Bu məqalədə etibarlı bir şifrə yaratmaq, onları yaratarkən hansı prinsiplərə əməl etmək, şifrələri necə saxlamaq və zərərli istifadəçilərin məlumatlarınıza və hesablarınıza girmə ehtimalını minimuma endirmək müzakirə ediləcəkdir.
Bu material "Şifrənizi necə sındırmaq olar" məqaləsinin davamıdır və orada təqdim olunan materialla tanış olduğunuzu və ya şifrələrin pozulmasının bütün əsas yollarını artıq bilməyinizi göstərir.
Parol yaradın
Bu gün bir İnternet hesabını qeydiyyata alarkən, bir şifrə yaradarkən ümumiyyətlə şifrə gücünün bir göstəricisini görürsünüz. Demək olar ki, hər yerdə aşağıdakı iki amilin qiymətləndirilməsi əsasında işləyir: parol uzunluğu; parolda xüsusi simvolların, böyük hərflərin və nömrələrin olması.
Bunlar, şiddətli güc tərəfindən haker hücumuna parol müqavimətinin həqiqətən vacib parametrləri olmasına baxmayaraq, sistem üçün etibarlı görünən bir parol həmişə belə deyildir. Məsələn, "Pa $$ w0rd" kimi bir parol (və burada xüsusi simvollar və nömrələr var) çox güman ki, çox tez çatacaqdır - buna görə (əvvəlki yazıda deyildiyi kimi) insanlar nadir hallarda unikal parol yaradırlar. (parolların 50% -dən az hissəsi unikaldır) və göstərilən seçim çox güman ki, hücum edənlərin sızan məlumat bazalarında mövcuddur.
Necə olmaq Ən yaxşı seçim, xüsusi simvollardan istifadə edərək uzun təsadüfi şifrələr yaradan parol generatorlarından istifadə etməkdir (İnternetdə kommunal kimi, həm də kompüterlər üçün parol menecerlərinin əksəriyyətində mövcuddur). Əksər hallarda, bu simvolların 10 və ya daha çoxunun bir şifrəsi, sadəcə keçirilmiş vaxtın ödənməməsi səbəbindən kraker üçün maraqlı deyildir (yəni onun proqramı bu cür seçimləri seçmək üçün qurulmayacaqdır). Bu yaxınlarda, Google Chrome brauzerində quraşdırılmış bir parol generatoru meydana çıxdı.
Bu metodda əsas çatışmazlıq bu cür şifrələrin yadda saxlanılmasının çətin olmasıdır. Şifrəni yadda saxlamağa ehtiyac varsa, böyük hərflər və xüsusi simvol olan 10 simvoldan ibarət parolun minlərlə və ya daha çox (xüsusi nömrələr etibarlı simvol dəstindən asılıdır) arayışı ilə çatlamasına, dəfə daha asan olmasına əsaslanan başqa bir seçim var. yalnız kiçik hərflərdən ibarət olan latın işarələrindən ibarət 20 simvoldan çox şifrə (kraker bu barədə bilsə də).
Beləliklə, 3-5 sadə təsadüfi İngilis sözlərindən ibarət bir parol yadda saxlamaq asan olacaq və çatlamaq demək olar ki imkansızdır. Hər sözü böyük hərflə yazdıqdan sonra seçim sayını ikinci dərəcəyə qaldırırıq. İngilis dilində yazılmış 3-5 rus sözləri olacaqsa (yenidən təsadüfi, ad və tarix deyil), şifrə seçimi üçün lüğətlərdən istifadə üsullarının hipotetik ehtimalı da aradan qaldırılacaqdır.
Bəlkə şifrələrin yaradılması üçün qətiliklə düzgün bir yanaşma yoxdur: müxtəlif üsullarda üstünlüklər və çatışmazlıqlar (yadda saxlamaq qabiliyyəti, etibarlılıq və digər parametrlərlə əlaqəli) var, lakin əsas prinsiplər bunlardır:
- Şifrə çox sayda simvoldan ibarət olmalıdır. Bu gün ən çox görülən məhdudiyyət 8 simvoldur. Etibarlı bir şifrə ehtiyacınız varsa, bu kifayət deyil.
- Mümkünsə, şifrə xüsusi simvollar, yuxarı və kiçik hərflər, nömrələr daxil edilməlidir.
- Şəxsi məlumatları heç vaxt parol daxil etmir, hətta zahirən "çətin" üsullarla yazılır. Tarix, ad və soyad yoxdur. Məsələn, müasir Julian təqviminin hər hansı bir tarixini 0-ci ildən bu günə (18 iyul 2015 və ya 18072015 və s.) Aid bir parolun sınması saniyədən saatlaradək davam edəcəkdir (hətta buna baxmayaraq, saatlar yalnız gecikmələrə görə çıxacaq) bəzi işlər üçün cəhdlər arasında).
