Ushbu maqolada xavfsiz parolni qanday yaratish, uni yaratishda qanday printsiplarga amal qilish kerakligi, parollarni qanday saqlash va zararli foydalanuvchilar ma'lumot va hisob qaydnomalaringizga kirish ehtimolini minimallashtirish masalalari ko'rib chiqiladi.
Ushbu material "Sizning parolingiz qanday buzilishi mumkin" maqolasining davomi bo'lib, u erda taqdim etilgan material bilan tanishishingiz yoki parollar buzilishining barcha asosiy usullarini bilishingizni anglatadi.
Parollarni yarating
Bugungi kunda, Internet-hisob qaydnomasini ro'yxatdan o'tkazishda, parolni yaratishda, siz odatda parolning kuchliligi ko'rsatkichini ko'rasiz. Deyarli hamma joyda u quyidagi ikkita omilni baholash asosida ishlaydi: parolning uzunligi; parolda maxsus belgilar, katta harflar va raqamlarning mavjudligi.
Bu shafqatsiz kuch bilan buzish uchun parolga qarshilik ko'rsatishning muhim parametrlari bo'lishiga qaramay, tizim uchun ishonchli ko'rinadigan parol har doim ham shunday emas. Masalan, "Pa $$ w0rd" kabi parol (va bu erda maxsus belgilar va raqamlar mavjud) juda tez buziladi - chunki (oldingi maqolada aytib o'tilganidek) odamlar kamdan-kam hollarda noyob parollarni yaratadilar. (parollarning 50% dan kamrog'i noyobdir) va ko'rsatilgan variant, ehtimol, buzg'unchilar uchun ochilgan ma'lumotlar bazalarida mavjud.
Qanday bo'lish kerak Eng yaxshi variant - maxsus belgilar yordamida uzun tasodifiy parollarni yaratish orqali parol ishlab chiqaruvchilardan foydalanish (Internetda onlayn yordam dasturlari sifatida, shuningdek, kompyuterlar uchun parol menejerlarining ko'pida mavjud). Ko'pgina hollarda, ushbu belgilarning 10 yoki undan ko'p qismidan iborat parol shunchaki xakerni qiziqtirmaydi (ya'ni, uning dasturiy ta'minoti bunday variantlarni tanlash uchun sozlanmaydi), chunki sarflangan vaqt to'lanmaydi. Yaqinda Google Chrome brauzerida o'rnatilgan parol generatori paydo bo'ldi.
Ushbu usulda asosiy kamchilik shundaki, bunday parollarni eslab qolish qiyin. Agar parolni yodda saqlash kerak bo'lsa, katta harflar va maxsus belgilarni o'z ichiga olgan 10 belgili parolni minglab yoki undan ko'proq (aniq raqamlar haqiqiy belgilar to'plamiga bog'liq) qidirish orqali yorilib ketishiga asoslanib yana bir imkoniyat mavjud, 20 harfli paroldan faqat kichik lotin harflarini o'z ichiga oladi (garchi xaker bu haqda bilsa ham).
Shunday qilib, 3-5 ta oddiy tasodifiy inglizcha so'zlardan iborat parolni eslab qolish oson bo'ladi va yorilish deyarli mumkin emas. Va har bir so'zni katta harf bilan yozgandan so'ng, biz variantlar sonini ikkinchi darajaga ko'taramiz. Agar u inglizcha tartibda yozilgan 3-5 ruscha so'zlardan iborat bo'lsa (shunchaki tasodifiy, ism va sanalar emas), parolni tanlashda lug'atlardan foydalanishning taxminiy imkoniyati ham olib tashlanadi.
Ehtimol, parollarni yaratishda mutlaqo to'g'ri yondashuv yo'q: turli usullarda afzalliklar va kamchiliklar mavjud (uni eslab qolish qobiliyati, ishonchlilik va boshqa parametrlar bilan bog'liq), ammo asosiy printsiplar quyidagilar:
- Parol muhim belgilar sonidan iborat bo'lishi kerak. Bugungi kunda eng keng tarqalgan cheklov - 8 ta belgi. Agar xavfsiz parol kerak bo'lsa, bu etarli emas.
- Iloji bo'lsa, parolga maxsus belgilar, katta va kichik harflar, raqamlar kiritilishi kerak.
- Hech qachon shaxsiy ma'lumotni parolga kiritmang, hatto "murakkab" usulda yozilgan bo'lsa ham. Sana, ism va familiya yo'q. Masalan, zamonaviy Julian taqvimining har qanday sanasini 0-yildan to hozirgi kungacha (2015 yil 18-iyul yoki 18072015-yil va hk) sinishi bir necha soniyadan bir necha soatgacha davom etadi (va shunga qaramay, soat faqat kechikishlar tufayli paydo bo'ladi). ba'zi holatlar uchun urinishlar o'rtasida).
