Siguria e fjalëkalimeve

Ky artikull do të diskutojë se si të krijohet një fjalëkalim i sigurt, cilat parime duhet të ndiqen gjatë krijimit të tyre, si të ruhen fjalëkalimet dhe të minimizohen shanset për hyrje në informacionet dhe llogaritë tuaja.

Ky material është vazhdim i artikullit "Si mund të hidhet në hapa fjalëkalimin tuaj" dhe nënkupton që ju jeni të njohur me materialin e paraqitur atje dhe pa këtë ju i dini të gjitha mënyrat themelore në të cilat mund të komprometohen fjalëkalimet.

Krijo fjalëkalime

Sot, kur regjistroni ndonjë llogari në Internet, duke krijuar një fjalëkalim, zakonisht shihni treguesin e fuqisë së fjalëkalimeve. Pothuajse kudo funksionon në bazë të një vlerësimi të dy faktorëve të mëposhtëm: gjatësia e fjalëkalimit; praninë e personazheve të posaçëm, shkronjave të mëdha dhe numrave në fjalëkalim.

Pavarësisht nga fakti se këto janë parametra të vërtetë të rëndësishëm të rezistencës me fjalëkalim për plasaritje me forcë brutale, një fjalëkalim që duket të jetë i fortë nuk është gjithmonë rasti. Për shembull, një fjalëkalim si "Pa $$ w0rd" (dhe këtu ka karaktere dhe numra të veçantë) ka gjasa të plasaritet shumë shpejt - për shkak të faktit se (siç përshkruhet në artikullin e mëparshëm) njerëzit rrallë krijojnë fjalëkalime unike (më pak se 50% e fjalëkalimeve janë unike) dhe ky opsion ka të ngjarë të ekzistojë tashmë në bazat e të dhënave të rrjedhura që ndërhyrës kanë.

Si të jesh? Opsioni më i mirë është përdorimi i gjeneratorëve të fjalëkalimeve (të disponueshme në internet në formën e shërbimeve online, si dhe në shumicën e menaxherëve të fjalëkalimeve të kompjuterit), duke krijuar fjalëkalime të gjata të rastësishme duke përdorur karaktere speciale. Në shumicën e rasteve, një fjalëkalim prej 10 ose më shumë personazhe të tillë thjesht nuk do të jetë me interes për hakerin (p.sh., programi i tij nuk do të konfigurohet për të zgjedhur opsione të tilla) për shkak se shpenzimet e kohës nuk paguhen. Kohët e fundit, një gjenerator i integruar i fjalëkalimeve është shfaqur në shfletuesin e Google Chrome.

Në këtë metodë, pengesa kryesore është se fjalëkalime të tilla janë të vështira për t'u mbajtur mend. Nëse ekziston nevoja për të mbajtur një fjalëkalim në kokën tuaj, ekziston një tjetër opsion, bazuar në faktin se një fjalëkalim me 10 shkronja, që përmban letra të mëdha dhe karaktere speciale, është plasaritur nga një forcë brutale prej mijëra ose më shumë (numra të caktuar varen nga grupi i lejuar i karaktereve) sesa një fjalëkalim prej 20 personash, që përmban vetëm shkronja të vogla latine (edhe nëse sulmuesi e di për këtë).

Kështu, një fjalëkalim i përbërë nga 3-5 fjalë të thjeshta të thjeshta në anglisht do të jetë e lehtë për t'u kujtuar dhe pothuajse e pamundur për të goditur. Dhe duke e shkruar çdo fjalë me një letër të madhe, ne ngremë numrin e opsioneve në shkallën e dytë. Nëse këto janë 3-5 fjalë ruse (përsëri, të rastësishme, por jo emra dhe data) të shkruara në paraqitjen angleze, gjithashtu hiqet mundësia hipotetike e metodave të sofistikuara të përdorimit të fjalorëve për zgjedhjen e një fjalëkalimi.

Patjetër që nuk ka qasje të drejtë për krijimin e fjalëkalimeve: ka përparësi dhe disavantazhe në mënyra të ndryshme (lidhur me aftësinë për të kujtuar atë, besueshmërinë dhe parametrat e tjerë), por parimet themelore janë si më poshtë:

  • Fjalëkalimi duhet të përbëhet nga një numër i konsiderueshëm i karaktereve. Sot kufizimi më i zakonshëm është 8 karaktere. Dhe kjo nuk është e mjaftueshme nëse keni nevojë për një fjalëkalim të sigurt.
  • Nëse është e mundur, përfshini karaktere speciale, letra të sipërme dhe të vogla, numra në fjalëkalim.
  • Asnjëherë mos përfshini të dhënat personale në fjalëkalimin tuaj, edhe nëse është shkruar në mënyra të dukshme. Nuk ka data, emrat dhe mbiemrat. Për shembull, thyerja e një fjalëkalimi që përfaqëson çdo datë të kalendarit Julian modern nga viti 0 deri në ditët e sotme (si 07/18/2015 ose 18072015 etj.) Do të marrë nga sekonda në orë (dhe ora do të merret vetëm për shkak të vonesave midis përpjekjeve për disa raste).

