Zabezpečenie heslom

V tomto článku sa bude diskutovať o tom, ako vytvoriť bezpečné heslo, aké zásady by ste mali dodržiavať pri vytváraní, ako ukladať heslá a minimalizovať pravdepodobnosť, že hackeri pristupujú k vašim informáciám a účtom.

Tento materiál je pokračovaním článku "Ako môže byť vaše heslo napadnuté" a znamená, že ste oboznámení s tu prezentovaným materiálom alebo už poznáte všetky hlavné spôsoby, ako môžu byť heslá ohrozené.

Vytvorte heslá

Dnes pri registrácii akéhokoľvek internetového účtu, vytvorením hesla, zvyčajne vidíte indikátor intenzity hesla. Takmer všade funguje na základe hodnotenia dvoch faktorov: dĺžka hesla; prítomnosť špeciálnych znakov, veľkých písmen a čísel v hesle.

Napriek skutočnosti, že ide o skutočne dôležité parametre odolnosti heslom proti praskaniu hrubou silou, heslo, ktoré sa zdá byť silné, nie vždy platí. Napríklad, heslo ako "Pa $$ w0rd" (a tu sú špeciálne znaky a čísla) je pravdepodobné, že bude cracked veľmi rýchlo - vzhľadom k tomu, že (ako je popísané v predchádzajúcom článku), ľudia zriedka vytvárajú unikátne heslá (menej ako 50%heslá sú jedinečné) a táto možnosť pravdepodobne už existuje v neprístupných databázach, ktoré majú vrahovia.

Ako byť? Najlepšou možnosťou je použiť generátory hesiel (dostupné na internete vo forme nástrojov online, ako aj vo väčšine správcov počítačov) a vytvárať dlhé náhodné heslá pomocou špeciálnych znakov. Vo väčšine prípadov heslo 10 alebo viac takýchto znakov jednoducho nebude pre hackera zaujímavé (to znamená, že jeho softvér nebude nakonfigurovaný na výber takýchto možností), pretože časové náklady sa nevyplácajú. Nedávno sa v prehliadači Google Chrome zobrazil vstavaný generátor hesiel.

Pri tejto metóde je hlavnou nevýhodou to, že takéto heslá sa ťažko pamätajú. Ak je potrebné pamätať na heslo, existuje aj iná možnosť založená na tom, že heslo s 10 znakmi, ktoré obsahujú veľké písmená a špeciálne znaky, je prasknuté použitím metódy hrubej sily tisícok alebo viac (špecifické čísla závisia od povolenej množiny znakov) ako je heslo s 20 znakmi, ktoré obsahujú iba malé písmená latinských znakov (aj keď to útočník vie).

Preto bude ľahké zapamätať si heslo, ktoré sa skladá z 3 - 5 jednoduchých náhodných slov, a takmer nemožné prasknúť. A keď napíšeme každé slovo veľkým písmom, zvyšujeme počet možností na druhý stupeň. Ak ide o 3-5 ruských slov (opäť náhodné, ale nie názvy a dátumy) napísané v anglickom rozložení, taktiež sa odstráni hypotetická možnosť sofistikovaných metód používania slovníkov pre výber hesla.

Určite neexistuje správny prístup k vytváraniu hesiel: existujú výhody a nevýhody rôznymi spôsobmi (súvisiacimi so schopnosťou pamätať si, spoľahlivosť a ďalšie parametre), ale základné zásady sú nasledovné:

  • Heslo musí obsahovať značný počet znakov. Najčastejšie obmedzenie je dnes 8 znakov. A to nestačí, ak potrebujete zabezpečené heslo.
  • Ak je to možné, do hesla vložte špeciálne znaky, veľké a malé písmená a čísla.
  • Nikdy nezadávajte osobné údaje do svojho hesla, aj keď boli napísané zdanlivo skromnými spôsobmi. Žiadne dátumy, mená a priezviská. Napríklad, porušenie hesla predstavujúceho akékoľvek dátumy moderného juliánskeho kalendára od 0. roka do súčasnosti (napr. 07/18/2015 alebo 18072015 atď.) Trvá od sekúnd po hodiny (ahodiny sú len kvôli oneskoreniu medzi pokusmi o niektoré prípady).

