Mga Password: Paano Gawin ang Kanan Kanan: 10 Hakbang

2024 May -akda: John Day | [email protected]. Huling binago: 2024-01-30 13:14

Mas maaga sa taong ito, nawala ang pag-access ng aking asawa sa ilan sa kanyang mga account. Ang kanyang password ay kinuha mula sa isang nilabag na site, pagkatapos ay ginamit iyon upang makapasok sa iba pang mga account. Hanggang sa magsimulang ipagbigay-alam sa kanya ng mga site ang mga nabigong pagtatangka sa pag-login na napagtanto niya na may nangyayari.

Nakausap ko rin ang bilang ng mga tao na nagsasabing gumagamit sila ng parehong password para sa bawat site. Ang dalawang bagay na ito ay sapat na upang mag-udyok sa akin na isulat ang Maituturo na ito.

Ang seguridad ng password ay isang napakaliit na bahagi ng seguridad sa online bilang isang kabuuan. Halos bawat account ay nangangailangan ng ilang uri ng pag-login upang payagan ang pag-access sa anumang pinoprotektahan nito. Ang solong string na iyon ay madalas na ang lahat ay nakatayo sa pagitan ng isang umaatake at iyong personal na impormasyon, pera, personal na larawan, o ang mga travel point na iyong nakolekta sa loob ng maraming taon.

Nilalayon ng itinuturo na ito upang masakop ang ilang mga pinakamahusay na kasanayan para sa paglikha ng mga password. Kung ikaw ay isang tao na may parehong password para sa bawat website, sino ang mga password ay isang pattern sa keyboard, o mayroon kang salitang "password" sa iyong password, ang itinuturo na ito ay para sa iyo.

Pagwawaksi

Hindi ako dalubhasa sa seguridad. Ang impormasyong ito ay natutunan at sinaliksik sa paglipas ng panahon at ito ay isang rekomendasyon at buod lamang ng isang napaka-kumplikadong paksa. Ang tutorial na ito ay isinulat sa simula ng 2018 at maaaring hindi na napapanahon sa oras na basahin mo ito.

TL; DR

Kung wala kang pakialam sa lahat ng aking pangangatuwiran at paliwanag sa likod ng mga password at nais mo lamang ng isang madaling paraan upang makagawa ng mga ligtas na password, laktawan ang huling hakbang.

Hakbang 1: Gawin itong Mahaba

Ang haba ay isang napakahalagang sangkap sa seguridad ng password. Sa bilis ng mga computer na lumalaki nang mas mabilis, ang mga password ay maaaring subukan sa kamangha-manghang bilis. Tinatawag itong "brute-force" na pag-crack ng password. Ito ay tinali ang bawat posibleng kumbinasyon ng mga character hanggang sa makita mo ang isa na tumutugma.

Sa teorya, ginagawang crackable ang anumang password, na binigyan ng sapat na oras. Sa kabutihang palad, kung mas mahaba ang password, mas matagal itong tumatagal ng ganitong uri ng pag-atake. Ang bawat character na idinagdag mo sa haba ay ginagawang mas mahirap ang paghihirap. Kung ito ay sapat na mahaba, maaaring tumagal ng mga dekada upang makita ito sa ganitong paraan, na ginagawang hindi sulit para sa isang umaatake.

Halimbawa

Sabihin nating mayroon kang isang password na mga malalaking titik lamang. Ito ay hindi isang magandang ideya, ngunit ito ay para sa mga layunin ng paglalarawan lamang. Sa tuwing magdagdag ka ng isa pang character sa password, pinarami nito ang bilang ng mga posibleng password sa pamamagitan ng 26. Kung mayroon kang isang 1 character na password, magkakaroon ito ng 26 mga posibleng password, 2 character ay mayroong 676 na posibleng mga password, atbp. Nagsisimula ito sa snowball nang mabilis.

1. 26
2. 676

3. 17576

4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Tulad ng nakikita mo, ang bawat liham na idinagdag mo ay ginagawang mas mahirap ang pag-atake na ito, at halos imposible na may sapat na mga character. Tandaan, sa mga malalaking titik lamang ito. Kapag naging mas kumplikado sila, ang epekto na ito ay napalalaki.

