סיסמאות: כיצד לעשות זאת נכון: 10 שלבים

2024 מְחַבֵּר: John Day | [email protected]. שונה לאחרונה: 2024-01-30 09:17

מוקדם יותר השנה, אשתי איבדה את הגישה לחלק מחשבונותיה. הסיסמה שלה נלקחה מאתר שנפרץ, ואז היא שימשה להיכנס לחשבונות אחרים. רק כשהאתרים התחילו להודיע לה על ניסיונות כניסה כושלים, היא הבינה שמשהו קורה.

דיברתי גם עם מספר אנשים שאומרים שהם משתמשים באותה סיסמה לכל אתר. שני הדברים האלה הספיקו כדי לעודד אותי לכתוב את ההוראה הזו.

אבטחת סיסמאות היא חלק קטן מאוד מהאבטחה המקוונת כולה. כמעט כל חשבון דורש התחברות כלשהי כדי לאפשר גישה לכל מה שהוא מגן עליו. המחרוזת היחידה הזו היא לרוב כל מה שעומד בין תוקף למידע האישי שלך, כסף, תמונות אישיות או נקודות הטיול שאספת במשך שנים.

מטרה זו להדריך מכסה כמה שיטות עבודה מומלצות ליצירת סיסמאות. אם אתה מישהו שיש לו את אותה סיסמה לכל אתר, הסיסמאות שלו הן תבנית במקלדת, או שיש לך את המילה "סיסמה" בסיסמה, ההנחיה הזו היא בשבילך.

כתב ויתור

אני לא מומחה אבטחה. מידע זה נלמד ונחקר לאורך זמן והוא רק המלצה וסיכום של נושא מורכב מאוד. הדרכה זו נכתבה בתחילת 2018 ועשויה להיות מיושנת עד שתקרא אותה.

TL; DR

אם לא אכפת לך מכל הנימוקים וההסברים שלי מאחורי סיסמאות ורק רוצים דרך קלה ליצור סיסמאות מאובטחות, דלג לשלב האחרון.

שלב 1: עשה את זה ארוך

אורך הוא מרכיב חשוב מאוד לאבטחת סיסמאות. עם מהירות המחשבים שגדלה יותר ויותר, ניתן לנסות סיסמאות במהירות מדהימה. זה נקרא פיצוח סיסמאות "כוח אכזרי". זה קושר כל שילוב דמויות אפשרי עד שתמצא את התואם.

בתיאוריה, זה הופך כל סיסמה לפיצוח, בהתחשב בזמן מספיק. למרבה המזל, ככל שהסיסמה ארוכה יותר, כך יידרש זמן ההתקפה הזה. כל דמות שאתה מוסיף לאורך הופכת את הקושי להרבה יותר קשה. אם זה מספיק ארוך, זה עלול לקחת עשרות שנים למצוא את זה בצורה כזו, מה שהופך את זה לא שווה את זה עבור תוקף.

דוגמא

נניח שיש לך סיסמה שהיא רק אותיות גדולות. זה לא רעיון טוב, אבל זה להמחשה בלבד. בכל פעם שאתה מוסיף תו אחר לסיסמה, הוא מכפיל את מספר הסיסמאות האפשריות ב 26. אם הייתה לך סיסמא בתו אחד, היו לו 26 סיסמאות אפשריות, 2 תווים היו עם 676 סיסמאות אפשריות וכו '. זה מתחיל לכדור שלג במהירות.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

כפי שאתה יכול לראות, כל אות שאתה מוסיף הופכת את ההתקפה הזו להרבה יותר קשה, וכמעט בלתי אפשרית עם מספיק תווים. זכור, זה רק באותיות גדולות. ברגע שהם הופכים מורכבים יותר, אפקט זה הופך להיות מוגדל.

שלב 2: הפוך את זה למורכב

מורכבות היא גורם נוסף באבטחת הסיסמאות. אם אתר ייפגע אי פעם, סביר להניח ששמות משתמש וסיסמאות יימחקו. כרמת אבטחה בסיסית, אני מקווה שלאתר יש את הסיסמאות שנמחקו (בדומה להצפנה) לפני האחסון. המשמעות היא שהם מעוותים לפני שהם נכנסים למסד הנתונים, ואין שום דרך להפוך את הגלגול הזה.

