Í þessari grein verður fjallað um hvernig eigi að búa til öruggt lykilorð, hvaða meginreglum ber að fylgja þegar þau eru stofnuð, hvernig geyma skal lykilorð og lágmarka líkurnar á því að illgjarn notendur fái aðgang að upplýsingum og reikningum.
Þetta efni er framhald greinarinnar „Hvernig er hægt að klikka lykilorðið þitt“ og felur í sér að þú þekkir efnið sem þar er kynnt eða þekkir nú þegar helstu leiðir sem hægt er að skerða lykilorð.
Búðu til lykilorð
Í dag, þegar þú skráir internetreikning, stofnar lykilorð, sérðu venjulega vísbendingu um styrkleika lykilorðsins. Næstum hvar sem það virkar út frá mati á eftirfarandi tveimur þáttum: lengd lykilorðs; tilvist sértákn, hástafi og tölur í lykilorðinu.
Þrátt fyrir þá staðreynd að þetta eru raunverulega mikilvægir þættir lykilorðs mótstöðu gegn tölvusnápur með skepnuöfli, lykilorð sem virðist kerfinu áreiðanlegt er ekki alltaf slíkt. Til dæmis, lykilorð eins og „Pa $$ w0rd“ (og það eru sérstakir stafir og tölur hér) verður líklega klikkaður mjög fljótt - vegna þess að (eins og lýst er í fyrri grein) býr fólk sjaldan einstök lykilorð (minna en 50% af lykilorðunum eru einstök) og tilgreindur valkostur er líklega þegar í leknum gagnagrunnum sem árásarmennirnir hafa aðgang að.
Hvernig á að vera Besti kosturinn er að nota lykilframleiðendur (fáanlegir á Netinu sem veitur á netinu, svo og í flestum lykilstjórnendum fyrir tölvur) og búa til löng lykilorð með sérstökum stafum. Í flestum tilfellum mun lykilorð sem er 10 eða fleiri af þessum stöfum einfaldlega ekki vekja áhuga á tölvuþrjótinu (þ.e.a.s. hugbúnaðurinn hans verður ekki stilltur til að velja slíka valkosti) vegna þess að tíminn sem gefinn er borgar sig ekki. Nýlega birtist innbyggður lykilorði í Google Chrome vafranum.
Í þessari aðferð er helsti ókosturinn að erfitt er að muna slík lykilorð. Ef þörf er á að hafa lykilorðið í huga, þá er annar valkostur byggður á því að 10 stafa lykilorð sem inniheldur hástafi og sértákn er klikkað með því að telja upp þúsundir eða fleiri (sértölur fara eftir gilt stafasett) sinnum auðveldara en 20 stafa lykilorð sem inniheldur aðeins latneska stafi með lágstöfum (jafnvel þó að vefritið viti af því).
Þannig er auðvelt að muna lykilorð sem samanstendur af 3-5 einföldum handahófi enskum orðum og næstum ómögulegt að sprunga. Og eftir að hafa skrifað hvert orð með hástöfum, hækkum við fjölda valkosta í 2. gráðu. Ef það verða 3-5 rússnesk orð (aftur af handahófi, frekar en nöfnum og dagsetningum) sem skrifuð eru á ensku skipulaginu, verður tilgátu möguleikans á háþróaðri aðferð til að nota orðabækur til að velja lykilorð valið.
Kannski er engin örugglega rétt nálgun við að búa til lykilorð: í ýmsum aðferðum eru kostir og gallar (tengd hæfileikanum til að muna það, áreiðanleika og aðrar breytur), þó eru grundvallarreglurnar eftirfarandi:
- Lykilorðið verður að samanstanda af umtalsverðum fjölda stafa. Algengasta takmörkunin í dag er 8 stafir. Og þetta er ekki nóg ef þú þarft öruggt lykilorð.
- Sérstakir stafir, hástafi og hástafi, tölur ættu að vera með í lykilorðinu ef mögulegt er.
- Hafðu aldrei persónulegar upplýsingar með lykilorðinu, jafnvel skráðar með því að virðast „erfiður“ aðferðum. Engar dagsetningar, nöfn og eftirnöfn. Sem dæmi, það tekur sekúndur til klukkutíma að brjóta lykilorð sem táknar hvaða dagsetningu sem er á nútímalegu júlíska tímatalinu frá 0. ári til dagsins í dag (af gerðinni 18. júlí 2015 eða 18072015 osfrv.) Og jafnvel þá mun klukkan snúast aðeins vegna seinkana milli tilrauna í sumum tilvikum).
