Zaporke: Kako to učiniti ispravno: 10 koraka

2024 Autor: John Day | [email protected]. Zadnja promjena: 2024-01-30 09:37

Ranije ove godine moja je supruga izgubila pristup nekim svojim računima. Njezina je lozinka preuzeta s web lokacije koja je probijena, a zatim je korištena za pristup drugim računima. Tek kad su je web stranice počele obaviještavati o neuspjelim pokušajima prijave, shvatila je da se bilo što događa.

Također sam razgovarao s brojnim ljudima koji kažu da koriste istu lozinku za svako web mjesto. Ove dvije stvari su bile dovoljne da me potaknu da napišem ovaj Instructable.

Zaštita lozinkom vrlo je mali dio online sigurnosti u cjelini. Gotovo svaki račun zahtijeva neku vrstu prijave kako bi se omogućio pristup svemu što štiti. Taj jedini niz često je sve što stoji između napadača i vaših osobnih podataka, novca, osobnih slika ili onih putnih bodova koje ste prikupljali godinama.

Ovo uputstvo ima za cilj pokriti neke najbolje prakse za stvaranje lozinki. Ako ste netko tko ima istu lozinku za svaku web stranicu, čije su lozinke uzorak na tipkovnici ili u lozinci imate riječ "lozinka", ovo uputstvo je za vas.

Odricanje

Nisam stručnjak za sigurnost. Ove su informacije s vremenom naučene i istražene i samo su preporuka i sažetak vrlo složene teme. Ovaj vodič je napisan početkom 2018. godine i možda će zastarjeti dok ga pročitate.

TL; DR

Ako vas ne zanimaju sva moja razmišljanja i objašnjenja za lozinke i samo želite jednostavan način stvaranja sigurnih lozinki, prijeđite na posljednji korak.

Korak 1: Neka bude dugo

Duljina je jedna vrlo važna komponenta sigurnosti lozinkom. Kako brzina računala raste sve brže, lozinke se mogu iskušavati nevjerojatnom brzinom. To se naziva "brute-force" razbijanje lozinke. Vezuje svaku moguću kombinaciju znakova dok ne pronađete onu koja odgovara.

U teoriji, to čini bilo koju lozinku lomljivom, s obzirom na dovoljno vremena. Na sreću, što je dulja lozinka, to bi duže trajalo ovaj tip napada. Svaki znak koji dodate duljini čini teškoću mnogo težom. Ako je dovoljno dugačak, moglo bi proći desetljeća da se pronađe ovako, što napadaču ne vrijedi.

Primjer

Recimo da imate lozinku koja se sastoji samo od velikih slova. Ovo nije dobra ideja, ali ovo je samo za ilustraciju. Svaki put kada u lozinku dodate još jedan znak, broj mogućih lozinki se množi sa 26. Da imate lozinku od 1 znaka, imala bi 26 mogućih lozinki, 2 znaka imala bi 676 mogućih lozinki itd..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kao što vidite, svako slovo koje dodate čini ovaj napad mnogo težim i praktički nemogućim s dovoljno znakova. Zapamtite, ovo je samo s velikim slovima. Nakon što postanu složeniji, ovaj se učinak povećava.

Korak 2: Neka bude složeno

Složenost je još jedan veliki faktor sigurnosti lozinki. Ako se web stranica ikada probije, vjerojatno će se povući korisnička imena i lozinke. Nadajmo se da će osnovna razina sigurnosti prije pohranjivanja web stranica imati raspršene lozinke (slično šifriranju). To znači da su iskrivljeni prije nego što uđu u bazu podataka, a ne postoji način da se ovo iskrivljenje poništi.

Sve ovo zvuči dobro. Nije važno koja je vaša lozinka jer je iskrivljena, zar ne? To nije slučaj ako vaša lozinka nije složena. Koriste se standardni algoritmi raspršivanja (SHA1, MD5, SHA512, itd.) I uvijek će na isti način raspršiti istu stvar. Na primjer, ako koristite SHA1, a vaša je lozinka bila "lozinka", uvijek će biti pohranjena u bazi podataka kao "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Stvaranje raspršivača zahtijeva vrijeme i računalo, a izračun svih mogućih raspršivača za sve moguće lozinke praktički je nemoguć. Ljudi su napravili "rječnike" uobičajenih lozinki. Naravno, bit će prisutne stvari poput "lozinke" ili "qwerty", kao i rjeđe. U tim će se rječnicima nalaziti milijuni lozinki i bit će potrebno samo nekoliko sekundi da prođete kroz svaki unos i usporedite poznati hash s raspršivanjem vaše lozinke. To se naziva "napadom na rječnik". Ako je vaša jedna od onih koja je već izračunata, iskrivljivanje neće zaštititi vašu lozinku, a može se koristiti i na drugim web mjestima.