Môžete skontrolovať, aké silné je vaše heslo na webe (aj keď zadávanie hesiel na niektorých stránkach, najmä bez https, nie je najbezpečnejšou praxou) http://rumkin.com/tools/password/passchk.php, Ak nechcete skontrolovať svoje skutočné heslo, zadajte podobnú (z rovnakého počtu znakov a rovnakej sady znakov), aby ste získali predstavu o svojej spoľahlivosti.

V priebehu zadávania znakov služieb vypočítava entropia (zvyčajne je počet možností pre entropiu 10 bitov, počet možností sa rovná 2 až desiateho výkonu) pre dané heslo a referenčných vodičov rôznych hodnôt spoľahlivosti. Heslá s entropiou viac ako 60 sú takmer nemožné dokonca aj počas cieleného výberu.

Nepoužívajte rovnaké heslá pre rôzne účty.

Ak máte veľmi zložité heslo, ale používate ho vždy, keď je to možné, automaticky sa stáva úplne nespoľahlivé. Potom, čo hackeri porušil niektorú z lokalít, kde sa používajú heslá a majú prístup k nemu, to je isté, že bude okamžite testovaný (automaticky, za použitia špeciálneho softvéru) na všetkých ostatných populárnych e-mailu, hry, sociálne siete, a snáď on-line banky (spôsoby, ako zistiť, či už bolo vaše heslo už vytečené, sú uvedené na konci predchádzajúceho článku).

Jedinečné heslo pre každý účet je ťažké, je to nepohodlné, ale je potrebné, ak sú tieto účty pre vás dôležité. Hoci pre niektoré registrácie, ktoré nemajú pre vás žiadnu hodnotu (to znamená, že ste pripravení ich stratiť a nebudete sa obávať) a neobsahujú osobné údaje, nemusíte sa obťažovať jedinečnými heslami.

Dvojfaktorové overenie

Aj silné heslá nezaručujú, že sa nikto nemôže prihlásiť do vášho účtu. Môžete takýmto spôsobom odcudziť heslo (napríklad ako najčastejšiu možnosť neoprávneného získavania údajov) alebo ho získať od vás.

Takmer všetky vážne on-line spoločnosti vrátane spoločnosti Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam a ďalšie nedávno pridali možnosť povoliť dvojfaktorové (alebo dvojstupňové) autentifikáciu vo svojich účtoch. A ak je pre vás dôležitá bezpečnosť, dôrazne odporúčam jeho začlenenie.

Implementácia dvojfaktorovej autentifikácie je pre rôzne služby mierne odlišná, ale základný princíp je nasledovný:

  1. Keď sa prihlásite z neznámeho zariadenia, po zadaní správneho hesla budete vyzvaní podrobiť sa ďalšiemu testovaniu.
  2. Kontrola sa uskutočňuje pomocou SMS kódu, špeciálnej aplikácie na smartphone, prostredníctvom vopred pripravených tlačených kódov, e-mailovej správy, hardvérového kľúča (posledná možnosť sa objavila v spoločnosti Google, táto spoločnosť je vo všeobecnosti najlepšia pri dvojfaktorovej autentifikácii).

Takže aj keď sa útočník naučil vaše heslo, nebude sa do vášho účtu prihlásiť bez prístupu k vašim zariadeniam, telefónu ani elektronickej pošte.

Ak nechcete plne pochopiť, ako funguje overovanie s dvoma faktormi, odporúčam čítať články na internete venované tejto téme alebo opisy a pokyny pre akcie na stránkach, kde sa implementuje (v tomto článku nebudem schopný zahrnúť podrobné pokyny).

Ukladanie hesla

Ťažké unikátne heslá pre každé miesto - skvelé, ale ako ich ukladať? Je nepravdepodobné, že je možné mať na pamäti všetky tieto heslá. Ukladanie uložených hesiel do prehliadača je riskantný zákrok: nielenže sa stanú viac zraniteľnými voči neoprávnenému prístupu, ale môžu byť tiež jednoducho stratené v prípade zlyhania systému a keď je synchronizácia vypnutá.

Najlepším riešením sa považujú správcovia hesiel.Vo všeobecnosti sú to programy, ktoré ukladajú všetky vaše tajné dáta do šifrovaného zabezpečeného ukladacieho priestoru (offline i online), ku ktorému pristupuje pomocou jedného hlavného hesla (môžete tiež povoliť dvojfaktorové overovanie). Väčšina týchto programov je tiež vybavená nástrojmi na generovanie a posudzovanie spoľahlivosti hesiel.

