'12345' Насправді погано: ваш остаточний посібник із захисту паролів

Ми радимо вам знову і знову радити, що єдиний безпечний спосіб зберігання та використання паролів - покладатися на менеджера паролів, але деякі з вас не слухають. У опитуванні паролів PCMag лише 24 відсотки з вас повідомили про використання менеджера паролів. Що ти решту робиш? Використовуючи такі прості паролі, як пароль або 12345678? Запам'ятовування одного складного пароля та використання його скрізь? Слухайте, піклування про безпеку пароля - це не мала справа, але враховуючи величезний масштаб ризику - як це показано в недавньому порушенні Колекції №1, в якому викрито 773 мільйони зламаних електронних адрес - вам потрібно зробити все можливе, щоб зберегти ваші паролі безпечний.

Навіть якщо ви використовуєте найкращий менеджер паролів, він не гарантує безпеку ваших облікових записів - не якщо ви використовуєте диспетчер паролів, щоб запам'ятати ті самі старі, втомлені паролі. Ви повинні спуститися в окопи і вимкнути погані паролі для нових, сильніших.

Проведене вище опитування показало, що 35 відсотків читачів PCMag ніколи не змінюють свої паролі, якщо тільки не змушені робити це порушенням. Взагалі, це не така вже й погана річ. Національний інститут стандартів і технологій більше не рекомендує змінювати паролі кожні 90 днів. Тепер NIST рекомендує використовувати довгі парольні фрази на зразок "Правильно-коня-батареї-штапельні" та змінювати їх лише за необхідності. Але якщо ви використовуєте жахливі паролі, "при необхідності" означає прямо зараз .

Тільки що робить поганий пароль? Ми розглянемо деякі атрибути жахливих паролів, а потім дамо вам декілька вказівок, як правильно робити паролі.

Не тримайтеся поза словником

Кожні кілька місяців одна новина чи інша публікація списку найгірших паролів. Ми бачимо безліч простих варіантів, таких як 123456 та 12345678 та qwerty. Вам легко? Звичайно. Але також хакерам легко зламати. Інші поширені (і погані) паролі складаються з простих словникових слів. У списку найгірших паролів ми бачили бейсбол, мавпу та зірки. Їх теж легко зламати.

Деякі захищені веб-сайти блокуються після встановлення кількості помилкових спроб пароля, але багато хто не робить. Для тих, хто не має жодної помилки, хакери можуть перекреслити список адрес електронної пошти зі списком популярних паролів і налаштувати автоматизований процес, щоб тримати спроби комбінацій, поки вони не потраплять.

Правильно захищений веб-сайт ніде не зберігає ваш пароль. Натомість він запускає пароль за допомогою алгоритму хешування, свого роду однобічного шифрування. Один і той же вхід завжди дає однаковий вихід, але немає можливості повернутися до вихідного пароля з отриманого хеша. Якщо пароль, який ви вводите хеши, на те саме значення, яке зберігається, ви отримуєте доступ. Навіть якщо хакери захоплюють дані користувачів сайту, вони не отримують паролі, а просто хеши.

Але розумні хакери можуть зламати слабкі паролі, навіть коли вони хешировані, якщо вони знають, яку функцію хешування використовував сайт. Вони починаються з запуску величезного словника загальних паролів через функцію хешування. Потім вони шукають отримані хеші у захоплених даних. Кожна відповідність - це зламаний пароль. Сайти з найкращою безпекою покращують хеш-функцію за допомогою методики під назвою засолювання, яка робить такий вид крекінгу неможливим, але навіщо ризикувати? Просто залишайтеся поза словником.

Думай по-іншому

Подруга одного разу сказала мені свій ідеальний пароль: 1qaz2wsx3edc4rfv. Вона могла "набрати" це, просто просунувши палець вниз по чотирьох похилих стовпцях клавіатури. Це було так ідеально, вона використовувала його всюди. І це була велика помилка.

Навряд чи тиждень проходить без новин про порушення в якійсь компанії чи веб-сайті, викриваючи тисячі чи мільйони імен користувачів та паролів. Розумні жертви негайно змінюють свої паролі. Ті, хто ігнорує проблему, можуть виявитись заблокованими з власних облікових записів після того, як хакери скинуть пароль.

