პაროლი უსაფრთხოება

ეს სტატია განიხილავს, თუ როგორ უნდა შეიქმნას უსაფრთხო პაროლი, რა პრინციპებს უნდა მოჰყვეს მათი შექმნისას, როგორ შევინარჩუნოთ პაროლები და შეამცირონ ინტრუდერატების შანსი თქვენი ინფორმაციისა და ანგარიშების წვდომისათვის.

ეს მასალა სტატიის გაგრძელებაა "როგორ შეიძლება თქვენი პაროლი დაიბლოკოს" და გულისხმობს, რომ თქვენ გაეცნობით მასალას, და ამის გარეშე, თქვენ იცით ყველა ძირითადი გზა, რომელშიც პაროლები შეიძლება კომპრომეტირებული იყოს.

პაროლების შექმნა

დღეს, ნებისმიერი ინტერნეტ ანგარიშის რეგისტრაციისას, პაროლის შექმნისას, როგორც წესი, ხედავთ პაროლის გამტარუნარიან მაჩვენებელს. თითქმის ყველგან მუშაობს შემდეგი ორი ფაქტორების შეფასების საფუძველზე: პაროლი სიგრძე; პერსონალური სიმბოლოების, წერილებისა და ნომრების თანდასწრებით პაროლი.

მიუხედავად იმისა, რომ ეს მართლაც მნიშვნელოვანია პაროლის წინააღმდეგობის მნიშვნელოვანი პარამეტრები უხეში დარღვევით, პაროლი, რომელიც ძლიერია, ყოველთვის არ არის საქმე. მაგალითად, პაროლი, როგორიცაა "Pa $$ w0rd" (და აქ არის სპეციალური სიმბოლოები და ციფრები) სავარაუდოდ უნდა დაბზარულია - იმის გამო, რომ (როგორც აღწერილია წინა სტატიაში) ხალხი იშვიათად ქმნის უნიკალურ პაროლს (პაროლების 50% -ზე ნაკლებად უნიკალურია) და ამ ვარიანტს სავარაუდოდ უკვე აქვს გაჟღენთილი მონაცემთა ბაზების არსებობა, რომლებსაც აქვთ ინტრუქტორები.

როგორ უნდა იყოს? საუკეთესო ვარიანტია, რომ გამოიყენოთ პაროლების გენერატორები (ხელმისაწვდომია ინტერნეტში არსებული ონლაინ შეღავათების სახით, ისევე, როგორც კომპიუტერულ პაროლ მენეჯერთა უმრავლესობაში), რაც ქმნის პერსონალური სიმბოლოების გამოყენებას უმეტეს შემთხვევაში, 10 ან მეტი ასეთი პერსონაჟის პაროლი უბრალოდ არ იქნება ინტერესი ჰაკერისთვის (მაგ. მისი პროგრამული უზრუნველყოფა არ იქნება კონფიგურირებული ასეთი ვარიანტების შერჩევა) იმის გამო, რომ დრო ხარჯები არ იხდის. ცოტა ხნის წინ, ჩამონტაჟებული პაროლი გენერატორი გამოჩნდა Google Chrome ბრაუზერში.

ამ მეთოდის მთავარი პრობლემა ის არის, რომ ასეთი პაროლები ძნელია გახსოვდეთ. თუ თქვენი ხელმძღვანელის არსებობის საჭიროებაა საჭირო, კიდევ ერთი ვარიანტია, რომ 10 სიმბოლოთა პაროლი, რომელიც შეიცავს კაპიტალურ წერილებს და სპეციალურ სიმბოლოებს, გაბრწყინდება ათასობით ან მეტი ხომალდის ძალით (სპეციფიკური ციფრები დამოკიდებულია პერსონაჟზე), ვიდრე 20 სიმბოლოების პაროლი, რომელიც შეიცავს მხოლოდ ლათინურ სიმბოლოებს (მაშინაც კი, თუ თავდამსხმელი იცის ამის შესახებ).

ამდენად, პაროლი შედგება 3-5 მარტივი შემთხვევითი ინგლისურ სიტყვები იქნება ადვილი უნდა გვახსოვდეს და თითქმის შეუძლებელია ბზარი. და თითოეულ წერილში წერილობითი ასოებით დაწერილი, ჩვენ დავაყენებთ ვარიანტების რაოდენობას მეორე ხარისხში. თუ ეს 3-5 რუსული სიტყვაა (ისევ, შემთხვევითი, მაგრამ არა სახელები და თარიღები) ინგლისურ განლაგებაში დაწერილი, ლექსიკონის გამოყენებისას გამოყენებული ლექსიკონის გამოყენების უახლესი მეთოდების ჰიპოთეტური შესაძლებლობა ამოღებულია.

