Пароли: как правильно их использовать: 10 шагов

2024 Автор: John Day | [email protected]. Последнее изменение: 2024-01-30 11:53

В начале этого года моя жена потеряла доступ к некоторым своим аккаунтам. Ее пароль был взят с взломанного сайта, а затем использовался для доступа к другим учетным записям. Только когда сайты начали уведомлять ее о неудачных попытках входа в систему, она поняла, что что-то происходит.

Я также разговаривал с несколькими людьми, которые говорят, что используют один и тот же пароль для всех сайтов. Этих двух вещей было достаточно, чтобы побудить меня написать это Учебное пособие.

Защита паролем - очень небольшая часть сетевой безопасности в целом. Почти для каждой учетной записи требуется какой-то логин, чтобы разрешить доступ ко всему, что она защищает. Эта единственная строка часто является всем, что стоит между злоумышленником и вашей личной информацией, деньгами, личными фотографиями или теми путевыми точками, которые вы собираете годами.

Это руководство призвано охватить некоторые передовые методы создания паролей. Если у вас один и тот же пароль для всех веб-сайтов, чьи пароли - это узор на клавиатуре или у вас есть слово «пароль» в пароле, эта инструкция предназначена для вас.

Отказ от ответственности

Я не специалист по безопасности. Эта информация была изучена и исследована с течением времени и является лишь рекомендацией и кратким изложением очень сложного предмета. Это руководство было написано в начале 2018 года и может быть устаревшим к тому моменту, когда вы его прочитаете.

TL; DR

Если вас не интересуют все мои рассуждения и объяснения паролей, и вам просто нужен простой способ создания безопасных паролей, переходите к последнему шагу.

Шаг 1. Сделайте его длинным

Длина - один из очень важных компонентов защиты паролей. Поскольку скорость компьютеров растет все быстрее, пароли можно перепробовать с невероятной скоростью. Это называется взломом пароля методом «грубой силы». Он связывает всевозможные комбинации символов, пока вы не найдете подходящую.

Теоретически это позволяет взломать любой пароль при наличии достаточного количества времени. К счастью, чем длиннее пароль, тем больше времени потребуется для этого типа атаки. Каждый символ, который вы добавляете к длине, значительно усложняет задачу. Если он достаточно длинный, на то, чтобы найти его таким образом, могут потребоваться десятилетия, поэтому злоумышленнику оно того не стоит.

Пример

Допустим, у вас есть пароль, состоящий только из заглавных букв. Это не очень хорошая идея, но это только в целях иллюстрации. Каждый раз, когда вы добавляете к паролю еще один символ, он умножает количество возможных паролей на 26. Если бы у вас был односимвольный пароль, он имел бы 26 возможных паролей, 2 символа имели бы 676 возможных паролей и т. Д. Это начинает быстро расти как снежный ком..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Как видите, каждая добавляемая вами буква делает эту атаку намного сложнее и практически невозможной при достаточном количестве символов. Помните, это только заглавными буквами. Когда они становятся более сложными, этот эффект усиливается.

Шаг 2. Сделайте его сложным

Сложность - еще один важный фактор безопасности паролей. Если веб-сайт когда-либо будет взломан, вполне вероятно, что имена пользователей и пароли будут извлечены. Надеемся, что в качестве базового уровня безопасности на веб-сайте пароли хешируются (аналогично шифрованию) перед сохранением. Это означает, что они искажаются до того, как попадают в базу данных, и нет никакого способа исправить это искажение.

Все это звучит хорошо. Неважно, какой у вас пароль, потому что он искажен, верно? Это не так, если ваш пароль не сложный. Используются стандартные алгоритмы хеширования (SHA1, MD5, SHA512 и т. Д.), И они всегда будут хешировать одно и то же одинаково. Например, если вы используете SHA1 и вашим паролем был «пароль», он всегда будет храниться в базе данных как «5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8».