Ju mund të kontrolloni sa të fortë është fjalëkalimi juaj në vend (edhe pse futja e fjalëkalimeve në disa faqe, veçanërisht pa https, nuk është praktika më e sigurt) //rumkin.com/tools/password/passchk.php. Nëse nuk doni të kontrolloni fjalëkalimin tuaj të vërtetë, futni një të ngjashëm (nga numri i njëjtë i personazheve dhe me të njëjtin grup karakteresh) për të marrë një ide për besueshmërinë e tij.

Gjatë rrjedhjes së karaktereve, shërbimi llogarit entropinë (kushtëzuar, numri i opsioneve, për entropinë është 10 bit, numri i opsioneve është 2 deri në fuqinë e dhjetë) për një fjalëkalim të dhënë dhe jep informacion mbi besueshmërinë e vlerave të ndryshme. Fjalëkalimet me një entropy prej më shumë se 60 janë pothuajse të pamundura për të goditur edhe gjatë përzgjedhjes në shënjestër.

Mos përdorni të njëjtat fjalëkalime për llogari të ndryshme.

Nëse keni një fjalëkalim të madh kompleks, por e përdorni atë kudo që të jetë e mundur, automatikisht bëhet krejtësisht jo i besueshëm. Sapo hakerët të hyjnë në ndonjë nga vendet ku përdorni një fjalëkalim të tillë dhe të merrni qasje në të, mund të jeni të sigurtë se do të testohen menjëherë (automatikisht, duke përdorur softuer të veçantë) në të gjitha emailet e tjera të njohura, lojërat, shërbimet sociale dhe ndoshta edhe bankat në internet (Mënyrat për të parë nëse fjalëkalimi juaj tashmë është zbuluar janë të listuara në fund të artikullit të mëparshëm).

Një fjalëkalim unik për secilën llogari është e vështirë, është e papërshtatshme, por është e nevojshme nëse këto llogari kanë ndonjë rëndësi për ju. Megjithëse, për disa regjistrime që nuk kanë vlerë për ju (dmth. Jeni gati për t'i humbur ato dhe nuk do të shqetësoheni) dhe nuk përmbajnë informacion personal, ju nuk mund të prisni veten me fjalëkalime unike.

Authentication me dy faktorë

Edhe fjalëkalimet e fuqishme nuk garantojnë që askush nuk mund të hyjë në llogarinë tuaj. Ju mund të vjedhni një fjalëkalim në një mënyrë ose në një tjetër (phishing, për shembull, si opsioni më i shpeshtë) ose merrni nga ju.

Pothuajse të gjitha kompanitë serioze online, duke përfshirë Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam dhe të tjerë kanë shtuar kohët e fundit aftësinë për të mundësuar vërtetimin me dy faktorë (ose me dy hapa) në llogaritë e tyre. Dhe, nëse siguria është e rëndësishme për ju, unë rekomandoj përfshirjen e saj.

Zbatimi i autentifikimit me dy faktorë është paksa i ndryshëm për shërbime të ndryshme, por parimi bazë është si më poshtë:

  1. Kur futni llogarinë nga një pajisje e panjohur, pas futjes së fjalëkalimit të saktë, ju kërkohet të nënshtrohen testime shtesë.
  2. Verifikimi bëhet me ndihmën e një kodi SMS, një aplikacioni të veçantë në një smartphone, me anë të kodeve të shtypura të përgatitura më parë, një mesazh e-mail, një çelës hardware (opsioni i fundit u shfaq në Google, kjo kompani është në përgjithësi më e mirë në drejtim të autentifikimit me dy faktorë).

Kështu, edhe nëse sulmuesi ka mësuar fjalëkalimin tuaj, ai nuk do të jetë në gjendje të hyjë në llogarinë tuaj pa qasje në pajisjet tuaja, telefon ose e-mail.

Nëse nuk kuptoni plotësisht se si funksionon autentifikimi me dy faktorë, unë rekomandoj leximin e artikujve në Internet të përkushtuar për këtë temë ose përshkrimet dhe udhëzimet për veprim në vendet ku është zbatuar (nuk do të mund të përfshij udhëzime të hollësishme në këtë artikull).

Ruajtja e fjalëkalimeve

Fjalëkalime të vështira unike për secilën faqe - e madhe, por si t'i ruani ato? Nuk ka gjasa që të gjitha këto fjalëkalime të mbahen në mend. Ruajtja e fjalëkalimeve të ruajtura në shfletues është një ndërmarrje e rrezikshme: ata jo vetëm që bëhen më të ndjeshëm ndaj qasjes së paautorizuar, por thjesht mund të humbasin në rast të rrëzimit të sistemit dhe kur sinkronizimi është i çaktivizuar.

Zgjidhja më e mirë konsiderohet të jetë menaxher i fjalëkalimeve, që përgjithësisht përfaqëson programe që ruajnë të gjitha të dhënat tuaja të fshehta në një depo të sigurt të koduar (si në linjë dhe në internet), e cila arrihet duke përdorur një fjalëkalim kryesor (gjithashtu mund të aktivizoni vërtetimin me dy faktorë). Gjithashtu, shumica e këtyre programeve janë të pajisura me mjete për gjenerimin dhe vlerësimin e besueshmërisë së fjalëkalimeve.