Þú getur athugað hversu sterkt lykilorðið þitt er á vefnum (þó að slá inn lykilorð á sumum stöðum, sérstaklega án https er ekki öruggasta raunin) //rumkin.com/tools/password/passchk.php. Ef þú vilt ekki staðfesta raunverulegt lykilorð þitt skaltu slá inn svipað (úr sama fjölda stafa og með sama stafatöflu) til að fá hugmynd um styrk hennar.
Í því ferli að slá inn stafi reiknar þjónustan út óreiðu (með skilyrðum, fjöldi valkosta fyrir óreiðu er 10 bitar, fjöldi valkosta er 2 til tíunda máttur) fyrir tiltekið lykilorð og veitir hjálp við áreiðanleika ýmissa gilda. Lykilorð með meira en 60 mannafla er næstum ómögulegt að sprunga jafnvel við markviss val.
Ekki nota sömu lykilorð fyrir mismunandi reikninga
Ef þú ert með frábært flókið lykilorð, en notar það hvar sem þú getur, verður það sjálfkrafa fullkomlega óáreiðanlegt. Um leið og tölvuþrjótar brjótast inn á einhvern af þeim síðum þar sem þú notar slíkt lykilorð og öðlast aðgang að því, vertu viss um að það verður strax prófað (sjálfkrafa með sérstökum hugbúnaði) á öllum öðrum vinsælum tölvupósti, leikjum, félagsþjónustu og jafnvel netbankar (Leiðir til að sjá hvort lykilorðið þitt hefur þegar lekið eru gefin í lok fyrri greinar).
Einstakt lykilorð fyrir hvern reikning er erfitt, það er óþægilegt, en það er nauðsynlegt ef þessir reikningar skipta þér að minnsta kosti einhverju máli. Þó að fyrir sumar skráningar sem ekki hafa neitt gildi fyrir þig (það er að segja, þú ert tilbúinn að missa þær og hefur engar áhyggjur) og hefur ekki að geyma persónulegar upplýsingar, geturðu ekki þvingað þig með einstök lykilorð.
Tvíþátta staðfesting
Jafnvel sterk lykilorð ábyrgist ekki að enginn geti skráð þig inn á reikninginn þinn. Hægt er að stela lykilorðinu á einn eða annan hátt (phishing, til dæmis sem algengasti kosturinn) eða fá það frá þér.
Næstum öll helstu netfyrirtæki, þar á meðal Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam og fleiri hafa bætt við möguleikanum til að gera kleift að nota tveggja þátta (eða tveggja þrepa) staðfestingu á reikningum síðan tiltölulega nýlega. Og ef öryggi er mikilvægt fyrir þig, þá mæli ég mjög með því að kveikja á því.
Útfærsla tveggja þátta auðkenningar virkar aðeins mismunandi fyrir mismunandi þjónustu, en grundvallarreglan er eftirfarandi:
- Þegar þú skráir þig inn á reikninginn þinn frá óþekktu tæki, eftir að þú hefur slegið inn rétt lykilorð, ertu beðinn um að fara í gegnum viðbótarskoðun.
- Athugunin fer fram með því að nota SMS kóða, sérstakt forrit á snjallsímanum, nota fyrirfram útbúna prentaða kóða, tölvupóstskeyti, vélbúnaðarlykil (síðasti valkosturinn kom frá Google, þetta fyrirtæki er almennt leiðandi hvað varðar tveggja þátta auðkenningu).
Þannig að jafnvel ef árásarmaður komst að lykilorðinu þínu þá gæti hann ekki skráð sig inn á reikninginn þinn án aðgangs að tækjum þínum, síma, tölvupósti.
Ef þú skilur ekki að fullu hvernig tveggja þátta staðfesting virkar, þá mæli ég með að lesa greinar á Netinu um þetta efni eða lýsingar og leiðbeiningar um aðgerðir á vefsíðunum sjálfum, þar sem það er útfært (ég mun bara ekki geta haft nákvæmar leiðbeiningar í þessari grein).
Lykilorð geymsla
Háþróuð einstök lykilorð fyrir hverja síðu eru frábær, en hvernig geymi ég þau? Það er ólíklegt að hægt sé að hafa öll þessi lykilorð í huga. Að geyma vistuð lykilorð í vafra er áhættusamt fyrirtæki: þau verða ekki aðeins viðkvæmari fyrir óviðkomandi aðgangi, heldur geta þau einfaldlega glatast ef kerfishrun verður og þegar samstilling er óvirk.
