Parol təhlükəsizlik

Bu yazıda təhlükəsiz parolun necə yaradılacağı, onları yaratdıqda hansı prinsiplər tətbiq edilməsi, parolların necə saxlanılması və məlumatlarınıza və hesablarınıza daxil olmağınızdan asılı olmayaraq, müştərilərin şansını minimuma endirəcəkdir.

Bu maddə "Şifrənizi necə susdurmaq olar" məqaləsinin davamıdır və siz orada təqdim olunan materialla tanış olduğunuzu bildirir və olmadan, parolların təhlükəyə düşə biləcəyi bütün əsas yolları bilirsiniz.

Şifrələri yaradın

Bu gün hər hansı bir İnternet hesabı qeydiyyatdan keçərkən, parol yaradan zaman, şifrənizin güc göstəricisini görürsünüz. Demək olar ki, hər yerdə aşağıdakı iki amilin qiymətləndirilməsi əsasında işləyir: parolun uzunluğu; şifrədə xüsusi simvollar, böyük harf və nömrələrin olması.

Qoruncu qüvvə ilə çatlamağa parol müqavimətinin həqiqətən əhəmiyyətli parametrləri olduqlarına baxmayaraq, sistemə etibarlı olmaq üçün görünən bir parol həmişə belə olmur. Məsələn, "Pa $$ gaQır" kimi bir parol (və burada xüsusi simvollar və rəqəmlər var) çox tez bir şəkildə çatdırılacaq - çünki (əvvəlki məqalədə göstərildiyi kimi) insanlar nadir hallarda nadir olaraq parol yaradırlar (parolların 50% -dən az hissəsi unikaldır) və bu seçim zindanla sızan verilənlər bazasında mövcuddur.

Necə olmaq olar? Ən yaxşı seçim, xüsusi simvolları istifadə edərək uzun təsadüfi parollar yaratmaq üçün parol generatorlarını (online kommunal şəklində, eləcə də bir çox kompüter parol menecerləri) istifadə etməkdir. Çox hallarda 10 və ya daha çox bu cür simvollar sadəcə hacker üçün maraqlı olmayacaq (yəni onun proqramı bu cür variantları seçmək üçün konfiqurasiya olunmayacaq), çünki vaxt xərcləri ödəmir. Son zamanlar Google Chrome brauzerində quraşdırılmış parol generatoru yaranıb.

Bu metodda əsas çatışmazlıq bu cür şifrələrin yadda saxlamaq çətindir. Başınıza bir parol saxlamağa ehtiyac varsa, başlıca məktublar və xüsusi simvollar olan 10 simvolu bir parol, minlərlə və ya daha çox güclü bir qüvvə tərəfindən çatdırıldığına görə (xüsusi nömrələr icazə verilən karakter dəstinə bağlıdır) yalnız az miqdarda Latın simvollarını (hətta təcavüzkarın bu barədə bildiyi halda) ehtiva edən 20 simvolu paroldan daha çox.

Beləliklə, 3-5 sadə təsadüfi İngilis dili sözlərdən ibarət olan bir parol xatırlamaq asan və çatlaq demək olar ki, mümkün deyil. Hər sözü böyük bir məktubla yazaraq, ikinci dərəcəyə qədər seçim sayını artırırıq. İngilis layoutində yazılmış 3-5 rusca söz (yenə təsadüfi, ancaq adlar və tarixlər) olmadıqda, parol seçmək üçün lüğətlərdən istifadə üsullarının hipotetik imkanları da silinir.

Şifrələri yaratmaq üçün mütləq düzgün bir yanaşma yoxdur: müxtəlif yollarla üstünlüklər və mənfi cəhətlər var (yadda saxlamaq qabiliyyəti, etibarlılıq və digər parametrlər ilə bağlıdır), lakin əsas prinsiplər aşağıdakılardır:

  • Şifrə bir çox simvoldan ibarət olmalıdır. Bu gün ən çox yayılmış məhdudiyyət 8 simvoldan ibarətdir. Təhlükəsiz bir şifrə ehtiyacınız olduqda bu kifayət deyil.
  • Mümkünse, xüsusi simvol daxil edin, üst və alt hərflər, parolda nömrələr.
  • Şifrənizdə fərdi məlumatları heç vaxt zəngin şəkildə yazılmış olsa da daxil etməyin. Tarixi, adları və soyadları yoxdur. Məsələn, müasir Julian təqviminin hər hansı bir tarixini 0-ci ildən günümüzə qədər (07/18/2015 və ya 18072015 kimi və s.) Hər hansı bir tarixini ifşa edən şifrəni saniyə saniyə çəkmək lazımdır (saat yalnız gecikmələrə görə əldə ediləcək) bəzi hallarda cəhdlər arasında).

