Ky artikull do të diskutojë se si të krijoni një fjalëkalim të sigurt, cilat parime duhet të ndiqen gjatë krijimit të tyre, si të ruani fjalëkalimet dhe të minimizoni mundësinë e përdoruesve me qëllim të keq që të kenë qasje në informacionet dhe llogaritë tuaja.
Ky material është një vazhdim i artikullit "Si mund të thyhet fjalëkalimi juaj" dhe nënkupton që ju jeni njohur me materialin e paraqitur atje ose tashmë i dini të gjitha mënyrat kryesore me të cilat mund të komprometohen fjalëkalimet.
Krijoni fjalëkalime
Sot, kur regjistroheni një llogari në Internet, krijoni një fjalëkalim, zakonisht shihni një tregues të fuqisë së fjalëkalimit. Pothuajse kudo funksionon bazuar në një vlerësim të dy faktorëve vijues: gjatësia e fjalëkalimit; prania e karaktereve speciale, shkronjave të mëdha dhe numrave në fjalëkalim.
Përkundër faktit se këto janë me të vërtetë parametra të rëndësishëm të rezistencës së fjalëkalimit ndaj hakerimit nga forca brutale, një fjalëkalim që duket i besueshëm për sistemin nuk është gjithmonë i tillë. Për shembull, një fjalëkalim si "Pa $ $ w0rd" (dhe ka karaktere dhe numra të veçantë këtu) ka shumë të ngjarë të plasaritet shumë shpejt - për shkak të faktit se (siç përshkruhet në artikullin e mëparshëm) njerëzit rrallë krijojnë fjalëkalime unike (më pak se 50% e fjalëkalimeve janë unike) dhe opsioni i treguar ka shumë të ngjarë tashmë në bazat e të dhënave të lëshuara në dispozicion të sulmuesve.
Si të jesh Mundësia më e mirë është të përdorni gjeneratorët e fjalëkalimeve (të disponueshëm në internet në formën e shërbimeve online, si dhe në shumicën e menaxherëve të fjalëkalimeve për kompjuterët), duke krijuar fjalëkalime të rastësishme të gjata duke përdorur karaktere të veçanta. Në shumicën e rasteve, një fjalëkalim prej 10 ose më shumë prej këtyre personazheve thjesht nuk do të interesojë për krisur (d.m.th., programi i tij nuk do të konfigurohet për të zgjedhur opsione të tilla) për shkak të faktit se koha e kaluar nuk do të shlyhet. Kohët e fundit, një gjenerues i integruar i fjalëkalimeve u shfaq në shfletuesin Google Chrome.
Në këtë metodë, disavantazhi kryesor është se fjalëkalime të tilla janë të vështira për t'u mbajtur mend. Nëse ka nevojë të mbani në mend fjalëkalimin, ekziston një opsion tjetër bazuar në faktin se një fjalëkalim me 10 karaktere që përmban shkronja të mëdha dhe karaktere speciale është thyer nga numërimi i mijëra ose më shumë (numrat specifikë varen nga një grup i vlefshëm karakteresh) herë më lehtë sesa një fjalëkalim me 20 karaktere që përmban vetëm shkronja të vogla latine (edhe nëse cracker di për të).
Kështu, një fjalëkalim i përbërë nga 3-5 fjalë të thjeshta të rastit në anglisht do të jetë i lehtë për t’u kujtuar dhe pothuajse i pamundur për tu goditur. Dhe, pasi kemi shkruar secilën fjalë me një shkronjë kapitale, ne e ngritim numrin e opsioneve në shkallën e dytë. Nëse do të jenë 3-5 fjalë ruse (përsëri të rastësishme, sesa emra dhe data) të shkruara në paraqitjen angleze, do të hiqet edhe mundësia hipotetike e metodave të sofistikuara të përdorimit të fjalorëve për zgjedhjen e fjalëkalimeve.
Ndoshta nuk ka një qasje të saktë të saktë në krijimin e fjalëkalimeve: ka përparësi dhe disavantazhe në metoda të ndryshme (të lidhura me aftësinë për të mbajtur mend atë, besueshmërinë dhe parametrat e tjerë), por parimet themelore janë si më poshtë:
- Fjalëkalimi duhet të përbëhet nga një numër i konsiderueshëm karaktere. Kufizimi më i zakonshëm sot është 8 karaktere. Dhe kjo nuk është e mjaftueshme nëse keni nevojë për një fjalëkalim të sigurt.
- Nëse është e mundur, karakteret speciale, shkronjat e mëdha dhe të vogla, numrat duhet të përfshihen në fjalëkalim.
- Asnjëherë mos i përfshini të dhënat personale në fjalëkalim, madje të regjistruara me anë të metodave në dukje "të ndërlikuara". Nuk ka data, emra dhe mbiemra. Për shembull, thyerja e një fjalëkalimi që përfaqëson çdo datë të kalendarit modern Julian nga viti i 0-të deri në ditët e sotme (të tipit 18 korrik 2015 ose 18072015, etj.) Do të zgjasë nga sekonda në orë (dhe madje edhe atëherë, ora do të dalë vetëm për shkak të vonesave midis përpjekjeve për disa raste).