Nja dy vjet më parë kam shkruar një artikull të veçantë për Menaxherët më të mirë të Fjalëkalimit (është e rëndësishme të rishkruaj, por mund të merrni një ide se çfarë është dhe cilat programe janë të njohura nga artikulli). Disa preferojnë zgjidhje të thjeshta offline, si KeePass ose 1Password, të cilat i ruajnë të gjitha fjalëkalimet në pajisjen tuaj, të tjerët - shërbime më funksionale që përfaqësojnë aftësitë e sinkronizimit (LastPass, Dashlane).

Menaxherët e njohur me fjalëkalim përgjithësisht konsiderohen si një mënyrë shumë e sigurt dhe e besueshme për t'i ruajtur ato. Megjithatë, vlen të shqyrtojmë disa detaje:

  • Për të hyrë në të gjitha fjalëkalimet tuaja duhet të dini vetëm një fjalëkalim kryesor.
  • Në rastin e piraterisë së magazinimit në internet (fjalë për fjalë një muaj më parë, shërbimi më i popullarizuar i menaxhimit të fjalëkalimeve në botë, LastPass, u hutua), do të duhet të ndërroni të gjitha fjalëkalimet tuaja.

Si ndryshe mund të ruani fjalëkalimet tuaja të rëndësishme? Këtu janë disa opsione:

  • Në letër në një vend të sigurtë, qasja në të cilën ju dhe anëtarët e familjes suaj do të keni (jo të përshtatshme për fjalëkalime që shpesh keni nevojë të përdorni).
  • Baza e të dhënave me fjalëkalim jashtë linje (për shembull, KeePass) që ruhet në një pajisje të ruajtjes së të dhënave të qëndrueshme dhe kopjohen diku në rast humbjeje.

Sipas mendimit tim, kombinimi më i mirë i çdo gjëje të përshkruar më sipër është qasja e mëposhtme: fjalëkalimet më të rëndësishme (e-mail kryesore, me të cilat mund të mbuloni llogaritë e tjera, banka, etj.) Ruhen në kokë dhe (ose) në letër në një vend të sigurt. Më pak të rëndësishme dhe, në të njëjtën kohë, ato të përdorura shpesh duhet të caktohen për menaxherët e fjalëkalimeve.

Informacione shtesë

Shpresoj që kombinimi i dy artikujve në fjalëkalime për disa prej jush të ndihmonte për të tërhequr vëmendjen në disa aspekte të sigurisë që nuk menduat. Natyrisht, nuk kam marrë parasysh të gjitha mundësitë e mundshme, por logjika e thjeshtë dhe disa kuptueshmëri e parimeve do të ndihmojnë veten të vendosë se sa i sigurt është ajo që po bëni në një moment të caktuar. Edhe një herë, disa përmendën dhe disa pika shtesë:

  • Përdorni fjalëkalime të ndryshme për vende të ndryshme.
  • Fjalëkalimet duhet të jenë të ndërlikuara, më e vështira është rritja e kompleksitetit duke rritur gjatësinë e fjalëkalimit.
  • Mos përdorni të dhëna personale (të cilat mund t'i gjeni) kur krijoni vetë fjalëkalimin, lëkundjet e tij, pyetjet e testimit për shërim.
  • Përdorni autentikimin në dy hapa kur është e mundur.
  • Gjeni mënyrën më të mirë për të mbajtur fjalëkalimet tuaja të sigurta.
  • Jini të kujdesshëm ndaj phishing (kontrolloni adresat e vendeve, praninë e encryption) dhe spyware. Kudo që u kërkohet të shkruajnë një fjalëkalim, kontrolloni nëse jeni duke hyrë në të drejtën. Sigurohuni që nuk ka malware në kompjuter.
  • Nëse është e mundur, mos përdorni fjalëkalimet tuaja në kompjuterët e dikujt tjetër (nëse është e nevojshme, bëjeni në mënyrën inkonjito të shfletuesit, ose edhe më mirë, përdorni tastierën në ekran), në rrjetet publike të hapura Wi-Fi, veçanërisht nëse nuk keni kodim https kur lidheni me site .
  • Ndoshta nuk duhet të ruani fjalëkalimet më të rëndësishme, me të vërtetë të vlefshme në kompjuter ose në internet.

Diçka e tillë. Unë mendoj se kam arritur të rris shkallën e paranojës. Unë e kuptoj se shumë nga sa më sipër duket e papërshtatshme, mund të lindin mendime si "mirë, ajo do të anashkalojë mua", por e vetmja arsyetim për të qenë i pasjellshëm kur ndjekja e rregullave të thjeshta të sigurisë për ruajtjen e informacionit konfidencial mund të jetë vetëm mungesa e rëndësisë dhe gatishmëria juaj se do të bëhet pronë e palëve të treta.