Jelszavak: hogyan kell helyesen csinálni őket: 10 lépés

2024 Szerző: John Day | [email protected]. Utoljára módosítva: 2024-01-30 09:43

Az év elején feleségem elvesztette hozzáférését néhány fiókjához. Jelszavát egy feltört webhelyről vették, majd ezt használták más fiókokba való belépéshez. Csak amikor a webhelyek értesíteni kezdték a sikertelen bejelentkezési kísérletekről, rájött, hogy bármi történik.

Beszéltem olyan emberekkel is, akik azt mondják, hogy minden webhelyhez ugyanazt a jelszót használják. Ez a két dolog elég volt ahhoz, hogy felbátorítsam az utasítás megírására.

A jelszavas biztonság az online biztonság egészének nagyon kicsi része. Szinte minden fiók igényel valamilyen bejelentkezést, hogy hozzáférjen ahhoz, amit véd. Gyakran ez az egyetlen karakterlánc áll a támadó és az Ön személyes adatai, pénze, személyes képei vagy évek óta gyűjtött utazási pontjai között.

Ennek az oktathatónak a célja a jelszavak létrehozásával kapcsolatos bevált gyakorlatok bemutatása. Ha Ön olyan, akinek ugyanaz a jelszava minden webhelyhez, akinek a jelszava mintázat a billentyűzeten, vagy ha a jelszavában szerepel a "jelszó", akkor ez az utasítás az Ön számára.

Jogi nyilatkozat

Nem vagyok biztonsági szakértő. Ezeket az információkat az idők során megtanulták és kutatták, és csak ajánlás és összefoglaló egy nagyon összetett témáról. Ez az oktatóanyag 2018 elején íródott, és lehet, hogy elavult, mire elolvassa.

TL; DR

Ha nem érdekli az összes érvelésem és magyarázatom a jelszavak mögött, és egyszerűen csak biztonságos jelszavakat szeretne létrehozni, ugorjon az utolsó lépésre.

1. lépés: Legyen hosszú

A hosszúság a jelszóbiztonság egyik nagyon fontos eleme. Mivel a számítógépek sebessége egyre gyorsabban növekszik, a jelszavak elképesztő sebességgel kipróbálhatók. Ezt nevezik "brute-force" jelszó feltörésnek. A karakterek minden lehetséges kombinációját összekapcsolja, amíg meg nem találja a megfelelőt.

Elméletileg ez minden jelszót feltörhetővé tesz, ha elegendő idő áll rendelkezésre. Szerencsére, minél hosszabb a jelszó, annál tovább tart ez a támadó típus. Minden karakter, amelyet hozzáad a hosszhoz, sokkal nehezebbé teszi a nehézséget. Ha elég hosszú, akkor évtizedekig is eltarthat, amíg így megtalálják, ezért nem éri meg egy támadó számára.

Példa

Tegyük fel, hogy csak nagybetűs jelszava van. Ez nem jó ötlet, de ez csak illusztráció. Minden alkalommal, amikor egy másik karaktert ad hozzá a jelszóhoz, az megsokszorozza a lehetséges jelszavak számát 26 -tal. Ha lenne 1 karakterből álló jelszava, akkor 26 lehetséges jelszót tartalmazna, 2 karakterben 676 lehetséges jelszót stb..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Mint látható, minden betű, amelyet hozzáad, sokkal nehezebbé teszi ezt a támadást, és gyakorlatilag lehetetlenné teszi, ha elegendő karakter van. Ne feledje, ez csak nagybetűvel történik. Amint összetettebbé válnak, ez a hatás fokozódik.

2. lépés: Legyen komplex

A komplexitás egy másik nagy tényező a jelszó biztonságában. Ha egy webhelyet valaha is megsértenek, akkor valószínűleg ki kell húzni a felhasználóneveket és a jelszavakat. Alapvető biztonsági szintként remélhetőleg a webhely rendelkezik a jelszavak kivonatolásával (hasonlóan a titkosításhoz) a tárolás előtt. Ez azt jelenti, hogy elrontják, mielőtt belépnek az adatbázisba, és nincs mód visszafordítani ezt.

Ez mind jól hangzik. Nem mindegy, hogy mi a jelszava, mert el van törve, nem? Ez nem így van, ha a jelszava nem bonyolult. Vannak szabványos kivonatoló algoritmusok (SHA1, MD5, SHA512, stb.), És mindig ugyanazt kivonják. Például, ha SHA1 -et használ, és a jelszava "jelszó" volt, akkor az adatbázisban mindig "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" néven kerül tárolásra.