Također, mijenjanje slova u brojeve ne dodaje složenost. Možda se čini složenije promijeniti E u 3 ili I u 1, ali to je toliko uobičajena praksa da ne dodaje više sigurnosti. Programi za krekiranje imaju opciju koja će automatski isprobati te varijacije.

Korak 3: Neka bude jedinstveno

Zapamtiti lozinke je teško. Kako naši životi postaju sve više na internetu, nije rijetkost da svaka osoba ima 50+ internetskih računa, svaki sa svojom prijavom. To može biti jako teško pratiti.

Najčešći način na koji ljudi to rješavaju je odabir jedne "dobre" lozinke i njezina upotreba na hrpi različitih web stranica. Ovo je strašna ideja. Sve što je potrebno je jedno kršenje sigurnosti ili jedna web stranica za krađu identiteta kako bi dobili vaše korisničko ime i lozinku za početak igre. Napadači bi mogli pokušati to korisničko ime i lozinku na stotinama web stranica u roku od nekoliko sekundi. To bi ih automatski dovelo na svaku web stranicu s istim korisničkim imenom kao i kompromitirano.

Znam da imati drugačiju lozinku za svako web mjesto čini se zastrašujućim zadatkom, ali kasnije ćemo objasniti kako to riješiti.

Korak 4: Ništa osobno

Vaši podaci nisu tako privatni kao što mislite. Brzo pretraživanje na internetu moglo bi lako pronaći vaš datum rođenja ili adresu. Ako je drugi račun probijen, lako se može dobiti još više informacija. Ako postoji napadač koji pokušava ući na vaše račune, to bi bile očite lozinke za pokušaj. Također ostavlja ulaz otvorenim za članove obitelji, prijatelje ili čak poznanike.

Korak 5: S jednakom pažnjom postupajte sa svim zaporkama

Kada se bavite web stranicama, trebali biste se prema istoj brizi odnositi prema sigurnosti svih njih. Na primjer, ako ste prijavljeni na svoju omiljenu web lokaciju za mačke, trebali biste poduzeti iste mjere opreza kao i podaci za prijavu u banku. Možda se ne čini previše gubiti pristup svim tim preslatkim brkovima, ali to bi samo moglo biti odskočna daska za napadača. Kršenje te "nevažne" web stranice moglo bi dati napadaču više informacija o vama, kao što je drugo korisničko ime koje ste koristili, druga adresa e -pošte koju ste koristili za prijavu ili stvarni podaci koji bi se mogli koristiti za otključavanje drugih web stranica.

Također, ako se radi o nevažnoj web stranici, postoji veća vjerojatnost da neće slijediti odgovarajuću sigurnosnu praksu, što znači da ako je vaša lozinka duga i složena, ali nije jedinstvena, a lozinke nisu ispravno raspršene kada su pohranjene, ta se lozinka može lako koristiti na drugim web stranicama. Opet, samo zato što je web mjesto "nevažno", ne znači da je vaša sigurnost.

Korak 6: Neka bude skriveno

Dobro - izvanmrežna pohrana

Offline pohrana može biti dobra opcija ako ste zaboravna osoba. USB ključ koji držite zaključanim sa zaporkama štiti od većine napada, osim obitelji i prijatelja. U slučaju da na neki način izgubite ovaj štapić, provjerite je li datoteka zaporke ili cijeli pogon šifrirana te je li štap sigurnosno kopiran na neko vrlo sigurno mjesto.

Ova metoda ima mnogo sigurnosti, ali po cijenu pogodnosti.

Razlog zašto bi trebao biti izvan mreže detaljnije je objašnjen u nastavku. Imajte na umu da se puno uređaja sada automatski sigurnosno kopira u oblak, čak i ako to niste htjeli. Također, ako ovaj štap ikada priključite na uređaj koji ima virus ili je ugrožen, podaci bi se mogli lako kopirati.