Ці хакери знають, що надто багато людей переробляють свої паролі. Як тільки вони знайдуть робочу пару імені користувача та пароля, вони спробують ті ж дані на інших сайтах. Ви можете не так переживати з приводу втрати доступу до свого облікового запису Club Penguin, але якщо ви використовували той самий логін на веб-сайті свого банку, у вас виникли великі проблеми.

Погіршується. Якщо хтось інший отримає контроль над вашим обліковим записом електронної пошти, він може спочатку заблокувати вас, змінивши пароль. Тоді вони можуть проникнути у ваші інші облікові записи, надіславши посилання про скидання пароля електронною поштою. Потурбувались ще?

Не будьте особистими

Використання особистої інформації як основи для ваших паролів жахливо спокусливо, але це погана ідея. Швидше за все, ім'я вашої собаки з’являється в словниках, які хакери використовують для жорстоких атак. Інші можливості, такі як ініціали та дата народження члена сім'ї, ймовірно, не піддаються грубій атаці, але якщо хтось хоче конкретно зламати ваш акаунт, ці особисті дані можуть підштовхнути атаку здогадки проб і помилок.

Не замислюйтесь ні на хвилину, що ваші особисті дані є приватними. Є десятки сайтів, які люди можуть використовувати для пошуку деталей про кого-небудь: адресу, дату народження, сімейний стан тощо. Ваші публікації в соціальних мережах можуть бути ще одним джерелом особистої інформації, особливо якщо ви не захистили належним чином свої облікові записи. Рішучий хакер (або стомлений сусід), ймовірно, може здогадатися про будь-який пароль, який ви будуєте на основі власних даних.

Закрийте задні двері

Якщо ви не використовуєте менеджер паролів, ви напевно забули пароль для сайту. Це занадто часто, тому практично кожна сторінка для входу включає в себе "Забули пароль?" посилання. Деякі сайти надсилають посилання для скидання на вашу електронну адресу, а інші дозволяють скинути пароль після відповіді на ваші питання безпеки. І це відкриває задню двері для всіх, хто хоче зламати ваш рахунок.

Більшість сайтів пропонують непрості варіанти для питань безпеки. Яке дівоче прізвище твоєї матері? Де ти пішов до середньої школи? Яка ваша перша робота? Як зазначалося, ваше особисте життя - це відкрита книга для всіх, хто має навички пошуку в Інтернеті. По можливості ігноруйте задані питання. Створіть власне запитання з унікальною відповіддю, яку ви завжди пам’ятаєте, але про те, що ніхто інший не міг здогадатися.

Це складніше, коли сайт не дозволяє визначити власні запитання. У такому випадку найкраще скористатись пам’ятною відповіддю, яка є цілковитою брехнею. Дівоче прізвище моєї матері - Обама. Я пішов у школу на комуністичних мучеників. Для своєї першої роботи я був приручником лева. Є елемент ризику, оскільки ви можете забути, яку брехню ви вибрали. Я б запропонував зберігати ці дивні відповіді як захищені нотатки у своєму менеджері паролів … але якщо ви використовували менеджер паролів, він запам'ятав би цей пароль.

Що робити тепер, коли тебе хвилює

Сподіваюся, я переконав вас, що використання загальних паролів - гнила ідея, як створення паролів з особистої інформації. І навіть найкращий надійний, випадковий пароль стає відповідальністю, якщо ви використовуєте його повсюдно. Якщо ви готові вжити заходів, ось кілька початкових моментів:

• Використовуйте менеджер паролів.
• Перейдіть на кращий менеджер паролів.
• Запам’ятайте шалено безпечний головний пароль свого менеджера паролів.
• Скористайтеся генератором випадкових паролів, щоб оновити свої старі погані паролі.
• Ви навіть можете створити власний генератор випадкових паролів у Excel.
• Увімкніть двофакторну автентифікацію, коли це можливо.

Якщо захищений веб-сайт не піклується про безпеку, ви все одно можете втратити свої дані щодо порушення даних, але зробивши всі ваші паролі довгими, надійними та унікальними, ви зробили все, що можна, щоб захистити свої інтернет-акаунти.

І ей! Тепер, коли ви вже працюєте, ви можете додати віртуальну приватну мережу або VPN. Використання надійних паролів для захищених сайтів означає, що інші не можуть проникнути у ваші облікові записи; додавання VPN означає, що немає жодного шансу, що хтось може перехопити ваше з'єднання на цих захищених сайтах.