Heslá: Ako ich urobiť správne: 10 krokov

2024 Autor: John Day | [email protected]. Naposledy zmenené: 2024-01-30 12:00

Začiatkom tohto roka moja manželka stratila prístup k niektorým svojim účtom. Jej heslo bolo prevzaté z narušeného webu a potom bolo použité na prístup do iných účtov. Až keď ju stránky začali upozorňovať na neúspešné pokusy o prihlásenie, došlo jej, že sa niečo deje.

Tiež som sa rozprával s niekoľkými ľuďmi, ktorí tvrdia, že pre všetky stránky používajú rovnaké heslo. Tieto dve veci mi stačili na to, aby som napísal tento návod.

Zabezpečenie heslom je veľmi malá časť online zabezpečenia ako celku. Takmer každý účet vyžaduje nejaký druh prihlásenia, aby umožnil prístup k čomukoľvek, čo chráni. Tento jediný reťazec je často všetko, čo stojí medzi útočníkom a vašimi osobnými informáciami, peniazmi, osobnými obrázkami alebo cestovnými bodmi, ktoré zbierate už roky.

Tento návod má za cieľ pokryť niektoré osvedčené postupy pri vytváraní hesiel. Ak ste niekým, kto má rovnaké heslo pre všetky webové stránky, koho heslá sú vzorom na klávesnici alebo máte v hesle slovo „heslo“, tento návod je pre vás.

Vylúčenie zodpovednosti

Nie som odborník na bezpečnosť. Tieto informácie boli postupom času naučené a preskúmané a sú iba odporúčaním a zhrnutím veľmi komplexnej témy. Tento návod bol napísaný na začiatku roku 2018 a v čase, keď si ho prečítate, môže byť zastaraný.

TL; DR

Ak vás nezaujíma všetko moje zdôvodnenie a vysvetlenie hesiel a chcete iba jednoduchý spôsob vytvárania bezpečných hesiel, prejdite na posledný krok.

Krok 1: Nech je to dlhé

Dĺžka je jednou z veľmi dôležitých zložiek zabezpečenia heslom. Keďže rýchlosť počítačov rastie stále rýchlejšie, heslá je možné skúšať úžasnou rýchlosťou. Hovorí sa tomu prelomenie hesla „hrubou silou“. Spája všetky možné kombinácie postáv, kým nenájdete ten, ktorý sa zhoduje.

Teoreticky to znamená, že akékoľvek heslo je prelomiteľné, ak je na to dostatok času. Našťastie čím dlhšie je heslo, tým dlhšie trvá tento typ útoku. Každá postava, ktorú pridáte k dĺžke, robí náročnosť oveľa ťažšou. Pokiaľ je dostatočne dlhý, môže trvať desaťročia, kým ho nájdete týmto spôsobom, čo útočníkovi nestojí za to.

Príklad

Povedzme, že máte heslo, ktoré je iba veľkými písmenami. Nie je to dobrý nápad, ale slúži len na ilustračné účely. Zakaždým, keď k heslu pridáte ďalší znak, znásobí počet možných hesiel číslom 26. Ak by ste mali jednoznakové heslo, znamenalo by to 26 možných hesiel, 2 znaky by mali mať 676 možných hesiel atď. Začína sa to rýchlo snežiť.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Ako vidíte, každé písmeno, ktoré pridáte, robí tento útok oveľa ťažším a pri dostatku postáv je prakticky nemožný. Pamätajte si, že toto je len s veľkými písmenami. Akonáhle začnú byť komplexnejšie, tento efekt sa zvýši.

Krok 2: Urobte to komplexným

Zložitosť je ďalším veľkým faktorom zabezpečenia heslom. Ak dôjde k narušeniu webových stránok, je pravdepodobné, že budú odstránené používateľské mená a heslá. Ako základnú úroveň zabezpečenia dúfajme, že webová stránka pred uložením hashuje heslá (podobne ako šifrovanie). To znamená, že sú skomolení predtým, ako sa dostanú do databázy, a neexistuje spôsob, ako toto kloktanie zvrátiť.

To všetko znie dobre. Nezáleží na tom, aké je vaše heslo, pretože je skomolené, však? To nie je prípad, ak vaše heslo nie je zložité. Používajú sa štandardné hashovacie algoritmy (SHA1, MD5, SHA512 atď.) A vždy budú hašovať to isté rovnakým spôsobom. Ak napríklad používate SHA1 a vaše heslo bolo „heslo“, bude uložené v databáze ako „5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8“, vždy.