Saytda parolingiz qanchalik kuchli ekanligini tekshirishingiz mumkin (ba'zi saytlarda parollarni kiritish, ayniqsa, httpssiz) xavfsiz usul emas) //rumkin.com/tools/password/passchk.php. Agar siz haqiqiy parolingizni tekshirishni xohlamasangiz, uning kuchliligi to'g'risida tasavvurga ega bo'lish uchun shunga o'xshashni (bir xil miqdordagi belgilar va bir xil belgilar to'plamidan) kiriting.
Belgilarni kiritish jarayonida xizmat entropiyani hisoblab chiqadi (shartli ravishda entropiya uchun variantlar soni 10 bit, variantlar soni 2dan o'ninchi kuchgacha) va bu parol uchun turli xil qiymatlarning ishonchliligi bo'yicha yordam beradi. 60 dan oshiq entropiyasi bo'lgan parollar hatto maqsadli tanlash vaqtida ham deyarli sindirib bo'lmaydi.
Turli xil hisoblar uchun bir xil parollardan foydalanmang
Agar sizda katta, murakkab parol bo'lsa, lekin uni imkon qadar ishlatasiz, u avtomatik ravishda mutlaqo ishonchsiz bo'ladi. Hackerlar bunday parolni ishlatadigan har qanday saytga kirishganda va unga kirishni qo'lga kiritgandan so'ng, u darhol boshqa barcha mashhur elektron pochta, o'yinlar, ijtimoiy xizmatlar va (masalan, maxsus dasturlardan foydalangan holda) sinovdan o'tishiga ishonch hosil qiling. onlayn banklar (parolingiz allaqachon yo'qolganligini tekshirish usullari avvalgi maqolaning oxirida berilgan).
Har bir hisob uchun noyob parol qiyin, bu noqulay, ammo agar bu hisoblar hech bo'lmaganda siz uchun ahamiyatli bo'lsa, zarurdir. Siz uchun hech qanday ahamiyatga ega bo'lmagan ba'zi ro'yxatga olishlar uchun (ya'ni siz ularni yo'qotishga tayyormisiz va xavotirlanmaysiz) va shaxsiy ma'lumotlarga ega bo'lmasangiz ham, siz noyob parollarga zid bo'lolmaysiz.
Ikki faktorli autentifikatsiya
Hatto kuchli parollar ham hech kim sizning hisobingizga kira olishiga kafolat bermaydi. Parol o'g'irlanishi yoki boshqa usulda (masalan, фишинг, masalan, eng keng tarqalgan variant) yoki sizdan olinishi mumkin.
Deyarli barcha yirik onlayn-kompaniyalar, shu jumladan Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam va boshqalar nisbatan yaqin vaqtlardan beri hisoblarda ikki faktorli (yoki ikki bosqichli) autentifikatsiyani yoqish imkoniyatini qo'shdilar. Agar xavfsizlik siz uchun muhim bo'lsa, uni yoqishni maslahat beraman.
Ikki faktorli autentifikatsiyani amalga oshirish turli xil xizmatlar uchun bir oz farq qiladi, ammo asosiy qoida quyidagicha:
- Noma'lum qurilmadan hisobingizga kirganingizda, to'g'ri parolni kiritganingizdan so'ng, sizdan qo'shimcha tekshiruvdan o'tishingiz talab qilinadi.
- Tekshiruv SMS-kod, smartfondagi maxsus dastur yordamida oldindan tayyorlangan bosma kodlardan, elektron pochta xabaridan, apparat kalitidan foydalangan holda amalga oshiriladi (oxirgi variant Google-dan kelgan, ushbu kompaniya odatda ikki faktorli autentifikatsiya bo'yicha etakchi hisoblanadi).
Shunday qilib, tajovuzkor sizning parolingizni bilib olsa ham, u qurilmangizga, telefoningizga, elektron pochtangizga kirmasdan hisobingizga kira olmaydi.
Agar siz ikki faktorli autentifikatsiya qanday ishlashini to'liq tushunmasangiz, Internetda ushbu mavzu bo'yicha maqolalarni yoki ushbu sayt amalga oshirilgan joylardagi harakatlar bo'yicha tavsiflarni va ko'rsatmalarni o'qishni tavsiya qilaman (men ushbu maqolada batafsil ko'rsatmalarni kirita olmayman).
Parolni saqlash
Har bir sayt uchun murakkab noyob parollar juda yaxshi, ammo ularni qanday saqlashim kerak? Ushbu parollarning barchasini yodda tutish dargumon. Saqlangan parollarni brauzerda saqlash xavfli majburiyatdir: ular nafaqat ruxsatsiz kirishdan himoyalanishadi, balki tizim ishdan chiqqanda va sinxronizatsiya o'chirilganida yo'qolishi mumkin.
Parollar menejerlari eng yaxshi echim deb hisoblanadi, ular umuman maxfiy ma'lumotlaringizni shifrlangan xavfsiz saqlash joylarida (ham oflayn, ham onlayn) saqlanadigan dastur bo'lib, unga bitta asosiy parol yordamida kirish mumkin (shuningdek, ikki faktorli autentifikatsiyani yoqishingiz mumkin). Ushbu dasturlarning aksariyati, shuningdek, parolni yaratish va baholash uchun vositalar bilan jihozlangan.
