Ushbu maqolada xavfsiz parolni yaratish, ularni tuzishda qanday printsiplarga amal qilish kerakligi, parollarni qanday saqlash va sizning ma'lumotlaringiz va hisoblaringizga kiruvchi mehmonlar imkoniyatini kamaytirish masalalari ko'rib chiqiladi.
Ushbu material "Sizning parolingiz buzilgan bo'lishi mumkin" maqolasining davomi va siz u erda taqdim etilgan material bilan tanish ekanligingizni anglatadi va shundan keyingisiga parollarni buzish mumkin bo'lgan barcha asosiy usullarni bilasiz.
Parol yaratish
Bugungi kunda, har qanday Internet-qayd hisobini ro'yxatdan o'tkazish, parol yaratish, odatda parol kuchining ko'rsatkichini ko'rasiz. Deyarli har bir joyda u quyidagi ikki omilni baholash asosida ishlaydi: parol uzunligi; maxsus belgilar, katta harflar va parollarning raqamlari mavjud.
Bu ularning qo'pol kuch bilan yorilishga qarshi parol qarshiligining muhim parametrlari bo'lishiga qaramasdan, kuchli bo'lib ko'ringan parol har doim ham shunday emas. Masalan, "Pa $$ ga xos" kabi parolni (va bu erda maxsus belgilar va raqamlar) juda tez parchalanishi ehtimoldan xoli emas (avvalgi maqolada tasvirlanganidek) odamlar noyob noyob parollar yaratadilar (parollarning 50% dan kamrog'i noyobdir) va ushbu parametr buzg'unchilarga ega bo'lgan noqonuniy ma'lumotlar bazalarida allaqachon mavjud.
Qanday qilib bo'lish kerak? Eng yaxshi variant - maxsus parollar yordamida uzoq vaqt tasodifiy parollar yaratish, parol generatorlaridan foydalanish (onlayn yordam dasturlari shaklida Internetda ham, ko'pgina kompyuter parollarini boshqarish). Ko'pgina hollarda 10 yoki undan ortiq parolni hackerga qiziqtirmaydi (ya'ni, uning dasturiy ta'minotini bunday variantlarni tanlash uchun konfiguratsiya qilinmaydi), chunki vaqt xarajatlari qoplamaydi. Yaqinda Google Chrome brauzerida o'rnatilgan parol ishlab chiqaruvchisi paydo bo'ldi.
Ushbu usulda asosiy kamchilikka shundan iboratki, bunday parollarni eslash oson emas. Agar boshingizda parolni saqlash kerak bo'lsa, bosh harflar va maxsus belgilarni o'z ichiga olgan 10 ta belgidan iborat parol ming yoki undan ortiq qo'g'irchoq kuch bilan (maxsus raqamlar ruxsat berilgan belgilarga bog'liq) yorib yuborilganligi sababli boshqa variant ham mavjud. faqatgina kichik harfli lotin harflarini o'z ichiga olgan 20 ta belgidan iborat parolga qaraganda (tajovuzkor buni bilsa ham).
Shunday qilib, 3-5 oddiy tasodifiy inglizcha so'zlardan iborat parolni eslab qolish oson bo'ladi va bu yoriqning deyarli mumkin emasligi. Har bir so'zni katta harf bilan yozib, ikkinchi darajali variantlar sonini oshiramiz. Agar ular inglizcha tartibda yozilgan 3-5 ta ruscha so'z (yana tasodifiy, ammo ism va sanalar) bo'lmasa, parolni tanlash uchun lug'atlardan foydalanishning murakkab usullari haqidagi gipotetik imkoniyat ham o'chiriladi.
Parolni yaratishda mutlaqo to'g'ri yondashuv yo'q: turli yo'llardagi (eslash qobiliyati, ishonchliligi va boshqa parametrlari bilan bog'liq) afzalliklari va kamchiliklari mavjud, ammo asosiy tamoyillar quyidagilardir:
- Parol parollarning ko'p sonidan iborat bo'lishi kerak. Bugungi kunda eng keng tarqalgan cheklov 8 ta belgidan iborat. Agar sizda xavfsiz parol kerak bo'lsa, bu etarli emas.
- Iloji bo'lsa, maxsus belgilarni, yuqori va kichik harflarni, parolni kiriting.
- Hech qachon parolingizda shaxsiy ma'lumotni, hatto aqlli ko'rinishda yozilgan bo'lsa ham, kiritmang. Xurmo, ism va familiyalar yo'q. Misol uchun, zamonaviy Julian taqvimining har qanday sanasini 0-yildan yilga bugungi kunga (masalan, 07/18/2015 yoki 18072015 kabi va hokazo.) Taqdim etadigan parolni buzish soniyadan soatgacha davom etadi (va soat faqat kechikishlar tufayli olinadi) ba'zi holatlarga urinishlar orasida).