Vytváranie hashov vyžaduje čas a počítačový výpočet a výpočet všetkých možných hash pre všetky možné heslá je prakticky nemožný. Ľudia urobili to, že vytvorili „slovníky“bežných hesiel. Veci ako „heslo“alebo „qwerty“tam samozrejme budú, rovnako ako menej bežné. V týchto slovníkoch budú milióny hesiel a bude trvať iba niekoľko sekúnd, kým prejdete každým záznamom a porovnáte známy hash s hašovaním vášho hesla. Hovorí sa tomu „slovníkový útok“. Ak je ten váš jeden z tých, ktoré už boli vypočítané, kloktanie neochráni vaše heslo a dá sa použiť na iných weboch.

Zmena písmen na čísla tiež nepridáva na zložitosti. Môže sa to zdať zložitejšie zmeniť E na 3 alebo I na 1, ale je to taká bežná prax, že to nepridáva žiadne ďalšie zabezpečenie. Cracking programy majú možnosť, ktorá tieto variácie automaticky vyskúša.

Krok 3: Urobte to jedinečným

Zapamätať si heslá je ťažké. Keďže je náš život stále online, nie je neobvyklé, že každý človek má viac ako 50 online účtov, z ktorých každý má svoje vlastné prihlasovacie meno. To môže byť veľmi ťažké sledovať.

Ľudia to najčastejšie riešia tak, že si vyberú jedno „dobré“heslo a použijú ho na mnohých rôznych webových stránkach. Je to hrozný nápad. Stačí, aby jedno narušenie bezpečnosti alebo jedna phishingová webová stránka poskytla vaše používateľské meno a heslo na spustenie loptičky. Útočníci si mohli toto používateľské meno a heslo vyskúšať na stovkách webových stránok v priebehu niekoľkých sekúnd. To by ich automaticky dostalo na každú webovú stránku s rovnakým používateľským menom ako napadnuté.

Viem, že mať pre každé webové stránky iné heslo sa javí ako skľučujúca úloha, ale ako sa s tým vysporiadať, povieme si neskôr.

Krok 4: Nič osobné

Vaše informácie nie sú také súkromné, ako si myslíte. Rýchle online vyhľadávanie môže ľahko nájsť dátum alebo adresu vášho narodenia. Ak dôjde k prelomeniu iného účtu, je možné ľahko získať ešte viac informácií. Ak sa do vašich účtov pokúša dostať útočník, boli by to zrejme zrejmé heslá. Necháva vstup otvorený aj pre rodinných príslušníkov, priateľov alebo dokonca známych.

Krok 5: Zaobchádzajte so všetkými heslami rovnako opatrne

Pri práci s webovými stránkami by ste mali k bezpečnosti všetkých pristupovať rovnako starostlivo. Ak sa napríklad prihlásite na svoj obľúbený web pre mačky, mali by ste urobiť rovnaké opatrenia ako prihlásenie do banky. Zdá sa, že stratiť prístup k všetkým tým rozkošným fúzom nie je veľa, ale to môže byť len odrazový mostík pre útočníka. Porušenie týchto „nedôležitých“webových stránok by útočníkovi mohlo poskytnúť viac informácií o vás, ako napríklad iné používateľské meno, ktoré ste použili, iný e -mail, ktorý ste použili na prihlásenie, alebo skutočné informácie, ktoré by bolo možné použiť na odomknutie iných webových serverov.

Ak ide o nedôležitý web, existuje väčšia šanca, že nebudú dodržiavať správne bezpečnostné postupy, čo znamená, že ak je vaše heslo dlhé a zložité, ale nie jedinečné a heslá nie sú pri ukladaní správne hašované, toto heslo je možné ľahko použiť na iných webových stránkach. To, že sú stránky „nedôležité“, opäť neznamená, že je to aj vaše zabezpečenie.

Krok 6: Nechajte to skryté

Dobré - offline úložisko

Offline úložisko môže byť dobrou voľbou, ak ste zábudlivý človek. Mať USB kľúč, ktorý uchovávate uzamknutý a chránené heslom, chráni pred väčšinou útokov, s výnimkou rodiny a priateľov. Len pre prípad, že by ste nejakým spôsobom stratili túto páčku, skontrolujte, či je súbor s heslom alebo celý disk zašifrovaný a či je páčka zálohovaná na veľmi bezpečnom mieste.

Táto metóda má veľa zabezpečenia, ale za cenu pohodlia.

Dôvod, prečo by mal byť offline, je podrobnejšie vysvetlený nižšie. Majte na pamäti, že mnoho zariadení sa teraz automaticky zálohuje do cloudu, aj keď ste to nechceli. Tiež, ak niekedy pripojíte túto páčku k zariadeniu, ktoré je vybavené vírusom alebo je napadnuté, údaje je možné ľahko skopírovať.

