Paroolid: kuidas neid õigesti teha: 10 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:49

Selle aasta alguses kaotas mu naine juurdepääsu mõnele oma kontole. Tema parool võeti rikutud saidilt, seejärel kasutati seda teistele kontodele pääsemiseks. Alles siis, kui saidid hakkasid teda ebaõnnestunud sisselogimiskatsetest teavitama, sai ta aru, et midagi toimub.

Olen rääkinud ka paljude inimestega, kes ütlevad, et kasutavad igal saidil sama parooli. Nendest kahest asjast on piisanud, et julgustada mind seda juhendit kirjutama.

Parooliturve on väga väike osa veebiturvalisusest tervikuna. Peaaegu iga konto jaoks on vaja mingit sisselogimist, et võimaldada juurdepääs sellele, mida see kaitseb. See üks string on sageli kõik, mis jääb ründaja ja teie isikuandmete, raha, isiklike piltide või reisipunktide vahele, mida olete aastaid kogunud.

Selle juhendi eesmärk on hõlmata paroolide loomise parimaid tavasid. Kui teil on keegi, kellel on iga veebisaidi jaoks sama parool, kelle paroolid on muster klaviatuuril või kui teie paroolis on sõna „parool”, siis see juhend on teie jaoks.

Vastutusest loobumine

Ma ei ole turbeekspert. See teave on aja jooksul õpitud ja uuritud ning on vaid soovitus ja kokkuvõte väga keerulisest teemast. See õpetus on kirjutatud 2018. aasta alguses ja võib selle lugemise ajaks olla aegunud.

TL; DR

Kui teid ei huvita kõik minu põhjendused ja selgitused paroolide taga ning soovite lihtsalt lihtsat viisi turvaliste paroolide tegemiseks, jätke viimase sammu juurde.

Samm: tehke see pikaks

Pikkus on parooli turvalisuse üks väga oluline komponent. Kuna arvutite kiirus kasvab üha kiiremini, saab paroole proovida hämmastava kiirusega. Seda nimetatakse toore jõuga paroolimurdmiseks. See seob kõik võimalikud tähemärkide kombinatsioonid, kuni leiate sobiva.

Teoreetiliselt muudab see iga parooli kräkkimiseks, arvestades piisavalt aega. Õnneks, mida pikem on parool, seda kauem võtab see rünnakutüüp. Iga tähemärk, mille pikkusele lisate, muudab raskuse palju raskemaks. Kui see on piisavalt pikk, võib selle leidmine võtta aastakümneid, mistõttu pole see ründaja jaoks seda väärt.

Näide

Oletame, et teil on parool, mis koosneb ainult suurtähtedest. See ei ole hea mõte, kuid see on vaid illustreeriv. Iga kord, kui lisate paroolile teise märgi, korrutab see võimalike paroolide arvu 26 -ga. Kui teil oleks 1 -tähemärgiline parool, oleks sellel 26 võimalikku parooli, kahel tähemärgil 676 võimalikku parooli jne..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Nagu näete, muudab iga lisatud täht selle rünnaku palju raskemaks ja praktiliselt võimatuks, kui on piisavalt märke. Pidage meeles, et see on ainult suurte tähtedega. Kui need muutuvad keerukamaks, suureneb see efekt.

2. samm: muutke see keerukaks

Keerukus on parooli turvalisuse teine suur tegur. Kui veebisaiti kunagi rikutakse, tõmmatakse tõenäoliselt kasutajanimed ja paroolid välja. Põhiturvatasandina loodetavasti on veebisaidil enne salvestamist paroolid räsitud (sarnaselt krüptimisega). See tähendab, et enne andmebaasi sisenemist on need moonutatud ja seda ei saa kuidagi tagasi pöörata.

See kõik kõlab hästi. Pole tähtis, milline on teie parool, sest see on segane, eks? See pole nii, kui teie parool pole keeruline. Kasutatakse standardseid räsialgoritme (SHA1, MD5, SHA512 jne) ja need räsivad alati sama asja samamoodi. Näiteks kui kasutate SHA1 ja teie parool oli "parool", salvestatakse see andmebaasi alati nimega "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Räside loomine võtab aega ja arvuti jõudlust ning kõigi võimalike paroolide kõigi võimalike räside arvutamine on praktiliselt võimatu. Inimesed on teinud tavalistest paroolidest sõnaraamatuid. Loomulikult on seal selliseid asju nagu "parool" või "qwerty", aga ka vähem levinud. Nendes sõnaraamatutes on miljoneid paroole ja iga kirje läbimine ning teadaoleva räsi võrdlemine teie parooli räsiga võtab vaid sekundid. Seda nimetatakse sõnaraamaturünnakuks. Kui teie oma on üks neist, mis on juba arvutatud, ei kaitse garbling teie parooli ja seda saab kasutada teistel saitidel.

