Lozinke: Kako to učiniti ispravno: 10 koraka

2024 Autor: John Day | [email protected]. Zadnja izmjena: 2024-01-30 08:08

Ranije ove godine, moja supruga je izgubila pristup nekim svojim računima. Njena lozinka je preuzeta sa web lokacije koja je probijena, a zatim je korištena za pristup drugim računima. Tek kad su je web stranice počele obavještavati o neuspjelim pokušajima prijave, shvatila je da se bilo šta događa.

Razgovarao sam i sa brojnim ljudima koji kažu da koriste istu lozinku za svaku web lokaciju. Ove dvije stvari su bile dovoljne da me potaknu da napišem ovaj Instructable.

Zaštita lozinkom vrlo je mali dio internetske sigurnosti u cjelini. Gotovo svaki račun zahtijeva neku vrstu prijave za pristup bilo čemu što štiti. Taj jedini niz često je sve što stoji između napadača i vaših ličnih podataka, novca, ličnih slika ili onih putnih poena koje ste prikupljali godinama.

Ovo uputstvo ima za cilj pokriti neke najbolje prakse za kreiranje lozinki. Ako ste neko ko ima istu lozinku za svaku web stranicu, čije su lozinke uzorak na tastaturi ili imate riječ "lozinka" u lozinci, ovo uputstvo je za vas.

Odricanje odgovornosti

Nisam stručnjak za sigurnost. Ove informacije su vremenom naučene i istražene i samo su preporuka i sažetak vrlo složene teme. Ovaj vodič je napisan početkom 2018. godine i možda će zastarjeti dok ga pročitate.

TL; DR

Ako vas ne zanimaju sva moja razmišljanja i objašnjenja iza lozinki i samo želite jednostavan način stvaranja sigurnih lozinki, prijeđite na posljednji korak.

Korak 1: Neka bude dugo

Dužina je jedna vrlo važna komponenta sigurnosti lozinkom. Sa sve većom brzinom računara, lozinke se mogu pokušavati nevjerovatnom brzinom. To se naziva "brute-force" probijanje lozinke. Vezuje sve moguće kombinacije znakova dok ne pronađete onu koja se podudara.

U teoriji, ovo čini bilo koju lozinku lomljivom, s obzirom na dovoljno vremena. Na sreću, što je lozinka duža, duže će trajati ova vrsta napada. Svaki znak koji dodate dužini čini težinu mnogo težom. Ako je dovoljno dugo, mogle bi proći decenije da se pronađe ovako, što napadaču ne vrijedi.

Primjer

Recimo da imate lozinku koja se sastoji samo od velikih slova. Ovo nije dobra ideja, ali ovo je samo za ilustraciju. Svaki put kada u lozinku dodate još jedan znak, broj mogućih lozinki se množi sa 26. Da imate lozinku od 1 znaka, imala bi 26 mogućih lozinki, 2 znaka bi imala 676 mogućih lozinki itd..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kao što vidite, svako slovo koje dodate čini ovaj napad mnogo težim i praktički nemogućim s dovoljno znakova. Zapamtite, ovo je samo s velikim slovima. Nakon što postanu složeniji, ovaj se učinak povećava.

Korak 2: Neka bude složeno

Složenost je još jedan veliki faktor sigurnosti lozinki. Ako se web stranica ikada probije, velika je vjerojatnost da će korisnička imena i lozinke biti povučeni. Nadajmo se da će web stranica kao osnovni nivo sigurnosti prije pohranjivanja lozinke raspršiti (slično šifriranju). To znači da su iskrivljeni prije nego što uđu u bazu podataka, i ne postoji način da se ovo iskrivljenje poništi.

Sve ovo zvuči dobro. Nije važno koja je vaša lozinka jer je iskrivljena, zar ne? To nije slučaj ako vaša lozinka nije složena. Koriste se standardni algoritmi za heširanje (SHA1, MD5, SHA512, itd.) I uvijek će heširati istu stvar na isti način. Na primjer, ako koristite SHA1 i vaša lozinka je bila "lozinka", uvijek će biti pohranjena u bazi podataka kao "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Stvaranje raspršivača zahtijeva vrijeme i kompjuterske greške, a izračunavanje svih mogućih raspršivača za sve moguće lozinke je praktički nemoguće. Ono što su ljudi uradili je da naprave "rječnike" uobičajenih lozinki. Naravno, bit će prisutne stvari poput "lozinke" ili "qwerty", kao i rjeđe. U tim rječnicima bit će milijuni lozinki i bit će potrebno samo nekoliko sekundi da prođete kroz svaki unos i uporedite poznati hash s raspršivanjem vaše lozinke. To se naziva "napadom na rječnik". Ako je vaša jedna od onih koje su već izračunate, iskrivljivanje neće zaštititi vašu lozinku, a može se koristiti i na drugim web stranicama.