Bolje - zapamtite sve

Zapamtite sve svoje lozinke. Ako ste nevjerojatno nadareni, ovo bi mogla biti opcija. Ne postoji način da ih netko pronađe, a uvijek ih imate sa sobom. Neke negativne strane su da većina nas nije nevjerojatna u sjećanju na složene stvari i da smo skloni pričati previše nakon pića ili dva. Pogotovo s desetinama lozinki koje treba zapamtiti, ovo vjerojatno nije ni opcija za laika.

Najbolje - nema pohrane

Najbolji je scenarij da ih uopće ne pohranite. Ili se nekako sjetite svih svojih jedinstvenih, dugih, složenih lozinki ili ih pronađite na način da ih ponovno stvorite u hodu. Ako znate sastojke potrebne za njihovo ponovno stvaranje, onda nema načina da ih napadač "pronađe" jer ne postoje dok ne zatreba. Možda zvuči komplicirano, ali zapravo nije. O ovome kasnije.

Važnost offline

Web stranicama upravljaju ljudi. Za većinu web stranica vjerojatno je sigurno pretpostaviti da ti ljudi općenito imaju dobre namjere, ali čak i najbolji ljudi mogu pogriješiti. Samo u prošloj godini došlo je do velikog broja velikih narušavanja sigurnosti web stranica velikih, općenito sigurnih tvrtki, poput Linked-In, Yahoo, Equifax, Apple i Uber, da spomenemo samo neke. To su velike tvrtke sa sigurnosnim odjelima i probijene su.

Skladištenje u oblaku zvuči otmjeno i nudi praktičnost, no ono što je "oblak" u stvarnosti je tuđe računalo koje koristite za spremanje datoteka. Kao što sam već rekao, ljudi mogu pogriješiti. Ako se to dogodi, vaše bi zaporke mogle biti dostupne cijelom svijetu. Oblačna web mjesta velika su meta napadača zbog količine podataka koje posjeduju. Razbijte web lokaciju u oblaku i pristupite svim podacima koje su potencijalno milijuni ljudi pohranili.

Siguran sam da je nešto od ovoga paranoja, ali s ogromnim dijelom svog života skrivenim iza ovih lozinki, zaštitite ih kao takve.

Korak 7: Moja preporuka

Ovo je bila jako duga preambula za objašnjenje glavnih stupova sigurnosti lozinki. Ako slijedite tih 6 smjernica, trebali biste imati minimalne sigurnosne probleme na internetu, a ako se bilo što dogodi, to bi se trebalo zaustaviti na izvoru, a ne proširiti na ostatak vašeg života na mreži.

Postoji mnogo različitih načina na koje možete riješiti ove izazove. Neki su bolji od drugih i pružaju različite pogodnosti. Moje omiljeno rješenje je SuperGenPass (SGP). Nisam povezan ni na koji način, samo sam obožavatelj.

Jednostavan za korištenje

SGP ima aplikaciju za vaš telefon i gumb koji možete dodati u svoj preglednik. Kada posjetite web stranicu i od vas se traži vaša prijava, kliknite gumb. Pojavit će se mali prozor. Unesite svoju glavnu lozinku. SGP će generirati lozinku za ovu stranicu i unijeti je u okvir za lozinku umjesto vas!

Dugo

Možete odabrati duljinu kreirane lozinke. To će generirati zaporke do 24 znaka, što je sasvim sigurno, ali možete odabrati kraće ako neke web stranice ograničavaju duljinu vaše lozinke.

Kompleks

Koriste se velika, mala slova i brojevi, što je prilično sigurno. Ne slijede nijedan prepoznatljiv obrazac bez riječi ili izraza. Ništa od vašeg URL -a ili glavne lozinke nije u ovom nizu.

Jedinstven

Svaka web stranica imat će potpuno jedinstvenu lozinku. Zaporke za example1.com i example2.com potpuno su različite, iako se u početnim "sastojcima" razlikuje samo jedan znak. Kao što možete vidjeti u donjem primjeru, nema veze između "sastojaka" i rezultirajuće lozinke i oni se VRLO razlikuju jedan od drugog.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Skladištenje

Pohranjuje i ne prenosi podatke. Može se pokrenuti potpuno izvan mreže ako ste zabrinuti i nema načina da ih netko pronađe ili ukrade.

Korak 8: SGP: Postavljanje

Postavljanje SGP -a vrlo je jednostavno. Prvo ćete ga vjerojatno htjeti dodati na traku oznaka. Da biste to učinili, idite na:

chriszarate.github.io/supergenpass/

Na raspolaganju će vam biti 2 gumba za odabir. Da biste postavili računalo koje obično koristite, povucite lijevi gumb na traku oznaka. To će vam dati novi gumb za korištenje.