Pred niekoľkými rokmi som napísal samostatný článok o najlepších správcov hesiel (stojí za to prepísať, ale môžete získať predstavu o tom, čo to je a aké programy sú z tohto článku populárne). Niektorí preferujú jednoduché offline riešenia, napríklad KeePass alebo 1Password, ktoré ukladajú všetky heslá vo vašom zariadení, iné - viac funkčných nástrojov, ktoré tiež predstavujú možnosti synchronizácie (LastPass, Dashlane).

Známe správcovia hesiel sú všeobecne považovaní za veľmi bezpečný a spoľahlivý spôsob ich ukladania. Treba však zvážiť niekoľko podrobností:

  • Ak chcete získať prístup ku všetkým svojim heslám, potrebujete vedieť len jedno hlavné heslo.
  • V prípade hackovania on-line ukladacieho priestoru (doslova pred mesiacom, najpopulárnejšia služba na správu hesiel LastPass na svete bola napadnutá), budete musieť zmeniť všetky svoje heslá.

Ako inak môžete uložiť dôležité heslá? Tu je niekoľko možností:

  • Na papieri v trezore, prístup, ku ktorému budete mať vy a vaši rodinní príslušníci (nie je vhodný pre heslá, ktoré často potrebujete používať).
  • Offline databáza hesiel (napríklad KeePass) uložená na trvanlivom pamäťovom zariadení a duplikovaná kdekoľvek v prípade straty.

Podľa môjho názoru najlepšou kombináciou všetkých vyššie uvedených postupov je nasledujúci prístup: najdôležitejšie heslá (hlavné e-maily, s ktorými môžete získať ďalšie účty, banku atď.) Sú uložené v hlave a (alebo) na papieri na bezpečnom mieste. Menej dôležité a zároveň často používané programy by mali byť priradené programom správcu hesiel.

Ďalšie informácie

Dúfam, že kombinácia dvoch článkov o heslách pomohla niektorým z vás, aby upriamili pozornosť na niektoré aspekty bezpečnosti, o ktorých ste nepomysleli. Samozrejme, nezohľadnil som všetky možné možnosti, ale jednoduchá logika a určité pochopenie princípov mi pomôže rozhodnúť sa, ako je to bezpečné, čo robíte v konkrétnom okamihu. Znova, niektoré zmienené a niekoľko ďalších bodov:

  • Použite rôzne heslá pre rôzne stránky.
  • Heslá by mali byť obtiažne, predovšetkým môžete zvýšiť zložitosť zvýšením dĺžky hesla.
  • Nepoužívajte osobné údaje (ktoré môžete zistiť) pri vytváraní samotného hesla, jeho náznakov a testovacích otázok na obnovu.
  • Ak je to možné, použite dvojstupňové overovanie.
  • Nájdite najlepší spôsob, ako udržať vaše heslá v bezpečí.
  • Dávajte si pozor na phishing (skontrolujte adresy stránok, prítomnosť šifrovania) a spyware. Bez ohľadu na to, kde sú požiadaní o zadanie hesla, skontrolujte, či ste naozaj zadali na správnom mieste. Uistite sa, že v počítači nie je žiadny škodlivý softvér.
  • Pokiaľ je to možné, nepoužívajte svoje heslá na iných počítačoch (v prípade potreby to urobte v režime inkognito prehliadača alebo dokonca ešte lepšie pomocou klávesnice na obrazovke) vo verejných otvorených sieťach Wi-Fi, najmä ak nemáte šifrovanie https pri pripájaní na web ,
  • Možno by ste nemali uchovávať najdôležitejšie, naozaj hodnotné heslá na počítači alebo online.

Niečo také. Myslím, že sa mi podarilo zvýšiť stupeň paranoja. Chápem, že veľa popísaných vecí sa javí ako nepríjemné, môžu sa objaviť myšlienky ako "dobre, bude to obísť", ale jediné ospravedlnenie lenivosti pri dodržiavaní jednoduchých pravidielZabezpečenie pri ukladaní dôverných informácií môže mať len nedostatok dôležitosti a vašu pripravenosť stať sa majetkom tretích strán.