Također, mijenjanje slova u brojeve ne dodaje složenost. Možda se čini složenije promijeniti E u 3 ili I u 1, ali to je toliko uobičajena praksa da ne dodaje više sigurnosti. Programi za krekiranje imaju opciju koja će automatski isprobati te varijacije.

Korak 3: Neka bude jedinstveno

Teško je zapamtiti lozinke. Kako naši životi postaju sve više na internetu, nije rijetkost da svaka osoba ima više od 50 internetskih računa, svaki sa svojom prijavom. Ovo može biti jako teško pratiti.

Najčešći način na koji ljudi to rješavaju je odabir jedne "dobre" lozinke i njeno korištenje na hrpi različitih web stranica. Ovo je užasna ideja. Sve što je potrebno je za jedno kršenje sigurnosti ili jednu phishing web stranicu da biste dobili svoje korisničko ime i lozinku za pokretanje lopte. Napadači bi mogli pokušati to korisničko ime i lozinku na stotinama web stranica u roku od nekoliko sekundi. To bi ih automatski dovelo na svaku web stranicu s istim korisničkim imenom kao i kompromitirano.

Znam da imati drugačiju lozinku za svaku web lokaciju čini se zastrašujućim zadatkom, ali kasnije ćemo objasniti kako to riješiti.

Korak 4: Ništa lično

Vaši podaci nisu tako privatni kao što mislite. Brzo pretraživanje na internetu lako bi moglo pronaći vaš datum rođenja ili adresu. Ako je drugi račun probijen, lako se može dobiti još više informacija. Ako postoji napadač koji pokušava ući na vaše račune, ovo bi bile očigledne lozinke za pokušaj. Takođe ostavlja ulaz otvorenim za članove porodice, prijatelje ili čak poznanike.

Korak 5: Sa jednakom pažnjom postupajte sa svim lozinkama

Kada se bavite web stranicama, trebali biste se prema istoj brizi odnositi prema sigurnosti svih njih. Na primjer, ako se prijavite na svoju omiljenu web lokaciju za mačke, trebali biste poduzeti iste mjere opreza kao i podaci za prijavu u banku. Možda se ne čini previše gubiti pristup svim tim preslatkim brkovima, ali to bi samo moglo biti odskočna daska za napadača. Kršenje te "nevažne" web stranice moglo bi dati napadaču više informacija o vama, kao što je drugo korisničko ime koje ste koristili, druga adresa e -pošte koju ste koristili za prijavu ili stvarni podaci koji bi se mogli koristiti za otključavanje drugih web stranica.

Također, ako se radi o nevažnoj web stranici, veća je vjerovatnoća da neće slijediti odgovarajuću sigurnosnu praksu, što znači da ako je vaša lozinka duga i složena, ali nije jedinstvena, a lozinke se ne raspršuju pravilno kada se pohrane, ta se lozinka može lako koristiti na drugim web stranicama. Opet, samo zato što je web lokacija "nevažna", ne znači da je vaša sigurnost.

Korak 6: Sakrijte ga

Dobro - Offline pohrana

Offline pohrana može biti dobra opcija ako ste zaboravna osoba. USB ključ koji držite zaključanim sa lozinkama štiti od većine napada, osim porodice i prijatelja. U slučaju da na neki način izgubite ovaj štapić, provjerite je li datoteka lozinke ili cijeli pogon šifrirana i da li je štap sigurnosno kopiran na vrlo sigurnom mjestu.

Ova metoda ima mnogo sigurnosti, ali po cijenu pogodnosti.

Razlog zašto bi trebao biti van mreže objašnjen je detaljnije u nastavku. Imajte na umu da se sada mnogo uređaja automatski pravi sigurnosna kopija u oblaku, čak i ako to niste htjeli. Također, ako ovaj štap ikada priključite na uređaj koji ima virus ili je ugrožen, podaci bi se mogli lako kopirati.