მართალია, არ არსებობს სწორი მიდგომა პაროლების შესაქმნელად: არსებობს სხვადასხვა დადებითი და უარყოფითი მხარეები (დაკავშირებული მასთან დაკავშირებული საიმედოობის და სხვა პარამეტრების შესახებ), მაგრამ ძირითადი პრინციპებია:

• პაროლი უნდა შედგებოდეს მნიშვნელოვანი რაოდენობის სიმბოლოებისგან. დღეს ყველაზე გავრცელებული შეზღუდვა 8 სიმბოლოა. და ეს არ არის საკმარისი, თუ საჭიროა უსაფრთხო პაროლი.
• თუ შესაძლებელია, შეიტანეთ სპეციალური სიმბოლოები, ზედა და ქვედა ასოები, ნომრები პაროლი.
• არასდროს არ შეიცავით პირადი მონაცემები თქვენს პაროლში, თუნდაც ის, როგორც ჩანს, ჭკვიანი გზებით იყო დაწერილი. არ თარიღები, პირველი სახელები და გვარები. მაგალითად, თანამედროვე ჯულიან კალენდარში ნებისმიერი თარიღიდან 0-დან 0 რიცხვიდან დღემდე (მაგ. 07/18/2015 ან 18072015 და ა.შ.) მიიღება პაროლი, რომელიც წამში გადის საათებში (და საათი მიიღება მხოლოდ დაგვიანებით შორის ზოგიერთ შემთხვევაში).

თქვენ შეგიძლიათ შეამოწმოთ რამდენად ძლიერი პაროლი თქვენს საიტზე (მიუხედავად იმისა, რომ ზოგიერთ საიტებზე შესვლა, განსაკუთრებით https- ს გარეშე, არ არის უსაფრთხო პრაქტიკა) http://rumkin.com/tools/password/passchk.php. თუ არ გსურთ თქვენი ნამდვილი პაროლის შემოწმება, შეიყვანეთ მსგავსი (ერთი და იმავე სიმბოლოების სიმბოლოთი და იგივე სიმბოლოების სიმბოლოთი), მიიღოს საიმედოობის იდეა.

სიმბოლოების შესვლისას, სერვისი ითვლის ენტროპიას (პირობითი, რიგი პარამეტრები, ენტროპიისთვის არის 10 ბიტი, რიგი პარამეტრები 2 მეათედი) და უზრუნველყოფს ინფორმაციას სხვადასხვა ღირებულებების სანდოობის შესახებ. 60-ზე მეტი ენტროპიის მქონე პაროლები თითქმის შეუძლებელია მიზანმიმართული შერჩევის დროსც კი.

არ გამოიყენოთ იგივე პაროლები სხვადასხვა ანგარიშებისთვის.

თუ თქვენ გაქვთ დიდი რთული პაროლი, მაგრამ გამოიყენე იქ, სადაც შესაძლებელია, ის ავტომატურად ხდება სრულიად არასანდო. როგორც კი ჰაკერები შედიან იმ საიტებზე, სადაც იყენებთ ასეთ საიტს და შეძლებთ მიიღოთ იგი, დარწმუნებული უნდა იყოს, რომ ყველა დაუყოვნებლივ ელ-ფოსტაზე, სათამაშოში, სოციალურ მომსახურებებზე და შესაძლოა, ონლაინ ბანკები (გზები რომ ნახოთ თუ თქვენი პაროლი უკვე გაჟონა არის ჩამოთვლილი ბოლოს წინა სტატია).

თითოეული ანგარიშის უნიკალური პაროლი რთულია, ეს არ არის უხერხული, მაგრამ აუცილებელია თუ ეს ანგარიშები თქვენთვის მნიშვნელოვანია. მიუხედავად იმისა, რომ ზოგიერთ რეგისტრაციას, რომელსაც არანაირი მნიშვნელობა არ აქვს თქვენთვის (ანუ თქვენ მზად ხართ, რომ დაკარგოთ ისინი და არ ინერვიულოთ) და არ შეიცავდეთ პერსონალურ ინფორმაციას, თქვენ არ დააკმაყოფილებთ უნიკალურ პაროლებებს.

ორი ფაქტორი ავთენტიფიკაცია

ძლიერი პაროლებიც კი არ იძლევა იმის გარანტიას, რომ თქვენს ანგარიშზე ვეღარ შეიყვანთ. თქვენ შეგიძლიათ მოიპარონ პაროლი ერთი გზით ან სხვა (ფიშინგი, მაგალითად, როგორც ყველაზე ხშირი ვარიანტი) ან მიიღეთ იგი.