Lepšie - pamätať si všetko

Zapamätajte si všetky svoje heslá. Ak ste neuveriteľne nadaní, môže to byť alternatíva. Nie je možné, aby ich niekto našiel a máte ich vždy pri sebe. Niektoré negatívne stránky sú, že väčšina z nás nie je úžasná v tom, keď si pamätá zložité veci, a po jednom alebo dvoch nápojoch má tendenciu hovoriť príliš veľa. Zvlášť pri desiatkach hesiel, ktoré si treba zapamätať, to pravdepodobne ani nie je možné pre laikov.

Najlepšie - žiadne úložisko

Najlepším prípadom je, že ich nebudete vôbec skladovať. Buď si nejako zapamätáte všetky svoje jedinečné, dlhé a zložité heslá, alebo budete mať spôsob, ako ich znova vytvoriť za behu. Ak poznáte prísady potrebné na ich obnovu, potom neexistuje spôsob, akým by ich útočník mohol „nájsť“, pretože neexistujú, kým nie sú potrebné. Znie to možno komplikovane, ale v skutočnosti to tak nie je. Viac o tom neskôr.

Dôležitosť offline

Webové stránky spravujú ľudia. U väčšiny webových stránok je pravdepodobne bezpečné predpokladať, že títo ľudia majú vo všeobecnosti dobré úmysly, ale aj tí najlepší ľudia môžu urobiť chyby. Len v minulom roku došlo k niekoľkým veľkým narušeniam zabezpečenia webových stránok veľkých, spravidla bezpečných spoločností, ako sú Linked-In, Yahoo, Equifax, Apple a Uber, aby sme vymenovali aspoň niektoré. Ide o veľké spoločnosti s bezpečnostnými oddeleniami, ktoré boli porušené.

Cloudové úložisko znie fantasticky a ponúka pohodlie, ale „cloud“v skutočnosti je počítač niekoho iného, ktorý používate na ukladanie súborov. Ako som už povedal vyššie, ľudia môžu robiť chyby. Ak sa to stane, vaše heslá môžu byť dostupné svetu. Cloudové weby sú obrovským cieľom pre útočníkov kvôli množstvu údajov, ktoré majú k dispozícii. Zlomte cloudový web a získajte prístup ku všetkým informáciám, ktoré potenciálne uložili milióny ľudí.

Som si istý, že niečo z toho je paranoja, ale keďže za týmito heslami je skrytý obrovský kus vášho života, chráňte ich ako také.

Krok 7: Moje odporúčanie

Toto bola veľmi dlhá preambula na vysvetlenie hlavných pilierov zabezpečenia heslom. Ak sa budete riadiť týmito 6 pokynmi, mali by ste mať minimálne problémy so zabezpečením online, a ak sa niečo stane, malo by sa to zastaviť pri zdroji, nie šíriť do zvyšku vášho online života.

Existuje mnoho rôznych spôsobov, ako môžete tieto výzvy vyriešiť. Niektoré sú lepšie ako ostatné a poskytujú rôzne výhody. Moje obľúbené riešenie je SuperGenPass (SGP). Nie som nijako prepojený, som len fanúšik.

Jednoduché použitie

SGP má aplikáciu pre váš telefón a tlačidlo, ktoré si môžete pridať do svojho prehliadača. Keď prejdete na webovú stránku a požiada vás o prihlásenie, kliknite na tlačidlo. Vyskočí malé okno. Zadajte svoje hlavné heslo. SGP vygeneruje heslo pre tento web a zadá ho do poľa pre heslo!

Dlho

Môžete si vybrať dĺžku vytvoreného hesla. To vygeneruje heslá až do 24 znakov, čo je celkom bezpečné, ale môžete zvoliť kratšie, ak niektoré webové stránky obmedzujú dĺžku vášho hesla.

Komplexné

Používajú sa veľké, malé písmená a čísla, čo je celkom bezpečné. Nesledujú žiadny rozpoznateľný vzor bez slov alebo fráz. V tomto reťazci nie je žiadna z vašich adries URL alebo hlavného hesla.

Unikátny

Každý web bude mať úplne jedinečné heslo. Heslá pre example1.com a example2.com sú úplne odlišné, aj keď v počiatočných „prísadách“sa líši iba jeden znak. Ako vidíte na nižšie uvedenom príklade, medzi „ingredienciami“a výsledným heslom nie je žiadna súvislosť a navzájom sa veľmi líšia.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Skladovanie

Neuchováva a neprenáša žiadne údaje. Ak vás to znepokojuje, je možné ho spustiť úplne offline a neexistuje spôsob, ako by ho niekto mohol nájsť alebo ukradnúť.