Bolje - Zapamtite sve

Zapamtite sve svoje lozinke. Ako ste nevjerojatno nadareni, ovo bi mogla biti opcija. Ne postoji način da ih neko pronađe, a uvijek ih imate sa sobom. Neke negativne strane su da većina nas nije nevjerojatna u sjećanju na složene stvari i skloni smo previše pričati nakon pića ili dva. Pogotovo s desetinama lozinki koje treba zapamtiti, ovo vjerojatno nije ni opcija za laika.

Najbolje - bez skladištenja

U najboljem slučaju je da ih uopće ne pohranite. Ili se nekako sjetite svih svojih jedinstvenih, dugih, složenih lozinki ili ih nanovo stvorite u hodu. Ako znate sastojke potrebne za njihovo ponovno stvaranje, onda nema šanse da ih napadač "pronađe" jer ne postoje dok ne zatrebaju. Ovo može zvučati komplicirano, ali zapravo nije. O ovome kasnije.

Važnost offline

Web stranicama upravljaju ljudi. Za većinu web stranica vjerojatno je sigurno pretpostaviti da ti ljudi općenito imaju dobre namjere, ali čak i najbolji ljudi mogu pogriješiti. Samo prošle godine zabilježen je veliki broj velikih narušavanja sigurnosti web stranica velikih, općenito sigurnih kompanija poput Linked-In-a, Yahoo-a, Equifaxa, Applea i Ubera, da spomenemo samo neke. Radi se o velikim kompanijama sa odjelima za sigurnost i probijene su.

Skladište u oblaku zvuči otmjeno i nudi praktičnost, ali ono što je "oblak" u stvarnosti je tuđi računar koji koristite za spremanje datoteka. Kao što sam već rekao, ljudi mogu griješiti. Ako se to dogodi, vaše lozinke bi mogle biti dostupne cijelom svijetu. Web lokacije u oblaku ogromna su meta napadača zbog količine podataka koje posjeduju. Razbijte web lokaciju u oblaku i pristupite svim podacima koje su potencijalno sačuvali milioni ljudi.

Siguran sam da je nešto od ovoga paranoja, ali s ogromnim dijelom svog života skrivenim iza ovih lozinki, zaštitite ih kao takve.

Korak 7: Moja preporuka

Ovo je bila jako duga preambula da objasni glavne stubove sigurnosti lozinkom. Ako slijedite tih 6 smjernica, trebali biste imati minimalne sigurnosne probleme na internetu, a ako se bilo što dogodi, to bi trebalo stati na izvoru, a ne proširiti se na ostatak vašeg života na mreži.

Postoji mnogo različitih načina na koje možete riješiti ove izazove. Neki su bolji od drugih i pružaju različite prednosti. Moje omiljeno rješenje je SuperGenPass (SGP). Nisam povezan ni na koji način, samo sam obožavatelj.

Jednostavan za upotrebu

SGP ima aplikaciju za vaš telefon i dugme koje možete dodati u svoj preglednik. Kada posjetite web stranicu i od vas se traži vaša prijava, kliknite na dugme. Pojavit će se mali prozor. Unesite svoju glavnu lozinku. SGP će generirati lozinku za ovu web lokaciju i unijeti je u okvir za lozinku umjesto vas!

Long

Možete odabrati duljinu kreirane lozinke. Ovo će generirati lozinke do 24 znaka, što je prilično sigurno, ali možete odabrati kraće ako neke web stranice ograničavaju dužinu vaše lozinke.

Kompleks

Koriste se velika, mala slova i brojevi, što je prilično sigurno. Ne slijede nijedan prepoznatljiv obrazac bez riječi ili fraza. Ništa od vašeg URL -a ili glavne lozinke nije u ovom nizu.

Jedinstven

Svaka web stranica će imati potpuno jedinstvenu lozinku. Lozinke za example1.com i example2.com potpuno su različite, iako se u početnim "sastojcima" razlikuje samo jedan znak. Kao što možete vidjeti u donjem primjeru, nema veze između "sastojaka" i rezultirajuće lozinke i oni se VRLO razlikuju jedni od drugih.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Skladištenje

Pohranjuje i ne prenosi podatke. Može se pokrenuti potpuno izvan mreže ako ste zabrinuti i nema načina da ih netko pronađe ili ukrade.

