Գաղտնաբառի անվտանգության մասին

Pin
Send
Share
Send

Այս հոդվածում կքննարկվեն, թե ինչպես ստեղծել անվտանգ գաղտնաբառ, ինչ սկզբունքներ պետք է պահպանել դրանց ստեղծման ժամանակ, ինչպես գաղտնաբառերը պահել և նվազագույնի հասցնել վնասակար օգտագործողների հավանականությունը ՝ ձեր տեղեկություններին և հաշիվներին հասանելիություն ձեռք բերելու համար:

Այս նյութը «Ինչպե՞ս կարելի է ձեր գաղտնաբառը կոտրել» հոդվածի շարունակությունն է և ենթադրում է, որ դուք ծանոթ եք այնտեղ ներկայացված նյութին կամ արդեն գիտեք գաղտնաբառերի փոխզիջման բոլոր հիմնական եղանակները:

Ստեղծեք գաղտնաբառերը

Այսօր ինտերնետ հաշիվ գրանցելիս գաղտնաբառ ստեղծելիս սովորաբար տեսնում եք գաղտնաբառի ամրության ցուցիչ: Գրեթե ամենուրեք այն աշխատում է հետևյալ երկու գործոնների գնահատման հիման վրա ՝ գաղտնաբառի երկարությունը; գաղտնաբառում հատուկ նիշերի, մեծատառերի և համարների առկայությունը:

Չնայած այն հանգամանքին, որ դրանք իսկապես կարևոր պարամետրեր են կոպիտ ուժի կողմից ջարդարարներին գաղտնաբառի դիմադրության նկատմամբ, գաղտնաբառ, որը համակարգի համար հուսալի է թվում, միշտ չէ, որ այդպիսին է: Օրինակ, «Pa $ $ w0rd» - ի նման գաղտնաբառ (և այստեղ կան հատուկ նիշեր և համարներ), ամենայն հավանականությամբ, շատ արագ կթողնվի `այն պատճառով, որ (ինչպես նկարագրված է նախորդ հոդվածում) մարդիկ հազվադեպ են ստեղծում եզակի գաղտնաբառեր (գաղտնաբառերի ավելի քան 50% -ը եզակի է), և նշված տարբերակն, ամենայն հավանականությամբ, արդեն գտնվում է հարձակվողների համար հասանելի արտահոսքի տվյալների բազայում:

Ինչպե՞ս լինել Լավագույն տարբերակն այն է, որ օգտագործեք գաղտնաբառերի գեներատորներ (ինտերնետում առկա են առցանց կոմունալ ծառայությունների տեսքով, ինչպես նաև համակարգիչների համար գաղտնաբառերի կառավարիչների մեծ մասում) ՝ ստեղծելով երկար պատահական գաղտնաբառեր ՝ օգտագործելով հատուկ նիշեր: Շատ դեպքերում, այս նիշերի 10 կամ ավելի գաղտնաբառ պարզապես չի հետաքրքրում կոտրիչին (այսինքն ՝ նրա ծրագրակազմը չի կազմաձևվի ընտրելու այդպիսի տարբերակները), այն պատճառով, որ ծախսված ժամանակը չի մարելու: Վերջերս Google Chrome զննարկիչում հայտնվեց ներկառուցված գաղտնաբառի գեներատոր:

Այս մեթոդում հիմնական թերությունն այն է, որ նման գաղտնաբառերը դժվար է հիշել: Եթե ​​գաղտնաբառը մտապահելու անհրաժեշտություն կա, կա մեկ այլ տարբերակ ՝ ելնելով այն փաստից, որ 10 նիշ ունեցող գաղտնաբառ, որը պարունակում է մեծատառ տառեր և հատուկ նիշեր, կոտրվում է հազարավոր և ավելի միջոցով որոնելու միջոցով (հատուկ համարները կախված են վավեր նիշերի սահմանված շարքից), ժամանակներն ավելի հեշտ են, քան 20 նիշ ունեցող գաղտնաբառ, որը պարունակում է միայն փոքրատառ լատինական նիշեր (նույնիսկ եթե կոտրիչը գիտի այդ մասին):

Այսպիսով, 3-5 հասարակ պատահական անգլերեն բառերից բաղկացած գաղտնաբառ հեշտ կլինի հիշել և գրեթե անհնար է կոտրել: Եվ յուրաքանչյուր բառ գրելով մեծատառով, մենք տարբերակների քանակը բարձրացնում ենք երկրորդ աստիճանի: Եթե ​​անգլերեն դասավորության մեջ գրված լինեն 3-5 ռուսերեն բառեր (նորից պատահական, քան անուններն ու ամսաթվերը), կվերացվի նաև գաղտնաբառերի ընտրության համար բառարանների օգտագործման բարդ մեթոդների հիպոթետիկ հնարավորությունը:

Թերևս գաղտնաբառերի ստեղծման հարցում միանշանակ ճիշտ մոտեցում չկա. Տարբեր մեթոդներում կան առավելություններ և թերություններ (կապված են այն հիշելու ունակության, հուսալիության և այլ պարամետրերի հետ), բայց հիմնական սկզբունքները հետևյալն են.

