Оваа статија ќе дискутира за тоа како да креирате безбедна лозинка, кои принципи треба да се следат при нивното создавање, како да се зачуваат лозинките и да се минимизираат шансите на натрапниците да пристапат до вашите информации и сметки.
Овој материјал е продолжение на статијата "Како вашата лозинка може да се пробие" и имплицира дека сте запознаени со презентираниот материјал, и без тоа, ги знаете сите основни начини на кои лозинките може да бидат компромитирани.
Креирај лозинки
Денес, кога регистрирате некоја интернет-сметка, создавајќи лозинка, обично го гледате индикаторот за јачина на лозинка. Речиси насекаде функционира врз основа на проценка на следниве два фактори: должината на лозинката; присуство на специјални знаци, големи букви и броеви во лозинката.
И покрај фактот дека овие се навистина важни параметри на отпорност на лозинка за пукање со брутална сила, лозинката која се чини дека е силна не е секогаш случај. На пример, лозинката како "Pa $$ w0rd" (и тука има специјални знаци и броеви) најверојатно ќе биде распукана многу брзо - поради фактот што (како што е опишано во претходниот напис) луѓето ретко создаваат единствени лозинки (помалку од 50% од лозинките се единствени) и оваа опција веројатно веќе постои во протекционираните бази на податоци што натрапниците имаат.
Како да се биде? Најдобрата опција е да користите генератори на лозинки (достапни на интернет во форма на онлајн комунални услуги, како и во повеќето менаџери за лозинка на компјутери), создавајќи долги случајни лозинки со специјални знаци. Во повеќето случаи, лозинката од 10 или повеќе такви знаци едноставно нема да биде интересна за хакерот (односно, неговиот софтвер нема да биде конфигуриран да ги избере таквите опции), бидејќи трошоците за времето не се исплаќаат. Неодамна, вграден генератор на лозинки се појави во прелистувачот на Google Chrome.
Во овој метод, главниот недостаток е тоа што таквите лозинки е тешко да се запомнат. Ако има потреба да се задржи лозинката во вашата глава, постои друга опција, врз основа на фактот дека лозинка од 10 карактери, која содржи големи букви и специјални знаци, е разбиена со брутална сила од илјадници или повеќе (одредени броеви зависат од дозволениот набор на знаци), од лозинка од 20 карактери, која содржи само мали букви од латински букви (дури и ако напаѓачот знае за тоа).
Така, лозинката што се состои од 3-5 едноставни случајни англиски зборови ќе биде лесно да се запомни и речиси невозможно да се скрши. И ако секој збор го напиша со голема буква, го зголемуваме бројот на опции до вториот степен. Ако се работи за 3-5 руски зборови (повторно, случајни, но не и имиња и датуми) напишани на англиски распоред, хипотетичката можност за софистицирани методи за користење на речници за избор на лозинка исто така е отстранета.
Дефинитивно нема правилен пристап кон креирање на лозинки: на различни начини постојат предности и недостатоци (поврзани со способноста да се запамети, веродостојноста и другите параметри), но основните принципи се како што следува:
- Лозинката мора да се состои од значителен број на знаци. Најчесто ограничување денес е 8 карактери. И ова не е доволно ако ви треба сигурна лозинка.
- Ако е можно, вклучете специјални знаци, големи и мали букви, броеви во лозинката.
- Никогаш не вклучувај лични податоци во вашата лозинка, дури и ако е напишано на навидум паметни начини. Нема датуми, први имиња и презимиња. На пример, кршењето на лозинката што претставува датум на модерниот јулијански календар од 0-та година до денес (како на пр. 07/18/2015 или 18072015 итн.) Ќе потрае од секунди до часа (а часовникот ќе се добие само поради одложувања помеѓу обиди за некои случаи).
Можете да проверите колку силна е вашата лозинка на страницата (иако внесувањето на лозинки на некои сајтови, особено без https, не е најбезбедна практика) //rumkin.com/tools/password/passchk.php. Ако не сакате да ја проверите вашата вистинска лозинка, внесете слична (од ист број на знаци и со ист набор на знаци) за да добиете идеја за неговата сигурност.
Во текот на внесување на знаци, услугата ја пресметува ентропијата (условно, бројот на опции, за ентропија е 10 бита, бројот на опции е 2 до десеттата моќност) за дадена лозинка и обезбедува информации за сигурноста на различни вредности. Лозинките со ентропија од повеќе од 60 се речиси невозможно да се попуштат дури и за време на целниот избор.
Не користете ги истите лозинки за различни сметки.
Ако имате голема сложена лозинка, но ја користите секогаш кога е можно, таа автоматски станува целосно несигурна. Штом хакерите се пробијат на некоја од сајтовите каде што користите таква лозинка и имате пристап до него, можете да бидете сигурни дека тоа веднаш ќе се тестира (автоматски, со користење на специјален софтвер) на сите други популарни е-пошта, игри, социјални услуги и можеби дури и онлајн банки (начини да се види дали вашата лозинка веќе е обелоденета се наведени на крајот од претходната статија).
Единствена лозинка за секоја сметка е тешка, таа е незгодна, но неопходно е овие сметки да бидат важни за вас. Иако, за некои регистрации кои немаат вредност за вас (што е, вие сте подготвени да ги изгубите и нема да се грижите) и не содржат лични информации, можеби нема да се напрегате со уникатни лозинки.
Двофакторска автентикација
Дури и силни лозинки не гарантираат дека никој не може да влезе во вашата сметка. Можете да украдете лозинка на еден или друг начин (фишинг, на пример, како најчеста опција) или да ја добиете од вас.
