Бұл мақалада қауіпсіз құпия сөзді қалай жасау керектігі, оларды жасаған кезде қандай қағидаттарды сақтау керектігі, құпия сөздерді қалай сақтау керектігі және зиянкестердің сіздің ақпараттарыңыз бен тіркелгілеріңізге қатынасу мүмкіндігін азайтуы қарастырылады.
Бұл материал «Сіздің құпия сөзіңіз қалай бұзылуы мүмкін» деген мақаланың жалғасы болып табылады және ол жерде ұсынылған материалмен таныс болғаныңызды білдіреді және онсыз сіз құпия сөздердің бұзылуының барлық негізгі жолдарын білесіз.
Құпия сөздерді жасау
Бүгінгі таңда кез-келген Интернет-шотты тіркегенде, пароль жасай отырып, әдетте құпия сөз күшінің индикаторын көресіз. Барлығы дерлік ол келесі екі факторды бағалау негізінде жұмыс істейді: пароль ұзындығы; құпия сөзде арнайы таңбалар, бас әріптер мен сандар болуы.
Қарамастан, бұл шын мәнінде маңызды параметрлер болып табылады параллель қарсылық кедергісі крекинг қойылатын кедергісі, пароль, ол жүйеге сенімді болып табылады, әрдайым осындай. Мысалы, «Pa $$» деп аталатын құпия сөз (және арнайы таңбалар мен сандар бар) өте жылдам жарылуы мүмкін, себебі (бұрынғы мақалада сипатталғандай) адамдар сирек құпия сөздерді сирек жасайды (парольдердің кемінде 50% -ы бірегей болып табылады) және бұл опция бұзушылары бар бұзылған дерекқорларда бұрыннан бар болуы мүмкін.
Не істейін? Үздік опция арнайы құпия сөздерді пайдаланып, кездейсоқ құпия сөздерді жасау арқылы құпия сөз генераторларын пайдалану (интернетте интернетте қол жетімді, сондай-ақ көптеген компьютерлік құпия сөздерді басқару). Көптеген жағдайларда 10 немесе одан да көп кейіпкерлердің құпия сөзі хакерлердің қызығушылығын туғызбайды (яғни оның бағдарламалық жасақтамасы мұндай опцияларды таңдауға теңшелмейтін болады). Жақында Google Chrome шолғышында кіріктірілген пароль генераторы пайда болды.
Бұл әдіспен негізгі қиындықтар - мұндай құпия сөздерді есте сақтау қиын. Егер сіздің басыңызда парольді сақтау қажет болса, бас әріптер мен арнайы таңбалары бар 10 таңбадан тұратын құпия сөз мыңдаған немесе одан көп күшті күшпен (белгілі бір сандар рұқсат етілген таңбалар жиынтығына байланысты) жарылып кеткеніне байланысты тағы бір нұсқа бар, тек қана төменгі латын таңбаларын қамтитын (тіпті шабуылшы бұл туралы білсе де) 20 таңбадан тұратын құпия сөзден гөрі.
Осылайша 3-5 қарапайым кездейсоқ ағылшын сөзінен тұратын құпия сөз есте қалады және жарамсыз болады. Әр сөзді бас әріппен жазғанда, біз екінші дәрежедегі нұсқалардың санын көбейтеміз. Егер бұл ағылшын тілінде жазылған 3-5 орысша сөз болса (қайтадан кездейсоқ, бірақ аттар мен күндер болмаса), сөздікті таңдауға арналған сөздіктерді қолданудың күрделі әдістерінің гипотетикалық мүмкіндіктері де жойылады.
Құпия сөздерді жасауға дұрыс көзқарас жоқ: әртүрлі тәсілдермен (есте сақтау мүмкіндігіне, сенімділікке және басқа параметрлерге) қатысты артықшылықтар мен кемшіліктер бар, бірақ негізгі қағидалар мыналар:
- Құпия сөз көптеген таңбалардан тұруы керек. Бүгінде ең көп таралған шектеу 8 таңбадан тұрады. Егер сізге қауіпсіз пароль қажет болса, бұл жеткіліксіз.
- Мүмкін болса, арнайы таңбаларды, жоғарғы және төменгі әріптерді, құпия сөзді енгізіңіз.
- Кілтсөзіңізде жеке деректерді, тіпті көрінетін ақылды жолмен жазылған болса да, ешқашан енгізбеңіз. Күні, аты-жөні және тегі жоқ. Мысалы, заманауи Джулиан күнтізбесінің кез-келген күнін 0-ші жылдан қазіргі уақытқа дейін (18.07.2015 немесе 18072015 сияқты және т.б.) білдіретін құпия сөзді бұзу секундтан сағатқа дейін созылады (және сағат кешіктірілуіне байланысты ғана алынады) Кейбір жағдайларда әрекеттердің арасында).