თითქმის ყველა სერიოზული ონლაინ კომპანიები, მათ შორის Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, ორთქლისა და სხვები, ცოტა ხნის წინ დაამატეს შესაძლებლობა, რომ საშუალება მისცეს ორი ფაქტორი (ან ორი ნაბიჯი) ავთენტურობის მათი ანგარიშები. და, თუ უსაფრთხოების მნიშვნელოვანია თქვენთვის, მე მაღალ რეკომენდაციას მისი ჩართვა.

ორი ფაქტორის ავტორიზაციის განხორციელება ოდნავ განსხვავდება სხვადასხვა მომსახურებისათვის, მაგრამ ძირითადი პრინციპია:

1. უცნობი მოწყობილობიდან ანგარიშის შეყვანისას, სწორი პაროლის შესვლის შემდეგ, მოგეთხოვებათ დამატებითი ტესტირება.
2. გადამოწმება ხდება SMS კოდით, სპეციალური აპლიკაცია სმარტფონზე, წინასწარ მომზადებული ბეჭდური კოდების საშუალებით, ელ-ფოსტის გაგზავნა, აპარატურის გასაღები (უკანასკნელი ვარიანტი Google- ზე გამოჩნდა, ეს კომპანია, როგორც წესი, საუკეთესოა ორ ფაქტორიანი ავთენტიფიკაციის თვალსაზრისით).

ამდენად, მაშინაც კი, თუ თავდამსხმელმა შეიტყო თქვენი პაროლი, ის ვერ შეძლებს შეხვიდეთ თქვენს ანგარიშზე თქვენი მოწყობილობების, ტელეფონის ან ელექტრონული ფოსტის ხელმისაწვდომობის გარეშე.

თუ კარგად ვერ გაიგებთ, თუ როგორ მუშაობს ორი ფაქტორი ავთენტიფიკაცია, მე ვურჩევ სტატიებს ინტერნეტში, რომელიც მიეძღვნა ამ თემას ან აღწერილობებსა და მითითებებს იმ საიტებზე, სადაც იგი ხორციელდება (ამ მუხლში დეტალური ინსტრუქციები არ შემიძლია).

პაროლი შენახვა

ძნელია უნიკალური პაროლები თითოეულ საიტზე - დიდი, მაგრამ როგორ უნდა შეინახოთ ისინი? ნაკლებად სავარაუდოა, რომ ყველა ეს პაროდია შეიძლება დაცული იყოს. ბრაუზერში შენახული პაროლების შენახვა საშიშია: ისინი არა მარტო უფრო დაუცველნი გახდებიან არასანქცირებული წვდომისთვის, მაგრამ უბრალოდ შეიძლება დაზიანდეს სისტემის დაზიანების შემთხვევაში და სინქრონიზაცია გამორთულია.

საუკეთესო გამოსავალი ითვლება პაროლი მენეჯერები, რომლებიც ზოგადად წარმოადგენს პროგრამებს, რომლებიც ინახება ყველა თქვენს საიდუმლო მონაცემებს დაშიფრული უსაფრთხო საცავებში (როგორც ფორუმზე, ისე ინტერნეტში), რომელიც ხელმისაწვდომია ერთი საძიებო პაროლის გამოყენებით (შეგიძლიათ ასევე ჩართოთ ორი ფაქტორი ავტორიზაციის). გარდა ამისა, ამ პროგრამების უმრავლესობა აღჭურვილია პაროლების საიმედოობის გენერირებასა და შეფასებაზე.

რამდენიმე წლის წინ, მე დავწერე ცალკე სტატია საუკეთესო პაროლი მენეჯერების შესახებ (გადაფასების ღირსია, მაგრამ შეგიძლიათ მიიღოთ იდეა იმის შესახებ, თუ რა არის და რომელი პროგრამები პოპულარულია სტატიიდან). ზოგიერთი უპირატესობას ანიჭებს მარტივი ოფლაინ გადაწყვეტილებებს, როგორიცაა KeePass ან 1Password, რომელიც შეინახავს ყველა პაროლის თქვენს მოწყობილობას, სხვები - უფრო ფუნქციონალური კომუნალური, რომელიც ასევე წარმოადგენს სინქრონიზაციის შესაძლებლობებს (LastPass, Dashlane).

ცნობილმა პაროლი მენეჯერები ზოგადად განიხილება, როგორც ძალიან უსაფრთხო და საიმედო გზა შესანახად მათ. თუმცა, მნიშვნელოვანია რამდენიმე დეტალების გათვალისწინება:

• ყველა თქვენს პაროლებზე წვდომისათვის საჭიროა მხოლოდ ერთი საძიებო პაროლი.
• იმ შემთხვევაში, თუ ჰაკერების ონლაინ შენახვის (სიტყვასიტყვით ერთი თვის წინ, მსოფლიოს ყველაზე პოპულარული დაგავიწყდათ მართვის სამსახური, LastPass, იყო გატეხილი), თქვენ უნდა შეცვალოს ყველა თქვენი პაროლები.