A kivonatok létrehozása időt és számítógépes lefutást igényel, és az összes lehetséges jelszó összes lehetséges kivonatának kiszámítása gyakorlatilag lehetetlen. Amit az emberek tettek, „szótárakat” készítettek a közös jelszavakból. Az olyan dolgok, mint a "jelszó" vagy a "qwerty" természetesen ott lesznek, és a kevésbé gyakoriak is. Több millió jelszó lesz ezekben a szótárakban, és csak néhány másodpercbe telik, amíg minden bejegyzést áttekint, és összehasonlítja az ismert hash -t a jelszó hash -jával. Ezt "szótári támadásnak" nevezik. Ha a tiéd egyike azoknak, amelyeket már kiszámítottak, a garbling nem védi a jelszót, és más webhelyeken is használható.

Ezenkívül a betűk számokká változtatása nem növeli a bonyolultságot. Bonyolultabbnak tűnhet, ha az E -t 3 -ra vagy az I -t 1 -re változtatja, de ez annyira általános gyakorlat, hogy nem ad több biztonságot. A feltörő programok rendelkeznek olyan opcióval, amely automatikusan kipróbálja ezeket a variációkat.

3. lépés: Tegye egyedivé

Nehéz megjegyezni a jelszavakat. Mivel az életünk egyre inkább online lesz, nem ritka, hogy minden embernek 50+ online fiókja van, mindegyik saját bejelentkezéssel. Ezt nagyon nehéz lehet nyomon követni.

A leggyakrabban az emberek ezt úgy kezelik, hogy kiválasztanak egy „jó” jelszót, és egy csomó különböző webhelyen használják. Ez szörnyű ötlet. Mindössze annyit kell tennie, hogy egy biztonsági hiba, vagy egy adathalász webhely kapja meg felhasználónevét és jelszavát a labda gurításának megkezdéséhez. A támadók másodpercek alatt több száz webhelyen próbálhatják ki ezt a felhasználónevet és jelszót. Ez automatikusan bejutna minden webhelyre ugyanazzal a felhasználónévvel, mint a veszélyeztetett.

Tudom, hogy minden webhelyhez más -más jelszó tartozik, de ijesztő feladatnak tűnik, de később kitérünk ennek kezelésére.

4. lépés: Semmi személyes

Az Ön adatai nem olyan privátok, mint gondolná. Egy gyors online keresés könnyen megtalálhatja születési dátumát vagy címét. Ha egy másik fiókot megsértettek, még több információ könnyen beszerezhető. Ha van egy támadó, aki megpróbál belépni a fiókjába, ezek nyilvánvaló jelszavak. Ezenkívül nyitva hagyja a belépést a családtagok, barátok vagy akár ismerősök előtt.

5. lépés: Ugyanazzal a gondossággal kezelje az összes jelszót

Amikor weboldalakkal foglalkozik, mindegyikük biztonságát ugyanolyan gondossággal kell kezelnie. Például, ha bejelentkezett kedvenc macska webhelyére, akkor ugyanazokat az óvintézkedéseket kell tennie, mint a banki bejelentkezését. Lehet, hogy nem tűnik soknak, ha elveszítjük az összes imádnivaló bajuszhoz való hozzáférést, de ez csak egy lépcsőfok lehet egy támadó számára. Ha megsérti ezt a "nem fontos" webhelyet, akkor a támadó több információt kaphat Önről, például egy másik használt felhasználónevet, egy másik e -mail címet, amelyet a bejelentkezéshez használt, vagy tényleges információkat, amelyek felhasználhatók más webhelyek feloldásához.

Továbbá, ha ez egy lényegtelen webhely, akkor nagyobb az esélye annak, hogy nem fogják követni a megfelelő biztonsági gyakorlatokat, ami azt jelenti, hogy ha a jelszava hosszú és összetett, de nem egyedi, és a jelszavak nincsenek megfelelően kivonatolva a tároláskor, hogy a jelszó könnyen használható más webhelyeken. Ismétlem, csak azért, mert a webhely "nem fontos", még nem jelenti azt, hogy az Ön biztonsága.

6. lépés: Tartsa rejtve

Jó - Offline tárolás

Az offline tárolás jó megoldás lehet, ha feledékeny személy vagy. Ha rendelkezik USB -memóriával, amelyet jelszavaival együtt zárva tart, akkor a legtöbb támadással szemben védelmet nyújt, kivéve a családot és a barátokat. Csak abban az esetben, ha valahogy elveszíti ezt a botot, győződjön meg arról, hogy a jelszófájl vagy az egész meghajtó titkosítva van, és hogy a pendrive biztonsági másolatban van, nagyon biztonságos helyen.

Ez a módszer nagy biztonságot nyújt, de a kényelem árán.

Az alábbiakban részletesebben ismertetjük annak okát, hogy offline legyen. Ne feledje, hogy sok eszközről automatikusan készít biztonsági mentést a felhőbe, még akkor is, ha nem akarta. Továbbá, ha valaha csatlakoztatja ezt a botot egy olyan eszközhöz, amely vírust vagy veszélyeztetett, az adatok könnyen lemásolhatók.