  • Գաղտնաբառը պետք է բաղկացած լինի զգալի թվով նիշերից: Այսօր ամենատարածված սահմանափակումն է 8 նիշ: Եվ սա բավարար չէ, եթե ձեզ հարկավոր գաղտնաբառ է անհրաժեշտ:
  • Հնարավորության դեպքում, գաղտնաբառում պետք է ներառվեն հատուկ նիշեր, վերին և ստորին գործի տառեր, համարներ:
  • Երբեք անձնական տվյալների մեջ գաղտնաբառի մեջ մի՛ ներառեք, նույնիսկ ձայնագրվելով թվացյալ «բարդ» մեթոդներով: Ամսաթվերը, անուններն ու ազգանունները չկան: Օրինակ, գաղտնաբառի կոտրումը, որը ներկայացնում է ժամանակակից Julուլյան օրացույցի ցանկացած ամսաթիվ `սկսած 0-րդ տարվանից մինչ օրս (տիպի 18 հուլիսի, 2015 կամ 18072015 և այլն) կտևի վայրկյաններից ժամեր (և նույնիսկ այդ դեպքում ժամացույցը կստացվի միայն ձգձգումների պատճառով որոշ դեպքերի փորձերի միջև):

Դուք կարող եք ստուգել, ​​թե որքան ուժեղ է ձեր գաղտնաբառը կայքում (չնայած որոշ կայքերում գաղտնաբառ մուտքագրելը, հատկապես առանց https- ի ամենաապահով պրակտիկան չէ) //rumkin.com/tools/password/passchk.php: Եթե ​​դուք չեք ցանկանում հաստատել ձեր իրական գաղտնաբառը, մուտքագրեք նմանատիպ մեկը (նույն թվից և նիշերի նույն խմբից) `դրա ամրության մասին գաղափար ստանալու համար:

Նիշերի մուտքագրման գործընթացում ծառայությունը հաշվարկում է էնդրոփը (պայմանականորեն, էնդոպիայի ընտրանքների քանակը 10 բիթ է, ընտրանքների քանակը 2-ից տասներորդ ուժ է) տվյալ գաղտնաբառի համար և տեղեկատվություն է տրամադրում տարբեր արժեքների հուսալիության մասին: Ավելի քան 60 մարդ ունեցող էնդրոփի ունեցող գաղտնաբառերը գրեթե անհնար է կոտրել նույնիսկ թիրախավորված ընտրության ժամանակ:

Մի օգտագործեք նույն գաղտնաբառերը տարբեր հաշիվների համար

Եթե ​​ունեք հիանալի, բարդ գաղտնաբառ, բայց այն օգտագործում եք այնտեղ, որտեղ կարող եք, այն ինքնաբերաբար դառնում է լիովին անվստահելի: Հենց որ հակերները ներխուժեն որևէ կայք, որտեղ դուք օգտագործում եք այդպիսի գաղտնաբառ և օգտվել դրանից, վստահ եղեք, որ այն անմիջապես փորձարկվելու է (ինքնաբերաբար, օգտագործելով հատուկ ծրագրաշար) բոլոր մյուս հանրաճանաչ էլ.փոստի, խաղերի, սոցիալական ծառայությունների և, հնարավոր է, նույնիսկ առցանց բանկեր (Նախկին հոդվածի վերջում տրված են ձեր գաղտնաբառն արդեն արտահոսք առնելու եղանակները):

Յուրաքանչյուր հաշվի յուրօրինակ գաղտնաբառը դժվար է, դա անհարմար է, բայց անհրաժեշտ է, եթե այդ հաշիվները ձեզ համար գոնե որոշակի նշանակություն ունենան: Չնայած, որ որոշ գրանցումների դեպքում, որոնք ձեզ համար ոչ մի արժեք չունեն (այսինքն ՝ դուք պատրաստ եք կորցնել դրանք և չեք անհանգստանա) և չեն պարունակում անձնական տեղեկություններ, չես կարող լարվել եզակի գաղտնաբառերով:

Երկու գործոնով վավերացում

Նույնիսկ ուժեղ գաղտնաբառերը չեն երաշխավորում, որ ոչ ոք չի կարող մուտք գործել ձեր հաշիվ: Գաղտնաբառը կարող է գողացվել այս կամ այն ​​կերպ (ֆիշինգ, օրինակ, որպես ամենատարածված տարբերակ) կամ ձեռք բերել ձեզանից:

Գրեթե բոլոր խոշոր առցանց ընկերությունները, ներառյալ Google- ը, Yandex- ը, Mail.ru- ն, Facebook- ը, VKontakte- ը, Microsoft- ը, Dropbox- ը, LastPass- ը, Steam- ը և այլոց, ավելացրել են համեմատաբար վերջերս հաշիվներում երկու գործոնային (կամ երկաստիճան) վավերացման հնարավորությունը: Եվ, եթե անվտանգությունը ձեզ համար կարևոր է, ես խորհուրդ եմ տալիս միացնել այն:

Երկու գործոնով վավերացման իրականացումը տարբեր ծառայությունների համար փոքր-ինչ տարբերվում է, բայց հիմնական սկզբունքը հետևյալն է.

  1. Անհայտ սարքից ձեր հաշիվ մուտք գործելիս ճիշտ գաղտնաբառ մուտքագրելուց հետո ձեզանից պահանջվում է անցնել լրացուցիչ ստուգում:
  2. Ստուգումը տեղի է ունենում SMS կոդի, սմարթֆոնի վրա հատուկ հավելվածի, նախապես պատրաստված տպագրված կոդերի, էլեկտրոնային փոստի հաղորդագրության, ապարատային բանալու օգտագործմամբ (վերջին տարբերակը եկել է Google- ից, այս ընկերությունը, ընդհանուր առմամբ, առաջատար է երկկողմանի վավերացման առումով):

Այսպիսով, նույնիսկ եթե հարձակվողը պարզել է ձեր գաղտնաբառը, նա չի կարողանա մուտք գործել ձեր հաշիվ ՝ առանց ձեր սարքերի, հեռախոսի, էլ.փոստի հասանելիության:

Եթե ​​դուք լիովին չեք հասկանում, թե ինչպես է գործում երկու գործոնային վավերացումը, ես խորհուրդ եմ տալիս ինտերնետում հոդվածներ կարդալ այս թեմայի վերաբերյալ, կամ նկարագրություններ և ուղեցույցներ գործելու հենց իրենց կայքերում, որտեղ այն իրականացվում է (ես պարզապես չեմ կարողանա մանրամասն հոդվածներ ներառել այս հոդվածում):

Գաղտնաբառի պահպանում

Յուրաքանչյուր կայքի համար բարդ եզակի գաղտնաբառերը հիանալի են, բայց ինչպես կարող եմ դրանք պահել: Քիչ հավանական է, որ այս բոլոր գաղտնաբառերը հիշեն: Պահված գաղտնաբառերը զննարկչում պահելը ռիսկային ձեռնարկություն է. Դրանք ոչ միայն ավելի խոցելի են դառնում չարտոնված մուտքի համար, այլև պարզապես կարող են կորչվել համակարգի խափանման դեպքում և համաժամացումը անջատված լինելու դեպքում:

Լավագույն լուծումը համարվում է գաղտնաբառի կառավարիչները, որոնք, ընդհանուր առմամբ, այն ծրագրերն են, որոնք պահում են ձեր բոլոր գաղտնի տվյալները գաղտնագրված անվտանգ պահոցում (ինչպես անցանց, այնպես էլ առցանց), որին հասանելի է մեկ վարպետ գաղտնաբառ (դուք կարող եք նաև միացնել երկու գործոնով նույնականացումը): Այս ծրագրերի մեծ մասը հագեցված է նաև գաղտնաբառի ուժը ստեղծելու և գնահատելու գործիքներով:

Մի քանի տարի առաջ ես առանձին հոդված գրեցի լավագույն գաղտնաբառի կառավարիչների մասին (արժե այն վերաշարադրել, բայց դուք կարող եք պատկերացում կազմել, թե որն է այն և ինչ ծրագրեր են հայտնի հոդվածից): Ոմանք նախընտրում են պարզ անցանց լուծումներ, ինչպիսիք են KeePass- ը կամ 1Password- ը, որոնք պահում են ձեր գաղտնաբառերը ձեր սարքի վրա, մյուսները նախընտրում են ավելի ֆունկցիոնալ կոմունալ ծառայություններ, որոնք նաև ապահովում են համաժամացման հնարավորություններ (LastPass, Dashlane):

Հայտնի գաղտնաբառի ղեկավարները հիմնականում դիտարկվում են որպես դրանք պահելու շատ անվտանգ և հուսալի միջոց: Այնուամենայնիվ, արժե հաշվի առնել որոշ մանրամասներ.

