'12345' Наистина е лошо: вашето крайно ръководство за сигурност на паролата

Ние ви съветваме отново и отново, че единственият безопасен начин за съхраняване и използване на пароли е да разчитате на мениджър на пароли, но някои от вас не слушат. В проучване на PCMag за пароли, само 24 процента от вас са докладвали, че използват мениджър на пароли. Какво правите останалите? Използвате лесни пароли като парола или 12345678? Запаметяване на една сложна парола и използването й навсякъде? Слушайте, грижата за сигурността на паролата не е малка материя, но предвид огромния мащаб на риска - както е показано в скорошното нарушение на колекция №1, което разкри 773 милиона хакнати имейл адреси - трябва да направите всичко възможно, за да запазите паролите си сейф.

Дори и да използвате най-добрия мениджър на пароли, това не гарантира безопасността на вашите акаунти - не и ако използвате мениджъра на пароли, за да запомните същите тези, уморени пароли. Трябва да слезете в окопите и да изключите лошите пароли за нови, по-силни.

Споменатото по-горе проучване разкри, че 35 процента от читателите на PCMag никога не променят паролите си, освен ако не са принудени да направят това поради нарушение. По принцип това не е толкова лошо нещо. Националният институт за стандарти и технологии вече не препоръчва смяна на паролите на всеки 90 дни. Сега NIST препоръчва да използвате дълги пароли като "Correct-Horse-Battery-Staple" и да ги променяте само когато е необходимо. Но ако използвате ужасни пароли, "когато е необходимо" означава в момента .

Само какво прави лоша парола? Ще разгледаме някои от атрибутите на ужасни пароли, а след това ще ви дадем някои указания как да правите паролите по правилния начин.

Стойте извън речника

На всеки няколко месеца един информационен бюлетин или друг публикува списък с най-лошите пароли. Виждаме много опции за лесен тип, като 123456 и 12345678 и qwerty. Лесно за теб? Сигурен. Но също така лесно за хакерите да се напукат. Други често срещани (и лоши) пароли се състоят от прости думи от речника. В списъка с най-лошите пароли сме виждали бейзбол, маймуна и звезди. Те също са лесни за напукване.

Някои сигурни уебсайтове се блокират след зададен брой грешни опити за парола, но много от тях не. За тези, които нямат лошо гадаене, хакерите могат да пресекат списък с имейл адреси със списък с популярни пароли и да настроят автоматизиран процес, който да поддържа опитни комбинации, докато не влязат.

Правилно защитен уебсайт не съхранява паролата ви никъде. Вместо това той изпълнява паролата чрез алгоритъм на хеширане, един вид еднопосочно криптиране. Един и същ вход винаги произвежда един и същ изход, но няма начин да се върнете към първоначалната парола от получения хеш. Ако въведената парола хешира до същата стойност, която се съхранява, получавате достъп. Дори ако хакерите улавят потребителските данни на сайта, те не получават пароли, а само хеши.

Но интелигентните хакери могат да пробият слаби пароли, дори когато са хеширани, ако знаят каква функция за хеширане използва сайтът. Те започват с пускането на огромен речник от общи пароли чрез функцията хеширане. След това търсят получените хеши в заснетите данни. Всяко съвпадение е спукана парола. Сайтовете с най-добрата сигурност подобряват хеш функцията с техника, наречена осоляване, която прави този вид напукване на базата на таблица невъзможно, но защо да поемете риск? Просто стойте извън речника.

Мисли различно

Един приятел веднъж ми каза перфектната си парола: 1qaz2wsx3edc4rfv. Тя можеше да го „въведе“, като просто плъзне пръст надолу по четири наклонени колони на клавиатурата. Беше толкова съвършена, използваше я навсякъде. И това беше голяма грешка.

Едва ли една седмица минава без новина за нарушение в някоя компания или уебсайт, излагайки хиляди или милиони потребителски имена и пароли. Умните жертви сменят паролите си веднага. Онези, които пренебрегнат проблема, могат да се окажат заключени от собствените си акаунти, след като хакерите зададат нова парола.

