A '12345' nagyon rossz: a jelszóvédelem legfontosabb útmutatója

Újra és újra azt tanácsoltuk, hogy a jelszavak tárolásának és használatának egyetlen biztonságos módja a jelszókezelőre támaszkodni, ám néhányan nem hallgatnak. A PCMag jelszavakkal kapcsolatos felmérésében csak 24% -uk számolt be jelszókezelő használatáról. Mit csináltok mások? Könnyű jelszavak, például jelszó vagy 12345678 használatával? Egy összetett jelszó megjegyzése és használata mindenhol? Figyelj, a jelszóbiztonság gondozása nem kis kérdés, de tekintettel a hatalmas kockázat mértékére - amint azt a nemrégiben leírt 1. gyűjtemény-megsértés is szemlélteti, amely 773 millió feltört e-mail címet fed fel -, mindent meg kell tennie a jelszavak megtartása érdekében. biztonságos.

Még akkor is, ha a legjobb jelszókezelőt használja, nem garantálja a fiókja biztonságát - még akkor sem, ha a jelszókezelővel emlékszik ugyanazon régi, fáradt jelszavakra. Le kell szállnod az árkokban, és kicserélned kell a rossz jelszavakat az új, erősebbekre.

A fent említett felmérés rámutatott, hogy a PCMag-olvasók 35 százaléka soha nem változtatja meg jelszavát, kivéve, ha ezt megsértik. Általában ez nem olyan rossz dolog. A Nemzeti Szabványügyi és Technológiai Intézet már nem javasolja a jelszavak 90 naponkénti cseréjét. A NIST most javasolja a hosszú jelszavak használatát, például a "Helyes-ló-akkumulátor-tűzés", és csak szükség esetén módosítsa azokat. De ha szörnyű jelszavakat használ, akkor a "ha szükséges" jelentése azonnal .

Mi teszi a rossz jelszót? Megvizsgáljuk a szörnyű jelszavak néhány tulajdonságát, majd mutatunk néhány útmutatást, hogyan kell a jelszavakat helyesen tenni.

Maradjon távol a szótárból

Néhány havonta egy vagy másik hírportál közzéteszi a legrosszabb jelszavak listáját. Sok könnyen írható beállítást látunk, például a 123456 és a 12345678, valamint a qwerty. Könnyű neked? Biztos. De a hackerek számára is könnyű feltörni. A többi általános (és rossz) jelszó egyszerű szótárból áll. Láttuk a baseball-ot, a majomot és a csillagszórókat a legrosszabb jelszavak listáján. Ezeket is könnyű megtörni.

Egyes biztonságos webhelyek bezáródnak egy meghatározott számú helytelen jelszó-kísérlet után, de sokan nem. Azok számára, akiknek nincs blokkolása a rossz kitalálással, a hackerek átküldhetik az e-mail címek listáját a népszerű jelszavak listájával, és beállíthatnak egy automatizált folyamatot, hogy a kombinációk kipróbálását mindaddig, amíg be nem kerülnek.

A megfelelően védett webhely sehol nem tárolja a jelszavát. Ehelyett futtatja a jelszót egy kivonatoló algoritmussal, egyfajta egyirányú titkosítással. Ugyanaz a bemenet mindig ugyanazt a kimenetet hozza létre, de a kapott kivonatból nem lehet visszatérni az eredeti jelszóhoz. Ha a beírt jelszó megegyezik az azonos értéken tárolt értékkel, akkor hozzáférést kap. Még ha a hackerek is elfogják a webhely felhasználói adatait, akkor nem kapnak jelszavakat, csak kivonatot.

Az intelligens hackerek azonban még kivágásuk után is feltörhetik a gyenge jelszavakat, ha tudják, milyen hasháló funkciót használ a webhely. Először egy hatalmas, általános jelszavak szótárának futtatásával kezdik a hashing funkciót. Ezután megkeresi a kapott kivonatokat a rögzített adatokban. Minden mérkőzés repedt jelszó. A legbiztonságosabb helyek javítják a hash funkciót a sózásnak nevezett módszerrel, amely lehetetlenné teszi az ilyen asztali repedést, de miért vállalja a kockázatot? Csak maradjon ki a szótárból.

Gondolkodj másként

Egy barátom egyszer mondta nekem a tökéletes jelszavát: 1qaz2wsx3edc4rfv. Tudta "gépelni", ha lecsúsztatta az ujját a billentyűzet négy ferde oszlopán. Annyira tökéletes volt, mindenhol felhasználta. És ez nagy hiba volt.

Alig egy hét telt el anélkül, hogy hírneve lenne arról, hogy valamelyik cégnél vagy weboldalon megsértették volna a felhasználókat, és ezer vagy millió felhasználónevet és jelszót tettek fel. Az intelligens áldozatok azonnal megváltoztatják a jelszavukat. Azok, akik figyelmen kívül hagyják a problémát, akkor valószínűleg bezáródnak a saját fiókjukból, miután a hackerek visszaállították a jelszót.