Ju mund të kontrolloni se sa i fortë është fjalëkalimi juaj në faqe (megjithëse futja e fjalëkalimeve në disa site, veçanërisht pa https nuk është praktika më e sigurt) //rumkin.com/tools/password/passchk.php. Nëse nuk doni të verifikoni fjalëkalimin tuaj të vërtetë, shkruani një të ngjashëm (nga i njëjti numër karaktere dhe me të njëjtin grup karaktere) për të marrë një ide mbi forcën e saj.
Në procesin e futjes së karaktereve, shërbimi llogarit entropinë (me kusht, numri i opsioneve për entropi është 10 bit, numri i opsioneve është 2 deri në fuqinë e dhjetë) për një fjalëkalim të dhënë dhe jep ndihmë për besueshmërinë e vlerave të ndryshme. Fjalëkalimet me një entropi më shumë se 60 janë pothuajse të pamundura të thyhen edhe gjatë përzgjedhjes së synuar.
Mos përdorni të njëjtat fjalëkalime për llogari të ndryshme
Nëse keni një fjalëkalim të shkëlqyeshëm, kompleks, por e përdorni kudo që të keni mundësi, ai automatikisht bëhet plotësisht i pasigurt. Sapo hakerat të shpërthejnë në ndonjë nga faqet ku përdorni një fjalëkalim të tillë dhe të fitoni qasjen në të, sigurohuni që ai do të testohet menjëherë (automatikisht, duke përdorur softuer special) në të gjitha emailet e tjera të njohura, lojrat, shërbimet sociale, dhe ndoshta edhe banka në internet (Mënyrat për të parë nëse fjalëkalimi juaj ka dalë tashmë janë dhënë në fund të artikullit të mëparshëm).
Fjalëkalimi unik për secilën llogari është i vështirë, është i papërshtatshëm, por është e nevojshme nëse këto llogari janë të paktën për njëfarë rëndësie për ju. Edhe pse, për disa regjistrime që nuk kanë asnjë vlerë për ju (d.m.th., ju jeni gati t'i humbni ato dhe nuk shqetësoheni) dhe nuk përmbajnë informacion personal, nuk mund të tendosni me fjalëkalime unike.
Autentifikimi me dy faktorë
Edhe fjalëkalimet e forta nuk garantojnë se askush nuk mund të regjistrohet në llogarinë tuaj. Fjalëkalimi mund të vidhet në një mënyrë ose në një tjetër (phishing, për shembull, si opsioni më i zakonshëm) ose të merret nga ju.
Pothuajse të gjitha kompanitë më të mëdha në internet, përfshirë Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam dhe të tjerë kanë shtuar mundësinë për të mundësuar autentifikimin me dy faktorë (ose me dy hapa) në llogari që nga relativisht kohët e fundit. Dhe, nëse siguria është e rëndësishme për ju, unë rekomandoj shumë ta ndizni atë.
Zbatimi i vërtetimit me dy faktorë funksionon pak më ndryshe për shërbime të ndryshme, por parimi themelor është si më poshtë:
- Kur hyni në llogarinë tuaj nga një pajisje e panjohur, pasi të keni futur fjalëkalimin e saktë, ju kërkohet të kaloni një kontroll shtesë.
- Kontrolli bëhet duke përdorur kodin SMS, një aplikacion të posaçëm në smartphone, duke përdorur kode të shtypura të përgatitura paraprakisht, një mesazh E-mail, një çelës harduer (opsioni i fundit erdhi nga Google, kjo kompani është përgjithësisht një udhëheqëse për sa i përket vërtetimit me dy faktorë).
Kështu, edhe nëse një sulmues zbuloi fjalëkalimin tuaj, ai nuk do të jetë në gjendje të regjistrohet në llogarinë tuaj pa qasje në pajisjet tuaja, telefon, email.
Nëse nuk e kuptoni plotësisht se si funksionon autentifikimi me dy faktorë, unë rekomandoj të lexoni artikuj në internet për këtë temë ose përshkrime dhe udhëzime për veprim në vetë faqet, ku është zbatuar (thjesht nuk do të jem në gjendje të përfshijnë udhëzime të hollësishme në këtë artikull).
Ruajtja e fjalëkalimit
Fjalëkalimet unike të sofistikuara për secilën faqe janë të shkëlqyera, por si t'i ruaj ato? Nuk ka gjasa që të gjitha këto fjalëkalime të mund të mbahen në mend. Ruajtja e fjalëkalimeve të ruajtura në një shfletues është një ndërmarrje e rrezikshme: ato jo vetëm që bëhen më të prekshme nga aksesi i paautorizuar, por thjesht mund të humbasin në rast të përplasjeve të sistemit dhe kur sinkronizimi është i çaktivizuar.