Создание хэшей требует времени и вычислительной мощности, а вычисление всех возможных хэшей для всех возможных паролей практически невозможно. Люди сделали «словари» общих паролей. Конечно, там будут такие вещи, как «пароль» или «qwerty», а также менее распространенные. В этих словарях будут миллионы паролей, и потребуется всего несколько секунд, чтобы просмотреть каждую запись и сравнить известный хэш с хешем вашего пароля. Это называется «атакой по словарю». Если ваш - один из тех, которые уже были рассчитаны, искажение не защитит ваш пароль, и его можно использовать на других сайтах.

Кроме того, замена букв на числа не добавляет сложности. Может показаться более сложным изменение E на 3 или I на 1, но это настолько распространенная практика, что она не добавляет безопасности. В программах взлома есть опция, которая автоматически пробует эти варианты.

Шаг 3: сделайте его уникальным

Запоминать пароли сложно. Поскольку наша жизнь становится все более и более онлайн, не редкость для каждого человека иметь 50+ онлайн-аккаунтов, каждая со своим собственным логином. Это может быть очень сложно отслеживать.

Чаще всего люди справляются с этим, выбирая один «хороший» пароль и используя его на нескольких разных веб-сайтах. Это ужасная идея. Все, что требуется, - это одно нарушение безопасности или один фишинговый веб-сайт, чтобы получить ваше имя пользователя и пароль, чтобы начать работу. Злоумышленники могут попробовать использовать эти имя пользователя и пароль на сотнях веб-сайтов в течение нескольких секунд. Это автоматически приведет их к каждому веб-сайту с тем же именем пользователя, что и взломанный.

Я знаю, что наличие разных паролей для каждого сайта кажется сложной задачей, но мы рассмотрим, как с этим справиться позже.

Шаг 4: ничего личного

Ваша информация не такая конфиденциальная, как вы думаете. Быстрый поиск в Интернете поможет легко найти дату вашего рождения или адрес. Если была взломана другая учетная запись, можно легко получить еще больше информации. Если есть злоумышленник, который пытается проникнуть в ваши учетные записи, это очевидные пароли для попытки. Он также оставляет доступ открытым для членов семьи, друзей или даже знакомых.

Шаг 5: относитесь ко всем паролям одинаково осторожно

Имея дело с веб-сайтами, вы должны относиться к их безопасности одинаково внимательно. Например, если у вас есть логин на любимом кошачьем сайте, вы должны принять те же меры предосторожности, что и логин в банке. Может показаться, что потерять доступ ко всем этим очаровательным усам не так уж и много, но это может быть лишь ступенькой для злоумышленника. Взлом этого «неважного» веб-сайта может дать злоумышленнику дополнительную информацию о вас, такую как другое имя пользователя, которое вы использовали, другой адрес электронной почты, который вы использовали для входа в систему, или фактическую информацию, которая может быть использована для разблокировки других веб-сайтов.

Кроме того, если это неважный веб-сайт, есть большая вероятность, что они не будут следовать надлежащим методам безопасности, что означает, что ваш пароль длинный и сложный, но не уникальный, и пароли не хешируются должным образом при хранении, этот пароль можно легко использовать на других веб-сайтах. Опять же, то, что сайт «не важен», не означает, что ваша безопасность важна.

Шаг 6: держите его в секрете

Хорошо - автономное хранилище

Автономное хранилище может быть хорошим вариантом, если вы забывчивый человек. Наличие USB-накопителя, который вы держите под замком со своими паролями, защищает от большинства атак, за исключением семьи и друзей. На всякий случай, если вы каким-то образом потеряете эту флешку, убедитесь, что файл с паролем или весь диск зашифрованы, а резервная копия флешки сделана в надежном месте.

Этот метод очень безопасен, но за счет удобства.

Причина, по которой он должен быть отключен, более подробно объясняется ниже. Имейте в виду, что для многих устройств сейчас выполняется автоматическое резервное копирование в облако, даже если вы этого не хотели. Кроме того, если вы когда-нибудь подключите эту флешку к устройству, которое заражено вирусом или скомпрометировано, данные могут быть легко скопированы.