Ezek a hackerek tudják, hogy túl sok ember újrahasznosítja jelszavát. Miután megtalálják a működő felhasználónevet és jelszót, megpróbálják ugyanazokat a hitelesítő adatokat más webhelyeken. Lehet, hogy nem aggódik a Club Penguin számlájához való hozzáférés elvesztése miatt, de ha ugyanazt a bejelentkezést használja a bank webhelyén, akkor nagy bajod lesz.

Rosszabb lesz. Ha valaki más irányítja az e-mail fiókot, először a jelszó megváltoztatásával zárolhatja be. Ezután betörhetnek a többi fiókba, ha jelszó-visszaállítási linket küldnek e-mailben az adott fiókhoz. Még mindig aggódik?

Ne légy személyes

Rendkívül csábító a személyes adatok használata a jelszavaik alapjául, de ez rossz ötlet. Jó esélyek vannak arra, hogy kutyád neve megjelenik a szótárakban, amelyeket a hackerek brutális erőszakos támadásokhoz használnak. Más lehetőségek, mint például a családtag kezdőbetűi és születési ideje, valószínűleg nem esnek brutális erőszakos támadássá, ám ha valaki kifejezetten meg akarja támadni az Ön számláját, ez a személyes adat elősegítheti a próbálkozások és hibák kitalálását.

Ne gondolja egy percig, hogy személyes adatai bizalmasak. Több tucat olyan webhely található, amelyen az emberek bárki adatait megtalálhatják: cím, születési idő, családi állapot és egyebek. A közösségi média hozzászólásai további forrást jelentenek a személyes információkhoz, különösen akkor, ha nem gondoskodott a fiókja megfelelő védelméről. Egy eltökélt hacker (vagy egy szomorú szomszéd) valószínűleg kitalálhat minden olyan jelszót, amelyet saját adatai alapján épít.

Csukja be a hátsó ajtót

Ha nem jelszókezelőt használ, akkor biztosan megtapasztalta, hogy elfelejtette a webhely jelszavát. Ez túl általános, ezért gyakorlatilag minden bejelentkezési oldal tartalmaz egy "Elfelejtette a jelszavát?" link. Néhány webhely alaphelyzetbe állító linket küld az e-mail címére, míg mások lehetővé teszik a jelszó visszaállítását a biztonsági kérdések megválaszolása után. És ez hátsó ajtót nyit mindenkinek, aki feltörni akarja a fiókját.

A legtöbb webhely bántalmazó lehetőségeket kínál a biztonsági kérdésekre. Mi az édesanyja leánykori neve? Hová jártál középiskolába? Mi volt az első munkád? Mint megjegyeztük, a személyes élete nyitott könyv mindenkinek, aki internetes keresési képességekkel rendelkezik. Ha lehetséges, ne vegye figyelembe az előre beállított kérdéseket. Készítse el saját kérdését egy egyedi válaszmal, amelyre mindig emlékezni fog, de senki más nem tudta kitalálni.

Sokkal nehezebb, ha a webhely nem engedi meghatározni a saját kérdéseit. Ebben az esetben a legjobb fogadás egy emlékezetes válasz használata, amely teljes hazugság. Anyám leánykori neve Obama. Iskolába mentem a kommunista mártírok magasán. Az első munkám során oroszlán tamer volt. Van egy kockázat elem, mivel elfelejtheti, hogy melyik hazugságot választotta. Azt javaslom, hogy ezeket a páratlan válaszokat biztonságos megjegyzésként tárolja a jelszókezelőben… de ha egy jelszókezelőt használna, akkor emlékezett volna a jelszóra.

Mit tegyek most, hogy érdekel

Remélem meggyőzte Önt, hogy a közös jelszavak használata romlott ötlet, mivel a jelszavak személyes adatokból készülnek. És még a legjobb, véletlenszerű jelszó is felelőssé válik, ha az egész helyet használja. Ha készen állsz a cselekvésre, íme néhány kiindulási pont:

• Használjon jelszókezelőt.
• Váltás jobb jelszókezelőre.
• Ne felejtsen el egy őrülten biztonságos fő jelszót a jelszókezelőhöz.
• Használja ki a véletlenszerű jelszógenerátor előnyeit a régi, rossz jelszavak frissítéséhez.
• Még létrehozhat saját véletlenszerű jelszógenerátort az Excel programban.
• Kétfaktoros hitelesítés engedélyezése, ahol csak lehetséges.

Ha egy biztonságos webhely nem gondoskodik a biztonságról, akkor adatvesztés ellenére elveszítheti a webhely hitelesítő adatait, de az összes jelszó hosszú, erőteljes és egyedivé tétele révén mindent megtett az online fiókok védelme érdekében.

Hé! Most, hogy már működik, biztonság szempontjából fontolja meg a virtuális magánhálózat vagy a VPN hozzáadását. Erős jelszavak használata a biztonságos webhelyeknél azt jelenti, hogy mások nem tudnak betörni a fiókjába; a VPN hozzáadása azt jelenti, hogy nincs esély arra, hogy bárki megszakíthassa az Ön kapcsolatait ezekkel a biztonságos webhelyekkel.