Бұл мақалада қауіпсіз құпия сөзді қалай құру керек, оны жасағанда қандай принциптерді сақтау керек, құпия сөздерді қалай сақтау керек және зиянды пайдаланушылар сіздің ақпаратыңызға және тіркелгілеріңізге кіру ықтималдығын азайтады.
Бұл материал «Сіздің пароліңізді қалай бұзуға болады» мақаласының жалғасы болып табылады және сіз сол жерде берілген материалмен таныссыз ба немесе құпия сөздерді бұзудың барлық негізгі тәсілдерін білесіз.
Құпия сөздерді жасаңыз
Бүгінгі таңда, Интернет-есептік жазбаны тіркеген кезде, пароль жасағанда, сіз әдетте парольдің беріктік көрсеткішін көресіз. Іс жүзінде барлық жерде ол келесі екі факторды бағалау негізінде жұмыс істейді: парольдің ұзындығы; парольде арнайы таңбалардың, бас әріптер мен сандардың болуы.
Бұл парольді қатыгездікпен бұзуға парольге қарсы тұрудың маңызды параметрлері болғанына қарамастан, жүйеге сенімді болып көрінетін пароль әрдайым бола бермейді. Мысалы, «Pa $$ w0rd» сияқты пароль (және арнайы белгілер мен сандар бар) өте тез бұзылады - бұл (алдыңғы мақалада айтылғандай) адамдар бірегей құпия сөздерді сирек жасайтынына байланысты. (парольдердің 50% -дан азы бірегей) және көрсетілген опция зиянкестерге қол жетімді мәліметтер базасында болуы мүмкін.
Не істесем екен? Ең жақсы нұсқа - арнайы таңбаларды қолдана отырып, кездейсоқ парольдерді құра отырып, пароль генераторларын (Интернетте желідегі утилиталар ретінде, сондай-ақ компьютерлер үшін құпия сөз басқарушыларында бар) пайдалану. Көптеген жағдайларда, 10 немесе одан көп таңбалардың құпия сөзі крекерді қызықтырмайды (яғни, оның бағдарламалық жасақтамасы мұндай опцияларды таңдауға конфигурацияланбайды), өйткені жұмсалған уақыт өтелмейді. Жақында Google Chrome браузерінде кірістірілген пароль генераторы пайда болды.
Бұл әдісте басты кемшілік - мұндай парольдерді есте сақтау қиын. Егер парольді есте сақтау қажет болса, онда үлкен әріптер мен арнайы таңбалардан тұратын 10 таңбалы парольді мыңдаған немесе одан да көп санмен (белгілі бір нөмірлер жарамды таңбалар жиынтығына тәуелді) қосу арқылы бұзылатындығына негізделген тағы бір нұсқа бар. кіші латын әріптерінен тұратын 20 таңбалы парольге қарағанда (крекер бұл туралы білсе де).
Осылайша, 3-5 қарапайым кездейсоқ ағылшынша сөзден тұратын парольді есте сақтау оңай болады және оны бұзу мүмкін емес. Әр сөзді бас әріппен жаза отырып, біз екінші дәрежеге дейін нұсқалардың санын көбейтеміз. Егер бұл ағылшын тілінде жазылған 3-5 орыс сөздері болса (кездейсоқ емес, аттар мен даталар емес), пароль таңдау үшін сөздіктерді қолданудың күрделі әдістерінің болжамды мүмкіндігі де алынып тасталады.
Мүмкін, парольдерді құрудың нақты әдісі жоқ: әр түрлі әдістердің артықшылығы мен кемшіліктері бар (оны есте сақтау қабілетімен, сенімділігі және басқа параметрлермен байланысты), бірақ негізгі қағидалар төмендегідей:
- Құпия сөз таңбалардың санынан көп болуы керек. Бүгінгі таңда ең көп кездесетін шектеулер - 8 таңба. Егер сізге қауіпсіз пароль қажет болса, бұл жеткіліксіз.
- Егер мүмкін болса, парольге арнайы таңбалар, кіші және кіші әріптер, сандар енгізілуі керек.
- Жеке парольді ешқашан парольге енгізбеңіз, тіпті «қиын» тәсілдермен де жазыңыз. Күні, аты-жөні жоқ. Мысалы, қазіргі Джулиан күнтізбесінің кез-келген күнін білдіретін парольді 0 жылдан бастап бүгінгі күнге дейін (2015 жылдың 18 шілдесі немесе 18072015 және т.б. түрі) бірнеше секундтан бірнеше сағатқа дейін алады (және солай бола тұра, сағат тек кешігулерге байланысты болады) кейбір істердің әрекеттері арасында).