Samuti ei lisa tähtede muutmine numbriteks keerukust. See võib tunduda keerulisem, kui muuta E väärtuseks 3 või I 1, kuid see on nii tavaline tava, et see ei lisa turvalisust. Krakkimisprogrammidel on võimalus, mis neid variante automaatselt proovib.

Samm: muutke see ainulaadseks

Paroolide meeldejätmine on raske. Kuna meie elu muutub üha enam võrgus, pole haruldane, et igal inimesel on üle 50 veebikonto, millest igaühel on oma sisselogimisandmed. Seda võib olla väga raske jälgida.

Kõige tavalisem viis, kuidas inimesed sellega hakkama saavad, on valida üks "hea" parool ja kasutada seda hunnikul erinevatel veebisaitidel. See on kohutav mõte. Piisab vaid ühest turvarikkumisest või ühest andmepüügisaidist, et saada oma kasutajanimi ja parool, et pall edasi liikuda. Ründajad võivad seda kasutajanime ja parooli mõne sekundi jooksul sadadel veebisaitidel proovida. See viiks need automaatselt igale veebisaidile, millel on sama kasutajanimi kui ohustatud veebisaidil.

Ma tean, et iga saidi jaoks erinev parool tundub hirmutav ülesanne, kuid me käsitleme seda hiljem.

4. samm: ei midagi isiklikku

Teie teave pole nii privaatne, kui arvate. Kiire otsing Internetis võib hõlpsasti leida teie sünnikuupäeva või aadressi. Kui mõnda muud kontot on rikutud, saab veelgi rohkem teavet. Kui mõni ründaja üritab teie kontodele pääseda, on tegemist ilmse parooliga. Samuti jätab see sisenemise avatuks pereliikmetele, sõpradele või isegi tuttavatele.

Samm: kohtlege kõiki paroole sama ettevaatlikult

Veebisaitidega tegelemisel peaksite suhtuma kõigi nende turvalisusse sama hoolikalt. Näiteks kui teil on sisselogimine oma lemmikkassi veebisaidile, peaksite võtma samu ettevaatusabinõusid nagu oma panga sisselogimisel. Kõigi nende jumalike vurrude juurdepääsu kaotamine ei pruugi tunduda palju, kuid see võib olla lihtsalt ründaja jaoks hüppelaud. Selle "ebaolulise" veebisaidi rikkumine võib anda ründajale teie kohta rohkem teavet, näiteks teise kasutajanime, mida olete kasutanud, teise e -posti aadressi, mida kasutasite sisselogimiseks, või tegelikku teavet, mida saaks kasutada teiste veebisaitide avamiseks.

Lisaks, kui tegemist on ebaolulise veebisaidiga, on suurem tõenäosus, et nad ei järgi õigeid turvatavasid, mis tähendab, et kui teie parool on pikk ja keeruline, kuid mitte ainulaadne ning paroole ei ole salvestamisel korralikult räsitud, seda parooli saab hõlpsasti kasutada ka teistel veebisaitidel. Jällegi, see, et sait on "ebaoluline", ei tähenda veel teie turvalisust.

6. samm: hoidke see peidetud

Hea - võrguühenduseta salvestusruum

Võrguühenduseta salvestusruum võib olla hea valik, kui olete unustav inimene. USB -mälupulk, mida hoiate oma paroolidega lukus, kaitseb enamiku rünnakute eest, välja arvatud pere ja sõbrad. Igaks juhuks, kui te selle pulga kuidagi kaotate, veenduge, et paroolifail või kogu draiv oleks krüptitud ja et varukoopia oleks varjatud kuskile väga turvalisse kohta.

Sellel meetodil on palju turvalisust, kuid mugavuse hinnaga.

Põhjust, miks see peaks võrguühenduseta olema, selgitatakse üksikasjalikumalt allpool. Pidage meeles, et paljud seadmed varundatakse praegu automaatselt pilve, isegi kui te seda ei tahtnud. Samuti, kui ühendate selle pulga kunagi seadmesse, milles on viirus või mis on ohustatud, võib andmeid hõlpsasti kopeerida.

