Ovaj članak će govoriti o tome kako stvoriti sigurnu lozinku, koje principe treba slijediti prilikom stvaranja, kako pohraniti lozinke i umanjiti vjerovatnoću da će zlonamjerni korisnici dobiti pristup vašim podacima i računima.
Ovaj je materijal nastavak članka „Kako se može razbiti vaša lozinka“ i podrazumijeva da ste upoznati s tamošnjim materijalom ili već znate sve glavne načine na koje se lozinke mogu ugroziti.
Kreirajte lozinke
Danas kada registrujete internetski račun, kreirate lozinku, obično vidite pokazatelj snage lozinke. Gotovo svuda radi na osnovu procjene sljedeća dva faktora: dužina lozinke; prisutnost posebnih znakova, velikih slova i brojeva u lozinci.
Unatoč činjenici da su ovo zaista važni parametri otpora lozinke hakiranju grubom silom, lozinka koja se čini pouzdanom za sustav nije uvijek takva. Na primjer, lozinka poput "Pa $$ w0rd" (a tu su i posebni znakovi i brojevi) najvjerojatnije će se probiti vrlo brzo - zbog činjenice da (kao što je opisano u prethodnom članku) ljudi rijetko stvaraju jedinstvene lozinke (manje od 50% lozinki su jedinstvene), a navedena opcija je najvjerojatnije već u propuštenim bazama podataka dostupnim napadačima.
Kako biti Najbolja opcija je korištenje generatora lozinki (dostupnih na Internetu u obliku internetskih uslužnih programa, kao i u većini upravitelja lozinki za računala), kreiranja dugih slučajnih lozinki pomoću posebnih znakova. U većini slučajeva, lozinka od 10 ili više tih znakova jednostavno neće zanimati provalnik (tj. Njegov softver neće biti konfiguriran za odabir takvih opcija) zbog činjenice da se potrošeno vrijeme neće isplatiti. Nedavno se u pregledaču Google Chrome pojavio ugrađeni generator lozinki.
Kod ove metode je glavni nedostatak to što se takve lozinke teško pamte. Ako treba imati na umu lozinku, postoji još jedna opcija koja se temelji na činjenici da se lozinka od 10 znakova koja sadrži velika slova i posebne znakove probije pretraživanjem kroz hiljade ili više (određeni brojevi ovise o važećem skupu znakova), vremena su lakša, nego lozinka od 20 znakova koja sadrži samo male latinične znakove (čak i ako kreker zna za to).
Tako će se lozinka koja se sastoji od 3-5 jednostavnih slučajnih engleskih riječi lako pamtiti i gotovo je nemoguće probiti. I nakon što smo svaku riječ napisali velikim slovom, povećavamo broj opcija na drugi stupanj. Ako će biti 3-5 ruskih riječi (opet slučajnih, a ne imena i datuma) napisanih na engleskom izgledu, također će se ukloniti hipotetička mogućnost sofisticiranih metoda korištenja rječnika za odabir lozinke.
Možda ne postoji definitivno ispravan pristup stvaranju lozinki: postoje prednosti i nedostaci u raznim metodama (povezane sa sposobnošću pamćenja, pouzdanosti i drugih parametara), ali osnovni su principi sljedeći:
- Lozinka se mora sastojati od značajnog broja znakova. Danas je najčešće ograničenje 8 znakova. A to nije dovoljno ako vam treba sigurna lozinka.
- Ako je moguće, u lozinku trebaju biti uključeni posebni znakovi, velika i mala slova, brojevi.
- Nikada ne uključuju lične podatke u lozinku, čak i zabilježene naizgled „škakljivim“ metodama. Nema datuma, imena i prezimena. Na primjer, probijanje lozinke koja predstavlja bilo koji datum modernog Julijanskog kalendara od 0-te godine do danas (tipa 18. srpnja 2015. ili 18072015 itd.) Trajat će od nekoliko sati do sati (čak i tada, sat će se isključiti samo zbog kašnjenja između pokušaja nekih slučajeva).