Hakbang 2: Gawin itong Komplikado

Ang pagiging kumplikado ay isa pang malaking kadahilanan sa seguridad ng password. Kung ang isang website ay nalabag, malamang na ang mga username at password ay mabunot. Bilang isang pangunahing antas ng seguridad, sana ang website ay may mga password na hash (katulad ng pag-encrypt) bago itago. Nangangahulugan ito na ang mga ito ay garbled bago sila pumunta sa database, at walang paraan upang baligtarin ang garbling na ito.

Mabuti itong tunog. Hindi mahalaga kung ano ang iyong password dahil ito ay garbled, tama? Hindi iyon ang kaso kung ang iyong password ay hindi kumplikado. Mayroong karaniwang mga hash algorithm na ginamit (SHA1, MD5, SHA512, atbp) at palagi nilang mai-hash ang parehong bagay sa parehong paraan. Halimbawa, kung gumagamit ka ng SHA1 at ang iyong password ay "password", maiimbak ito sa database bilang "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", palagi.

Ang paglikha ng mga hash ay tumatagal ng oras at computer oomph, at ang pagkalkula ng lahat ng posibleng mga hash para sa lahat ng mga posibleng password ay imposible. Ang nagawa ng mga tao ay gumawa ng "mga dictionary" ng mga karaniwang password. Ang mga bagay tulad ng "password" o "qwerty" ay magiging syempre doon, pati na rin ang mga hindi gaanong karaniwan. Magkakaroon ng milyun-milyong mga password sa mga dictionary na ito at tatagal lamang ng segundo upang mapunta sa bawat entry at ihambing ang kilalang hash sa hash ng iyong password. Ito ay tinatawag na isang "atake sa diksyonaryo". Kung ang iyo ay isa sa mga nakalkula na, ang garbling ay hindi maprotektahan ang iyong password, at maaari itong magamit sa iba pang mga site.

Gayundin, ang pagbabago ng mga titik sa mga numero ay hindi nagdaragdag ng pagiging kumplikado. Maaaring mukhang mas kumplikado ang pagbabago ng E sa 3 o I sa 1, ngunit iyon ay isang pangkaraniwang kasanayan na nagdaragdag ng walang karagdagang seguridad. Ang mga cracking na programa ay may isang pagpipilian na awtomatikong susubukan ang mga pagkakaiba-iba.

Hakbang 3: Gawin itong Natatangi

Ang pag-alala sa mga password ay mahirap. Sa aming buhay na nagiging online, hindi bihira para sa bawat tao na magkaroon ng 50+ mga online account, bawat isa ay may sariling pag-login. Ito ay maaaring maging napakahirap subaybayan.

Ang pinakakaraniwang paraan ng paghawak ng mga tao dito ay sa pamamagitan ng pagpili ng isang "mabuting" password at gamitin ito sa isang bungkos ng iba't ibang mga website. Ito ay isang kakila-kilabot na ideya. Ang kinakailangan lamang ay para sa isang paglabag sa seguridad, o isang website ng phishing upang makuha ang iyong username at password upang simulan ang pagulong ng bola. Maaaring subukan ng mga umaatake ang username at password na iyon sa daan-daang mga website sa loob ng ilang segundo. Awtomatiko nitong makukuha ang mga ito sa bawat website na may parehong username tulad ng nakompromiso.

Alam kong ang pagkakaroon ng iba't ibang password para sa bawat site ay tila isang nakasisindak na gawain, ngunit sasakupin namin kung paano ito hawakan sa paglaon.

Hakbang 4: Walang Personal

Ang iyong impormasyon ay hindi pribado gaya ng iniisip mo. Ang isang mabilis na paghahanap sa online ay madaling mahanap ang iyong petsa ng kapanganakan o address. Kung may ibang account na na-breach, mas maraming impormasyon ang madaling makuha. Kung may isang magsasalakay na sumusubok na makapasok sa iyong mga account, halata ang mga password na susubukan. Iniwan din nito ang pagpasok na bukas sa mga miyembro ng pamilya, kaibigan, o kahit na mga kakilala.

Hakbang 5: Tratuhin ang Lahat ng Mga Password Sa Parehong Pag-aalaga

Kapag nakikipag-usap sa mga website, dapat mong tratuhin ang seguridad ng lahat sa kanila na may parehong antas ng pangangalaga. Halimbawa, kung mayroon kang isang pag-login sa iyong paboritong website ng pusa, dapat mong gawin ang parehong pag-iingat sa iyong pag-login sa bangko. Maaaring hindi gaanong mawalan ng pag-access sa lahat ng mga kaibig-ibig na balbas, ngunit maaaring iyon ay isang stepping-bato para sa isang umaatake. Ang paglabag sa "hindi mahalaga" na website ay maaaring magbigay sa isang magsasalakay ng karagdagang impormasyon tungkol sa iyo, tulad ng ibang pangalan na ginamit mo, ibang email na ginamit mo upang mag-login, o tunay na impormasyon na maaaring magamit upang ma-unlock ang iba pang mga website.