Krok 8: SGP: Nastavenie

Nastavenie SGP je veľmi jednoduché. Najprv ho pravdepodobne budete chcieť pridať na panel so záložkami. Ak to chcete urobiť, prejdite na:

chriszarate.github.io/supergenpass/

Na výber budú 2 tlačidlá. Ak chcete nastaviť počítač, ktorý bežne používate, presuňte ľavé tlačidlo na panel so záložkami. Získate tak nové tlačidlo na používanie.

Ak v budúcnosti budete používať počítač niekoho iného, môžete kliknúť na tlačidlo vpravo. To vám umožní používať SGP bez toho, aby ste v ich prehliadači čokoľvek menili. Je to tiež možnosť pre mobilný prehliadač.

Po pridaní na panel so záložkami kliknite na tlačidlo. Otvorí sa malé okno v rohu vašej webovej stránky. Kliknutím na malý prevodový stupeň sa otvoria nastavenia.

Dĺžka

Číslo vľavo je dĺžka hesla, ktoré bude generovať. Odporúčam prezrieť si stránky, ktoré najčastejšie používate a nastaviť ich na najvyššie číslo, ktoré tieto stránky umožnia. Odporúča sa viac ako 12, ale čím dlhšie, tým lepšie, najmä preto, že si to nemusíte pamätať.

Typ hash

Existujú dve možnosti, aký typ hašovania sa používa, MD5 a SHA. Obe vygenerujú heslá s veľkými písmenami, malými písmenami a číslicami. Zmena je jednoduchý spôsob, ako zmeniť všetky svoje heslá pri zachovaní rovnakého hlavného hesla.

Tajné heslo

Sekcia tajných hesiel je ďalším spôsobom, ako zaistiť bezpečnosť všetkého. Keď máte aplet, ak máte tajné heslo, zobrazí v poli pre heslo malý obrázok. Toto heslo by malo byť pri spustení VŽDY rovnaké. Ak sa spustí a tento obrázok nie je tým, čím obvykle je, existuje šanca, že sa niekto pokúša získať vaše hlavné heslo.

Hlavné heslo

Počas nastavenia to nie je potrebné, ale je to veľmi dôležité. Nezabudnite zvoliť silné heslo. Toto je jediné heslo, ktoré vždy zadáte na každom webe. Uistite sa, že je to niečo, čo si môžete zapamätať, ale je to zložité, dlhé a neosobné.

Ukladá sa

Keď vyberiete všetky svoje nastavenia, kliknutím na ikonu uloženia a ikonu ozubeného kolieska nastavenia zatvorte

Krok 9: Použite SGP

Ak chcete používať SGP, prejdite na webovú stránku ako obvykle. Keď potrebujete zadať heslo, kliknite na tlačidlo SGP, ktoré ste pridali na panel so záložkami. Ak ste pri nastavovaní SGP použili tajné heslo, uistite sa, že obrázok, ktorý sa zobrazuje v poli pre heslo, zodpovedá tomu, ktorý bol pri jeho nastavení.

Zadajte svoje hlavné heslo a stlačte Enter. Tým sa vypočíta vaše jedinečné heslo pre tento web a vyplní ho za vás! Pri zadávaní hlavného hesla sa ikona bude aktualizovať. Ak sa obrázok nezhoduje s ikonou, ktorú obvykle máte, buď ste zadali nesprávne hlavné heslo, alebo sa niekto pokúša získať vaše heslo.

V závislosti od toho, ako je stránka napísaná, vám SGP nemusí zadať heslo alebo si stránka nemusí uvedomiť, že bola zadaná. Ak je to tak, môžete kliknúť na ikonu kopírovania vedľa poľa s vygenerovaným heslom a prilepiť ho ručne.

Akonáhle je vaše heslo zadané, kliknite na Prihlásiť sa a ste tam!

Krok 10: Záverečné myšlienky

SGP nemusí fungovať pre každého a to je v poriadku. Nie je to dokonalé riešenie, pretože nič také neexistuje. Ak máte inú službu alebo metódu, ktorú by ste radi používali pre heslá, nezabúdajte na 6 krokov k bezpečnému heslu. Ak je vaša súčasná metóda v niekoľkých z týchto oblastí nedostatočná, možno je načase hľadať iné riešenie. Áno, zmena všetkých vašich účtov môže trvať pol dňa, ale pravdepodobne to bude menej bolieť hlava, ako keby boli vaše účty narušené.

Poznámka k online úložisku: Ak služba ukladá vaše heslá online/v „cloude“, skontrolujte ich bezpečnostné postupy a uistite sa, že sú dobré. Stránka vám pravdepodobne povie, čo robia pre ochranu vašich hesiel, ak to robia správne. Ak si nie ste istí, napíšte im e -mail a opýtajte sa. Ak vám nevedia dať dobrú/stručnú/presnú odpoveď, buďte pri používaní tejto služby opatrní.