Gesla: Kako ravnati pravilno: 10 korakov

2024 Avtor: John Day | [email protected]. Nazadnje spremenjeno: 2024-01-30 12:07

V začetku tega leta je moja žena izgubila dostop do nekaterih svojih računov. Njeno geslo je bilo vzeto s poškodovanega spletnega mesta, nato pa je bilo uporabljeno za dostop do drugih računov. Šele ko so jo spletna mesta začela obveščati o neuspešnih poskusih prijave, je spoznala, da se kaj dogaja.

Govoril sem tudi z več ljudmi, ki pravijo, da za vsako spletno mesto uporabljajo isto geslo. Ti dve stvari sta bili dovolj, da sta me spodbudili, da sem napisal to navodilo.

Varnost gesla je zelo majhen del spletne varnosti kot celote. Skoraj vsak račun zahteva nekakšno prijavo, ki omogoča dostop do vsega, kar ščiti. Ta en sam niz je pogosto vse, kar stoji med napadalcem in vašimi osebnimi podatki, denarjem, osebnimi slikami ali tistimi potovalnimi točkami, ki ste jih zbirali leta.

Namen tega navodila je zajeti nekaj najboljših praks za ustvarjanje gesel. Če ste nekdo, ki ima enako geslo za vsako spletno mesto, katerega gesla so vzorec na tipkovnici ali imate v geslu besedo »geslo«, je to navodilo za vas.

Zavrnitev odgovornosti

Nisem strokovnjak za varnost. Te informacije so se sčasoma naučile in raziskale in so le priporočilo in povzetek zelo zapletene teme. Ta vadnica je bila napisana v začetku leta 2018 in je morda že zastarela, ko jo preberete.

TL; DR

Če vas ne zanimajo vsa moja razmišljanja in razlage za gesla in želite preprosto ustvariti varna gesla, pojdite na zadnji korak.

1. korak: Naj bo dolgo

Dolžina je ena zelo pomembnih sestavin zaščite z geslom. Ker hitrost računalnikov raste vse hitreje, je mogoče gesla preizkusiti z neverjetno hitrostjo. To se imenuje razbijanje gesla "brute-force". Povezuje vse možne kombinacije znakov, dokler ne najdete tistega, ki se ujema.

Teoretično je zaradi tega dovolj, da se vsako geslo zlomi. Na srečo, dlje ko je geslo, dlje bo trajalo to vrsto napada. Vsak znak, ki ga dodate dolžini, otežuje težave. Če je dovolj dolgo, bi lahko trajalo desetletja, da bi ga našli tako, zato se napadalcu ne splača.

Primer

Recimo, da imate geslo samo z velikimi črkami. To ni dobra ideja, ampak samo za ilustracijo. Vsakič, ko geslu dodate drug znak, se število možnih gesel pomnoži s 26. Če bi imeli geslo z 1 znakom, bi imelo 26 možnih gesel, 2 znaka bi imela 676 možnih gesel itd..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kot lahko vidite, vsaka črka, ki jo dodate, naredi ta napad veliko težji in praktično nemogoč z dovolj znakov. Ne pozabite, to je samo z velikimi črkami. Ko postanejo bolj zapleteni, se ta učinek poveča.

Korak: Naj bo zapleteno

Kompleksnost je še en pomemben dejavnik pri zaščiti gesel. Če pride do kršitve spletnega mesta, je verjetno, da bodo uporabniška imena in gesla odstranjeni. Kot osnovno raven varnosti upajmo, da ima spletno mesto pred shranjevanjem gesla (podobno kot šifriranje). To pomeni, da so popačeni, preden gredo v bazo podatkov, in tega popačenja ni mogoče obrniti.

Vse to se sliši dobro. Ni važno, kaj je vaše geslo, ker je popačeno, kajne? To ne drži, če geslo ni zapleteno. Uporabljajo se standardni algoritmi razprševanja (SHA1, MD5, SHA512 itd.), Ki bodo vedno enako razpršili isto stvar. Če na primer uporabljate SHA1 in je bilo vaše geslo »geslo«, bi bilo v bazi podatkov vedno shranjeno kot »5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8«, vedno.