Gayundin, kung ito ay isang hindi mahalagang website, mayroong isang mas mahusay na pagkakataon na hindi sila susundan ng wastong mga kasanayan sa seguridad, na nangangahulugang kung ang iyong password ay mahaba at kumplikado, ngunit hindi natatangi, at ang mga password ay hindi na-hash nang maayos kapag naimbak, ang password na iyon ay maaaring madaling magamit sa ibang mga website. Muli, dahil lamang sa "hindi mahalaga" ang site, hindi nangangahulugang ang iyong seguridad ay.

Hakbang 6: Panatilihing Nakatago Ito

Mabuti - Offline Storage

Ang offline na pag-iimbak ay maaaring maging isang mahusay na pagpipilian kung ikaw ay isang nakakalimutang tao. Ang pagkakaroon ng isang USB stick na itinatago mong naka-lock ang iyong mga password dito ay pinoprotektahan laban sa karamihan ng mga pag-atake, maliban sa pamilya at mga kaibigan. Kung sakali na mawala sa iyo ang stick na ito kahit papaano, tiyakin na ang file ng password o ang buong drive ay naka-encrypt at na ang stick ay nai-back up sa isang lugar na napaka-ligtas.

Ang pamamaraang ito ay may maraming seguridad, ngunit sa gastos ng kaginhawaan.

Ang dahilan na dapat itong offline ay ipinaliwanag nang mas detalyado sa ibaba. Tandaan na maraming mga aparato ay awtomatikong nai-back-up sa cloud ngayon, kahit na hindi mo sinasadya. Gayundin, kung mai-plug mo ang stick na ito sa isang aparato na mayroong isang virus o nakompromiso, ang data ay madaling makopya.

Mas mahusay - Alalahanin ang Lahat

Tandaan ang lahat ng iyong mga password. Kung ikaw ay hindi kapani-paniwalang regalo, maaaring ito ay isang pagpipilian. Walang paraan para mahahanap sila ng isang tao, at palagi mo silang kasama. Ang ilang mga down-panig ay ang karamihan sa atin ay hindi kamangha-mangha sa pag-alala sa mga kumplikadong bagay, at may posibilidad na magsalita nang kaunti pagkatapos ng pag-inom o dalawa. Lalo na sa mga dose-dosenang mga password na dapat tandaan, malamang na hindi ito isang opsyon para sa lay-person.

Pinakamahusay - Walang Imbakan

Pinakamahusay na sitwasyon na pangyayari ay para sa iyo upang hindi maiimbak ang lahat sa kanila. Alinman sa paanuman tandaan ang lahat ng iyong natatanging, mahaba, kumplikadong mga password, o may isang paraan upang muling likhain ang mga ito on-the-fly. Kung alam mo ang mga sangkap na kinakailangan upang muling likhain ang mga ito, kung gayon walang paraan na "hanapin" ng isang umaatake sa kanila dahil wala sila hanggang kinakailangan. Maaari itong maging kumplikado, ngunit hindi talaga. Higit pa rito

Ang Kahalagahan ng Offline

Ang mga website ay pinamamahalaan ng mga tao. Para sa karamihan ng mga website, marahil ay ligtas na ipalagay na ang mga taong ito sa pangkalahatan ay may mabuting hangarin, ngunit kahit na ang pinakamahusay na mga tao ay maaaring magkamali. Noong nakaraang taon lamang, mayroong isang bilang ng mga malalaking paglabag sa seguridad ng website ng malalaki, pangkalahatang ligtas na mga kumpanya tulad ng Linked-In, Yahoo, Equifax, Apple, at Uber, upang pangalanan lamang ang ilan. Ang mga ito ay malalaking kumpanya na may mga kagawaran ng seguridad at nilabag ang mga ito.

