Nakala hii itajadili jinsi ya kuunda nenosiri salama, ni kanuni gani zinazopaswa kufuatwa wakati wa kuunda, jinsi ya kuhifadhi nywila na kupunguza uwezekano wa watumiaji wabaya kupata ufikiaji wa habari na akaunti yako.
Nyenzo hii ni mwendelezo wa kifungu "Nenosiri lako linawezaje kudharauliwa" na inamaanisha kuwa unajua nyenzo zilizowasilishwa hapo au tayari unajua njia zote kuu ambazo nywila zinaweza kuathirika.
Unda manenosiri
Leo, wakati wa kusajili akaunti ya mtandao, kuunda nywila, kawaida unaona kiashiria cha nguvu ya nywila. Karibu kila mahali inafanya kazi kwa kuzingatia tathmini ya mambo mawili yafuatayo: urefu wa nenosiri; uwepo wa herufi maalum, herufi kubwa na nambari katika nywila.
Licha ya ukweli kwamba haya ni vigezo muhimu vya kupinga nenosiri kwa nguvu ya brute, nywila inayoonekana kuwa ya kuaminika kwa mfumo sio kila wakati. Kwa mfano, nenosiri kama "Pa $ $ w0rd" (na kuna herufi na nambari maalum hapa) zitavunjwa haraka sana - kwa sababu ya ukweli kwamba (kama ilivyoelezewa katika nakala iliyopita) watu mara chache huunda nywila za kipekee. (chini ya 50% ya manenosiri ni ya kipekee) na chaguo kilichoonyeshwa tayari ni tayari katika hifadhidata iliyovuja inapatikana kwa washambuliaji.
Jinsi ya kuwa Chaguo bora ni kutumia jenereta za nywila (zinazopatikana kwenye mtandao kwa njia ya huduma za mkondoni, na vile vile katika wasimamizi wengi wa nywila kwa kompyuta), kuunda nywila za muda mrefu kwa kutumia herufi maalum. Katika hali nyingi, nywila ya 10 au zaidi ya herufi hizi hazitamfaa mlaghai (kwa mfano, programu yake haitasanidiwa kuchagua chaguzi hizo) kwa sababu ya ukweli kwamba wakati uliotumika hautalipa. Hivi karibuni, jenereta ya nenosiri iliyojengwa ilionekana kwenye kivinjari cha Google Chrome.
Kwa njia hii, ubaya kuu ni kwamba nywila kama hizo ni ngumu kukumbuka. Ikiwa kuna haja ya kuweka nywila kwenye akili, kuna chaguo jingine kwa kuzingatia kwamba nywila ya herufi 10 ambayo ina herufi kubwa na herufi maalum hupigwa na hesabu ya maelfu au zaidi (nambari maalum hutegemea seti halali ya vibambo) mara rahisi kuliko nywila ya herufi 20 zilizo na herufi ndogo za Kilatini (hata ikiwa mhalifu anajua juu yake).
Kwa hivyo, nywila inayojumuisha maneno rahisi ya Kiingereza yasiyofaa na rahisi itakuwa rahisi kukumbuka na karibu haiwezekani kutapeli. Na baada ya kuandika kila neno na herufi kubwa, tunainua idadi ya chaguzi hadi shahada ya pili. Ikiwa itakuwa maneno ya Kirusi 3-5 (tena bila mpangilio, badala ya majina na tarehe) zilizoandikwa katika mpangilio wa Kiingereza, uwezekano wa nadharia wa njia za kisasa za kutumia kamusi kwa uteuzi wa nywila pia utaondolewa.
Labda hakuna njia sahihi kabisa ya kuunda nywila: kwa njia anuwai kuna faida na hasara (zinazohusiana na uwezo wa kukumbuka, kuegemea, na vigezo vingine), hata hivyo, kanuni za msingi ni kama ifuatavyo:
- Nenosiri lazima iwe na idadi kubwa ya wahusika. Kizuizi kinachojulikana zaidi leo ni herufi 8. Na hii haitoshi ikiwa unahitaji nenosiri salama.
- Ikiwezekana, herufi maalum, herufi za hali ya juu na chini, nambari lazima zijumuishwe kwenye nywila.
- Kamwe usijumuishe data ya kibinafsi katika nenosiri, hata iliyorekodiwa na njia ambazo zinaonekana kama "hila". Hakuna tarehe, majina na majina. Kwa mfano, kuvunja nywila inayowakilisha tarehe yoyote ya kalenda ya kisasa ya Julian kutoka mwaka wa 0 hadi siku ya leo (ya aina Julai 18, 2015 au 18072015, nk) itachukua kutoka sekunde hadi masaa (na hata wakati huo, saa itageuka tu kwa sababu ya kuchelewesha. kati ya majaribio ya kesi kadhaa).