Besta lausnin er talin vera stjórnendur lykilorðs, sem almennt eru forrit sem geyma öll leyndargögn þín í dulkóðuðu öruggri verslun (bæði utan nets og á netinu), sem eru aðgengileg með einu aðal lykilorði (þú getur einnig gert kleift að staðfesta tveggja þátta staðfestingu). Flest þessara forrita eru einnig búin tækjum til að búa til og meta styrkleika lykilorðsins.
Fyrir nokkrum árum skrifaði ég sérstaka grein um bestu lykilorðastjórnendur (það er þess virði að endurskrifa hana, en þú getur fengið hugmynd um hvað það er og hvaða forrit eru vinsæl úr greininni). Sumir kjósa einfaldar lausnir án nettengingar, svo sem KeePass eða 1Password, sem geyma öll lykilorð í tækinu þínu, önnur kjósa virkari tól sem veita einnig samstillingargetu (LastPass, Dashlane).
Alþekktir lykilstjórar eru almennt álitnir mjög örugg og áreiðanleg leið til að geyma þau. Hins vegar er vert að skoða nokkrar upplýsingar:
- Til að fá aðgang að öllum lykilorðunum þínum þarftu aðeins að vita eitt aðal lykilorð.
- Ef um er að ræða tölvusnápur á netinu (bókstaflega fyrir mánuði síðan, vinsælasta lykilorðastjórnunarþjónusta LastPass í heiminum var tölvusnápur) verður þú að breyta öllum lykilorðunum þínum.
Hvernig get ég annað vistað mikilvæg lykilorð? Hér eru nokkrir möguleikar:
- Á pappír í öryggishólfi sem þú og fjölskyldumeðlimir þínir hafa aðgang að (hentar ekki fyrir lykilorð sem þarf að nota oft).
- Ótengdur gagnagrunnur fyrir lykilorð (til dæmis KeePass) sem geymdur er í langtímageymslu tæki og afritaður einhvers staðar ef tap verður.
Að mínu mati er ákjósanlegasta samsetningin af öllu ofangreindu eftirfarandi aðferð: mikilvægustu lykilorðin (aðalpósturinn, sem þú getur endurheimt aðra reikninga, banka osfrv.) Eru geymdir í hausnum og (eða) á pappír á öruggum stað. Minni mikilvæg og á sama tíma ætti oft að nota þau sem notuð eru til lykilstjóraforrita.
Viðbótarupplýsingar
Ég vona að sambland af tveimur greinum um lykilorð hafi hjálpað sumum ykkar að huga að nokkrum öryggisþáttum sem ykkur datt ekki í hug. Auðvitað tók ég ekki tillit til allra mögulegra valkosta, en einföld rökfræði og nokkur skilningur á meginreglunum mun hjálpa mér að ákveða hversu öruggt það sem þú ert að gera á ákveðinni stundu. Enn og aftur nefndu sumir og nokkur atriði til viðbótar:
- Notaðu mismunandi lykilorð fyrir mismunandi síður.
- Lykilorð ættu að vera flókin og þú getur aukið flækjurnar mest með því að auka lengd lykilorðsins.
- Ekki nota persónuleg gögn (sem hægt er að komast að) þegar þú býrð til lykilorðið sjálft, vísbendingar um það, öryggisspurningar til að ná bata.
- Notaðu tvíþætt staðfestingu þar sem unnt er.
- Finndu bestu leiðina fyrir þig til að geyma lykilorð á öruggan hátt.
- Vertu á varðbergi gagnvart vefveiðum (athugaðu netföng, dulkóðun) og njósnaforrit. Hvar sem þér er beðið um að slá inn lykilorð skaltu athuga hvort þú slærð það virkilega inn á réttan vef. Hafðu tölvuna þína laus við malware.
- Notaðu ekki lykilorð þín í tölvum annara ef mögulegt er (gerðu það, ef nauðsyn krefur, í „huliðsstillingu“ vafrans og jafnvel betri gerð af skjályklaborðinu), í opnum Wi-Fi netum, sérstaklega ef ekki er um https dulkóðun að ræða við tengingu við vefinn .
- Kannski ættir þú ekki að geyma mikilvægustu lykilorðin á tölvu eða á netinu sem eru mjög dýrmæt.
Eitthvað svoleiðis. Ég held að mér hafi tekist að hækka ofsóknarbrjálæðið. Mér skilst að margt af því sem lýst er virðist óþægilegt, hugsanir eins og „vel, það mun framhjá mér“ geta komið upp, en eina afsökunin fyrir leti þegar farið er eftir einföldum öryggisreglum við geymslu trúnaðarupplýsinga getur aðeins verið skortur á mikilvægi þeirra og reiðubúinn til að það verði eign þriðja aðila.