Сіз пароліңізді сайттың қаншалықты күшті екендігін тексере аласыз (кейбір сайттарда, әсіресе https-ті жоқ құпия сөздерді енгізгенмен, ең қауіпсіз тәжірибе емес) //rumkin.com/tools/password/passchk.php. Егер нақты құпия сөзіңізді тексеруді қаламасаңыз, оның сенімділігін түсіну үшін сол сияқты (бірдей таңбалардан және бірдей таңбалар жиынынан) ұқсасты енгізіңіз.
Белгішелерді енгізген кезде, сервис берілген пароль үшін энтропияны есептейді (шартты түрде, энтропия үшін опциялардың саны 10 бит, опциялар саны 10-ға дейін) және түрлі мәндердің сенімділігі туралы ақпарат береді. 60-тан астам энтропиясы бар парольдер мақсатты іріктеу барысында тіпті жарамсыз болып келеді.
Әртүрлі тіркелгілер үшін сол құпия сөздерді пайдаланбаңыз.
Егер сізде күрделі күрделі пароль болса, оны мүмкіндігінше пайдаланасыз, ол автоматты түрде толықтай сенімсіз болады. Хакерлер осындай парольді пайдаланатын және оған кіруге болатын кез келген тораптарға кіргеннен кейін, барлық басқа танымал электрондық пошта, ойын, әлеуметтік қызметтерге, тіпті мүмкін болса, дереу тексерілетініне (автоматты түрде, арнайы бағдарламалық жасақтаманы пайдаланатынына) сенімді бола аласыз онлайн-банктер (Құпия сөзіңіз бұрыннан шығарылғанын көру жолдары алдыңғы мақаланың соңында берілген).
Әр шот үшін бірегей құпия сөз қиын, бұл ыңғайсыз, бірақ бұл шоттар сіз үшін маңызды болған жағдайда қажет. Дегенмен, сіз үшін маңызы жоқ кейбір тіркеулер үшін (яғни, оларды жоғалтуға дайынсыз және алаңдатпайтын) және жеке ақпаратыңыз жоқ болса да, сіз бірегей құпиясөздерді өзіңізді аластауға болмайды.
Екі факторлы аутентификация
Күшті парольдер тіпті ешкім сіздің есептік жазбаңызға кіре алмайтындығына кепілдік бермейді. Құпия сөзді бір немесе бірнеше тәсілмен ұрлауға болады (мысалы, фишинг, мысалы, ең жиі болатын нұсқа) немесе оны сізден алуы мүмкін.
Жақында барлық Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam және басқалар сияқты маңызды онлайн-компаниялар өз шоттарындағы екі факторлы (немесе екі сатылы) түпнұсқаландыруды іске қосу мүмкіндігін қосқан. Ал егер қауіпсіздік сіз үшін маңызды болса, мен оны қосуды ұсынамын.
Екі факторлы түпнұсқаландыруды енгізу түрлі қызметтер үшін біршама ерекшеленеді, бірақ негізгі қағида:
- Белгісіз құрылғыдан есептік жазбаны енгізген кезде, дұрыс құпия сөзді енгізгеннен кейін сізге қосымша тестілеуден өту сұралады.
- Тексеру смартфондағы алдын-ала дайындалған баспа кодтары, электрондық пошта хабары, аппараттық кілт арқылы (соңғы нұсқасы Google-да пайда болған, бұл екі факторлы аутентификация тұрғысынан ең жақсы) SMS-кодының көмегімен жүзеге асырылады.
Осылайша, тіпті егер шабуылдаушы сіздің құпия сөзіңізді білсе де, сіздің құрылғыңызға, телефоныңызға немесе электрондық поштаға қатынаспай, есептік жазбаңызға кіре алмайды.
Екі факторлы аутентификация қалай жұмыс істейтінін толық түсінбесеңіз, Интернетте осы тақырыпқа арналған мақалаларды оқып шығуды немесе іске асырылатын сайттардағы әрекеттерге арналған сипаттама мен нұсқауларды оқып шығуды ұсынамын (осы мақалада егжей-тегжейлі нұсқауларды қоса алмаймын).
Құпиясөзді сақтау
Әр сайт үшін қиын бірегей құпия сөздер - керемет, бірақ оларды қалай сақтауға болады? Бұл парольдердің бәрін есте сақтау екіталай. Сақталған құпия сөздерді браузерде сақтау тәуекелді міндеттеме болып табылады: олар рұқсатсыз кіруге неғұрлым осал болып қана қоймай, сонымен қатар жүйе апатында және синхрондау ажыратылған кезде ғана жоғалуы мүмкін.
Ең жақсы шешім парольдерді басқарушы болып саналады, әдетте, шифрланған қорғалған репозиторийде (екеуі де, желіде де) барлық құпия деректерді сақтайтын бағдарламаларды ұсынады, бұл бір басты құпия сөзді пайдалану арқылы қол жетімді (сіз екі факторлы аутентификацияны қосуға да болады). Сондай-ақ, осы бағдарламалардың көпшілігі құпия сөздердің сенімділігін генерациялау және бағалау құралдары бар.