כל זה נשמע טוב. זה לא משנה מה הסיסמה שלך מכיוון שהיא מעוותת, נכון? זה לא המקרה אם הסיסמה שלך אינה מורכבת. ישנם אלגוריתמי hashing סטנדרטיים (SHA1, MD5, SHA512, וכו ') והם תמיד יגרמו לאותו הדבר באותו אופן. לדוגמה, אם אתה משתמש ב- SHA1 והסיסמה שלך הייתה "סיסמא", היא תישמר במסד הנתונים כ- "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", תמיד.

יצירת hashes דורשת זמן ומחשבה מחשבנית, וחישוב כל hashes אפשרי עבור כל הסיסמאות האפשריות הוא כמעט בלתי אפשרי. מה שאנשים עשו זה ליצור "מילונים" של סיסמאות נפוצות. דברים כמו "סיסמה" או "qwerty" כמובן יהיו שם, כמו גם דברים פחות נפוצים. במילונים אלה יהיו מיליוני סיסמאות וייקח רק שניות לעבור על כל ערך ולהשוות את החשיש הידוע לחשיש הסיסמה שלך. זה נקרא "התקפת מילון". אם שלך הוא אחד מאלה שכבר חושבו, הקלקול לא יגן על הסיסמה שלך, וניתן יהיה להשתמש בו באתרים אחרים.

כמו כן, שינוי אותיות למספרים אינו מוסיף מורכבות. זה אולי נראה מורכב יותר משתנה E ל- 3 או I ל- 1, אבל זוהי שיטה כל כך נפוצה עד שהיא לא מוסיפה עוד אבטחה. לתוכניות פיצוח יש אפשרות שתנסה אוטומטית את הווריאציות האלה.

שלב 3: הפוך אותו לייחודי

לזכור סיסמאות קשה. כשחיינו הופכים מקוונים יותר ויותר, אין זה נדיר שלכל אדם יש 50+ חשבונות מקוונים, כל אחד עם כניסה משלו. קשה מאוד לעקוב אחרי זה.

הדרך הנפוצה ביותר שאנשים מתמודדים עם זה היא לבחור סיסמה אחת "טובה" ולהשתמש בה על חבורה של אתרים שונים. זהו רעיון נורא. כל מה שצריך זה פריצת אבטחה אחת, או אתר דיוג אחד שיביא את שם המשתמש והסיסמה שלך כדי להתחיל את הכדור. התוקפים יכולים לנסות את שם המשתמש והסיסמה האלה במאות אתרים תוך שניות. זה יכניס אותם אוטומטית לכל אתר עם אותו שם משתמש כמו זה שנפגע.

אני יודע שיש סיסמה שונה לכל אתר נראה כמשימה מרתיעה, אך נעסוק כיצד לטפל בזה מאוחר יותר.

שלב 4: שום דבר אישי

המידע שלך אינו פרטי כפי שאתה חושב. חיפוש מהיר באינטרנט יכול למצוא בקלות את תאריך הלידה או כתובתך. אם חשבון אחר הופר, ניתן להשיג מידע נוסף בקלות. אם יש תוקף שמנסה להיכנס לחשבונות שלך, אלו יהיו סיסמאות ברורות לניסיון. זה גם משאיר כניסה פתוחה לבני משפחה, חברים, או אפילו מכרים.

שלב 5: התייחסו לכל הסיסמאות באותה זהירות

כאשר אתה מתמודד עם אתרים, עליך להתייחס לאבטחת כולם באותה רמת אכפתיות. לדוגמה, אם יש לך כניסה לאתר החתול המועדף עליך, עליך לנקוט באותן הזהירות של הכניסה לבנק שלך. זה אולי לא נראה כמו הרבה לאבד את הגישה לכל אותם שפמים מקסימים, אבל זה יכול להיות רק אבן דרך לתוקף. הפרת אתר זה "חסר חשיבות" עלולה לתת לתוקף מידע נוסף אודותיך, כגון שם משתמש אחר שהשתמשת בו, הודעת דוא"ל אחרת בה השתמשת להתחברות או מידע ממשי שיכול לשמש לביטול נעילת אתרים אחרים.