Şifrənizin saytda nə qədər güclü olduğunu yoxlaya bilərsiniz (bəzi saytlarda parolların daxil edilməsi, xüsusən də https olmadan ən təhlükəsiz tətbiq deyil) //rumkin.com/tools/password/passchk.php. Həqiqi şifrənizi təsdiqləmək istəmirsinizsə, bənzərini (eyni sayda simvollardan və eyni simvollar dəstindən) daxil edin.
Simvolların daxil edilməsi prosesində xidmət, verilmiş parol üçün entropiyanı (şərti olaraq, entropiya üçün seçimlərin sayı 10 bit, seçimlərin sayı 2-dən onuncu gücə) hesablayır və müxtəlif dəyərlərin etibarlılığına kömək edir. 60-dan çox bir entropiya olan şifrələr, hədəf seçmə zamanı belə demək olar ki, mümkün deyil.
Fərqli hesablar üçün eyni şifrələrdən istifadə etməyin
Böyük, mürəkkəb bir parolunuz varsa, ancaq istədiyiniz yerdən istifadə edirsinizsə, avtomatik olaraq tamamilə etibarsız olur. Hackerlər belə bir parol istifadə etdiyiniz saytların hər hansı birinə daxil olduqda və dərhal digər bütün məşhur e-poçtlarda, oyunlarda, sosial xidmətlərdə və bəlkə də sınaqdan keçiriləcəyinə əmin olun. onlayn banklar (parolunuzun artıq sızdığını görməyin yolları əvvəlki məqalənin sonunda verilmişdir).
Hər bir hesab üçün unikal parol çətindir, əlverişsizdir, ancaq bu hesablar sizin üçün ən azı bir əhəmiyyət daşıyırsa zəruridir. Sizin üçün heç bir dəyəri olmayan bəzi qeydiyyatlar üçün (yəni onları itirməyə hazırsınız və narahat olmayacaqsınız) və şəxsi məlumatlarınız olmasa da, unikal şifrələrlə gərginləşə bilməzsiniz.
İki faktorlu identifikasiya
Hətta güclü şifrələr heç kimin hesabınıza daxil ola bilməyəcəyinə zəmanət vermir. Şifrə bu və ya digər şəkildə (phishing, məsələn, ən çox yayılmış seçim kimi) oğurlana bilər və ya sizdən əldə edilə bilər.
Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Buxar və başqaları da daxil olmaqla demək olar ki, bütün böyük onlayn şirkətlər nisbətən yaxın vaxtlardan bəri hesablarda iki faktorlu (və ya iki addımlı) autentifikasiyanı aktivləşdirmək imkanı əlavə etdilər. Təhlükəsizlik sizin üçün vacibdirsə, onu açmağı məsləhət görürəm.
İki faktorlu identifikasiyanın tətbiqi fərqli xidmətlər üçün bir qədər fərqlidir, lakin əsas prinsip aşağıdakı kimidir:
- Hesabınıza naməlum bir cihazdan daxil olduqda, düzgün şifrəni daxil etdikdən sonra əlavə bir yoxlamadan keçməyiniz xahiş olunur.
- Çek əvvəlcədən hazırlanmış çap kodlarından, e-poçt mesajından, bir hardware düyməsindən istifadə edərək SMS kodu, smartfonda xüsusi bir tətbiq istifadə edərək aparılır (son seçim Google'dan gəldi, bu şirkət ümumilikdə iki faktorlu identifikasiya baxımından liderdir).
Beləliklə, təcavüzkar şifrənizi tapsa da, cihazınıza, telefonunuza, e-poçtunuza daxil olmadan hesabınıza daxil ola bilməyəcəkdir.
İki faktorlu autentifikasiyanın necə işlədiyini tam bilmirsinizsə, bu mövzuda İnternetdə məqalələr və ya tətbiq olunduğu saytların özləri üçün fəaliyyət təsvirləri və təlimatları oxumağı tövsiyə edirəm (sadəcə bu məqalədə ətraflı təlimatları daxil edə bilməyəcəm).
Şifrə saxlama
Hər sayt üçün mükəmməl unikal şifrələr əladır, amma onları necə saxlayım? Bütün bu şifrələri yadda saxlamaq mümkün deyil. Brauzerdə yadda saxlanılan şifrələrin saxlanması riskli bir işdir: onlar icazəsiz daxil olmaq üçün daha həssas olmurlar, sadəcə sistem qəzaları halında və sinxronizasiya əlil olduqda itirilə bilərlər.
Ən yaxşı həll, ümumiyyətlə, bütün gizli məlumatlarınızı şifrəli təhlükəsiz bir yaddaşda (həm oflayn, həm də onlayn) bir master parol istifadə edərək əldə edilən proqramlardır (iki amil identifikasiyasını da edə bilərsiniz). Bu proqramların əksəriyyəti parol gücünü yaratmaq və qiymətləndirmək üçün vasitələrlə də təchiz edilmişdir.