Бірнеше жыл бұрын ең жақсы парольдерді басқарушылар туралы жеке мақаланы жаздым (ол қайта жазуға тұрарлық, бірақ сіз бұл мақаланың қандай екенін және қандай бағдарламалардың танымал екенін біле аласыз). Кейбіреулер сіздің құрылғыңыздағы барлық құпия сөздерді сақтайтын KeePass немесе 1Password секілді қарапайым дербес шешімдерді, ал басқалары - синхрондау мүмкіндіктерін (LastPass, Dashlane) ұсынатын функционалды утилиталарды артық көреді.
Танымал парольдерді басқарушылар әдетте оларды сақтаудың өте қауіпсіз және сенімді тәсілі деп санайды. Дегенмен, кейбір мәліметтерді қарастырған жөн:
- Барлық құпия сөздерге қол жеткізу үшін тек бір ғана басты құпия сөзді білу қажет.
- Онлайн сақтауды бұзу жағдайында (бір ай бұрын әлемдегі ең танымал парольдерді басқару қызметі - LastPass бұзылған), барлық құпия сөздерді өзгертуіңіз керек.
Өзіңіздің маңызды құпия сөзіңізді қалай сақтауға болады? Мұнда бірнеше нұсқалар бар:
- Қағазда сейфте, сіз және сіздің отбасы мүшелеріңізге қолжетімділік (сіз жиі қолданатын парольдерге сай емес).
- Дербес құпия деректер базасы (мысалы, KeePass) ұзақ сақталатын деректерді сақтау құрылғысында сақталады және жоғалған жағдайда кез-келген жерде қайталанады.
Менің ойымша, жоғарыда сипатталғандардың барлығының ең жақсы комбинациясы келесі тәсіл болып табылады: ең маңызды парольдер (басқа шоттарды, банкті және т.б. қалпына келтіруге болатын басты электрондық пошта) қауіпсіз және қауіпсіз жерде баспада және (немесе) қағазда сақталады. Неғұрлым маңызды және, сонымен бірге, жиі қолданылатындар парольдерді басқарушыларға тағайындалуы керек.
қосымша ақпарат
Сіздердің кейбіреулеріңіз парольдерге арналған екі мақаланың комбинациясы сіз ойлаған емес қауіпсіздікке қатысты кейбір аспектілерге назар аударуға көмектесті деп үміттенемін. Әрине, мен барлық мүмкіндіктерді ескермедім, бірақ қарапайым логика мен қағидаттарды түсіну нақты сәтте не істеп жатқаныңызды қалай шешуге көмектеседі. Тағы да, бірнеше айтылған және бірнеше қосымша ұпайлар:
- Әр түрлі сайттар үшін әр түрлі құпия сөздерді пайдаланыңыз.
- Құпия сөздер күрделі болуы керек, парольдің ұзақтығын ұлғайту арқылы қиындықты арттыру қиынға соғуы керек.
- Құпия сөзді, оның кеңестерін, қалпына келтіруге арналған тест сұрақтарын жасау кезінде жеке деректерді (оны білуге болатын) қолданбаңыз.
- Мүмкіндігінше екі қадамдық түпнұсқалық растаманы пайдаланыңыз.
- Құпия сөзіңізді қауіпсіз сақтаудың ең жақсы әдісін табыңыз.
- Фишингтен абай болыңыз (веб-сайттың мекен-жайларын тексеріңіз, шифрлеу бар) және шпиондық бағдарламалар. Құпия сөзді енгізуді сұраған кез келген жерден, сіз оны шынымен сайтқа енгізгеніңізді тексеріңіз. Компьютерде зиянды бағдарлама жоқ екеніне көз жеткізіңіз.
- Мүмкін болса, құпия сөздерді басқа біреудің компьютерлерінде пайдаланбаңыз (егер қажет болса, браузердің инкогнито режимінде жасаңыз немесе одан да жақсырақ экрандық пернетақтаны пайдаланыңыз), жалпы ашық Wi-Fi желілерінде, әсіресе сайтқа қосылу кезінде https шифры болмаса .
- Компьютерде немесе онлайнда ең маңызды, шын мәнінде бағалы парольдерді сақтамауыңыз керек шығар.
Солай. Менің ойымша, паранойия деңгейін көтердім. Жоғарыда айтылғандардың көбісі ыңғайсыз болып көрінеді, «жақсы, ол мені айналып өту» сияқты ойлар пайда болуы мүмкін екенін түсінемін, бірақ құпия ақпаратты сақтаудың қарапайым қауіпсіздік ережелерін қолдана отырып жалқау болудың жалғыз себебі оның маңыздылығы болмауы және ол үшінші тұлғалардың меншігіне айналады.