipilian:
- Sa isang papel sa isang ligtas na ikaw at ang iyong mga miyembro ng pamilya ay magkakaroon ng access sa (hindi angkop para sa mga password na kailangang magamit nang madalas).
- Ang isang database ng offline na password (halimbawa, KeePass) na naka-imbak sa isang pangmatagalang aparato ng imbakan at doble sa isang lugar kung sakaling mawala.
Sa palagay ko, ang pinakamainam na kumbinasyon ng lahat ng nasa itaas ay ang sumusunod na pamamaraan: ang pinakamahalagang password (ang pangunahing E-mail, kung saan maaari mong ibalik ang iba pang mga account, bangko, atbp.) Ay nakaimbak sa ulo at (o) sa papel sa isang ligtas na lugar. Hindi gaanong mahalaga at, sa parehong oras, madalas na ginagamit ay dapat italaga sa mga programa ng tagapamahala ng password.
Karagdagang Impormasyon
Inaasahan ko na ang isang kumbinasyon ng dalawang mga artikulo sa paksa ng mga password ay nakatulong sa ilan sa iyo upang bigyang pansin ang ilang mga aspeto ng seguridad na hindi mo naisip. Siyempre, hindi ko isinasaalang-alang ang lahat ng posibleng mga pagpipilian, ngunit ang isang simpleng lohika at ilang pag-unawa sa mga alituntunin ay makakatulong sa akin na magpasya kung paano ligtas ang iyong ginagawa sa isang partikular na sandali. Muli, ang ilang nabanggit at ilang karagdagang mga puntos:
- Gumamit ng iba't ibang mga password para sa iba't ibang mga site.
- Ang mga password ay dapat na kumplikado, at maaari mong dagdagan ang pagiging kumplikado sa pamamagitan ng pagdaragdag ng haba ng password.
- Huwag gumamit ng personal na data (na maaaring malaman) kapag lumilikha ng password mismo, mga pahiwatig para dito, mga katanungan sa seguridad para sa pagbawi.
- Gumamit ng 2-hakbang na pag-verify kung saan posible.
- Maghanap ng pinakamahusay na paraan para sa ligtas mong maiimbak ang mga password.
- Mag-ingat sa phishing (suriin ang mga address ng website, encryption) at spyware. Kung saan ka hiniling na magpasok ng isang password, suriin kung ipinasok mo ba talaga ito sa tamang site. Panatilihing walang malay ang iyong computer.
- Kung maaari, huwag gamitin ang iyong mga password sa computer ng ibang tao (kung kinakailangan, gawin ito sa "incognito" mode ng browser, at kahit na mas mahusay na uri mula sa on-screen keyboard), sa mga pampublikong bukas na Wi-Fi network, lalo na kung walang https encryption kapag kumokonekta sa site .
- Marahil hindi mo dapat iimbak ang pinakamahalagang mga password sa isang computer o online na talagang mahalaga.
Isang bagay na ganyan. Sa palagay ko pinamamahalaan kong itaas ang antas ng paranoia. Naiintindihan ko na ang halos lahat ng inilarawan ay tila hindi kanais-nais, ang mga saloobin tulad ng "mabuti, ay aalisin ako" ay maaaring lumitaw, ngunit ang tanging dahilan para sa katamaran kapag sinusunod ang mga simpleng patakaran sa kaligtasan kapag nag-iimbak ng kumpidensyal na impormasyon ay maaari lamang ang kakulangan ng kahalagahan nito at ang iyong kahandaan na na ito ay magiging pag-aari ng mga third party.