Zgjidhja më e mirë konsiderohet të jenë menaxherët e fjalëkalimeve, të cilat në terma të përgjithshëm janë programe që ruajnë të gjitha të dhënat tuaja sekrete në një ruajtje të sigurt të koduar (si offline dhe në internet), e cila arrihet duke përdorur një fjalëkalim master (ju gjithashtu mund të aktivizoni vërtetimin me dy faktorë). Shumica e këtyre programeve janë gjithashtu të pajisura me mjete për gjenerimin dhe vlerësimin e forcës së fjalëkalimit.
Para disa vitesh kam shkruar një artikull të veçantë për Menaxherët më të mirë me fjalëkalim (ia vlen ta rishkruani atë, por mund të merrni një ide se çfarë është dhe cilat programe janë të njohura nga artikulli). Disa preferojnë zgjidhje të thjeshta offline, si KeePass ose 1Password, të cilat ruajnë të gjitha fjalëkalimet në pajisjen tuaj, të tjerët preferojnë mjete më funksionale që gjithashtu ofrojnë aftësi sinkronizimi (LastPass, Dashlane).
Menaxherët e njohur me fjalëkalim përgjithësisht vlerësohen si një mënyrë shumë e sigurt dhe e besueshme për t'i ruajtur ato. Sidoqoftë, ia vlen të merren parasysh disa detaje:
- Për të hyrë në të gjithë fjalëkalimet tuaja, duhet të dini vetëm një fjalëkalim master.
- Në rastin e hakimit të ruajtjes në internet (fjalë për fjalë një muaj më parë, shërbimi më i popullarizuar i menaxhimit të fjalëkalimeve LastPass në botë u hakua), do të duhet të ndryshoni të gjithë fjalëkalimet tuaja.
Si tjetër mund t'i ruaj fjalëkalimet e mia të rëndësishme? Këtu janë disa opsione:
- Në letër, në të cilin ju dhe anëtarët e familjes tuaj do të keni qasje (jo të përshtatshme për fjalëkalimet që duhet të përdoren shpesh).
- Një bazë e të dhënave për fjalëkalim offline (për shembull, KeePass) e ruajtur në një pajisje ruajtjeje afatgjatë dhe kopjuar diku në rast të humbjes.
Kombinimi optimal i sa më sipër, për mendimin tim, është qasja e mëposhtme: fjalëkalimet më të rëndësishme (posta kryesore elektronike, me të cilën mund të rivendosni llogari të tjera, banka, etj.) Ruhen në kokë dhe (ose) në letër në një vend të sigurt. Më pak të rëndësishme dhe, në të njëjtën kohë, ato të përdorura shpesh duhet t'u caktohen programeve të menaxherit të fjalëkalimeve.
Informacion shtesë
Shpresoj që një kombinim i dy artikujve me temën e fjalëkalimeve ndihmoi disa prej jush që t'i kushtojnë vëmendje disa aspekteve të sigurisë për të cilat nuk i keni menduar. Sigurisht, nuk i kam marrë parasysh të gjitha opsionet e mundshme, por një logjikë e thjeshtë dhe njëfarë kuptimi i parimeve do të më ndihmojnë të vendos se sa i sigurt se çfarë po bën në një moment të veçantë. Edhe një herë, disa përmendur dhe disa pika shtesë:
- Përdorni fjalëkalime të ndryshme për faqe të ndryshme.
- Fjalëkalimet duhet të jenë komplekse, dhe ju mund të rritni më shumë kompleksitetin duke rritur gjatësinë e fjalëkalimit.
- Mos përdorni të dhëna personale (të cilat mund të zbulohen) kur krijoni vetë fjalëkalimin, lë të kuptohet për të, pyetje sigurie për rikuperim.
- Përdorni verifikimin me dy hapa, kur është e mundur.
- Gjeni mënyrën më të mirë për të ruajtur fjalëkalime të sigurta.
- Jini të kujdesshëm ndaj phishing (kontrolloni adresat e faqes në internet, encryption) dhe spyware. Kudo që ju kërkohet të shkruani një fjalëkalim, kontrolloni nëse e futni atë në faqen e duhur. Mbajeni kompjuterin tuaj pa malware.
- Nëse është e mundur, mos përdorni fjalëkalimet tuaja në kompjuterët e njerëzve të tjerë (nëse është e nevojshme, bëni atë në modalitetin "incognito" të shfletuesit, dhe lloji edhe më i mirë nga tastiera në ekran), në rrjetet publike të hapura Wi-Fi, veçanërisht nëse nuk ka kriptim https kur lidheni me sitin .
- Ndoshta nuk duhet të ruani fjalëkalimet më të rëndësishme në një kompjuter ose në internet që janë me të vërtetë të vlefshëm.
Diqka e tillë. Unë mendoj se kam arritur të ngre shkallën e paranojës. Unë e kuptoj se shumë nga ato që përshkruhen duken të papërshtatshme, mund të lindin mendime si "mirë, do të më anashkalojë", por justifikimi i vetëm për përtacinë kur ndiqni rregulla të thjeshta të sigurisë kur ruani informacione konfidenciale, mund të jetë vetëm mungesa e rëndësisë së tij dhe gatishmëria juaj për të se do të bëhet pronë e palëve të treta.