כמו כן, אם מדובר באתר חסר חשיבות, יש סיכוי גדול יותר שהם לא ינהגו לפי שיטות אבטחה נאותות, כלומר אם הסיסמה שלך ארוכה ומורכבת, אך לא ייחודית, והסיסמאות לא מגובסות כראוי בעת אחסון, ניתן להשתמש בסיסמה זו בקלות באתרים אחרים. שוב, רק בגלל שהאתר "לא חשוב", לא אומר שהאבטחה שלך היא.

שלב 6: שמור על זה מוסתר

טוב - אחסון לא מקוון

אחסון לא מקוון יכול להיות אופציה טובה אם אתה אדם שוכח. בעל מקל USB שאתה שומר על נעילת הסיסמאות שלך עליו מגן מפני רוב ההתקפות, למעט משפחה וחברים. למקרה שתאבד איכשהו את המקל הזה, וודא שקובץ הסיסמה או הכונן כולו מוצפן ושהמקל מגובה במקום מאוד מאובטח.

לשיטה זו יש אבטחה רבה, אך במחיר הנוחות.

הסיבה שהוא צריך להיות לא מקוון מוסברת בפירוט רב יותר להלן. זכור כי הרבה מכשירים מגובים כעת באופן אוטומטי בענן, גם אם לא התכוונת לכך. כמו כן, אם תחבר אי פעם את המקל הזה למכשיר שיש בו וירוס או שנפגע, הנתונים יועתקו בקלות.

יותר טוב - זכור הכל

זכור את כל הסיסמאות שלך. אם אתה מוכשר להפליא, זו אולי אופציה. אין דרך שמישהו ימצא אותם, ותמיד יש לך אותם איתך. כמה צדדים הם שרובנו לא מדהימים בלזכור דברים מורכבים, ונוטים לדבר קצת יותר מדי אחרי משקה או שניים. במיוחד עם עשרות סיסמאות שכדאי לזכור, סביר להניח שזו אפילו לא אופציה לאדם ההדיוט.

הטוב ביותר - ללא אחסון

התרחיש הטוב ביותר הוא שאתה לא אחסן אותם כלל. או שאיכשהו זכור את כל הסיסמאות הייחודיות, הארוכות והמורכבות שלך, או שיש לך דרך לשחזר אותן תוך כדי תנועה. אם אתה יודע את המרכיבים הדרושים לשחזורם, אין סיכוי שתוקף יכול "למצוא" אותם מכיוון שהם אינם קיימים עד הצורך. זה אולי נשמע מסובך, אבל זה ממש לא. עוד על כך בהמשך.

חשיבותו של לא מקוון

אתרי אינטרנט מנוהלים על ידי אנשים. עבור רוב האתרים, סביר להניח שאנשים אלה בדרך כלל בעלי כוונות טובות, אך אפילו האנשים הטובים ביותר יכולים לטעות. רק בשנה שעברה היו מספר הפרות ענק של אבטחת אתרים של חברות גדולות ומאובטחות בדרך כלל כמו Linked-In, Yahoo, Equifax, Apple ו- Uber, רק כדי לציין כמה. מדובר בחברות גדולות עם מחלקות אבטחה והן הופרו.

אחסון ענן נשמע מהודר, והוא מציע נוחות, אך מה ש"ענן "הוא במציאות הוא מחשב של מישהו אחר שבו אתה משתמש לאחסון הקבצים שלך. כמו שאמרתי למעלה, אנשים יכולים לטעות. אם זה קורה, הסיסמאות שלך עשויות להיות זמינות לעולם. אתרי ענן הם יעד ענק לתוקפים בגלל כמות הנתונים שהם מחזיקים. שברו את אתר הענן, קבלו גישה לכל המידע שאפשר לאחסן מיליוני אנשים.