  • Ձեր բոլոր գաղտնաբառերը մուտք գործելու համար հարկավոր է իմանալ միայն մեկ գլխավոր գաղտնաբառ:
  • Առցանց պահեստավորման հակերության դեպքում (բառացիորեն մեկ ամիս առաջ hacked- ով էր աշխարհում ամենահայտնի LastPass գաղտնաբառերի կառավարման ծառայությունը), դուք ստիպված կլինեք փոխել ձեր բոլոր գաղտնաբառերը:

Այլապես ինչպե՞ս կարող եմ պահպանել իմ կարևոր գաղտնաբառերը: Ահա մի քանի տարբերակ.

  • Անվտանգության տակ գտնվող թղթի վրա, որը դուք և ձեր ընտանիքի անդամները կունենաք մուտք (ոչ հարմար գաղտնաբառերի համար, որոնք անհրաժեշտ է հաճախ օգտագործել):
  • Անլար գաղտնաբառի տվյալների շտեմարան (օրինակ ՝ KeePass), որը պահվում է երկարաժամկետ պահպանման սարքի վրա և կորստի դեպքում տեղակայված է ինչ-որ տեղ:

Վերոնշյալի օպտիմալ համադրությունը, իմ կարծիքով, հետևյալ մոտեցումն է. Ամենակարևոր գաղտնաբառերը (հիմնական էլ. Փոստը, որի միջոցով կարող եք վերականգնել այլ հաշիվներ, բանկ և այլն) պահվում են գլխում և (կամ) թղթի վրա `անվտանգ տեղում: Ավելի քիչ կարևոր և, միևնույն ժամանակ, հաճախ օգտագործվողները պետք է վերագրվեն գաղտնաբառի կառավարչի ծրագրերին:

Լրացուցիչ տեղեկություններ

Հուսով եմ, որ գաղտնաբառերի թեմայով երկու հոդվածների համադրությունը ձեզանից ոմանց օգնեց ուշադրություն դարձնել անվտանգության որոշ ասպեկտների, որոնց մասին չեք մտածել: Իհարկե, ես հաշվի չեմ առել բոլոր հնարավոր տարբերակները, բայց մի պարզ տրամաբանություն և սկզբունքների որոշակի հասկացողություն կօգնի ինձ որոշել, թե որքանով եք անվտանգ այս պահին ինչով եք զբաղվում: Կրկին նշեցինք որոշ և մի քանի լրացուցիչ կետեր.

  • Օգտագործեք տարբեր գաղտնաբառեր տարբեր կայքերի համար:
  • Գաղտնաբառերը պետք է լինեն բարդ, և դուք կարող եք առավելագույնը բարդացնել գաղտնաբառի երկարությունը ավելացնելով:
  • Մի օգտագործեք անձնական տվյալները (ինչը կարելի է պարզել) գաղտնաբառն ինքնին ստեղծելիս, ակնարկում է դրա մասին, անվտանգության հարցեր վերականգնման համար:
  • Հնարավորության դեպքում օգտագործեք երկաստիճան ստուգում:
  • Գտեք ձեր լավագույն միջոցը գաղտնաբառերը անվտանգ պահելու համար:
  • Զգուշացեք ֆիշինգից (ստուգեք վեբ կայքի հասցեները, կոդավորումը) և լրտեսող ծրագրերից: Ուր էլ խնդրվի գաղտնաբառ մուտքագրել, ստուգեք `իսկապես այն ճիշտ կայքում տեղադրե՞լ եք: Ձեր համակարգիչը զերծ պահեք չարամիտ ծրագրերից:
  • Հնարավորության դեպքում, մի օգտագործեք ձեր գաղտնաբառերը այլ մարդկանց համակարգիչներում (անհրաժեշտության դեպքում դա արեք զննարկչի «ինկոգնիտո» ռեժիմով և նույնիսկ ավելի լավ մուտքագրեք էկրանին ստեղնաշարից), հանրային բաց Wi-Fi ցանցերում, մանավանդ եթե կայքին միացնելիս չկա https կոդավորումը: .
  • Գուցե դուք չպետք է պահեք ամենակարևոր գաղտնաբառերը համակարգչում կամ առցանց, որոնք իսկապես արժեքավոր են:

Նման բան: Կարծում եմ, որ ինձ հաջողվեց բարձրացնել պարանոիայի աստիճանը: Ես հասկանում եմ, որ նկարագրության մեծ մասը անհարմար է թվում, կարող են ծագել այնպիսի մտքեր, ինչպիսիք են ՝ «լավ, դա ինձ շրջանցելու է», բայց ծուլության միակ պատրվակը, երբ գաղտնի տեղեկությունները պահելու ժամանակ անվտանգության պարզ կանոններ պահպանելիս կարող է լինել միայն դրա կարևորության բացակայությունը և պատրաստակամությունը որ այն կդառնա երրորդ անձանց սեփականություն:

Pin
Send
Share
Send

Հանրաճանաչ Գրառումներ

https://eifeg.com 2024