Jobb - emlékezzen mindenre

Ne feledje az összes jelszavát. Ha hihetetlenül tehetséges, ez egy lehetőség lehet. Senki sem találhatja meg őket, és mindig veled van. Néhány hátránya, hogy a legtöbben nem vagyunk képesek elképesztően összetett dolgokra emlékezni, és hajlamosak vagyunk egy kicsit túl sokat beszélni egy-két ital után. Különösen, ha tucatnyi jelszót kell megjegyeznie, ez valószínűleg nem is a laikusok számára való választás.

A legjobb - nincs tárhely

A legjobb eset az, ha egyáltalán nem tárolja őket. Vagy valahogy emlékezzen minden egyedi, hosszú, összetett jelszavára, vagy módjában áll útközben újra létrehozni őket. Ha ismeri az újratelepítéshez szükséges összetevőket, akkor egy támadó semmiképpen sem találhatja meg őket, mert szükség szerint nem léteznek. Ez bonyolultnak tűnhet, de valójában nem az. Erről bővebben később.

Az offline fontossága

A webhelyeket emberek kezelik. A legtöbb weboldal esetében valószínűleg nyugodtan feltételezhető, hogy ezek az emberek általában jó szándékúak, de még a legjobb emberek is hibázhatnak. Csak tavaly számos hatalmas, általában véve biztonságos vállalat, például a Linked-In, a Yahoo, az Equifax, az Apple és az Uber webhelye megsértette a webhelyeket, hogy csak néhányat említsünk. Ezek nagy cégek biztonsági osztályokkal, és megsértették őket.

A felhőalapú tárolás fantasztikusan hangzik, és kényelmet kínál, de a valóságban a „felhő” valaki más számítógépe, amelyet a fájlok tárolására használ. Mint fentebb említettem, az emberek hibázhatnak. Ha ez megtörténik, a jelszavak elérhetők lehetnek a világ számára. A felhőalapú webhelyek óriási célpontot jelentenek a támadók számára az általuk tárolt adatok miatt. Feltörheti a felhőalapot, hozzáférhet minden olyan információhoz, amelyet potenciálisan emberek milliói tároltak.

Biztos vagyok benne, hogy ezek egy része paranoia, de mivel élete hatalmas darabja rejtőzik e jelszavak mögött, védje meg őket.

7. lépés: Ajánlásom

Ez nagyon hosszú bevezető rész volt a jelszavas biztonság fő pilléreinek megmagyarázására. Ha betartja ezt a 6 irányelvet, akkor minimális biztonsági problémákkal kell szembenéznie az interneten, és ha bármi történik, akkor a forrásnál kell megállnia, és nem terjedhet át online élete végéig.

Sokféleképpen lehet megoldani ezeket a kihívásokat. Egyesek jobbak, mint mások, és különböző előnyöket nyújtanak. Kedvenc megoldásom a SuperGenPass (SGP). Nem vagyok semmilyen kapcsolatban, csak rajongó.

Egyszerű használat

Az SGP rendelkezik egy alkalmazással a telefonhoz, és egy gombbal, amelyet hozzáadhat a böngészőhöz. Amikor egy weboldalra lép, és a rendszer kéri a bejelentkezést, kattintson a gombra. Egy kis ablak jelenik meg. Írja be a fő jelszót. Az SGP létrehoz egy jelszót ehhez az oldalhoz, és írja be a jelszó mezőbe!

Hosszú

Kiválaszthatja a létrehozott jelszó hosszát. Ez legfeljebb 24 karakter hosszú jelszót generál, ami meglehetősen biztonságos, de választhat rövidebbet is, ha egyes webhelyek korlátozzák a jelszó hosszát.

Összetett

Nagybetűket, kisbetűket és számokat használnak, ami meglehetősen biztonságos. Nem követnek semmilyen felismerhető mintát szavak vagy kifejezések nélkül. Ebben a karakterláncban egyetlen URL -cím vagy fő jelszó sincs.

Egyedi

Minden webhely teljesen egyedi jelszóval rendelkezik. Az example1.com és example2.com jelszavak teljesen különböznek egymástól, annak ellenére, hogy a kezdeti "összetevőkben" csak egy karakter különbözik. Amint az alábbi példában látható, nincs kapcsolat az "összetevők" és a kapott jelszó között, és ezek NAGYON különböznek egymástól.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Tárolás

Nem tárol és nem továbbít adatokat. Teljesen offline futtatható, ha aggódik, és nincs mód arra, hogy valaki megtalálja vagy ellopja őket.