Сіз парольдің сайтта қаншалықты күшті екенін тексере аласыз (кейбір сайттарда құпия сөздерді енгізу, әсіресе https жоқ) - бұл қауіпсіз әдіс емес //rumkin.com/tools/password/passchk.php. Егер сіз өзіңіздің нақты пароліңізді тексергіңіз келмесе, оның беріктігі туралы түсінік алу үшін ұқсас кодты енгізіңіз (таңбалардың бірдей санынан және бірдей таңбалар жиынтығынан).
Таңбаларды енгізу кезінде қызмет энтропияны есептейді (шартты түрде энтропия үшін опциялар саны 10 бит, опциялар саны 2-ден оныншы қуатқа дейін) және берілген пароль үшін сенімділікке көмектеседі. 60-тан асатын энтропиясы бар парольдер мақсатты таңдау кезінде де бұзылуы мүмкін емес.
Әр түрлі есептік жазбалар үшін бірдей құпия сөздерді пайдаланбаңыз
Егер сізде үлкен, күрделі құпия сөз болса, бірақ оны кез келген жерде қолдансаңыз, ол автоматты түрде толығымен сенімсіз болады. Сіз осындай құпия сөзді қолданатын кез-келген сайтқа хакерлер кіріп, оған кіре бастағанда, ол барлық басқа танымал электрондық пошталарда, ойындарда, әлеуметтік қызметтердің, және, мүмкін, тіпті бірден (арнайы бағдарламалық жасақтаманы пайдаланып) тексерілетініне көз жеткізіңіз. Интернет-банктер (сіздің пароліңіздің ағып кеткен-келмейтінін білу жолдары алдыңғы мақаланың соңында келтірілген).
Әр шот үшін бірегей құпия сөз қиын, ыңғайсыз, бірақ егер бұл шоттар сіз үшін кем дегенде маңызды болса, қажет. Сіз үшін ешқандай мәні жоқ кейбір тіркеулер үшін (яғни, сіз оларды жоғалтуға дайынсыз және алаңдамайсыз) және жеке мәліметтер болмаса да, сіз бірегей парольдермен шұғылдана алмайсыз.
Екі факторлы аутентификация
Тіпті күшті парольдер сіздің есептік жазбаңызға ешкім кіре алмайтынына кепілдік бермейді. Парольді бір жолмен немесе басқа жолмен ұрлауға болады (фишинг, мысалы, ең көп таралған нұсқа ретінде) немесе сізден алынады.
Google, Яндекс, Mail.ru, Facebook, ВКонтакте, Microsoft, Dropbox, LastPass, Steam және басқалары сияқты барлық дерлік онлайн-компаниялар салыстырмалы түрде жақында бері аккаунттарда екі факторлы (немесе екі сатылы) аутентификацияны қосу мүмкіндігін қосты. Егер сіз үшін қауіпсіздік маңызды болса, оны қосуды ұсынамын.
Екі факторлы аутентификацияны енгізу әртүрлі қызметтер үшін аздап ерекшеленеді, бірақ негізгі қағида келесідей:
- Тіркелгіңізге белгісіз құрылғыдан кірген кезде, дұрыс парольді енгізгеннен кейін сізден қосымша тексеруден өту сұралады.
- Тексеру SMS-кодты, смартфондағы арнайы қосымшаны, алдын-ала дайындалған басып шығарылған кодтарды, электрондық поштаның хабарламасын, аппараттық кілтті қолдану арқылы жүзеге асырылады (соңғы нұсқа Google-ден келді, бұл компания екі факторлы аутентификация тұрғысынан көшбасшы болып табылады).
Осылайша, қаскүнем сіздің пароліңізді тапса да, ол сіздің құрылғыларыңызға, телефоныңызға, электрондық поштаңызға кірмей тіркелгіңізге кіре алмайды.
Егер сіз екі факторлы аутентификацияның қалай жұмыс істейтінін толық білмесеңіз, мен интернеттен осы тақырыптағы мақалаларды немесе сайтта жүзеге асырылатын сипаттамалары мен нұсқаулықтарын оқуды ұсынамын (бұл мақалада егжей-тегжейлі нұсқауларды бере алмаймын).
Парольді сақтау
Әр сайт үшін күрделі бірегей парольдер өте жақсы, бірақ мен оларды қалай сақтаймын? Бұл құпия сөздердің бәрін есте сақтау екіталай. Сақталған парольдерді браузерде сақтау қауіпті әрекет болып табылады: олар рұқсат етілмеген қол жетімділіктен осал болып қана қоймайды, сонымен қатар жүйе бұзылған жағдайда және синхрондау өшірілгенде жоғалуы мүмкін.