Možete provjeriti koliko je vaša lozinka snažna na web mjestu (iako unošenje lozinki na nekim web lokacijama, posebno bez https-a, nije najsigurnija praksa) //rumkin.com/tools/password/passchk.php. Ako ne želite provjeriti svoju stvarnu lozinku, unesite sličnu (iz istog broja znakova i istog niza znakova) da biste dobili predstavu o njenoj snazi.
U procesu unosa znakova usluga izračunava entropiju (uslovno, broj opcija entropije je 10 bita, broj opcija je 2 do desete snage) za određenu lozinku i pruža pomoć u pouzdanosti različitih vrijednosti. Lozinke s entropijom većom od 60 gotovo je nemoguće probiti čak i tijekom ciljanog odabira.
Ne koristite iste lozinke za različite račune
Ako imate sjajnu, složenu lozinku, ali je koristite gdje god možete, automatski postaje potpuno nepouzdan. Čim hakeri provale na bilo koje web mjesto na kojem upotrebljavate takvu lozinku i dobijete joj pristup, budite sigurni da će se odmah testirati (automatski, koristeći poseban softver) na svim ostalim popularnim porukama e-pošte, igranja, društvenim uslugama i možda čak mrežne banke (Načini da se vidi je li vaša lozinka već procurila dati su na kraju prethodnog članka).
Jedinstvena lozinka za svaki račun je teška, nezgodna je, ali je neophodna ako su vam ovi računi barem od neke važnosti. Iako se za neke registracije koje za vas nemaju nikakvu vrijednost (odnosno, spremni ste ih izgubiti i nećete brinuti) i ne sadrže osobne podatke, ne možete se opterećivati jedinstvenim lozinkama.
Dvofaktorska provjera autentičnosti
Čak i jake lozinke ne garantuju da se niko ne može prijaviti na vaš račun. Lozinka se može ukrasti na ovaj ili onaj način (na primjer, krađa identiteta kao najčešća opcija) ili dobiti od vas.
Gotovo sve velike internetske kompanije, uključujući Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam i druge, dodale su mogućnost omogućavanja dvofaktorske (ili dvostepene) provjere autentičnosti na računima od relativno nedavno. A, ako vam je sigurnost važna, toplo preporučujem da je uključite.
Implementacija dvofaktorske provjere autentičnosti djeluje malo drugačije za različite usluge, ali osnovni princip je sljedeći:
- Kada se prijavite na svoj račun s nepoznatog uređaja, nakon unosa ispravne lozinke, od vas će se tražiti da prođete dodatnu provjeru.
- Provjera se obavlja pomoću SMS koda, posebne aplikacije na pametnom telefonu, pomoću unaprijed pripremljenih ispisanih kodova, poruke e-pošte, hardverskog ključa (zadnja opcija stigla je od Googlea, ova je tvrtka općenito lider u pogledu dvofaktorske provjere autentičnosti).
Dakle, čak i ako je napadač otkrio vašu lozinku, on neće moći prijaviti na vaš račun bez pristupa vašim uređajima, telefonu, e-pošti.
Ako u potpunosti ne razumijete kako funkcionira dvofaktorska provjera autentičnosti, preporučujem vam da pročitate članke na Internetu na ovu temu ili opise i smjernice za djelovanje na samim web mjestima, gdje su implementirani (tek neću biti u mogućnosti uključiti detaljne upute u ovaj članak).
Spremanje lozinke
Sofisticirane jedinstvene lozinke za svaku web lokaciju su sjajne, ali kako ih pohraniti? Malo je vjerojatno da se sve ove lozinke mogu imati na umu. Pohranjivanje spremljenih lozinki u pretraživač rizičan je posao: oni ne samo da postaju ranjiviji na neovlašteni pristup, već se jednostavno mogu izgubiti u slučaju pada sustava i kada je sinkronizacija onemogućena.
Najboljim rješenjem smatraju se upravitelji lozinki, što su općenito programi koji pohranjuju sve vaše tajne podatke u šifriranu sigurnu trgovinu (i van mreže i na mreži), kojima se pristupa pomoću jedne glavne lozinke (možete omogućiti i dvofaktorsku provjeru identiteta). Većina ovih programa opremljena je i alatima za generiranje i procjenu snage lozinke.
