'12345' Resnično slabo: vaš končni vodič po varnosti gesla

Vedno znova in znova smo vam svetovali, da je edini varen način shranjevanja in uporabe gesel zanašanje na skrbnika gesel, vendar ga nekateri ne poslušate. V raziskavi PCMag o geslih vas je le 24 odstotkov prijavilo, da uporabljate upravitelja gesel. Kaj še počnete vi? Z enostavnimi gesli, kot sta geslo ali 12345678? Zapomnite si eno zapleteno geslo in ga uporabljate povsod? Poslušajte, skrb za varnost gesla ni majhna zadeva, toda glede na ogromen obseg tveganja - kot je razvidno iz nedavne kršitve zbirke # 1, ki je razkrila 773 milijonov vlomljenih e-poštnih naslovov - morate narediti vse, da ohranite gesla varno.

Tudi če uporabljate najboljši upravitelj gesel, ne zagotavlja varnosti svojih računov - ne, če si z istimi starimi, utrujenimi gesli pomagate z upraviteljem gesel. Spustiti se morate v rove in izstaviti slaba gesla za nova, močnejša.

Ta zgoraj omenjena raziskava je pokazala, da 35 odstotkov bralcev PCMaga nikoli ne spremeni gesla, razen če tega ne prisili zaradi kršitve. Na splošno to ni tako slabo. Nacionalni inštitut za standarde in tehnologijo ne priporoča več spreminjanja gesla vsakih 90 dni. Zdaj NIST priporoča, da uporabite dolge gesle, kot je "Pravilno-konjsko-akumulator-sponka", in jih spremenite le, kadar je to potrebno. Če uporabljate grozna gesla, "po potrebi" pomeni prav zdaj .

Le kaj je slabo geslo? Ogledali si bomo nekatere atribute groznih gesel, nato pa vam podali nekaj napotkov, kako narediti gesla na pravi način.

Izogibajte se slovarju

Vsakih nekaj mesecev ena novica ali druga objavi seznam najslabših gesel. Opazimo veliko enostavnih možnosti, na primer 123456 in 12345678 in qwerty. Vam je enostavno? Seveda. A tudi hekerji enostavno počijo. Druga pogosta (in slaba) gesla so sestavljena iz preprostih slovarskih besed. Na seznamu najslabših gesel smo videli baseball, opico in starwars. Tudi te je enostavno zlomiti.

Nekatera varna spletna mesta se zaklenejo po določenem številu napačnih poskusov z geslom, a mnoga ne. Za tiste, ki nimajo slabega ugibanja, hekerji lahko križajo seznam e-poštnih naslovov s seznamom priljubljenih gesel in nastavijo samodejen postopek za ohranitev poskusnih kombinacij, dokler ne vstopijo.

Pravilno zaščiteno spletno mesto vašega gesla ne shrani nikjer. Namesto tega geslo poganja prek algoritma hashinga, neke vrste enosmerne enkripcije. Isti vhod vedno ustvari enak izhod, vendar ni mogoče priti do prvotnega gesla iz nastalega hash-a. Če geslo, ki ga vnesete, označuje z enako vrednostjo, ki je shranjena, dobite dostop. Tudi če hekerji zajamejo uporabniške podatke spletnega mesta, ne dobijo gesla, samo hehe.

Pametni hekerji pa lahko zlomijo šibka gesla, tudi če jih hešejo, če vedo, kakšno funkcijo hashing uporablja spletno mesto. Začnejo z izvajanjem ogromnega slovarja pogostih gesel s funkcijo hashinga. Nato poiščejo nastale razpršitve v zajetih podatkih. Vsaka tekma je zlomljeno geslo. Spletna mesta z najboljšo varnostjo izboljšujejo funkcijo hash-a s tehniko, imenovano soljenje, zaradi katere tovrstno razbijanje na mizi ni mogoče, ampak zakaj tvegati? Preprosto se izogibajte slovarju.

Razmišljaj drugače

Prijateljica mi je nekoč povedala svoje popolno geslo: 1qaz2wsx3edc4rfv. Lahko bi jo "vtipkala" tako, da s prstom potisne štiri poševne stolpce tipkovnice. Bilo je tako popolno, uporabljala ga je povsod. In to je bila velika napaka.

Kmalu mine teden, brez novic o kršitvi v kakšnem podjetju ali na spletnem mestu, ki razkrije na tisoče ali milijone uporabniških imen in gesel. Pametne žrtve takoj spremenijo geslo. Tisti, ki težave ne upoštevajo, se lahko znajdejo, ko so hekerji ponastavljeni geslo, zaprti iz svojih računov.