Лучше - помни все

Запомните все свои пароли. Если вы невероятно одарены, это может быть вариантом. Никто не может их найти, и они всегда с вами. Некоторые недостатки заключаются в том, что большинство из нас не умеют запоминать сложные вещи и склонны слишком много говорить после пары рюмок. Особенно с десятками паролей, которые нужно запомнить, это, вероятно, даже не вариант для непрофессионала.

Лучшее - без хранилища

В лучшем случае вы их вообще не храните. Либо каким-то образом запомните все свои уникальные, длинные и сложные пароли, либо у вас есть способ воссоздать их на лету. Если вы знаете ингредиенты, необходимые для их воссоздания, тогда злоумышленник не сможет «найти» их, потому что они не существуют до тех пор, пока они не понадобятся. Это может показаться сложным, но на самом деле это не так. Подробнее об этом позже.

Важность офлайн

Сайтами управляют люди. Для большинства веб-сайтов, вероятно, можно с уверенностью предположить, что у этих людей обычно хорошие намерения, но даже лучшие люди могут ошибаться. Только в прошлом году произошло несколько серьезных нарушений безопасности веб-сайтов крупных, в целом безопасных компаний, таких как Linked-In, Yahoo, Equifax, Apple и Uber, и это лишь некоторые из них. Это крупные компании, у которых есть службы безопасности, и они были взломаны.

Облачное хранилище звучит привлекательно и предлагает удобство, но на самом деле «облако» - это чужой компьютер, который вы используете для хранения файлов. Как я уже сказал выше, люди могут ошибаться. Если это произойдет, ваши пароли станут доступны всему миру. Облачные сайты - огромная цель для злоумышленников из-за большого количества данных, которые они хранят. Взломайте облачный сайт, получите доступ ко всей информации, которую потенциально хранят миллионы людей.

Я уверен, что отчасти это паранойя, но, если за этими паролями скрыт огромный кусок вашей жизни, защитите их как таковые.

Шаг 7: Моя рекомендация

Это была очень длинная преамбула, объясняющая основные принципы безопасности паролей. Если вы будете следовать этим 6 рекомендациям, у вас должны быть минимальные проблемы с безопасностью в сети, и если что-то произойдет, они должны остановиться у источника, а не распространиться на остальную часть вашей онлайн-жизни.

Есть много разных способов решить эти проблемы. Некоторые лучше, чем другие, и дают разные преимущества. Мое любимое решение - SuperGenPass (SGP). Я никоим образом не аффилирован, я просто фанат.

Простой в использовании

У SGP есть приложение для вашего телефона и кнопка, которую вы можете добавить в свой браузер. Когда вы заходите на веб-сайт, и он запрашивает ваш логин, нажмите кнопку. Появится маленькое окошко. Введите свой мастер-пароль. SGP сгенерирует пароль для этого сайта и введет его в поле пароля для вас!

Длинный

Вы можете выбрать длину создаваемого пароля. При этом будут генерироваться пароли длиной до 24 символов, что довольно безопасно, но вы можете выбрать более короткий, если некоторые веб-сайты ограничивают длину вашего пароля.

Сложный

Используются прописные, строчные и цифры, что довольно безопасно. Они не следуют никаким узнаваемым образцам без слов или фраз. В этой строке нет ничего из вашего URL-адреса или мастер-пароля.

Уникальный

У каждого веб-сайта будет совершенно уникальный пароль. Пароли для example1.com и example2.com совершенно разные, хотя в начальных «ингредиентах» есть только один символ, отличающийся от них. Как вы можете видеть в приведенном ниже примере, нет никакой связи между «ингредиентами» и полученным паролем, и они ОЧЕНЬ отличаются друг от друга.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Место хранения

Он не хранит и не передает данные. Его можно запустить полностью в автономном режиме, если вы обеспокоены и никто не сможет найти или украсть их.