Parem - mäleta kõike

Pidage meeles kõiki oma paroole. Kui olete uskumatult andekas, võib see olla valik. Keegi ei saa neid kuidagi leida ja teil on need alati kaasas. Mõned negatiivsed küljed on see, et enamik meist ei suuda keerulisi asju meelde jätta ja kipuvad pärast jooki või kahte natuke liiga palju rääkima. Eriti kui kümneid paroole tuleb meeles pidada, pole see tõenäoliselt ilmikute jaoks isegi valikuvõimalus.

Parim - ilma salvestusruumita

Parim stsenaarium on see, et te ei salvesta neid üldse. Kas mäletate mingil moel kõiki oma unikaalseid, pikki ja keerulisi paroole või saate neid lennult taastada. Kui teate nende taasloomiseks vajalikke koostisosi, siis ei saa ründaja kuidagi neid "üles leida", sest neid pole olemas enne, kui vaja. See võib tunduda keeruline, kuid tegelikult pole see nii. Sellest lähemalt hiljem.

Võrguühenduseta tähtsus

Veebisaite haldavad inimesed. Enamiku veebisaitide puhul on ilmselt ohutu eeldada, et neil inimestel on üldiselt head kavatsused, kuid isegi parimad inimesed võivad teha vigu. Ainuüksi eelmisel aastal tehti suurtes, üldiselt turvalistes ettevõtetes, nagu Linked-In, Yahoo, Equifax, Apple ja Uber, mitmeid tohutuid veebisaitide turvarikkumisi. Need on suured ettevõtted, kellel on turvaosakonnad ja neid rikuti.

Pilvesalvestus kõlab väljamõeldud ja pakub mugavust, kuid tegelikult on „pilv” kellegi teise arvuti, mida kasutate oma failide salvestamiseks. Nagu ma eespool ütlesin, võivad inimesed teha vigu. Kui see juhtub, võivad teie paroolid olla kogu maailmale kättesaadavad. Pilvesaidid on ründajatele hiiglaslik sihtmärk, kuna neil on palju andmeid. Katkestage pilvesait, pääsete juurde kogu teabele, mille potentsiaalselt miljonid inimesed on salvestanud.

Olen kindel, et osa sellest on paranoia, kuid kui nende paroolide taha on peidetud suur osa teie elust, kaitske neid kui selliseid.

Samm: minu soovitus

See on olnud väga pikk preambul paroolide turvalisuse põhisammaste selgitamiseks. Kui järgite neid 6 juhist, peaks teil olema võrgus minimaalsed turvaprobleemid ja kui midagi juhtub, peaks see peatuma allika juures, mitte levima kogu ülejäänud võrguelu.

Nende probleemide lahendamiseks on palju erinevaid viise. Mõned on paremad kui teised ja pakuvad erinevaid eeliseid. Minu lemmiklahendus on SuperGenPass (SGP). Ma ei ole kuidagi seotud, olen lihtsalt fänn.

Lihtne kasutada

SGP -l on teie telefoni jaoks rakendus ja nupp, mille saate oma brauserisse lisada. Kui lähete veebisaidile ja see küsib teie sisselogimist, klõpsake nuppu. Ilmub väike aken. Sisestage oma peaparool. SGP loob selle saidi jaoks parooli ja sisestab selle teie jaoks paroolikasti!

Pikk

Saate valida loodud parooli pikkuse. See loob kuni 24 tähemärgi pikkuseid paroole, mis on üsna turvaline, kuid kui mõni veebisait teie parooli pikkust piirab, saate valida lühema.

Kompleksne

Kasutatakse suuri, väiketähti ja numbreid, mis on üsna turvaline. Nad ei järgi ühtegi äratuntavat mustrit, millel pole sõnu ega fraase. Selles stringis pole ühtegi teie URL -i ega põhiparooli.

Ainulaadne

Igal veebisaidil on täiesti unikaalne parool. Paroolid näiteks example1.com ja example2.com on täiesti erinevad, kuigi esialgsetes „koostisosades” on ainult üks märk. Nagu näete allolevas näites, pole "koostisosade" ja saadud parooli vahel mingit seost ning need erinevad üksteisest VÄGA.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Ladustamine

See ei salvesta ega edasta andmeid. Seda saab käivitada täiesti võrguühenduseta, kui olete mures ja keegi ei saa neid leida ega varastada.