Ang pag-iimbak ng cloud ay kamangha-mangha, at nag-aalok ito ng kaginhawaan, ngunit kung ano ang isang "ulap" sa katotohanan ay computer ng ibang tao na ginagamit mo upang maiimbak ang iyong mga file. Tulad ng sinabi ko sa itaas, ang mga tao ay maaaring magkamali. Kung nangyari iyon, maaaring magamit ang iyong mga password sa mundo. Ang mga cloud site ay isang higanteng target para sa mga umaatake dahil sa dami ng data na hawak nila. Masira ang cloud site, makakuha ng access sa lahat ng impormasyon na naimbak ng milyun-milyong tao.

Sigurado ako na ang ilan sa mga ito ay paranoia, ngunit sa isang malaking tipak ng iyong buhay na nakatago sa likod ng mga password na ito, protektahan ang mga ito tulad ng.

Hakbang 7: Ang Aking Rekumenda

Ito ay naging isang napakahabang paunang salita upang ipaliwanag ang pangunahing mga haligi ng seguridad ng password. Kung susundin mo ang 6 na alituntunin na iyon, dapat kang magkaroon ng kaunting mga problema sa seguridad sa online, at kung may anumang mangyari, dapat itong huminto sa pinagmulan, hindi kumalat sa natitirang iyong online na buhay.

Maraming iba't ibang mga paraan upang malutas mo ang mga hamon na ito. Ang ilan ay mas mahusay kaysa sa iba at nagbibigay ng iba't ibang mga benepisyo. Ang aking paboritong solusyon ay ang SuperGenPass (SGP). Hindi ako kaanib sa anumang paraan, fan lang ako.

Simpleng Gagamitin

Ang SGP ay may isang app para sa iyong telepono, at isang pindutan na maaari mong idagdag sa iyong browser. Kapag nagpunta ka sa isang website at tinanong ka nito para sa iyong pag-login, mag-click sa pindutan. Ang isang maliit na window ay pop up. Ipasok ang iyong master password. Ang SGP ay bubuo ng isang password para sa site na ito at ipasok ito sa kahon ng password para sa iyo!

Mahaba

Maaari mong piliin ang haba ng nilikha na password. Lilikha ito ng mga password hanggang sa 24 na mga character, na kung saan ay lubos na ligtas, ngunit maaari kang pumili ng mas maikli kung ang ilang mga website ay naglilimita sa haba ng iyong password.

Komplikado

Gamit ang malalaki, maliit na titik, at numero, na medyo ligtas. Hindi nila sinusunod ang anumang makikilalang pattern na walang mga salita o parirala. Wala sa iyong URL o master password ang nasa string na ito.

Natatangi

Ang bawat website ay magkakaroon ng isang ganap na natatanging password. Ang mga password halimbawa1.com at halimbawa2.com ay ganap na magkakaiba, kahit na may isang character lamang na naiiba sa paunang "mga sangkap". Tulad ng nakikita mo sa halimbawa sa ibaba, walang koneksyon sa pagitan ng "mga sangkap" at ang nagresultang password at ang mga ito ay SOBRANG naiiba sa bawat isa.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Imbakan

Nag-iimbak at hindi nagpapadala ng data. Maaari itong patakbuhin nang buong offline kung nag-aalala ka at walang paraan para hanapin o magnakaw ng isang tao.

Hakbang 8: SGP: Pag-setup

Ang pag-set up ng SGP ay sobrang simple. Una, marahil ay gugustuhin mong idagdag ito sa iyong mga bookmark bar. Upang magawa ito, pumunta sa:

chriszarate.github.io/supergenpass/

Magkakaroon ng 2 mga pindutan upang pumili mula sa. Upang mag-setup ng computer na karaniwang ginagamit mo, i-drag ang kaliwang pindutan sa iyong bookmarks bar. Bibigyan ka nito ng isang bagong pindutan upang magamit.

Kung gumagamit ka ng computer ng ibang tao sa hinaharap, maaari mong piliin ang pindutan sa kanan. Papayagan ka nitong gumamit ng SGP nang hindi binabago ang anumang bagay sa kanilang browser. Ito rin ay isang pagpipilian para sa isang mobile browser.

Kapag naidagdag na ito sa iyong mga bookmark bar, mag-click sa pindutan. Bubuksan nito ang isang maliit na window sa sulok ng iyong webpage. Ang pag-click sa maliit na gear ay magbubukas ng mga setting.