Sizning parolingiz saytda qanchalik kuchli ekanligini tekshirishingiz mumkin (garchi ba'zi saytlarda parollarni kiritish, ayniqsa, https bo'lmasa-da, eng xavfsiz amal emas) //rumkin.com/tools/password/passchk.php. Haqiqiy parolingizni tekshirmoqchi bo'lmasangiz, uning ishonchliligini bilib olish uchun shunga o'xshash (bir xil sonli belgilar va bir xil belgilar to'plamidan) kiriting.
Xarakterlarni kiritish vaqtida xizmat ma'lum bir parol uchun entropiyani hisoblaydi (shartli ravishda, entropiya uchun 10 bit, variantlar sonining soni 10 ga teng) va turli qiymatlarning ishonchliligi haqida ma'lumot beradi. 60dan oshiq entropi bo'lgan parollar, maqsadli tanlov paytida ham yorilish mumkin emas.
Turli xil hisoblar uchun bitta parolni ishlatmang.
Agar sizda katta murakkab parolingiz bo'lsa, lekin uni iloji boricha ishlatsangiz, u avtomatik tarzda to'liq ishonchsiz bo'ladi. Hackerlar siz bunday parolni ishlatadigan va unga kira oladigan saytlardan biron biriga kirsalar, boshqa barcha mashhur elektron pochta, o'yin, ijtimoiy xizmatlarda va ehtimol hatto, uni darhol sinab ko'rishlari mumkin (avtomatik ravishda maxsus dastur yordamida). Onlayn banklar (Sizning parolingiz sızdırılmış yoki yo'qligini ko'rish yo'llari oldingi maqolaning oxirida berilgan).
Har bir hisob uchun noyob parol qiyin, u noqulay, ammo bu hisoblar siz uchun muhim bo'lsa, kerak. Garchi ayrim ro'yxatdan o'tishlar siz uchun qimmat bo'lmagan (ya'ni ularni yo'qotishga tayyor va xavotirlanmasangiz) va shaxsiy ma'lumotlaringiz bo'lmasa-da, o'zingizni noyob parollar bilan o'zingizni majburlamaysiz.
Ikki faktorli autentifikatsiya
Hatto kuchli parollar ham hech kim hisobingizga kirishga kafolat bermaydi. Siz parolingizni bir yoki bir nechta (masalan, eng tez-tez ishlatib turadigan variant sifatida) o'g'irlashingiz yoki uni sizdan olishingiz mumkin.
Yaqinda Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam va boshqalar kabi jiddiy onlayn-kompaniyalar deyarli o'z hisoblarida ikki faktorli (yoki ikki bosqichli) autentifikatsiya qilish imkoniyatini qo'shganlar. Va agar siz uchun xavfsizlik muhim bo'lsa, uning kiritilishini tavsiya etaman.
Ikki faktorli autentifikatsiyani amalga oshirish turli xil xizmatlar uchun biroz farq qiladi, ammo asosiy tamoyil quyidagicha:
- Noma'lum qurilmadan hisobga kirganda, to'g'ri parolni kiritganingizdan so'ng sizdan qo'shimcha sinovdan o'tish so'raladi.
- Tekshirish SMS kodi, smartfonda maxsus dastur, oldindan tayyorlangan bosma kodlar, E-mail xabarlari, apparat kaliti (oxirgi variant Google'da paydo bo'lgan, bu kompaniya odatda ikki omilli autentifikatsiya qilish bo'yicha eng yaxshisi) yordamida amalga oshiriladi.
Shunday qilib, tajovuzkor sizning parolingizni o'rgangan bo'lsa ham, u sizning qurilmangizga, telefoningizga yoki elektron pochtangizga kirmasdan hisobingizga kira olmaydi.
Agar ikkita faktorli autentifikatsiya qanday ishlayotganini to'liq tushunmasangiz, men ushbu mavzuga bag'ishlangan Internetdagi maqolalarni o'qish yoki u amalga oshiriladigan saytlardagi ta'riflar va ko'rsatmalarni o'qishni tavsiya etaman (men ushbu maqolada batafsil ko'rsatmalarni o'z ichiga olmaydi).
Parolni saqlash
Har bir sayt uchun qiyin noyob parollar - ajoyib, ammo ularni qanday saqlash kerak? Bu barcha parollarni yodda tutish mumkin emas. Brauzerda saqlanadigan parollarni saqlash xavfli bo'lib, ular faqat ruxsatsiz kirishga nisbatan zaif bo'lib qolmaydi, biroq tizim qulashi yoki sinxronizatsiya o'chirilgan bo'lsa, ular yo'qolishi mumkin.
Eng yaxshi yechim parol menejerlari bo'lib, umuman, maxfiy ma'lumotlarni shifrlangan xavfsiz havuzda (bir vaqtda va onlaynda) saqlaydigan dasturlardan iborat bo'lib, bir ota-paroldan foydalaniladi (siz ikkita faktorli autentifikatsiyani yoqishingiz mumkin). Bundan tashqari, ushbu dasturlarning ko'pchiligi parollar ishonchliligini yaratish va baholash vositalari bilan jihozlangan.
