Passord: Slik gjør du dem riktig: 10 trinn

2024 Forfatter: John Day | [email protected]. Sist endret: 2024-01-30 11:24

Tidligere i år mistet kona min tilgang til noen av kontoene hennes. Passordet hennes ble hentet fra et nettsted som ble brutt, og deretter ble det brukt for å komme inn på andre kontoer. Det var ikke før nettsteder begynte å varsle henne om mislykkede påloggingsforsøk at hun skjønte at det var noe som foregikk.

Jeg har også snakket med en rekke mennesker som sier at de bruker det samme passordet for hvert nettsted. Disse to tingene har vært nok til å anspore meg til å skrive denne Instructable.

Passordsikkerhet er en veldig liten del av online sikkerhet som helhet. Nesten hver konto krever en slags pålogging for å gi tilgang til det den beskytter. Den eneste strengen er ofte alt som står mellom en angriper og din personlige informasjon, penger, personlige bilder eller de reisepunktene du har samlet i årevis.

Denne instruksen tar sikte på å dekke noen gode fremgangsmåter for å opprette passord. Hvis du er noen som har samme passord for hvert nettsted, som har passord som et mønster på tastaturet, eller du har ordet "passord" i passordet ditt, er denne instruksjonen noe for deg.

Ansvarsfraskrivelse

Jeg er ingen sikkerhetsekspert. Denne informasjonen har blitt lært og forsket over tid og er bare en anbefaling og oppsummering av et veldig komplekst emne. Denne opplæringen ble skrevet i begynnelsen av 2018 og kan være utdatert når du leser den.

TL; DR

Hvis du ikke bryr deg om alle mine resonnementer og forklaringer bak passord og bare vil ha en enkel måte å lage sikre passord på, gå til siste trinn.

Trinn 1: Gjør det lenge

Lengde er en veldig viktig komponent for passordsikkerhet. Med hastigheten på datamaskiner som vokser stadig raskere, kan passord prøves med fantastiske hastigheter. Dette kalles "brute-force" passordsprekk. Det knytter alle mulige kombinasjoner av tegn til du finner den som passer.

I teorien gjør dette ethvert passord sprekkbart, gitt nok tid. Heldigvis, jo lengre passordet er, jo lengre tid ville det ta denne angrepstypen. Hver karakter du legger til i lengden gjør vanskeligheten mye mye vanskeligere. Hvis det er lenge nok, kan det ta flere tiår å finne det på denne måten, noe som gjør det ikke verdt det for en angriper.

Eksempel

La oss si at du har et passord som bare er store bokstaver. Dette er ikke en god idé, men dette er kun for illustrasjonsformål. Hver gang du legger til et annet tegn i passordet, multipliserer det antallet mulige passord med 26. Hvis du hadde et passord på 1 tegn, ville det ha 26 mulige passord, 2 tegn ville ha 676 mulige passord, etc. Dette begynner å snøballe raskt.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Som du kan se, gjør hver bokstav du legger til dette angrepet mye vanskeligere og praktisk talt umulig med nok tegn. Husk, dette er bare med store bokstaver. Når de blir mer komplekse, blir denne effekten forstørret.

Trinn 2: Gjør det komplisert

Kompleksitet er en annen stor faktor i passordsikkerhet. Hvis et nettsted noen gang blir brutt, er det sannsynlig at brukernavn og passord blir trukket ut. Som et grunnleggende sikkerhetsnivå, har forhåpentligvis nettstedet passordene hash (lik kryptering) før de lagres. Dette betyr at de er forvrengt før de går inn i databasen, og det er ingen måte å reversere denne forvrengningen.

Alt høres bra ut. Det spiller ingen rolle hva passordet ditt er fordi det er forvrengt, ikke sant? Det er ikke tilfelle hvis passordet ditt ikke er komplisert. Det er standard hashing -algoritmer som brukes (SHA1, MD5, SHA512, etc), og de vil alltid hash det samme på samme måte. For eksempel, hvis du bruker SHA1 og passordet ditt var "passord", vil det alltid bli lagret i databasen som "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Å lage hashes tar tid og datamaskinhastighet, og å beregne alle mulige hash for alle mulige passord er praktisk talt umulig. Det folk har gjort er å lage "ordbøker" av vanlige passord. Ting som "passord" eller "qwerty" vil selvfølgelig være der, så vel som mindre vanlige. Det vil være millioner av passord i disse ordbøkene, og det vil ta bare sekunder å gå gjennom hver oppføring og sammenligne den kjente hashen med hash av passordet ditt. Dette kalles et "ordbokangrep". Hvis din er en av de som allerede er beregnet, beskytter ikke forvirringen passordet ditt, og det kan brukes på andre nettsteder.