אני בטוח שחלק מזה הוא פרנויה, אבל כשנתח עצום של חייך מסתתר מאחורי הסיסמאות האלה, הגן עליהם ככאלה.

שלב 7: ההמלצה שלי

זו הייתה הקדמה ארוכה מאוד להסביר את עמודי התווך העיקריים של אבטחת סיסמאות. אם אתה עוקב אחר 6 ההנחיות האלה, אמורות להיות לך בעיות אבטחה מינימליות באינטרנט, ואם משהו יקרה, זה צריך לעצור במקור, לא להתפשט לשאר חייך המקוונים.

ישנן דרכים רבות ושונות לפתור אתגרים אלה. חלקם טובים יותר מאחרים ומספקים יתרונות שונים. הפתרון האהוב עלי הוא SuperGenPass (SGP). אני לא קשור בשום צורה, אני רק מעריץ.

פשוט לשימוש

ל- SGP יש אפליקציה לטלפון שלך ולחצן שתוכל להוסיף לדפדפן שלך. כאשר אתה נכנס לאתר והוא מבקש ממך להיכנס, לחץ על הכפתור. יופיע חלון קטן. הזן את סיסמת האב שלך. SGP תייצר סיסמה לאתר זה ותזין אותה בתיבת הסיסמה עבורך!

ארוך

אתה יכול לבחור את אורך הסיסמה שנוצרת. זה ייצור סיסמאות של עד 24 תווים, וזה די מאובטח, אבל אתה יכול לבחור קצר יותר אם אתרים מסוימים מגבילים את אורך הסיסמה שלך.

מורכב

משתמשים באותיות גדולות, קטנות ומספרים, וזה מאובטח למדי. הם אינם עוקבים אחר שום דפוס מוכר ללא מילים או ביטויים. שום דבר מכתובת האתר או מסיסמת האב שלך אינו נמצא במחרוזת זו.

ייחודי

לכל אתר יהיה סיסמה ייחודית לחלוטין. הסיסמאות למשל1.com ו- example2.com שונות בתכלית, למרות שיש רק תו אחד שונה ב"מרכיבים "הראשוניים. כפי שאתה יכול לראות בדוגמה להלן, אין קשר בין "המרכיבים" לבין הסיסמה המתקבלת והם שונים מאוד זה מזה.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

אִחסוּן

הוא שומר ושומר נתונים. זה יכול להיות מופעל לחלוטין במצב לא מקוון אם אתה מודאג ואין דרך שמישהו ימצא אותו או יגנוב אותו.

שלב 8: SGP: התקנה

הגדרת SGP היא סופר פשוטה. ראשית, סביר להניח שתרצה להוסיף אותו לשורת הסימניות שלך. לשם כך, עבור אל:

chriszarate.github.io/supergenpass/

יהיו 2 כפתורים לבחירה. כדי להתקין מחשב שאתה משתמש בו בדרך כלל, גרור את הכפתור השמאלי לסרגל הסימניות. זה ייתן לך כפתור חדש לשימוש.

אם אתה משתמש במחשב של מישהו אחר בעתיד, תוכל לבחור בכפתור בצד ימין. זה יאפשר לך להשתמש ב- SGP מבלי לשנות דבר בדפדפן שלהם. היא גם אופציה לדפדפן נייד.

לאחר שהוא נוסף לשורת הסימניות שלך, לחץ על הלחצן. הוא יפתח חלון קטן בפינת דף האינטרנט שלך. לחיצה על הציוד הקטן תפתח את ההגדרות.

אורך

המספר משמאל הוא אורך הסיסמה שהוא ייצור. אני ממליץ להסתכל באתרים שבהם אתה משתמש ביותר ולהגדיר אותו למספר הגבוה ביותר שהאתרים הללו יאפשרו. מומלץ יותר מ -12, אך ככל שיותר זמן ייטב, במיוחד מכיוון שאינך צריך לזכור זאת.