Prije par godina napisao sam zaseban članak o najboljim upraviteljima lozinki (vrijedi to preispitati, ali iz članka možete dobiti predstavu o tome što je i koji su programi popularni). Neki više vole jednostavna offline rješenja, poput KeePass ili 1Password, koja pohranjuju sve lozinke na vašem uređaju, drugi preferiraju funkcionalnije alate koji također pružaju mogućnosti sinkronizacije (LastPass, Dashlane).
Poznati upravitelji lozinki uglavnom se smatraju vrlo sigurnim i pouzdanim načinom njihove pohrane. Ipak, vrijedno je razmotriti neke detalje:
- Za pristup svim vašim lozinkama morate znati samo jednu glavnu lozinku.
- U slučaju hakiranja internetske pohrane (prije samo mjesec dana hakirana je najpopularnija usluga upravljanja lozinkom LastPass na svijetu), morat ćete promijeniti sve svoje lozinke.
Kako drugačije mogu sačuvati svoje važne lozinke? Evo nekoliko opcija:
- Na papiru u sefu, kojem ćete i vi i članovi vaše porodice imati pristup (nije pogodno za lozinke koje je potrebno često koristiti).
- Izvanmrežna baza podataka zaporki (na primjer, KeePass) pohranjena na uređaju za dugoročno pohranjivanje i negdje duplicirana u slučaju gubitka.
Po mom mišljenju, optimalna kombinacija svega navedenog sastoji se u sljedećem pristupu: najvažnije lozinke (glavna E-pošta, uz pomoć kojih možete obnoviti druge račune, banke itd.) Pohranjuju se u glavu i (ili) na papiru na sigurnom mjestu. Manje bitni i istovremeno često korišteni programi trebaju se dodijeliti programima za upravljanje lozinkama.
Dodatne informacije
Nadam se da je kombinacija dva članka na temu lozinki pomogla nekima od vas da skrenu pažnju na neke aspekte sigurnosti o kojima niste razmišljali. Naravno da nisam uzeo u obzir sve moguće opcije, ali jednostavna logika i neko razumijevanje principa pomoći će mi da odlučim koliko je sigurno ono što radite u određenom trenutku. Još jednom, nekoliko spomenutih i nekoliko dodatnih točaka:
- Koristite različite lozinke za različite web stranice.
- Lozinke bi trebale biti složene, a složenost možete najviše povećati povećanjem dužine lozinke.
- Ne koristite lične podatke (što se može saznati) prilikom kreiranja same lozinke, naputke za nju, sigurnosna pitanja za oporavak.
- Koristite provjeru u 2 koraka gdje je to moguće.
- Pronađite najbolji način za sigurno pohranjivanje lozinki.
- Pazite na krađu identiteta (provjerite adrese web stranice, šifriranje) i špijunski softver. Gdje god od vas zatraži da unesete lozinku, provjerite da li je zaista unosite na pravo mjesto. Neka vaš računar bude bez zlonamjernog softvera.
- Ako je moguće, nemojte upotrebljavati svoje lozinke na računalima drugih ljudi (ako je potrebno, učinite to u „inkognito“ režimu preglednika, a još bolje utipkajte sa zaslonskom tastaturom), u javnim otvorenim Wi-Fi mrežama, pogotovo ako nema https enkripcije prilikom povezivanja na web mjesto .
- Možda na računalo ili online ne biste trebali pohraniti najvažnije lozinke koje su zaista vrijedne.
Nešto slično. Mislim da sam uspeo da podignem stepen paranoje. Razumijem da mnogo toga što se opisuje djeluje neugodno, misli poput "dobro, ovo će me zaobići", ali jedini izgovor za lijenost kad se slijede jednostavna sigurnosna pravila pri pohranju povjerljivih podataka može biti samo nedostatak njegove važnosti i vaše spremnosti da da će postati vlasništvo trećih lica.