8. lépés: SGP: Beállítás

Az SGP beállítása rendkívül egyszerű. Először is fel kell vennie a könyvjelzősávba. Ehhez lépjen a következőre:

chriszarate.github.io/supergenpass/

2 gomb közül lehet választani. Az általában használt számítógép beállításához húzza a bal gombot a könyvjelzősávba. Ezzel új gombot használhat.

Ha valaki más számítógépét használja a jövőben, akkor válassza ki a jobb oldali gombot. Ez lehetővé teszi az SGP használatát anélkül, hogy bármit megváltoztatna a böngészőben. Ez egy mobil böngésző opció is.

Miután hozzáadta a könyvjelzősávhoz, kattintson a gombra. Megnyílik egy kis ablak a weboldal sarkában. A kis fogaskerékre kattintva megnyílik a beállítás.

Hossz

A bal oldali szám a generált jelszó hossza. Javaslom, hogy nézze át a leggyakrabban használt webhelyeket, és állítsa a lehető legnagyobb számra, amelyet ezek a webhelyek megengednek. 12 év felett ajánlott, de minél tovább, annál jobb, főleg, hogy nem kell emlékeznie rá.

Hash típusa

Két lehetőség van arra, hogy milyen típusú kivonatot használunk, az MD5 és az SHA. Mindkettő jelszavakat generál nagybetűkkel, kisbetűkkel és számokkal. Ennek megváltoztatása egyszerű módja annak, hogy minden jelszavát megváltoztassa, miközben megtartja ugyanazt a fő jelszót.

Titkos jelszó

A titkos jelszó szakasz egy további módja annak, hogy megbizonyosodjon arról, hogy minden biztonságos. Ha az applet elindul, ha van titkos jelszava, akkor egy kis kép jelenik meg a jelszómezőben. Ennek a jelszónak MINDIG azonosnak kell lennie, amikor elindul. Ha elindul, és ez a kép nem olyan, mint általában, akkor valószínű, hogy valaki megpróbálja megszerezni a fő jelszavát.

Mesterjelszó

Ez nem szükséges a telepítés során, de nagyon fontos. Ügyeljen arra, hogy erős jelszót válasszon. Ez egyetlen jelszó, amelyet mindig minden webhelyen megad. Győződjön meg róla, hogy emlékszik rá, de összetett, hosszú és nem személyes.

Megtakarítás

Miután kiválasztotta az összes beállítást, kattintson újra a mentés ikonra, majd a fogaskerék ikonra a beállítások bezárásához

9. lépés: Használja az SGP -t

Az SGP használatához keresse meg a szokásos módon egy webhelyet. Amikor meg kell adnia jelszavát, kattintson a SGP gombra, amelyet hozzáadott a könyvjelzősávjához. Ha titkos jelszót használt az SGP beállításakor, győződjön meg arról, hogy a jelszómezőben megjelenő kép megegyezik a beállításkor.

Írja be a fő jelszót, és nyomja meg az Enter billentyűt. Ez kiszámítja a webhely egyedi jelszavát, és kitölti az Ön számára! A fő jelszó beírása közben az ikon frissül. Ha a kép nem egyezik a szokásos ikonnal, akkor vagy rosszul írta be a mesterjelszót, vagy valaki megpróbálja megszerezni a jelszavát.

A webhely írásának módjától függően előfordulhat, hogy az SGP nem tudja megadni az Ön jelszavát, vagy előfordulhat, hogy a webhely nem veszi észre, hogy megadta. Ebben az esetben kattintson a létrehozott jelszó mező melletti másolás ikonra, és manuálisan illessze be.

Miután megadta jelszavát, kattintson a Bejelentkezés gombra, és máris ott van!

10. lépés: Utolsó gondolatok

Előfordulhat, hogy az SGP nem mindenkinek működik, és ez rendben is van. Ez nem a tökéletes megoldás, mert nincs ilyen. Ha más szolgáltatást vagy módszert szeretne használni a jelszavakhoz, tartsa szem előtt a biztonságos jelszó 6 lépését. Ha a jelenlegi módszer néhány területen elmarad, akkor ideje lehet más megoldást keresni. Igen, lehet, hogy fél napot vesz igénybe az összes fiók megváltoztatása, de ez valószínűleg nem okozna nagyobb fejtörést, mint a fiókok megsértése.

Megjegyzés az online tárolásról: Ha a szolgáltatás online/a "felhőben" tárolja jelszavait, ellenőrizze a biztonsági gyakorlataikat, hogy megbizonyosodjon arról, hogy jó -e. A webhely valószínűleg megmondja, mit tesznek a jelszavak védelme érdekében, ha megfelelően teszik. Ha nem biztos benne, írjon nekik e -mailt és kérdezze meg. Ha nem tudnak jó/tömör/pontos választ adni, legyen óvatos a szolgáltatás használatakor.