Bir neçə il əvvəl Ən yaxşı Şifrə Menecerləri haqqında ayrıca bir məqalə yazdım (yenidən yazmağa dəyər, ancaq bunun nə olduğu və məqalədən hansı proqramların populyar olduğu barədə bir fikir əldə edə bilərsiniz). Bəziləri cihazınızdakı bütün şifrələri saxlayan KeePass və ya 1Password kimi sadə oflayn həllərə üstünlük verir, digərləri sinxronizasiya imkanlarını təmin edən daha çox funksional yardım proqramlarına üstünlük verir (LastPass, Dashlane).
Tanınmış şifrə menecerləri ümumiyyətlə onları saxlamaq üçün çox etibarlı və etibarlı bir yol kimi qəbul edirlər. Ancaq bəzi detalları nəzərdən keçirməyə dəyər:
- Bütün şifrələrinizə daxil olmaq üçün yalnız bir usta parolunu bilməlisiniz.
- Onlayn saxlama hacklənməsi vəziyyətində (sözün düz bir ay əvvəl dünyada ən populyar LastPass parol idarəetmə xidməti haker hücumuna məruz qaldı), bütün şifrələrinizi dəyişdirməlisiniz.
Vacib şifrələrimi başqa necə saxlaya bilərəm? Burada bir neçə seçim var:
- Kağızda, ailənizin üzvlərinə daxil olacağınız bir seyfdə (tez-tez istifadə edilməli olan parol üçün uyğun deyil).
- Oflayn parol verilənlər bazası (məsələn, KeePass) uzunmüddətli bir saxlama cihazında saxlanılır və itirildiyi təqdirdə bir yerə vurulur.
Yuxarıda göstərilənlərin optimal birləşməsi, mənim fikrimcə, aşağıdakı yanaşmadır: ən vacib şifrələr (digər hesabları, bankı və s. Bərpa edə biləcəyiniz əsas E-poçt) başda və (və ya) kağızda etibarlı yerdə saxlanılır. Daha az vacib və eyni zamanda, tez-tez istifadə olunanlar parol meneceri proqramlarına təyin edilməlidir.
Əlavə məlumat
Ümid edirəm ki, şifrələr mövzusunda iki məqalənin birləşməsi bəzilərinizin düşünmədiyiniz təhlükəsizliyin bəzi cəhətlərinə diqqət yetirməyinizə kömək etdi. Əlbəttə ki, bütün mümkün variantları nəzərə almadım, amma sadə bir məntiq və bəzi prinsipləri başa düşmək, müəyyən bir anda nə etdiyinizi nə qədər təhlükəsiz etdiyinizə qərar verməyə kömək edəcəkdir. Bir daha, bəziləri qeyd edildi və bir neçə əlavə məqam:
- Fərqli saytlar üçün fərqli şifrələrdən istifadə edin.
- Şifrələr mürəkkəb olmalıdır və şifrənin uzunluğunu artıraraq mürəkkəbliyi ən çox artıra bilərsiniz.
- Şifrəni özü yaradarkən şəxsi məlumatlardan (aşkar edilə bilən) istifadə etməyin, bunun üçün göstərişlər, bərpa üçün təhlükəsizlik sualları.
- Mümkünsə 2 addımlı doğrulama istifadə edin.
- Şifrələri etibarlı şəkildə saxlamağın ən yaxşı yolunu tapın.
- Fişinqdən (veb ünvanlarını, şifrələməni yoxlayın) və casus proqramlardan ehtiyatlı olun. Şifrə daxil etməyiniz istənirsə, doğru saytda daxil etdiyinizi yoxlayın. Kompüterinizi zərərli proqramlardan azad edin.
- Mümkünsə, şifrələrinizi digər insanların kompüterlərində istifadə etməyin (zəruri hallarda brauzerin "gizli" rejimində istifadə edin və ekrandakı klaviaturadan daha yaxşı yazın), açıq açıq Wi-Fi şəbəkələrində, xüsusən sayta qoşulduqda https şifrələməsi olmadıqda .
- Bəlkə də ən vacib şifrələri kompüterdə və ya həqiqətən dəyərli olan onlayn saxlamamalısınız.
Kimi bir şey. Düşünürəm ki, paranoya dərəcəsini qaldırmağı bacardım. Anlayıram ki, təsvir olunanların çoxu narahat görünür, "yaxşı, bu məni keçər" kimi düşüncələr, ancaq məxfi məlumatları saxlayarkən sadə təhlükəsizlik qaydalarına əməl edərkən tənbəllik üçün yeganə səbəb yalnız əhəmiyyətinin olmaması və hazır olmağınız ola bilər. üçüncü şəxslərin mülkiyyətinə çevriləcəyi.