Haba

Ang numero sa kaliwa ay ang haba ng password na malilikha nito. Inirerekumenda ko ang pagtingin sa mga site na iyong pinaka ginagamit at itakda ito sa pinakamataas na bilang na papayagan ng mga site na ito. Inirerekomenda ang higit sa 12, ngunit kung mas mahaba mas mabuti, lalo na't hindi mo ito kailangang tandaan.

Uri ng Hash

Mayroong dalawang mga pagpipilian para sa kung anong uri ng hash ang ginagamit, MD5 at SHA. Parehong bubuo ng mga password na may malalaking titik, maliit na titik, at numero. Ang pagpapalit nito ay isang simpleng paraan upang baguhin ang lahat ng iyong mga password habang pinapanatili ang parehong master password.

Lihim na Password

Ang seksyon ng lihim na password ay isang idinagdag na paraan upang matiyak na ang lahat ay ligtas. Kapag nagsimula ang applet, kung mayroon kang isang lihim na password, magpapakita ito ng isang maliit na imahe sa kahon ng password. Ang password na ito ay dapat palaging magiging pareho kapag nagsisimula ito. Kung nagsisimula ito at ang imaheng ito ay hindi kung ano ito karaniwan, mayroong isang pagkakataon na may isang taong sumusubok na makuha ang iyong master password.

Master Password

Hindi ito kinakailangan sa panahon ng pag-set up, ngunit ito ay napakahalaga. Tiyaking pumili ng isang malakas na password. Ito ay isang solong password na palagi mong inilalagay sa bawat site. Tiyaking ito ay isang bagay na maaari mong matandaan, ngunit kumplikado, mahaba, at hindi personal.

Nagse-save

Kapag pinili mo ang lahat ng iyong mga setting, i-click ang icon na i-save at ang icon na gear muli upang isara ang mga setting

Hakbang 9: Gumamit ng SGP

Upang magamit ang SGP, mag-browse sa isang website tulad ng karaniwang gusto mo. Kapag kailangan mong ipasok ang iyong password, mag-click sa pindutan ng SGP na idinagdag mo sa iyong bookmark bar. Kung gumamit ka ng isang lihim na password kapag nagse-set up ng SGP, tiyaking tumutugma ang imaheng lalabas sa kahon ng password kung ano ito noong itinakda mo ito.

I-type ang iyong Master Password at pindutin ang Enter. Kalkulahin nito ang iyong natatanging password para sa website na ito at punan ito para sa iyo! Habang nagta-type ka ng iyong Master Password, mag-a-update ang icon. Kung ang imahe ay hindi tugma sa icon na karaniwang mayroon ka, alinman na nai-type mong mali ang iyong Master Password, o may sumusubok na makuha ang iyong password.

Nakasalalay sa kung paano nakasulat ang site, maaaring hindi mailagay ng SGP ang password para sa iyo, o maaaring hindi mapagtanto ng site na naipasok na ito. Kung iyon ang kaso, maaari mong i-click ang icon na kopya sa tabi ng nabuong kahon ng password at i-paste ito nang manu-mano.

Kapag ang iyong password ay nasa, i-click ang Login at nandiyan ka na!

Hakbang 10: Pangwakas na Mga Saloobin

Maaaring hindi gumana ang SGP para sa lahat, at OK lang iyon. Hindi ito ang perpektong solusyon sapagkat walang ganoong bagay. Kung mayroon kang ibang serbisyo o pamamaraan na nais mong gamitin para sa mga password, tandaan ang 6 na mga hakbang para sa isang ligtas na password. Kung ang iyong kasalukuyang pamamaraan ay bumagsak sa isang pares ng mga lugar na ito, maaaring oras na upang maghanap ng isa pang solusyon. Oo, maaaring tumagal ng kalahating araw upang mabago ang lahat ng iyong mga account, ngunit malamang na mas mababa ito sa sakit ng ulo kaysa malabag ang iyong mga account.

Isang tala tungkol sa online na imbakan: Kung ang serbisyo ay nag-iimbak ng iyong mga password sa online / sa "cloud", suriin ang kanilang mga kasanayan sa seguridad upang matiyak na ang mga ito ay mabuti. Malamang sasabihin sa iyo ng site kung ano ang ginagawa nila upang maprotektahan ang iyong mga password kung ginagawa nila ito nang maayos. Kung hindi ka sigurado, kunan sila ng isang email at magtanong. Kung hindi ka nila mabibigyan ng mabuti / maigsi / tumpak na sagot, mag-ingat sa paggamit ng serbisyong iyon.