როგორ შეგიძლიათ შეინახოთ თქვენი მნიშვნელოვანი პაროლები? აქ არის რამოდენიმე ვარიანტი:

• ქაღალდზე უსაფრთხო, ხელმისაწვდომობა, რომელიც თქვენ და თქვენი ოჯახის წევრებს ექნება (არ არის შესაფერისი პაროლები, რომ თქვენ ხშირად უნდა გამოვიყენოთ).
• Offline დაგავიწყდათ მონაცემთა ბაზა (მაგალითად, KeePass) ინახება გრძელვადიანი მონაცემთა შენახვის მოწყობილობის და დუბლირებული სადმე შემთხვევაში დაკარგვა.

ჩემი აზრით, ზემოთ აღწერილი ყველაფრის საუკეთესო კომბინაციაა შემდეგი მიდგომა: ყველაზე მნიშვნელოვანი პაროლები (ძირითადი ელ.ფოსტა, რომელსაც შეუძლია სხვა ანგარიშების აღდგენა, ბანკი და სხვ.) შეინახოს სათავეში და (ან) ქაღალდზე უსაფრთხო ადგილას. ნაკლებად მნიშვნელოვანი და, ამავე დროს, ხშირია გამოყენებული პირადობის მოწმობა.

დამატებითი ინფორმაცია

ვიმედოვნებ, რომ თქვენს ორ ნაწილში პაროლების ორ სტატიას მივუძღვენი ყურადღება უსაფრთხოების ზოგიერთ ასპექტს, რომელიც არ ფიქრობთ. რა თქმა უნდა, მე არ მხედველობაში მაქვს ყველა შესაძლო ვარიანტი, მაგრამ მარტივი ლოგიკა და პრინციპების ზოგიერთი გაგება ხელს შეუწყობს, რომ გადაწყვიტოს, რამდენად უსაფრთხოა კონკრეტულ მომენტში. კიდევ ერთხელ აღინიშნა და რამდენიმე დამატებითი წერტილი:

• გამოიყენეთ სხვადასხვა პაროლები სხვადასხვა საიტებზე.
• პაროლები უნდა იყოს რთული, ყველაზე რთულია გაზრდის სირთულის გაზრდის დაგავიწყდათ სიგრძე.
• არ გამოიყენოთ პირადი მონაცემები (რომელიც შეგიძლიათ გაიგოთ) პაროლი შექმნისას, მისი მინიშნებები, გამოცდის კითხვების დასმა.
• გამოიყენეთ ორი ნაბიჯი ავტორიზაციის სადაც შესაძლებელია.
• იპოვეთ საუკეთესო გზა თქვენი პაროლის დაცვაზე.
• ფრთხილად იყავი ფიშინგი (შეამოწმეთ მისამართების მისამართები, ყოფნა დაშიფვრის) და spyware. სადაც მათ სთხოვენ შეიყვანოთ პაროლი, შეამოწმეთ თუ არა მართლაც სწორი საიტზე. დარწმუნდით, რომ კომპიუტერი არ არის მავნე.
• თუ შესაძლებელია, არ გამოიყენოთ თქვენი პაროლები ვინმეს კომპიუტერებზე (საჭიროების შემთხვევაში, ბრაუზერის ინკოგნიტო რეჟიმში, ან უფრო უკეთესია, ეკრანის კლავიატურის გამოყენება), ღია ღია Wi-Fi ქსელებში, განსაკუთრებით იმ შემთხვევაში, თუ არ გაქვთ კონფიგურაციის კონფიგურაცია .
• ალბათ არ უნდა შეინახოთ ყველაზე მნიშვნელოვანი, მართლაც ღირებული, პაროლები კომპიუტერზე ან ონლაინში.

რაღაც მსგავსი. მე ვფიქრობ, რომ შევძელით პარანოიის ხარისხი. მე მესმის, რომ ზემოაღნიშნულიდან გამომდინარე, უცნაურია, შეიძლება წარმოიშვას ისეთი აზრები, როგორიცაა "კარგად, ეს გვერდს გაუშვებს", მაგრამ ერთადერთი საბაბია, რომ სიზარმადი იყოს, როდესაც კონფიდენციალური ინფორმაციის შენახვის მარტივი უსაფრთხოების წესები შეიძლება იყოს მხოლოდ მისი ნაკლებობა და თქვენი მზადყოფნა რომ ეს გახდება მესამე მხარის ქონება.