Ti hekerji vedo, da vse preveč ljudi reciklira gesla. Ko najdejo delujoče par uporabniškega imena in gesla, preizkusijo iste poverilnice na drugih spletnih mestih. Morda niste tako zaskrbljeni, ko boste izgubili dostop do svojega računa Club Penguin, če pa ste na spletnem mestu banke uporabili isto prijavo, imate velike težave.

Se poslabša. Če nekdo drug nadzoruje vaš e-poštni račun, vas lahko najprej zaklene s spremembo gesla. Nato lahko vdrejo v vaše druge račune, tako da jim pošljejo povezavo za ponastavitev gesla. Skrbi še?

Ne bodite osebni

Uporaba osebnih podatkov kot osnove za gesla je strašno mamljiva, vendar je slaba ideja. Verjetno je dobro ime vašega psa prikazano v slovarjih, ki jih hekerji uporabljajo za napade silovitih napadov. Druge možnosti, kot so začetnice in datum rojstva družinskega člana, najbrž ne bodo padle v brutalno napad, če pa želi kdo posebej vdreti vaš račun, lahko ti osebni podatki spodbudijo poskus ugibanja in napake.

Niti za trenutek ne pomislite, da so vaši osebni podatki zasebni. Obstaja na desetine spletnih mest, ki jih ljudje lahko uporabljajo za iskanje podrobnosti o komur koli: naslov, rojstni datum, zakonski stan in drugo. Vaše objave v družabnih medijih so lahko drug vir osebnih informacij, še posebej, če niste pravilno zavarovali svojih računov. Odločen heker (ali nagajiv sosed) verjetno ugiba vsako geslo, ki ga sestavite na podlagi svojih podatkov.

Zaprite zadnja vrata

Če ne uporabljate upravitelja gesel, ste zagotovo že pozabili geslo za spletno mesto. Vse skupaj je preveč pogosto, zato praktično vsaka prijavna stran vključuje "Pozabili ste geslo?" povezava. Nekatera spletna mesta pošljejo povezavo za ponastavitev na vaš e-poštni naslov, druga pa vam po odgovoru na varnostna vprašanja dovolijo ponastavitev gesla. To odpira zadnja vrata vsem, ki želijo vdreti v vaš račun.

Večina spletnih mest ponuja varnostne možnosti za varnostna vprašanja. Kako je dekliško ime vaše matere? Kam si hodil v srednjo šolo? Katera je bila vaša prva zaposlitev? Kot je navedeno, je vaše osebno življenje odprta knjiga vsem, ki imajo veščine iskanja po internetu. Kadar je mogoče, prezrite prednastavljena vprašanja. Ustvarite svoje vprašanje z edinstvenim odgovorom, ki se ga boste vedno spomnili, toda nihče drug ne bi mogel uganiti.

Težje je, ko vam spletno mesto ne dovoljuje, da sami določite svoja vprašanja. V tem primeru je najbolje, da uporabite nepozaben odgovor, ki je popolna laž. Dekliško ime moje matere je Obama. Šolal sem v šolo pri Komunističnih mučencih High. Za svojo prvo službo sem bil krokar levov. Obstaja element tveganja, saj lahko pozabite, katero laž ste izbrali. Priporočam, da te čudne odgovore shranite kot varne opombe v upravitelju gesel… toda če bi uporabljali upravitelja gesel, bi si to geslo zapomnil.

Kaj storiti zdaj, ko vas skrbi

Upam, da sem vas prepričal, da je uporaba skupnih gesel gnilo ideja, kot gradnja gesel iz osebnih podatkov. Celo najboljše naključno geslo postane odgovornost, če ga uporabljate povsod. Če ste pripravljeni na ukrepe, je nekaj izhodišč:

• Uporabite upravitelja gesel.
• Preklopite na boljšega upravitelja gesel.
• Zapomnite si noro varno glavno geslo za skrbnika gesel.
• Izkoristite prednosti naključnega generatorja gesla in nadgradite svoja stara, slaba gesla.
• Lahko bi celo ustvarili svoj lastni generator naključnih gesel v Excelu.
• Kadar koli je na voljo, omogočite dvofaktorsko preverjanje pristnosti.

Če varno spletno mesto ne poskrbi za varnost, lahko še vedno izgubite poverilnice tega spletnega mesta zaradi kršitve podatkov, toda s tem, da so vsa gesla dolga, močna in edinstvena, ste storili vse, kar lahko, da zaščitite svoje spletne račune.

In hej! Zdaj, ko ste na tekočem z varnostnimi točkami, razmislite o dodajanju navideznega zasebnega omrežja ali VPN-ja. Uporaba močnih gesel za varna spletna mesta pomeni, da drugi ne morejo vdreti v vaše račune; dodajanje VPN pomeni, da ni možnosti, da bi kdo prejel vašo povezavo na ta varna spletna mesta.