Bir necha yil oldin, men eng yaxshi parollar menejerlari haqida alohida maqola yozdim (u qayta yozilishga arziydi, lekin siz bu maqoladan nimani va qanday dasturlardan ommalashganini bilib olishingiz mumkin). Ba'zilari sizning qurilmangizdagi barcha parollarni saqlaydigan KeePass yoki 1Password kabi oddiy onlayn rejimlarni, ba'zilari esa sinxronlashtirish imkoniyatlarini (LastPass, Dashlane) ifodalaydigan qo'shimcha funktsiyalarni afzal ko'radilar.
Taniqli parol rahbarlari odatda ularni saqlashning juda xavfsiz va ishonchli usuli deb hisoblanadilar. Biroq, ba'zi tafsilotlarni ko'rib chiqishga arziydi:
- Barcha parollaringizga kirish uchun faqat bitta asosiy parolni bilishingiz kerak.
- Onlayn saqlashni buzish (to'liq bir oy oldin, dunyoning eng mashhur parollarni boshqarish xizmati - LastPass) buzilgan bo'lsa, siz barcha parollarni o'zgartirishingiz kerak bo'ladi.
Muhim parollaringizni qanday saqlash mumkin? Bu erda bir nechta variant mavjud:
- Qog'ozda siz va o'zingizning oila a'zolaringiz (siz tez-tez ishlatadigan parollar uchun mos keladigan) mavjud bo'lgan xavfsiz foydalanishingiz mumkin.
- Uzluksiz ma'lumotlar bazasida saqlanadigan va yo'qotilgan holatlarda bir nusxada saqlanadigan passiv ma'lumotlar bazasi bazasi (masalan, KeePass).
Menimcha, yuqorida tavsiflangan narsalarning eng yaxshi kombinatsiyasi quyidagi yondashuvdir: eng muhim parollar (boshqa hisoblarni tiklashingiz mumkin bo'lgan asosiy elektron pochta, bank va boshqalar) bosh va (yoki) qog'ozda xavfsiz joyda saqlanadi. Bundan kam ahamiyatli va ayni paytda tez-tez ishlatiladigan parollar parol menejerlariga berilishi kerak.
qo'shimcha ma'lumot
Umid qilamanki, ikkingizning parollaringizdagi ikkita maqolaning bir-biringizga uyg'unligi, siz e'tibor bermagan xavfsizlikning ayrim jihatlariga e'tiborni jalb qilishga yordam berdi. Albatta, barcha variantlarni inobatga olmadim, lekin oddiy mantiq va printsiplar haqida ba'zi tushunchalar o'zimning aniq bir daqiqada nima qilayotganingizni qanday hal qilishimga yordam beradi. Yana bir bor aytib o'tilgan va bir nechta qo'shimcha fikrlar:
- Boshqa saytlar uchun turli xil parollardan foydalaning.
- Parollar murakkab bo'lishi kerak, eng qiyin parol uzunligini oshirish orqali murakkablikni oshirishdir.
- Parolni o'zi, uning maslahatlarini, tiklash uchun test savollarini yaratishda shaxsiy ma'lumotlardan foydalaning (siz buni bilib olishingiz mumkin).
- Mumkin bo'lgan joylarda ikki bosqichli autentifikatsiyadan foydalaning.
- Parolingizni xavfsiz saqlash uchun eng yaxshi usulni toping.
- Fishingdan ehtiyot bo'ling (saytlarning manzillarini tekshiring, shifrlash mavjudligi) va josus dastur. Ular qaerdan qaerdan parol kiritish so'raladi, albatta, to'g'ri saytga kirayotganingizni tekshirib ko'ring. Kompyuterda zararli dastur mavjud emasligiga ishonch hosil qiling.
- Agar iloji bo'lsa, parolingizni boshqa birovning kompyuterida ishlatmang (agar kerak bo'lsa, brauzerning inkognito rejimida yoki undan ham yaxshiroq bo'lsa, ekran klaviaturasidan foydalaning), ochiq ochiq Wi-Fi tarmoqlarida, ayniqsa saytga ulanishda https shifrlash bo'lmasa .
- Ehtimol, kompyuterda yoki onlaynda eng muhim, haqiqatdan ham qimmatbaho parollarni saqlamaysiz.
Shu kabi narsalar. Men paranoyaning darajasini ko'tarishga muvaffaq bo'ldim deb o'ylayman. Yuqorida aytib o'tilganlarning ko'pchiligi noqulay ko'rinadi, "yaxshi, u meni chetlab o'tadi" kabi fikrlar paydo bo'lishi mumkin, lekin maxfiy axborotni saqlash uchun oddiy xavfsizlik qoidalariga rioya qilgan holda dangasa bo'lishning yagona sababi uning muhim ahamiyatga ega emasligi va sizning u uchinchi shaxslarning mulkiga aylanadi.