Også å endre bokstaver til tall legger ikke til kompleksitet. Det kan virke mer komplekst å endre E til 3 eller I til 1, men det er en så vanlig praksis at det ikke gir mer sikkerhet. Sprekkprogrammer har et alternativ som automatisk prøver disse variasjonene.

Trinn 3: Gjør det unikt

Det er vanskelig å huske passord. Med at våre liv blir stadig mer online, er det ikke uvanlig at hver person har 50+ online -kontoer, hver med sin egen pålogging. Dette kan være veldig vanskelig å holde styr på.

Den vanligste måten folk håndterer dette på er ved å velge ett "godt" passord og bruke det på en haug med forskjellige nettsteder. Dette er en forferdelig idé. Alt som trengs er for et sikkerhetsbrudd, eller et nettfiskingsnettsted for å få brukernavnet og passordet ditt til å starte ballen. Angripere kan prøve det brukernavnet og passordet på hundrevis av nettsteder i løpet av sekunder. Dette vil automatisk få dem til hvert nettsted med samme brukernavn som det kompromitterte.

Jeg vet at det å ha et annet passord for hvert nettsted virker som en skremmende oppgave, men vi tar for oss hvordan vi skal håndtere dette senere.

Trinn 4: Ingenting personlig

Informasjonen din er ikke så privat som du tror. Et raskt søk på nettet kan enkelt finne fødselsdatoen eller adressen din. Hvis en annen konto har blitt brutt, kan du enkelt få enda mer informasjon. Hvis det er en angriper som prøver å få tilgang til kontoene dine, vil disse være åpenbare passord å prøve. Det gir også adgang til familiemedlemmer, venner eller til og med bekjente.

Trinn 5: Behandle alle passordene med samme forsiktighet

Når du arbeider med nettsteder, bør du behandle sikkerheten til dem alle med samme omhu. For eksempel, hvis du har en pålogging til ditt favorittkattnettsted, bør du ta de samme forhåndsreglene som bankinnlogging. Det kan ikke virke som mye å miste tilgangen til alle de yndige kinnskjeggene, men det kan bare være et springbrett for en angriper. Brudd på det "uviktige" nettstedet kan gi en angriper mer informasjon om deg, for eksempel et annet brukernavn du har brukt, en annen e -post du brukte for å logge inn, eller faktisk informasjon som kan brukes til å låse opp andre nettsteder.

Også, hvis det er et uviktig nettsted, er det en større sjanse for at de ikke vil følge riktig sikkerhetspraksis, noe som betyr at hvis passordet ditt er langt og komplekst, men ikke unikt, og passordene ikke hasches riktig når de lagres, at passordet enkelt kan brukes på andre nettsteder. Igjen, bare fordi nettstedet er "uviktig", betyr det ikke at din sikkerhet er det.

Trinn 6: Hold det skjult

Bra - offline lagring

Lagring uten nett kan være et godt alternativ hvis du er en glemsom person. Å ha en USB -pinne som du holder låst med passordene dine på, beskytter mot de fleste angrep, med unntak av familie og venner. Bare hvis du mister denne pinnen på en eller annen måte, må du kontrollere at passordfilen eller hele stasjonen er kryptert og at pinnen er sikkerhetskopiert et sted veldig sikkert.

Denne metoden har mye sikkerhet, men på bekostning av bekvemmelighet.

Grunnen til at den skal være frakoblet, er forklart mer detaljert nedenfor. Husk at mange enheter automatisk blir sikkerhetskopiert til skyen nå, selv om du ikke mente det. Hvis du noen gang kobler denne pinnen til en enhet som har et virus eller er kompromittert, kan dataene lett kopieres av.