Ustvarjanje razpršilnikov zahteva čas in računalniško napako, izračun vseh možnih razpršitev za vsa možna gesla pa je praktično nemogoč. Ljudje so naredili "slovarje" skupnih gesel. Seveda bodo prisotne stvari, kot sta "geslo" ali "qwerty", pa tudi manj pogoste. V teh slovarjih bo na milijone gesel in trajale bodo le nekaj sekund, da boste pregledali vsak vnos in primerjali znano razpršitev z razpršitvijo vašega gesla. To se imenuje "napad na slovar". Če je vaše eno od tistih, ki so že izračunani, popačenje ne bo zaščitilo vašega gesla in ga lahko uporabite na drugih spletnih mestih.

Tudi spreminjanje črk v številke ne prinaša zapletenosti. Morda se zdi bolj zapleteno spreminjanje E na 3 ali I na 1, vendar je to tako pogosta praksa, da ne dodaja več varnosti. Cracking programi imajo možnost, da samodejno preizkusi te različice.

3. korak: Naj bo edinstven

Gesla si je težko zapomniti. Ker je naše življenje vedno bolj na spletu, ni nenavadno, da ima vsaka oseba več kot 50 spletnih računov, vsak s svojo prijavo. Temu je zelo težko slediti.

Najpogosteje ljudje to rešujejo tako, da izberejo eno "dobro" geslo in ga uporabijo na kopici različnih spletnih mest. To je grozna ideja. Vse, kar potrebujete, je, da za eno kršitev varnosti ali eno spletno mesto z lažnim predstavljanjem pridobite svoje uporabniško ime in geslo za začetek valjanja žogice. Napadalci bi lahko v nekaj sekundah poskusili to uporabniško ime in geslo na stotinah spletnih mest. To bi jih samodejno pripeljalo na vsako spletno mesto z istim uporabniškim imenom kot ogroženo.

Vem, da je drugačno geslo za vsako spletno mesto zastrašujoča naloga, vendar bomo kasneje obravnavali, kako to rešiti.

4. korak: Nič osebnega

Vaši podatki niso tako zasebni, kot si mislite. Hitro iskanje po spletu lahko zlahka najde vaš datum rojstva ali naslov. Če je bil kršen drug račun, je mogoče zlahka pridobiti še več informacij. Če napadalec poskuša vstopiti v vaše račune, bi bila to očitna gesla. Omogoča tudi vstop družinskim članom, prijateljem ali celo znancem.

5. korak: Z vsemi gesli ravnajte enako previdno

Ko se ukvarjate s spletnimi mesti, morate z enako stopnjo skrbi ravnati z varnostjo vseh. Če se na primer prijavite na svojo najljubšo spletno stran za mačke, morate upoštevati enake varnostne ukrepe kot pri prijavi v banko. Morda se ne zdi veliko izgubiti dostop do vseh teh čudovitih brkov, vendar je to lahko le odskočna deska za napadalca. Kršitev tega "nepomembnega" spletnega mesta bi napadalcu lahko dala več informacij o vas, na primer drugo uporabniško ime, ki ste ga uporabili, drug e -poštni naslov, s katerim ste se prijavili, ali dejanske podatke, ki bi jih lahko uporabili za odklepanje drugih spletnih mest.

Če je spletno mesto nepomembno, obstaja večja verjetnost, da ne bodo upoštevali ustreznih varnostnih praks, kar pomeni, da če je vaše geslo dolgo in zapleteno, vendar ni edinstveno in gesla niso pravilno razpršena, ko so shranjena, to geslo lahko preprosto uporabite na drugih spletnih mestih. Tudi to, da je spletno mesto "nepomembno", še ne pomeni, da je vaša varnost.

6. korak: Naj bo skrit

Dobro - shranjevanje brez povezave

Shranjevanje brez povezave je lahko dobra možnost, če ste pozabljiva oseba. USB ključek, ki ga hranite zaklenjenega z gesli, ščiti pred večino napadov, razen družine in prijateljev. V primeru, da to ključko nekako izgubite, se prepričajte, da je datoteka z geslom ali celoten pogon šifrirana in da je ključek varnostno kopiran nekje na zelo varnem mestu.

Ta metoda ima veliko varnosti, vendar na ceno udobja.

Razlog, zakaj bi moral biti brez povezave, je podrobneje razložen spodaj. Ne pozabite, da se veliko naprav samodejno varnostno kopira v oblak, tudi če tega niste nameravali. Če tudi to palico kdaj priključite v napravo, ki ima virus ali je ogrožena, bi lahko podatke zlahka prepisali.