Şifrəniz saytda nə qədər güclü olduğunu kontrol edə bilərsiniz (bəzi saytlarda, xüsusən https olmadan parol daxil olsa da, ən təhlükəsiz təcrübə deyil) //rumkin.com/tools/password/passchk.php. Real parolunuzu yoxlamaq istəmirsinizsə, onun etibarlılığı barədə bir fikir əldə etmək üçün oxşar simvol daxil edin (eyni sayda simvol və eyni simvol dəsti ilə).

Xarakterləri daxil edərkən xidməti verilən parol üçün entropi (şərti olaraq, entropiyanın 10 biti, variantların sayı 10-a qədərdir), müxtəlif dəyərlərin etibarlılığı barədə məlumat verir. 60-dan çox entropi olan parollar, hədəf seçki zamanı belə çatlamağa imkan vermir.

Müxtəlif hesablar üçün eyni parollardan istifadə etməyin.

Böyük bir kompleks parolunuz varsa, ancaq onu mümkün olduğu yerdə istifadə etsəniz, avtomatik olaraq tamamilə etibarsız hala gəlir. Hackerlar bu cür şifrəni istifadə etdiyiniz və əldə etdiyiniz saytların hər hansı birinə girildikdən sonra, digər məşhur e-poçt, oyun, sosial xidmətlər və hətta buna görə də dərhal sınanacaq (avtomatik olaraq, xüsusi proqramdan istifadə olunacaq) onlayn banklar (Parolanız artıq sızdırılmış olub olmadığını görmək yolları əvvəlki məqalənin sonunda verilmişdir).

Hər bir hesab üçün unikal bir parol çətindir, bu, əlverişsizdir, lakin bu hesablar sizin üçün əhəmiyyətli olduqda lazımdır. Baxmayaraq ki, sizin üçün heç bir dəyəri olmayan bəzi qeydiyyatlar (yəni onları itirmək və narahat olmayacaq) və şəxsi məlumatı yoxdursa, özünüzü unikal şifrələri ilə zorlamazsınız.

İki faktorlu autentifikasiya

Hətta güclü şifrələr heç kimin hesabınıza girməyəcəyinə zəmanət vermir. Şifrəni bir şəkildə və ya başqa bir şəkildə oğurlaya bilərsiniz (məsələn, phishing, ən tez-tez seçim kimi) və ya onu almaq.

Son zamanlar Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Buxar və digərləri daxil olmaqla demək olar ki, bütün ciddi onlayn şirkətlər hesablarında iki amil (və ya iki addımlı) identifikasiyası təmin etmək imkanı əlavə ediblər. Əgər təhlükəsizlik sizin üçün vacibdirsə, onun daxil edilməsini tövsiyə edirəm.

İki faktorlu autentifikasiyanın həyata keçirilməsi müxtəlif xidmətlər üçün bir qədər fərqlidir, lakin əsas prinsip aşağıdakılardır:

  1. Nömrəli bir cihazdan hesaba daxil edərkən, düzgün parolu daxil etdikdən sonra, əlavə sınaqdan keçmək istənir.
  2. Doğrulama, əvvəllər hazırlanmış çap kodları, E-poçt mesajı, bir hardware açarı (son variant Google-da ortaya çıxdığında, bu şirkət ümumiyyətlə iki faktorlu autentifikasiya baxımından ən yaxşısıdır) vasitəsilə bir SMS kodu, smartfondakı xüsusi bir proqramın köməyi ilə baş verir.

Beləliklə, təcavüzkarın şifrənizi öyrəndiyinə baxmayaraq, cihazınıza, telefonunuza və ya e-poçtunuza daxil olmadan hesabınıza daxil ola bilməyəcək.

Əgər iki faktorlu autentifikasiya işinin necə başa düşmədiyini başa düşmürsənsə, mən bu mövzuda İnternetdə məqalələr oxumağı və ya həyata keçirildiyi yerlərdə fəaliyyət üçün təsvir və qaydaları oxumağı məsləhət görürəm (bu məqalədə ətraflı təlimat daxil edə bilməyəcəyəm).

Parolun saxlanması

Hər bir sayt üçün çətin unikal parol - böyük, lakin necə saxlaya bilər? Bütün bu parolların yadda saxlanıla biləcəyi ehtimalı yoxdur. Brauzerdə saxlanan parolların saxlanması riskli bir işdir: onlar yalnız icazəsiz girişə qarşı daha həssas olmağa deyil, sadəcə bir sistem qəzasının baş verdiyi zaman və sinxronizasiya aradan qaldıqda itirilə bilər.

Ən yaxşı həll şifrə menecerləri hesab olunur, ümumiyyətlə, gizli məlumatlarınızı şifrəli təhlükəsiz bir məkanda (həm offline, həm də online) saxlayan proqramları təmsil edən, bir master paroldan istifadə edilən (eyni zamanda iki faktlı identifikasiyası mümkündür). Həmçinin, bu proqramların çoxu şifrələrin etibarlılığını yaratmaq və qiymətləndirmək üçün vasitələrlə təchiz edilmişdir.