Речиси сите сериозни онлајн компании, вклучувајќи Google, Yandex, Mail.ru, Фејсбук, Вконтакте, Мајкрософт, Dropbox, LastPass, Steam и други неодамна додадоа можност за овозможување две-фактор (или две чекори) автентикација во нивните сметки. И, ако безбедноста ви е важна, јас препорачувам нејзино вклучување.
Имплементацијата на двофакторната автентикација е малку поинаква за различни услуги, но основниот принцип е како што следува:
- Кога ја внесувате сметката од непознат уред, по внесувањето на точната лозинка, ќе бидете прашани да подлежат на дополнително тестирање.
- Верификацијата се одвива со помош на SMS-код, специјална апликација на паметен телефон, со претходно подготвени печатени кодови, електронска пошта, хардверски клуч (последната опција се појави во Google, оваа компанија е генерално најдобра во однос на две-факторска проверка).
Така, дури и ако напаѓачот ја научил вашата лозинка, тој нема да може да се логира на вашата сметка без пристап до вашите уреди, телефон или e-mail.
Ако не се разбере целосно како функционира автентикација од два дела, препорачувам да ги читате статии на Интернет посветени на оваа тема или описи и упатства за акција на сајтовите каде што се имплементира (нема да може да вклучите детални инструкции во овој член).
Лозинка за складирање
Тешко уникатни лозинки за секоја страница - одлично, но како да ги зачувате? Малку е веројатно дека сите овие лозинки може да се имаат на ум. Чувањето на зачуваните лозинки во прелистувачот е ризично претпријатие: не само што стануваат поподложни на неовластен пристап, туку едноставно може да се изгубат во случај на паѓање на системот и кога синхронизацијата е оневозможена.
Најдоброто решение се смета за менаџерите на лозинки, кои обично ги претставуваат програмите што ги чуваат сите ваши тајни податоци во шифрирана безбедна складиште (и надвор од мрежа и на интернет), со што се пристапува со користење на една господарна лозинка (исто така можете да овозможите автентикација со два фактора). Исто така, повеќето од овие програми се опремени со алатки за генерирање и проценка на веродостојноста на лозинките.
Пред неколку години, напишав посебна статија за најдобрите менаџери за лозинки (вреди да се преработи, но можете да добиете идеја за тоа што е и кои програми се популарни од статијата). Некои претпочитаат едноставни офлајн решенија, како KeePass или 1Password, кои ги зачувуваат сите лозинки на вашиот уред, други - повеќе функционални алатки кои исто така претставуваат способности за синхронизација (LastPass, Dashlane).
Добро познатите менаџери за лозинка генерално се сметаат како многу безбеден и сигурен начин за нивно чување. Сепак, вреди да се земат предвид некои детали:
- За да пристапите до сите ваши лозинки, треба да знаете само една господарна лозинка.
- Во случај на хакирање онлајн складирање (буквално пред еден месец, најпопуларна светска услуга за управување со лозинка, LastPass, беше хакирана), ќе треба да ги смените сите ваши лозинки.
Како инаку можете да ги зачувате Вашите важни лозинки? Еве неколку опции:
- На хартија во безбедна, пристап до кој вие и членовите на вашето семејство ќе го имате (не е погодно за лозинките што често треба да ги користите).
- База на податоци за офлајн лозинки (на пример, KeePass) складирани на траен уред за складирање податоци и се дублираат некаде во случај на загуба.
Според мое мислење, најдобрата комбинација на сето она што е опишано погоре е следниот пристап: најважните лозинки (главната е-пошта, со која можете да закрепнете други сметки, банка итн.) Се чуваат во главата и (или) на хартија на безбедно место. Помалку важни и, во исто време, најчесто користените треба да им се доделат на менаџерите на лозинки.
Дополнителни информации
Се надевам дека комбинацијата од две статии за лозинки за некои од вас помогнаа да се привлече внимание кон некои аспекти на безбедноста за која не размислувавте. Се разбира, јас не ги земав во предвид сите можни опции, но едноставната логика и некое разбирање на принципите ќе ми помогнат да одлучам колку е безбедно она што го правите во одреден момент. Уште еднаш, некои споменати и неколку дополнителни точки:
- Користете различни лозинки за различни сајтови.
- Лозинките треба да бидат комплицирани, најтешко е да се зголеми комплексноста со зголемување на должината на лозинката.
- Не користете лични податоци (кои можете да ги дознаете) при креирањето на самата лозинка, нивните совети, тест прашања за наплата.
- Користете две чекори за автентикација каде што е можно.
- Најдете го најдобриот начин да ги чувате вашите лозинки безбедно.
- Бидете претпазливи за фишинг (проверете ги адресите на веб-страниците, присуството на енкрипција) и шпионскиот софтвер. Каде и да се побара да внесете лозинка, проверете дали навистина го внесувате на десната страна. Осигурајте се дека не постои малициозен софтвер на компјутерот.
- Ако е можно, не користете ги вашите лозинки на некој друг компјутер (доколку е потребно, направете го тоа во инкогнито режим на пребарувачот, или уште подобро, користете ја тастатурата на екранот), на јавни отворени Wi-Fi мрежи, особено ако немате https-енкрипција при поврзување на страницата .
- Можеби не треба да ги чувате најважните, навистина вредни лозинки на компјутер или на интернет.
Нешто како тоа. Мислам дека успеав да го подигнам степенот на параноја. Јас разбирам дека многу од горенаведените се чини незгодно, може да се појават мисли како "добро, тоа ќе ме заобиколи", но единствениот изговор за мрзливост при следење на едноставни правила за безбедност за складирање на доверливи информации може да биде само нејзиниот недостаток на важност и вашата подготвеност да дека ќе стане сопственост на трети страни.