Bolje - zapomni si vse

Zapomnite si vsa gesla. Če ste neverjetno nadarjeni, je to morda možnost. Ni jih mogoče najti in vedno jih imate pri sebi. Nekaj slabih strani je, da se večina nas ne spomni zapletenih stvari in se po pijači ali dveh pogovarjamo preveč. Še posebej, če si zapomnite na desetine gesel, to za laika verjetno niti ni možnost.

Najboljše - brez shranjevanja

V najboljšem primeru je, da jih sploh ne shranite. Ali se nekako spomnite vseh svojih edinstvenih, dolgih, zapletenih gesel ali pa jih lahko na novo ustvarite. Če poznate sestavine, ki so potrebne za njihovo ponovno ustvarjanje, potem jih napadalec ne more "najti", ker ne obstajajo, dokler niso potrebne. Morda se sliši zapleteno, v resnici pa ni. Več o tem kasneje.

Pomen brez povezave

Spletna mesta upravljajo ljudje. Za večino spletnih mest je verjetno varno domnevati, da imajo ti ljudje na splošno dobre namene, vendar lahko tudi najboljši ljudje naredijo napake. Samo lani je prišlo do ogromnih kršitev varnosti spletnih mest velikih, na splošno zaščitenih podjetij, kot so Linked-In, Yahoo, Equifax, Apple in Uber, če naštejemo le nekatere. Gre za velika podjetja z oddelki za varnost in so bila kršena.

Skladiščenje v oblaku se sliši domišljijsko in ponuja udobje, v resnici pa je "oblak" računalnik nekoga drugega, ki ga uporabljate za shranjevanje datotek. Kot sem že rekel, lahko ljudje delajo napake. Če se to zgodi, bi lahko bila vaša gesla dostopna svetu. Spletna mesta v oblaku so velika količina napadalcev zaradi količine podatkov, ki jih hranijo. Prekinite spletno mesto v oblaku in pridobite dostop do vseh podatkov, ki so jih shranili potencialno milijoni ljudi.

Prepričan sem, da je nekaj od tega paranoja, vendar z ogromnim kosom svojega življenja, skritim za temi gesli, jih zaščitite kot take.

7. korak: Moje priporočilo

To je bila zelo dolga uvodna izjava, ki pojasnjuje glavne stebre varnosti gesel. Če upoštevate teh 6 smernic, bi morali imeti na spletu minimalne varnostne težave, in če bi se kaj zgodilo, bi se moralo ustaviti pri viru, ne pa se razširiti na preostanek vašega spletnega življenja.

Te izzive lahko rešite na različne načine. Nekateri so boljši od drugih in nudijo različne ugodnosti. Moja najljubša rešitev je SuperGenPass (SGP). Na noben način nisem povezan, sem samo oboževalec.

Enostaven za uporabo

SGP ima aplikacijo za vaš telefon in gumb, ki ga lahko dodate v brskalnik. Ko obiščete spletno mesto in vas vpraša za prijavo, kliknite gumb. Odprlo se bo majhno okno. Vnesite glavno geslo. SGP bo za to spletno mesto ustvaril geslo in ga vnesel v polje za geslo!

dolga

Izberete lahko dolžino ustvarjenega gesla. To bo ustvarilo gesla do 24 znakov, kar je precej varno, vendar lahko izberete krajše, če nekatera spletna mesta omejujejo dolžino vašega gesla.

Kompleksno

Uporabljajo se velike, male in številke, kar je dokaj varno. Ne sledijo nobenemu prepoznavnemu vzorcu brez besed ali besednih zvez. V tem nizu ni ničesar od vašega URL -ja ali glavnega gesla.

Edinstven

Vsako spletno mesto bo imelo popolnoma edinstveno geslo. Gesli za example1.com in example2.com sta popolnoma različni, čeprav je v začetnih "sestavinah" samo en znak drugačen. Kot lahko vidite v spodnjem primeru, med "sestavinami" in nastalim geslom ni nobene povezave in se ZELO razlikujejo med seboj.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Skladiščenje

Shranjuje in ne prenaša podatkov. Če ste zaskrbljeni, ga lahko zaženete popolnoma brez povezave in nihče ne more najti ali ukrasti.