Bir necha yil oldin men eng yaxshi parol menejerlari haqida alohida maqola yozgan edim (uni qayta yozishga to'g'ri keladi, ammo siz uning nima ekanligini va maqoladan qaysi dasturlar mashhurligini tushunishingiz mumkin). Ba'zilar qurilmangizdagi barcha parollarni saqlaydigan KeePass yoki 1Password kabi oddiy oflayn echimlarni afzal ko'rishadi, boshqalari esa sinxronizatsiya imkoniyatlarini ta'minlaydigan ko'proq funktsional yordam dasturlarini afzal ko'rishadi (LastPass, Dashlane).
Taniqli parol menejerlari odatda ularni saqlashning juda xavfsiz va ishonchli usuli deb hisoblanadi. Biroq, ba'zi tafsilotlarni ko'rib chiqishga arziydi:
- Barcha parollaringizga kirish uchun siz bitta asosiy parolni bilishingiz kerak.
- Onlayn saqlashni buzish holatlarida (deyarli bir oy oldin, dunyodagi eng mashhur LastPass parollarni boshqarish xizmati buzilgan), siz barcha parollaringizni o'zgartirishingiz kerak bo'ladi.
Qanday qilib muhim parollarimni saqlashim mumkin? Mana, ikkita variant:
- Siz va sizning oila a'zolaringiz kirish huquqiga ega bo'lgan qog'ozdagi qog'ozda (ko'pincha ishlatiladigan parollar uchun mos emas).
- Oflayn parol ma'lumotlar bazasi (masalan, KeePass) uzoq muddatli saqlash moslamasida saqlanadi va yo'qolgan taqdirda biron bir joyga ko'chiriladi.
Menimcha, yuqorida aytilganlarning barchasini uyg'unlashtirish quyidagi yondashuvdir: eng muhim parollar (asosiy elektron pochta, siz boshqa hisoblarni, bankni va boshqalarni tiklashingiz mumkin) xavfsiz joyda va boshda va (yoki) qog'ozda saqlanadi. Kamroq ahamiyatga ega va shu bilan birga, ko'pincha ishlatiladiganlar parollarni boshqarish dasturlariga tayinlanishi kerak.
Qo'shimcha ma'lumot
Parollar mavzusidagi ikkita maqolaning kombinatsiyasi ba'zilaringizga xavfsizlik to'g'risida o'ylamagan ba'zi jihatlarga e'tibor berishga yordam bergan deb umid qilaman. Albatta, men barcha mumkin bo'lgan variantlarni hisobga olmadim, ammo sodda mantiq va printsiplarni biroz tushunish, muayyan vaqtda nima qilayotganingizni xavfsiz aniqlashga yordam beradi. Yana bir bor eslatib o'tilgan va bir nechta qo'shimcha fikrlar:
- Turli saytlar uchun turli xil parollardan foydalaning.
- Parollar murakkab bo'lishi kerak va parolning uzunligini ko'paytirish orqali siz murakkablikni ko'paytirishingiz mumkin.
- Parolni o'zi yaratishda shaxsiy ma'lumotlardan foydalanmang (buni bilib olish mumkin), parolni aniqlash, tiklash uchun xavfsizlik savollari.
- Iloji bo'lsa, 2 bosqichli tekshiruvdan foydalaning.
- Parollarni xavfsiz saqlashning eng yaxshi usulini toping.
- Fishingga ehtiyot bo'ling (veb-sayt manzillarini tekshiring, shifrlash) va josuslarga qarshi dastur. Qaerda parolni kiritishni so'rasangiz, uni to'g'ri saytda kiritganingizni tekshiring. Kompyuteringizni zararli dasturlardan xoli qiling.
- Iloji bo'lsa, parolingizni boshqa odamlarning kompyuterlarida ishlatmang (agar kerak bo'lsa, buni brauzerning "inkognito" rejimida bajaring, va hatto ekrandagi klaviaturadan ham yaxshiroq kiriting), ochiq Wi-Fi tarmoqlarida, ayniqsa saytga ulanishda https shifrlash bo'lmasa. .
- Ehtimol, siz eng muhim parollarni kompyuterda yoki onlayn tarzda saqlamasligingiz kerak.
Shunga o'xshash narsa. Men paranoyaning darajasini ko'tarishga muvaffaq bo'ldim deb o'ylayman. Ta'riflangan narsalarning aksariyati noqulay bo'lib tuyuladi, "yaxshi, bu meni chetlab o'tadi" kabi fikrlar paydo bo'lishi mumkin, ammo maxfiy ma'lumotlarni saqlashda xavfsizlik qoidalariga rioya qilishda dangasalik uchun yagona sabab bu uning ahamiyati yo'qligi va sizning tayyorligingiz bo'lishi mumkin. bu uchinchi shaxslarning mulki bo'ladi.