Ako u budućnosti koristite tuđe računalo, možete odabrati gumb s desne strane. To će vam omogućiti korištenje SGP -a bez promjene bilo čega u njihovom pregledniku. To je također opcija za mobilni preglednik.

Nakon što ga dodate na traku oznaka, kliknite gumb. Otvorit će se mali prozorčić u kutu vaše web stranice. Klikom na malu opremu otvorit će se postavke.

Duljina

Broj s lijeve strane je duljina lozinke koju će generirati. Preporučujem da pregledate web lokacije koje najčešće koristite i postavite ih na najveći broj koji te web stranice dopuštaju. Preporučuje se više od 12, ali što dulje to bolje, pogotovo jer se toga ne morate sjećati.

Vrsta raspršivanja

Postoje dvije opcije za vrstu raspršivanja, MD5 i SHA. Oboje će generirati lozinke s velikim slovima, malim slovima i brojkama. Promjena ovoga jednostavan je način da promijenite sve svoje lozinke uz zadržavanje iste glavne lozinke.

Tajna lozinka

Odjeljak tajne lozinke dodatni je način da se uvjerite da je sve sigurno. Kad se aplet pokrene, ako imate tajnu lozinku, prikazat će se mala slika u okviru za lozinku. Ova lozinka bi UVIJEK trebala biti ista kada se pokrene. Ako se pokrene, a ova slika nije onakva kakva je obično, postoji vjerojatnost da netko pokušava dobiti vašu glavnu lozinku.

Glavna lozinka

To nije potrebno tijekom postavljanja, ali je vrlo važno. Odaberite jaku lozinku. Ovo je jedna lozinka koju uvijek unosite na svako web mjesto. Uvjerite se da je to nešto čega se možete sjetiti, ali je složeno, dugo i neosobno.

Spremanje

Nakon što odaberete sve svoje postavke, ponovno kliknite ikonu spremanja i ikonu zupčanika da biste zatvorili postavke

Korak 9: Upotrijebite SGP

Da biste koristili SGP, posjetite web stranicu na uobičajen način. Kad trebate unijeti lozinku, kliknite gumb SGP koji ste dodali na traku s oznakama. Ako ste prilikom postavljanja SGP -a koristili tajnu lozinku, provjerite odgovara li slika koja se prikazuje u okviru za lozinku onakva kakva je bila pri postavljanju.

Upišite svoju glavnu lozinku i pritisnite Enter. Ovo će izračunati vašu jedinstvenu lozinku za ovu web stranicu i ispuniti je umjesto vas! Dok upisujete svoju glavnu lozinku, ikona će se ažurirati. Ako se slika ne podudara s ikonom koju obično imate, ili ste pogrešno unijeli glavnu lozinku ili netko pokušava dobiti vašu lozinku.

Ovisno o načinu na koji je web mjesto napisano, SGP možda neće moći unijeti lozinku umjesto vas ili web lokacija možda neće shvatiti da je unesena. U tom slučaju možete kliknuti ikonu za kopiranje pored okvira za generiranu lozinku i zalijepiti je ručno.

Nakon što unesete svoju lozinku, kliknite Prijava i tu ste!

Korak 10: Završne misli

SGP možda neće raditi za sve, i to je u redu. To nije savršeno rješenje jer tako nešto ne postoji. Ako imate drugu uslugu ili metodu koju volite koristiti za zaporke, imajte na umu 6 koraka za sigurnu lozinku. Ako vaša trenutna metoda ne uspije u nekoliko ovih područja, možda je vrijeme za traženje drugog rješenja. Da, moglo bi proći pola dana da promijenite sve svoje račune, ali to bi vjerojatno bila manja glavobolja od kršenja vaših računa.

Napomena o mrežnoj pohrani: Ako usluga pohranjuje vaše lozinke na mreži/u "oblaku", provjerite njihovu sigurnosnu praksu kako biste bili sigurni da su dobre. Web mjesto će vam vjerojatno reći što rade kako bi zaštitili vaše lozinke ako to rade ispravno. Ako niste sigurni, pošaljite im poruku e -pošte i pitajte. Ako vam ne mogu dati dobar/sažet/točan odgovor, budite oprezni pri korištenju te usluge.