8. korak: SGP: Nastavitev

Nastavitev SGP je zelo preprosta. Najprej ga boste verjetno želeli dodati v vrstico z zaznamki. Če želite to narediti, pojdite na:

chriszarate.github.io/supergenpass/

Na izbiro bosta 2 gumba. Če želite nastaviti računalnik, ki ga običajno uporabljate, povlecite levi gumb v vrstico z zaznamki. S tem boste dobili nov gumb za uporabo.

Če v prihodnje uporabljate računalnik nekoga drugega, lahko izberete gumb na desni. Tako boste lahko uporabljali SGP, ne da bi v svojem brskalniku kaj spremenili. To je tudi možnost za mobilni brskalnik.

Ko ga dodate v vrstico z zaznamki, kliknite gumb. Odprlo se bo majhno okno v kotu vaše spletne strani. S klikom na majhno orodje se odprejo nastavitve.

Dolžina

Številka na levi je dolžina gesla, ki ga bo ustvarilo. Priporočam, da poiščete spletna mesta, ki jih najpogosteje uporabljate, in jih nastavite na največje število, ki ga ta mesta dovoljujejo. Priporoča se več kot 12, dlje pa bolje, še posebej, ker se vam tega ni treba spomniti.

Vrsta razpršitve

Obstajata dve možnosti za vrsto razpršitve, MD5 in SHA. Oba bosta ustvarila gesla z velikimi črkami, malimi črkami in številkami. Če to spremenite, je preprost način, da spremenite vsa gesla, pri tem pa ohranite isto glavno geslo.

Skrivno geslo

Oddelek za skrivno geslo je dodaten način, da se prepričate, ali je vse varno. Ko se programček zažene, če imate skrivno geslo, bo v polju za geslo prikazala majhno sliko. To geslo mora biti pri zagonu VEDNO enako. Če se zažene in ta slika ni takšna, kot je običajno, obstaja možnost, da nekdo poskuša pridobiti vaše glavno geslo.

Glavno geslo

To med namestitvijo ni potrebno, je pa zelo pomembno. Izberite močno geslo. To je eno samo geslo, ki ga vedno vnesete na vsakem spletnem mestu. Poskrbite, da je to nekaj, česar se lahko spomnite, vendar je zapleteno, dolgo in neosebno.

Shranjevanje

Ko izberete vse nastavitve, znova kliknite ikono za shranjevanje in ikono zobnika, da zaprete nastavitve

9. korak: Uporabite SGP

Če želite uporabljati SGP, poiščite spletno mesto kot običajno. Ko morate vnesti geslo, kliknite gumb SGP, ki ste ga dodali v vrstico z zaznamki. Če ste pri nastavitvi SGP uporabili skrivno geslo, se prepričajte, da se slika, ki je prikazana v polju za geslo, ujema s tisto, kar je bila, ko ste jo nastavili.

Vnesite svoje glavno geslo in pritisnite Enter. Tako boste izračunali vaše edinstveno geslo za to spletno mesto in ga izpolnili za vas! Med vnašanjem glavnega gesla se bo ikona posodabljala. Če se slika ne ujema z običajno ikono, ste napačno vnesli glavno geslo ali pa nekdo poskuša pridobiti vaše geslo.

Glede na to, kako je spletno mesto napisano, SGP morda ne bo mogel vnesti gesla ali pa se morda ne zaveda, da je bilo vneseno. V tem primeru lahko kliknete ikono za kopiranje poleg polja za ustvarjeno geslo in jo prilepite ročno.

Ko vnesete geslo, kliknite Prijava in tam ste!

10. korak: Zadnje misli

SGP morda ne deluje za vse in to je v redu. To ni popolna rešitev, ker takega ni. Če imate za gesla drugo storitev ali metodo, ki jih želite uporabiti, upoštevajte 6 korakov za varno geslo. Če vaša trenutna metoda na nekaj teh področjih ne uspe, je morda čas, da poiščete drugo rešitev. Da, lahko traja pol dneva, da spremenite vse svoje račune, vendar bi to verjetno manj bolelo kot kršenje vaših računov.

Opomba o spletnem shranjevanju: Če storitev shrani vaša gesla na spletu/v "oblaku", preverite njihovo varnostno prakso in se prepričajte, da so dobra. Spletno mesto vam bo verjetno povedalo, kaj počnejo za zaščito vaših gesel, če to počnejo pravilno. Če niste prepričani, jih pošljite po e -pošti in vprašajte. Če vam ne morejo dati dobrega/jedrnatega/natančnega odgovora, bodite previdni pri uporabi te storitve.