Bedre - husk alt

Husk alle passordene dine. Hvis du er utrolig begavet, kan dette være et alternativ. Det er ingen måte for noen å finne dem, og du har dem alltid med deg. Noen negative sider er at de fleste av oss ikke er fantastiske til å huske komplekse ting, og har en tendens til å snakke litt for mye etter en drink eller to. Spesielt med dusinvis av passord å huske, er dette sannsynligvis ikke engang et alternativ for lekmannen.

Best - Ingen lagring

Det beste tilfellet er at du ikke skal lagre dem i det hele tatt. Enten husk på en eller annen måte alle dine unike, lange, komplekse passord, eller få en måte å gjenskape dem i farten. Hvis du kjenner ingrediensene som trengs for å gjenskape dem, så er det ingen måte en angriper kan "finne" dem fordi de ikke eksisterer før det er nødvendig. Dette kan høres komplisert ut, men det er det virkelig ikke. Mer om dette senere.

Viktigheten av frakoblet

Nettsteder administreres av mennesker. For de fleste nettsteder er det sannsynligvis trygt å anta at disse menneskene generelt har gode intensjoner, men selv de beste menneskene kan gjøre feil. Bare i fjor var det en rekke enorme brudd på nettstedssikkerheten til store, generelt sikre selskaper som Linked-In, Yahoo, Equifax, Apple og Uber, for bare å nevne noen. Dette er store selskaper med sikkerhetsavdelinger, og de ble brutt.

Skylagring høres fancy ut, og den gir bekvemmelighet, men hva en "sky" egentlig er, er andres datamaskin som du bruker til å lagre filene dine. Som jeg sa ovenfor, kan folk gjøre feil. Hvis det skjer, kan passordene dine være tilgjengelige for verden. Skysider er et gigantisk mål for angripere på grunn av mengden data de har. Bryt nettstedet, få tilgang til all informasjon som potensielt millioner av mennesker har lagret.

Jeg er sikker på at noe av dette er paranoia, men med en stor del av livet ditt gjemt bak disse passordene, beskytt dem som sådan.

Trinn 7: Min anbefaling

Dette har vært en veldig lang innledning for å forklare hovedpilarene i passordsikkerhet. Hvis du følger disse 6 retningslinjene, bør du ha minimale sikkerhetsproblemer på nettet, og hvis noe skjer, bør det stoppe ved kilden, ikke spre seg til resten av ditt online liv.

Det er mange forskjellige måter du kan løse disse utfordringene. Noen er bedre enn andre og gir forskjellige fordeler. Min favoritt løsning er SuperGenPass (SGP). Jeg er ikke tilknyttet på noen måte, jeg er bare en fan.

Enkel å bruke

SGP har en app for telefonen din og en knapp som du kan legge til i nettleseren din. Når du går til et nettsted og det ber deg om pålogging, klikker du på knappen. Et lite vindu vil dukke opp. Skriv inn hovedpassordet ditt. SGP vil generere et passord for dette nettstedet og skrive det inn i passordboksen for deg!

Lang

Du kan velge lengden på passordet som opprettes. Dette vil generere passord på opptil 24 tegn, noe som er ganske sikkert, men du kan velge kortere hvis noen nettsteder begrenser lengden på passordet ditt.

Kompleks

Store, små og tall brukes, noe som er ganske sikkert. De følger ikke noe gjenkjennelig mønster uten ord eller setninger. Ingenting av nettadressen eller hovedpassordet er i denne strengen.

Unik

Hvert nettsted vil ha et helt unikt passord. Passordene for example1.com og example2.com er helt forskjellige, selv om det bare er ett tegn forskjellig i de første "ingrediensene". Som du kan se i eksemplet nedenfor, er det ingen sammenheng mellom "ingrediensene" og det resulterende passordet, og de er veldig forskjellige fra hverandre.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Oppbevaring

Den lagrer og overfører ingen data. Det kan kjøres helt offline hvis du er bekymret, og det er ingen måte for noen å finne eller stjele dem.