Bir neçə il bundan əvvəl ən yaxşı Parol Menecerləri haqqında ayrı bir məqalə yazdım (bu yenidən yazmağa layiqdir, amma bu nədir və hansı proqramların məqalədən məşhur olduğu barədə fikir əldə edə bilərsiniz). Bəziləri cihazınızdakı bütün parolları saxlayan KeePass və ya 1Password kimi sadə çevrimdışı həlləri, digərləri isə sinxronizasiya imkanlarını (LastPass, Dashlane) təmsil edən daha funksional kommunalları seçir.

Tanınmış parol menecerləri, ümumiyyətlə, onları saxlamaq üçün çox etibarlı və etibarlı bir yol kimi qəbul edilir. Bununla belə, bəzi detallar nəzərə alınmalıdır:

  • Bütün parollarınıza daxil olmaq üçün yalnız bir master şifrəsini bilmək lazımdır.
  • Online saxlama (bir ay əvvəl, dünyanın ən populyar parol idarə xidməti, LastPass, hacked) online saxlama hacking halda, bütün parol dəyişdirmək lazımdır.

Mühüm parollarınızı başqa şəkildə necə saxlaya bilərsiniz? Burada bir neçə variant var:

  • Kağızınızda, sizin və ailə üzvlərinizin (siz tez-tez istifadə etmək üçün lazım olan parollara uyğun deyil) əldə edəcəyi bir təhlükəsiz giriş.
  • İstifadəçi şifrə verilənlər bazası (məsələn, KeePass) dayanıqlı bir məlumat saxlama qurğusunda saxlanılır və zərər halında bir yerdə çoğalır.

Mənim fikrimcə, yuxarıda təsvir edilən hər şeyin ən yaxşı birləşməsi aşağıdakı yanaşmadır: ən mühüm parollar (digər hesabları, bank və s. Bərpa edə biləcək əsas E-poçt) baş və (və ya) kağız üzərində təhlükəsiz yerdə saxlanılır. Daha az vacibdir və eyni zamanda tez-tez istifadə edilənlər şifrə menecerlərinə təyin edilməlidir.

Əlavə məlumat

Ümid edirəm ki, bəzi məqalələrin şifrələrin birləşməsinə birləşməsini diqqətinizə gətirməmiş təhlükəsizlikin bəzi aspektlərinə diqqət yetirmək kömək etdi. Əlbəttə ki, bütün mümkün variantları nəzərə almadım, amma sadə məntiq və prinsiplərin bəzi anlayışları müəyyən bir anda nə qədər təhlükəsiz olduğunuzu müəyyənləşdirməyə kömək edəcək. Bir daha, bir neçə qeyd və bir neçə əlavə nöqtə:

  • Müxtəlif saytlar üçün müxtəlif parollardan istifadə edin.
  • Parollar çətinləşməlidir, ən çətin parol uzunluğunu artıraraq mürəkkəbliyi artırmaqdır.
  • Şifrənin özü, onun göstərişləri, bərpa üçün test suallarını yaratarkən şəxsi məlumatlardan istifadə edə bilərsiniz.
  • Mümkün olduğunda iki addımlı identifikasiyası istifadə edin.
  • Şifrənizi təhlükəsiz saxlamaq üçün ən yaxşı yolu tapın.
  • Fişinqə diqqət yetirin (saytların ünvanlarını, şifrənin mövcudluğunu yoxlayın) və casus proqramları. Şifrəni daxil etmək istənildikləri yerdə, həqiqətən, doğru saytda daxil olub-olmadığını yoxlayın. Kompüterdə malware olmadığından əmin olun.
  • Mümkünsə, parollarınızı başqalarının kompüterlərindən istifadə etməli (lazım olsa, brauzerin gizli rejimində, hətta daha yaxşı, ekran klavyasını istifadə edin), ictimai açıq Wi-Fi şəbəkələrində, xüsusilə də saytınıza qoşulduğunuzda https şifrəniz yoxdursa .
  • Bəlkə kompüterdə və ya onlaynda ən mühüm, həqiqətən qiymətli, parol saxlamamalısınız.

Belə bir şey. Hesab edirəm ki, paranoyanın dərəcəsini yüksəltməyə nail oldum. Yuxarıda göstərilənlərin əksəriyyəti əlverişsiz görünür, "yaxşı, mənə atlayacaq" kimi düşüncələr yarana bilər, amma məxfi informasiyanın saxlanılması üçün sadə təhlükəsizlik qaydalarına əməl etmədikdə yeganə bəhanə yalnız onun əhəmiyyəti olmaması və üçüncü şəxslərin mülkiyyətinə çevriləcəkdir.