Тези хакери знаят, че твърде много хора рециклират паролите си. След като намерят работеща двойка потребителско име и парола, те опитват същите идентификационни данни на други сайтове. Може да не сте толкова притеснени от загубата на достъп до вашата Club Penguin акаунт, но ако сте използвали същото вход в уебсайта на вашата банка, имате големи проблеми.

Влошава се. Ако някой друг получи контрол над вашия имейл акаунт, той може първо да ви заключи, като промени паролата. Тогава те могат да влязат във вашите други акаунти, като имат връзка за нулиране на парола, изпратена по имейл. Притеснявате се още?

Не ставайте лични

Използването на лична информация като основа за вашите пароли е страшно примамливо, но е лоша идея. Шансовете са добри, че името на вашето куче се появява в речниците, които хакерите използват за брутални атаки. Други възможности като инициалите и датата на раждане на член на семейството вероятно няма да попаднат в груба атака, но ако някой иска да хакне акаунта ви конкретно, тези лични данни могат да подхранват атака при гадаене с проба и грешка.

Не мислете нито за минута, че личните ви данни са лични. Има десетки сайтове, които хората могат да използват, за да намерят подробности за никого: адрес, дата на раждане, семейно положение и др. Вашите публикации в социалните медии могат да бъдат друг източник на лична информация, особено ако не сте подсигурили правилно профилите си. Решителен хакер (или носен съсед) вероятно може да отгатне всяка парола, която изграждате въз основа на вашите собствени данни.

Затворете задната врата

Ако не използвате мениджър на пароли, със сигурност сте изпитали да забравите паролата за даден сайт. Всичко това е твърде често, поради което на практика всяка страница за вход включва „Забравена парола?“ връзка. Някои сайтове изпращат връзка за нулиране до вашия имейл адрес, докато други ви позволяват да нулирате паролата, след като отговорите на вашите въпроси за сигурност. И това отваря задната врата на всеки, който иска да хакне акаунта ви.

Повечето сайтове предлагат безпроблемни опции за въпроси за сигурност. Как е моминското име на майка ти? Къде си завършил гимназия? Коя беше първата ти работа? Както бе отбелязано, вашият личен живот е отворена книга за всеки, който има умения за търсене в интернет. Когато е възможно, игнорирайте предварително зададените въпроси. Създайте свой собствен въпрос с уникален отговор, който винаги ще помните, но никой друг не може да гадае.

По-трудно е, когато сайтът не ви позволява да определите вашите собствени въпроси. В такъв случай най-добрият ви залог е да използвате запомнящ се отговор, който е пълна лъжа. Девойското име на майка ми е Обама. Ходих на училище при комунистическите мъченици. За първата си работа бях укротител на лъв. Има елемент на риск, тъй като може да забравите коя лъжа сте избрали. Бих предложил да съхранявате тези странни отговори като сигурни бележки във вашия мениджър на пароли… но ако използвате мениджър на пароли, той щеше да запомни паролата за вас.

Какво да правя сега, когато те интересува

Надявам се да съм ви убедил, че използването на общи пароли е гнила идея, като изграждане на пароли от лична информация. И дори най-добрата силна, случайна парола става отговорност, ако я използвате навсякъде. Ако сте готови да предприемете действия, ето няколко изходни точки:

• Използвайте мениджър на пароли.
• Превключете към по-добър мениджър на пароли.
• Запомнете безумно защитената главна парола за вашия мениджър на пароли.
• Възползвайте се от произволен генератор на пароли, за да надстроите старите си, лоши пароли.
• Можете дори да създадете свой собствен генератор на произволни пароли в Excel.
• Активирайте двуфакторна автентификация, когато е налице.

Ако защитен сайт не се грижи за сигурността, все още можете да загубите идентификационните данни на този сайт до нарушаване на данните, но като направите всички ваши пароли дълги, силни и уникални, сте направили всичко възможно, за да защитите вашите онлайн акаунти.

И ей! Сега, когато вече сте на роли, по отношение на сигурността, помислете за добавяне на виртуална частна мрежа или VPN. Използването на силни пароли за сигурни сайтове означава, че другите не могат да проникнат във вашите акаунти; добавянето на VPN означава, че няма вероятност някой да пресече вашата връзка към тези защитени сайтове.