Парольдерді басқарудың ең жақсы шешімі болып барлық құпия деректерді шифрланған қауіпсіз дүкенде (офлайн және онлайн режимінде) сақтайтын, бір басты пароль арқылы қол жеткізуге болатын бағдарламалар саналады (сонымен қатар екі факторлы аутентификацияны қосуға болады). Сондай-ақ, бұл бағдарламалардың көпшілігі парольдердің беріктігін құру және бағалау құралдарымен жабдықталған.
Бірнеше жыл бұрын мен Best Password Manager туралы жеке мақала жаздым (оны қайта жазған жөн, бірақ сіз оның не екендігі және мақаладан қандай бағдарламалар танымал екендігі туралы біле аласыз). Кейбіреулер құрылғыдағы барлық құпия сөздерді сақтайтын KeePass немесе 1Password сияқты қарапайым дербес шешімдерді қалайды, ал басқалары синхрондау мүмкіндіктерін (LastPass, Dashlane) беретін функционалды қызметтік бағдарламаларды артық көреді.
Әйгілі парольдерді басқарушылар оларды сақтаудың өте қауіпсіз және сенімді әдісі ретінде қарастырады. Дегенмен, кейбір бөлшектерді қарастырған жөн:
- Барлық құпия сөздерге қол жеткізу үшін бір басты парольді білу қажет.
- Интернеттегі сақтауды бұзу жағдайында (бір ай бұрын әлемдегі ең танымал LastPass құпия сөздерді басқару қызметі бұзылған) барлық парольдерді өзгерту керек болады.
Маңызды парольдерді тағы қалай сақтауға болады? Мұнда бірнеше нұсқа бар:
- Сіз және сіздің отбасыңыздың мүшелері кіре алатын сейфте қағазда (жиі пайдаланылатын құпия сөздерге сәйкес келмейді).
- Дербес парольдер базасы (мысалы, KeePass) ұзақ мерзімді сақтау құрылғысында сақталады және жоғалған жағдайда қайталанады.
Менің ойымша, жоғарыда айтылғандардың барлығының оңтайлы үйлесімі мына тәсіл: ең маңызды парольдер (басқа шоттарды қалпына келтіруге болатын негізгі электрондық пошта, банк және т.б.) қауіпсіз жерде бас және (немесе) қағазда сақталады. Парольдерді басқару бағдарламаларына азырақ маңызды емес, сонымен бірге жиі қолданылатындар тағайындалуы керек.
Қосымша ақпарат
Парольдер тақырыбындағы екі мақаланың тіркесімі кейбіреулерге қауіпсіздіктің кейбір жақтарына назар аударуға көмектесті деп үміттенемін. Әрине, мен барлық ықтимал нұсқаларды ескермедім, бірақ қарапайым логика мен қағидаларды біршама түсіну маған белгілі бір сәтте не істеп жатқаныңызды қауіпсіз шешуге көмектеседі. Тағы бір айта кететін жайт, бірнеше қосымша тармақтар:
- Әр түрлі сайттар үшін әртүрлі құпия сөздерді қолданыңыз.
- Парольдер күрделі болуы керек, парольдің ұзындығын ұлғайту арқылы күрделілігін барынша арттыруға болады.
- Құпия сөзді жасау кезінде жеке мәліметтерді (оны табуға болады) пайдаланбаңыз, қалпына келтіру үшін қауіпсіздік сұрақтары.
- Мүмкіндігінше 2 сатылы тексеруді қолданыңыз.
- Құпия сөздерді қауіпсіз сақтаудың жақсы әдісін табыңыз.
- Фишингтен сақтаныңыз (веб-сайт мекен-жайларын, шифрлауды тексеріңіз) және шпиондық бағдарламалар. Сізден парольді енгізу сұралса, оны дұрыс сайтқа енгізгеніңізді тексеріңіз. Компьютеріңізді зиянды бағдарламалардан сақтаңыз.
- Мүмкін болса, парольдерді басқа адамдардың компьютерлерінде пайдаланбаңыз (қажет болса, оны браузердің «жасырын» режимінде жасаңыз, экрандағы пернетақтадан да жақсырақ теріңіз), ашық Wi-Fi желілерінде, әсіресе сайтқа қосылған кезде https шифрлау болмаса .
- Мүмкін сіз ең маңызды құпия сөздерді компьютерде немесе онлайн режимінде сақтамауыңыз керек.
Солай. Менің ойымша, мен паранойя дәрежесін көтере алдым. Мен сипатталғанның көпшілігі ыңғайсыз болып көрінетінін түсінемін, «жақсы, бұл мені айналып өтеді» сияқты ойлар, бірақ құпия ақпаратты сақтау кезінде қарапайым қауіпсіздік ережелерін сақтау кезіндегі жалқаулықтың жалғыз себебі оның маңыздылығы мен сіздің дайын болмауыңыз болуы мүмкін. ол үшінші тұлғалардың меншігіне айналады.