Шаг 8: SGP: настройка

Настроить SGP очень просто. Во-первых, вы, вероятно, захотите добавить его на панель закладок. Для этого перейдите по ссылке:

chriszarate.github.io/supergenpass/

На выбор будет 2 кнопки. Чтобы настроить компьютер, который вы обычно используете, перетащите левую кнопку на панель закладок. Это даст вам новую кнопку для использования.

Если в будущем вы будете использовать чужой компьютер, вы можете нажать кнопку справа. Это позволит вам использовать SGP, ничего не меняя в своем браузере. Это также вариант для мобильного браузера.

Как только он будет добавлен на панель закладок, нажмите кнопку. Откроется небольшое окно в углу вашей веб-страницы. При нажатии на маленькую шестеренку откроются настройки.

Длина

Число слева - это длина пароля, который будет сгенерирован. Я рекомендую просмотреть сайты, которые вы используете чаще всего, и установить максимальное число, которое разрешено на этих сайтах. Рекомендуется больше 12, но чем дольше, тем лучше, тем более, что вам не нужно это запоминать.

Тип хэша

Есть два варианта использования хеша: MD5 и SHA. Оба будут генерировать пароли с прописными буквами, строчными буквами и цифрами. Это простой способ изменить все ваши пароли, сохранив тот же главный пароль.

Секретный пароль

Раздел секретного пароля - это дополнительный способ убедиться, что все в безопасности. При запуске апплета, если у вас есть секретный пароль, в поле пароля появится небольшое изображение. Этот пароль ВСЕГДА должен быть таким же при запуске. Если он запускается и это изображение не то, что обычно, есть вероятность, что кто-то пытается получить ваш мастер-пароль.

Основной пароль

В этом нет необходимости во время настройки, но это очень важно. Обязательно выберите надежный пароль. Это единый пароль, который вы всегда вводите на каждом сайте. Убедитесь, что это что-то, что вы можете запомнить, но оно будет сложным, длинным и неличным.

Экономия

После того, как вы выберете все свои настройки, снова нажмите значок сохранения и значок шестеренки, чтобы закрыть настройки.

Шаг 9: используйте SGP

Чтобы использовать SGP, перейдите на веб-сайт, как обычно. Когда вам нужно ввести пароль, нажмите кнопку SGP, которую вы добавили на панель закладок. Если вы использовали секретный пароль при настройке SGP, убедитесь, что изображение, которое отображается в поле пароля, соответствует тому, что было при настройке.

Введите свой мастер-пароль и нажмите Enter. Это вычислит ваш уникальный пароль для этого веб-сайта и заполнит его за вас! По мере ввода мастер-пароля значок будет обновляться. Если изображение не соответствует значку, который у вас обычно есть, либо вы неправильно ввели мастер-пароль, либо кто-то пытается узнать ваш пароль.

В зависимости от того, как написан сайт, SGP может не иметь возможности ввести пароль за вас или сайт может не осознавать, что он был введен. В этом случае вы можете щелкнуть значок копирования рядом с полем сгенерированного пароля и вставить его вручную.

После ввода пароля нажмите «Войти», и вы на месте!

Шаг 10: Заключительные мысли

SGP может работать не для всех, и это нормально. Это не идеальное решение, потому что такого не существует. Если у вас есть другая служба или метод, который вам нравится использовать для паролей, помните о 6 шагах для получения безопасного пароля. Если ваш текущий метод не подходит в нескольких из этих областей, возможно, пришло время искать другое решение. Да, на изменение всех ваших учетных записей может уйти полдня, но это, вероятно, будет меньшей головной болью, чем взлом ваших учетных записей.

Примечание об онлайн-хранилище: если служба хранит ваши пароли в Интернете / в «облаке», проверьте их методы безопасности, чтобы убедиться, что они правильные. Сайт, скорее всего, расскажет вам, что они делают для защиты ваших паролей, если они делают это правильно. Если вы не уверены, напишите им электронное письмо и спросите. Если они не могут дать вам хороший / краткий / точный ответ, будьте осторожны при использовании этой услуги.