8. samm: SGP: seadistamine

SGP seadistamine on ülilihtne. Esiteks soovite tõenäoliselt selle järjehoidjaribale lisada. Selleks minge aadressile:

chriszarate.github.io/supergenpass/

Valida saab 2 nupu vahel. Tavalise arvuti seadistamiseks lohistage vasak nupp järjehoidjaribale. See annab teile uue nupu kasutamiseks.

Kui kasutate tulevikus kellegi teise arvutit, saate valida paremal asuva nupu. See võimaldab teil SGP -d kasutada ilma nende brauseris midagi muutmata. See on ka mobiilibrauseri võimalus.

Kui see on järjehoidjaribale lisatud, klõpsake nuppu. See avab teie veebisaidi nurgas väikese akna. Väiksele hammasrattale klõpsates avanevad seaded.

Pikkus

Vasakul olev number on parooli pikkus, mille see loob. Soovitan vaadata läbi saidid, mida te enim kasutate, ja seada see suurimale arvule, mida need saidid lubavad. Soovitatav on üle 12, kuid mida kauem, seda parem, eriti kuna te ei pea seda meeles pidama.

Räsitüüp

Kasutatava räsitüübi jaoks on kaks võimalust - MD5 ja SHA. Mõlemad genereerivad paroole koos suurte, väiketähtede ja numbritega. Selle muutmine on lihtne viis kõigi paroolide muutmiseks, säilitades sama peaparooli.

Salajane parool

Salajase parooli jaotis on lisatud viis veendumaks, et kõik on turvaline. Kui aplett käivitub ja kui teil on salajane parool, näitab see paroolikastis väikest pilti. See parool peaks käivitamisel olema alati sama. Kui see käivitub ja see pilt pole see, mis see tavaliselt on, on tõenäoline, et keegi üritab teie põhiparooli saada.

Peaparool

See pole seadistamise ajal vajalik, kuid see on väga oluline. Valige kindlasti tugev parool. See on üks parool, mille sisestate alati igal saidil. Veenduge, et see on midagi, mida mäletate, kuid mis on keeruline, pikk ja mitteisiklik.

Salvestamine

Kui olete kõik seaded valinud, klõpsake seadete sulgemiseks uuesti salvestusikoonil ja hammasrattaikoonil

9. samm: kasutage SGP -d

SGP kasutamiseks sirvige veebisaiti nagu tavaliselt. Kui peate sisestama parooli, klõpsake järjehoidjaribale lisatud nuppu SGP. Kui kasutasite SGP seadistamisel salajast parooli, veenduge, et paroolikasti kuvatav pilt vastab sellele, mis see seadistamisel oli.

Sisestage oma põhiparool ja vajutage sisestusklahvi. See arvutab teie veebisaidi unikaalse parooli ja täidab selle teie eest! Põhiparooli sisestades värskendatakse ikooni. Kui pilt ei vasta tavaliselt teie ikoonile, kas sisestasite oma parooli valesti või üritab keegi teie parooli hankida.

Sõltuvalt saidi kirjutamisviisist ei pruugi SGP teie jaoks parooli sisestada või ei pruugi sait aru saada, et see on sisestatud. Kui see nii on, võite klõpsata loodud paroolikasti kõrval asuval kopeerimisikoonil ja kleepida selle käsitsi.

Kui teie parool on sisestatud, klõpsake nuppu Logi sisse ja oletegi kohal!

10. samm: lõplikud mõtted

SGP ei pruugi kõigile sobida ja see on OK. See pole ideaalne lahendus, sest sellist asja pole olemas. Kui teil on mõni muu teenus või meetod, mida soovite paroolide jaoks kasutada, pidage meeles turvalise parooli 6 toimingut. Kui teie praegune meetod jääb mõnes neist valdkondadest alla, võib olla aeg otsida mõni muu lahendus. Jah, kõigi teie kontode muutmiseks võib kuluda pool päeva, kuid see oleks tõenäoliselt vähem peavalu kui teie kontode rikkumine.

Märkus veebipõhise salvestamise kohta: kui teenus salvestab teie paroolid võrgus/pilves, kontrollige nende turvatavasid ja veenduge, et need on head. Sait ütleb teile tõenäoliselt, mida nad teie paroolide kaitsmiseks teevad, kui nad seda õigesti teevad. Kui te pole kindel, saatke neile e -kiri ja küsige. Kui nad ei saa teile head/lühikest/täpset vastust anda, olge selle teenuse kasutamisel ettevaatlik.