Korak 8: SGP: Podešavanje

Postavljanje SGP -a je vrlo jednostavno. Prvo, vjerovatno ćete ga htjeti dodati na traku sa oznakama. Da biste to učinili, idite na:

chriszarate.github.io/supergenpass/

Birat će se 2 dugmeta. Za postavljanje računara koji obično koristite, povucite lijevo dugme na traku sa oznakama. Ovo će vam dati novo dugme za upotrebu.

Ako u budućnosti koristite tuđi računar, možete odabrati dugme s desne strane. Ovo će vam omogućiti korištenje SGP -a bez promjene bilo čega u njihovom pregledniku. To je također opcija za mobilni preglednik.

Nakon što je dodano na traku sa oznakama, kliknite na dugme. Otvorit će mali prozor u kutu vaše web stranice. Klikom na malu opremu otvorit će se postavke.

Dužina

Broj s lijeve strane je dužina lozinke koju će generirati. Preporučujem da pregledate web lokacije koje najčešće koristite i postavite ih na najveći broj koji te web stranice dopuštaju. Preporučuje se više od 12, ali što duže to bolje, pogotovo jer se toga ne morate sjećati.

Vrsta raspršivanja

Postoje dvije opcije za vrstu raspršivanja, MD5 i SHA. Oboje će generirati lozinke s velikim slovima, malim slovima i brojkama. Promjena ovoga je jednostavan način da promijenite sve svoje lozinke uz zadržavanje iste glavne lozinke.

Tajna lozinka

Odeljak tajne lozinke je dodatni način da se uverite da je sve bezbedno. Kada se aplet pokrene, ako imate tajnu lozinku, prikazat će se mala slika u okviru za lozinku. Ova lozinka bi UVIJEK trebala biti ista kada se pokrene. Ako se pokrene, a ova slika nije onakva kakva je obično, postoji šansa da neko pokušava dobiti vašu glavnu lozinku.

Glavna lozinka

To nije potrebno tijekom postavljanja, ali je vrlo važno. Odaberite jaku lozinku. Ovo je jedna lozinka koju uvijek unosite na svaku web lokaciju. Uvjerite se da je to nešto čega se možete sjetiti, ali je složeno, dugo i neosobno.

Saving

Nakon što odaberete sve postavke, ponovo kliknite ikonu za spremanje i ikonu zupčanika da biste zatvorili postavke

Korak 9: Koristite SGP

Da biste koristili SGP, posjetite web stranicu na uobičajen način. Kada trebate unijeti lozinku, kliknite na dugme SGP koje ste dodali na traku s oznakama. Ako ste pri postavljanju SGP -a koristili tajnu lozinku, provjerite odgovara li slika koja se prikazuje u okviru za lozinku onakva kakva je bila prilikom postavljanja.

Unesite svoju glavnu lozinku i pritisnite Enter. Ovo će izračunati vašu jedinstvenu lozinku za ovu web stranicu i ispuniti je umjesto vas! Dok upisujete svoju glavnu lozinku, ikona će se ažurirati. Ako se slika ne podudara sa ikonom koju obično imate, ili ste pogrešno unijeli glavnu lozinku ili neko pokušava dobiti vašu lozinku.

Ovisno o načinu na koji je web mjesto napisano, SGP možda neće moći unijeti lozinku umjesto vas, ili možda neće shvatiti da je unesena. U tom slučaju, možete kliknuti ikonu za kopiranje pored okvira za generiranu lozinku i zalijepiti je ručno.

Kada unesete lozinku, kliknite Prijava i tu ste!

Korak 10: Završne misli

SGP možda neće raditi za sve, i to je u redu. To nije savršeno rješenje jer tako nešto ne postoji. Ako imate drugu uslugu ili metodu koju volite koristiti za lozinke, imajte na umu 6 koraka za sigurnu lozinku. Ako vaša trenutna metoda ne uspije u nekoliko ovih područja, možda je vrijeme za traženje drugog rješenja. Da, moglo bi proći pola dana da promijenite sve svoje račune, ali to bi vjerovatno predstavljalo manju glavobolju nego kršenje vaših računa.

Napomena o pohrani na mreži: Ako usluga pohranjuje vaše lozinke na mreži/u "oblaku", provjerite njihovu sigurnosnu praksu kako biste bili sigurni da su dobre. Stranica će vam vjerovatno reći šta rade kako bi zaštitili vaše lozinke ako to rade ispravno. Ako niste sigurni, pošaljite im poruku e -pošte i pitajte. Ako vam ne mogu dati dobar/sažet/tačan odgovor, budite oprezni pri korištenju te usluge.