סוג Hash

ישנן שתי אפשרויות לסוג החשיש המשמש, MD5 ו- SHA. שניהם ייצרו סיסמאות עם אותיות גדולות, אותיות קטנות ומספרים. שינוי זה הוא דרך פשוטה לשנות את כל הסיסמאות שלך תוך שמירה על אותה סיסמת אב.

סיסמא סודית

קטע הסיסמה הסודית הוא דרך נוספת לוודא שהכל מאובטח. כאשר האפליקציה מתחילה, אם יש לך סיסמה סודית, היא תציג תמונה קטנה בתיבת הסיסמה. סיסמה זו אמורה להיות זהה תמיד כאשר היא מתחילה. אם היא מתחילה והתמונה הזו אינה מה שהיא בדרך כלל, יש סיכוי שמישהו מנסה להשיג את סיסמת האב שלך.

סיסמת מאסטר

זה לא הכרחי במהלך ההתקנה, אבל זה מאוד חשוב. הקפד לבחור סיסמה חזקה. זוהי סיסמה אחת שתמיד תזין בכל אתר. ודא שזה משהו שאתה יכול לזכור, אך הוא מורכב, ארוך ולא אישי.

חִסָכוֹן

לאחר שתבחר את כל ההגדרות שלך, לחץ שוב על סמל השמירה ועל סמל גלגל השיניים כדי לסגור את ההגדרות

שלב 9: השתמש ב- SGP

כדי להשתמש ב- SGP, גלוש לאתר כפי שהיית עושה בדרך כלל. כאשר עליך להזין את הסיסמה שלך, לחץ על כפתור ה- SGP שהוספת לסרגל הסימניות שלך. אם השתמשת בסיסמה סודית בעת הגדרת SGP, ודא שהתמונה שמופיעה בתיבת הסיסמה תואמת למה שהייתה בעת הגדרת אותה.

הקלד את סיסמת המאסטר שלך ולחץ על Enter. פעולה זו תחשב את הסיסמה הייחודית שלך לאתר זה ותמלא אותה עבורך! בזמן שאתה מקליד את סיסמת המאסטר שלך, הסמל יתעדכן. אם התמונה אינה תואמת את הסמל שבדרך כלל יש לך, או שהקלדת את סיסמת המאסטר שלך שגויה, או שמישהו מנסה להשיג את הסיסמה שלך.

בהתאם לאופן כתיבת האתר, ייתכן ש- SGP לא יוכל להזין עבורך את הסיסמה, או שהאתר לא יבין שהיא הוזנה. אם זה המצב, תוכל ללחוץ על סמל ההעתקה שליד תיבת הסיסמה שנוצרה ולהדביק אותו באופן ידני.

לאחר סיסמתך, לחץ על התחברות ואתה שם!

שלב 10: מחשבות אחרונות

SGP לא יכול לעבוד עבור כולם, וזה בסדר. זה לא הפתרון המושלם כי אין דבר כזה. אם יש לך שירות או שיטה אחרת שאתה אוהב להשתמש בהם עבור סיסמאות, זכור את 6 השלבים לסיסמה מאובטחת. אם השיטה הנוכחית שלך תיפול בכמה תחומים אלה, אולי הגיע הזמן לחפש פתרון אחר. כן, זה עלול לקחת חצי יום לשנות את כל החשבונות שלך, אבל סביר להניח שזה יהיה פחות כאב ראש מאשר הפרת החשבונות שלך.

הערה לגבי אחסון מקוון: אם השירות מאחסן את הסיסמאות שלך באינטרנט/ב"ענן ", בדוק את שיטות האבטחה שלהן כדי לוודא שהן טובות. סביר להניח שהאתר יגיד לך מה הם עושים כדי להגן על הסיסמאות שלך אם הם עושים זאת כראוי. אם אתה לא בטוח, שלח להם מייל ושאל. אם הם לא יכולים לתת לך תשובה טובה/תמציתית/מדויקת, היו זהירים בעת השימוש בשירות זה.