Trinn 8: SGP: Oppsett

Å sette opp SGP er superenkelt. Først vil du sannsynligvis legge det til i bokmerkeraden. For å gjøre dette, gå til:

chriszarate.github.io/supergenpass/

Det vil være 2 knapper å velge mellom. For å sette opp en datamaskin du vanligvis bruker, drar du venstre knapp til bokmerkeraden. Dette gir deg en ny knapp å bruke.

Hvis du bruker andres datamaskin i fremtiden, kan du velge knappen til høyre. Dette lar deg bruke SGP uten å endre noe i nettleseren. Det er også et alternativ for en mobil nettleser.

Når den er lagt til i bokmerkeraden, klikker du på knappen. Det åpner et lite vindu i hjørnet av nettsiden din. Hvis du klikker på det lille utstyret, åpnes innstillingene.

Lengde

Tallet til venstre er lengden på passordet det vil generere. Jeg anbefaler å se gjennom nettstedene du bruker mest og sette det til det høyeste antallet disse nettstedene vil tillate. Over 12 anbefales, men jo lengre jo bedre, spesielt siden du ikke trenger å huske det.

Hashtype

Det er to alternativer for hvilken type hasj som brukes, MD5 og SHA. Begge vil generere passord med store bokstaver, små bokstaver og tall. Å endre dette er en enkel måte å endre alle passordene dine mens du beholder det samme hovedpassordet.

Hemmelig passord

Den hemmelige passorddelen er en ekstra måte å sikre at alt er sikkert. Når appleten starter, hvis du har et hemmelig passord, vil det vise et lite bilde i passordboksen. Dette passordet skal ALLTID være det samme når det starter. Hvis det starter og dette bildet ikke er det det vanligvis er, er det en sjanse for at noen prøver å få hovedpassordet ditt.

Hovedpassord

Dette er ikke nødvendig under oppsettet, men det er veldig viktig. Sørg for å velge et sterkt passord. Dette er et enkelt passord som du alltid skriver inn på hvert nettsted. Sørg for at det er noe du kan huske, men er komplekst, langt og ikke-personlig.

Sparer

Når du har valgt alle innstillingene, klikker du på lagre -ikonet og tannhjulikonet igjen for å lukke innstillingene

Trinn 9: Bruk SGP

For å bruke SGP, bla til et nettsted som du normalt ville gjort. Når du trenger å skrive inn passordet ditt, klikker du på SGP -knappen du la til i bokmerkefeltet. Hvis du brukte et hemmelig passord når du konfigurerte SGP, må du kontrollere at bildet som vises i passordboksen samsvarer med det det var da du konfigurerte det.

Skriv inn hovedpassordet ditt og trykk Enter. Dette vil beregne ditt unike passord for dette nettstedet og fylle det ut for deg! Når du skriver hovedpassordet, oppdateres ikonet. Hvis bildet ikke stemmer overens med ikonet du vanligvis har, enten skrev du hovedpassordet feil, eller så prøver noen å få passordet ditt.

Avhengig av hvordan nettstedet er skrevet, kan det hende at SGP ikke kan angi passordet for deg, eller at nettstedet ikke er klar over at det er angitt. Hvis det er tilfelle, kan du klikke kopieringsikonet ved siden av den genererte passordboksen og lime den inn manuelt.

Når passordet ditt er inne, klikker du på Logg inn og du er der!

Trinn 10: Avsluttende tanker

SGP fungerer kanskje ikke for alle, og det er OK. Det er ikke den perfekte løsningen fordi det ikke er noe slikt. Hvis du har en annen tjeneste eller metode du liker å bruke for passord, må du huske på de seks trinnene for et sikkert passord. Hvis din nåværende metode kommer til kort på et par av disse områdene, kan det være på tide å lete etter en annen løsning. Ja, det kan ta en halv dag å endre alle kontoene dine, men det vil sannsynligvis være mindre hodepine enn å få kontoen din brutt.

Et notat om online lagring: Hvis tjenesten lagrer passordene dine online/i "skyen", må du sjekke sikkerhetsrutinene for å sikre at de er gode. Nettstedet vil sannsynligvis fortelle deg hva de gjør for å beskytte passordene dine hvis de gjør det riktig. Hvis du ikke er sikker, send dem en e -post og spør. Hvis de ikke kan gi deg et godt/konsist/nøyaktig svar, vær forsiktig når du bruker denne tjenesten.