Unaweza kuangalia jinsi nywila yako ilivyo kwenye wavuti hiyo (ingawa kuingia nywila kwenye tovuti zingine, haswa bila njia ya https sio shughuli salama kabisa) //rumkin.com/tools/password/passchk.php. Ikiwa hutaki kuthibitisha nywila yako halisi, ingiza namba inayofanana (kutoka nambari inayofanana ya wahusika na seti moja ya wahusika) kupata wazo la nguvu yake.
Katika mchakato wa kuingiza wahusika, huduma huhesabu entropy (masharti, idadi ya chaguzi za entropy ni bits 10, idadi ya chaguzi ni 2 hadi nguvu ya kumi) kwa nenosiri lililopewa na hutoa msaada juu ya kuegemea kwa maadili anuwai. Nywila zilizo na entropy ya zaidi ya 60 ni karibu haiwezekani kupasuka hata wakati wa kuchaguliwa.
Usitumie nywila sawa kwa akaunti tofauti
Ikiwa unayo nywila kubwa na ngumu, lakini unaitumia popote uwezavyo, moja kwa moja inakuwa isiyoaminika kabisa. Mara tu watapeli wanapogawanyika katika tovuti yoyote unayotumia nywila kama hiyo na kuipata, hakikisha kuwa itajaribiwa mara moja (kiotomatiki, kutumia programu maalum) kwenye barua pepe nyingine zote maarufu, michezo ya kubahatisha, huduma za kijamii, na labda hata benki za mkondoni (Njia za kuona ikiwa nywila yako imekwisha kutolewa imetolewa mwishoni mwa kifungu kilichotangulia).
Nenosiri la kipekee kwa kila akaunti ni ngumu, ni ngumu, lakini ni muhimu ikiwa akaunti hizi ni za muhimu zaidi kwako. Ingawa, kwa usajili wengine ambao hauna dhamana kwako (ambayo ni, upo tayari kuipoteza na hautasumbuka) na hauna habari za kibinafsi, huwezi kugongana na nywila za kipekee.
Uthibitishaji wa sababu mbili
Hata nywila kali hazihakikishi kuwa hakuna mtu anayeweza kuingia kwenye akaunti yako. Nenosiri linaweza kuibiwa kwa njia moja au nyingine (hadaa, kwa mfano, kama chaguo la kawaida) au kupatikana kutoka kwako.
Karibu kampuni zote kubwa mkondoni ikijumuisha Google, Yandex, mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam na zingine zimeongeza uwezo wa kuwezesha uthibitishaji wa sababu mbili (au hatua mbili) katika akaunti tangu hivi karibuni. Na, ikiwa usalama ni muhimu kwako, ninapendekeza kuiwasha.
Utekelezaji wa uthibitishaji wa sababu mbili hufanya kazi tofauti kidogo kwa huduma tofauti, lakini kanuni ya msingi ni kama ifuatavyo.
- Unapoingia katika akaunti yako kutoka kwa kifaa kisichojulikana, baada ya kuingia nywila sahihi, unaulizwa kupitia ukaguzi mwingine.
- Cheki hufanyika kwa kutumia nambari ya SMS, programu maalum kwenye smartphone, ukitumia nambari zilizochapishwa tayari, ujumbe wa barua-pepe, kitufe cha vifaa (chaguo la mwisho kilitoka kwa Google, kampuni hii kwa ujumla ni kiongozi katika suala la uthibitisho wa sababu mbili).
Kwa hivyo, hata kama mshambuliaji atagundua nywila yako, hataweza kuingia katika akaunti yako bila kufikia vifaa vyako, simu, barua pepe.
Ikiwa hauelewi kabisa jinsi uthibitishaji wa sababu mbili hufanya kazi, napendekeza kusoma makala kwenye mtandao kwenye mada hii au maelezo na miongozo ya hatua kwenye wavuti wenyewe, ambapo inatekelezwa (sitaweza kujumuisha maagizo ya kina katika nakala hii).
Hifadhi ya nywila
Nywila ngumu za kipekee kwa kila tovuti ni nzuri, lakini ninazihifadhi vipi? Haiwezekani kwamba nywila hizi zote zinaweza kuwekwa akilini. Kuweka nywila zilizohifadhiwa kwenye kivinjari ni shughuli hatari: sio tu kuwa katika hatari ya kupata ufikiaji usioidhinishwa, lakini inaweza tu kupotea katika tukio la shambulio la mfumo na wakati maingiliano imezimwa.
Suluhisho bora inachukuliwa kuwa wasimamizi wa nenosiri, ambalo kwa maneno ya jumla ni programu ambazo huhifadhi data yako yote ya siri katika duka salama iliyosimbwa (yote nje ya mkondo na mkondoni), kupatikana kwa kutumia nenosiri moja la bwana (unaweza pia kuwezesha uthibitisho wa sababu mbili). Zaidi ya programu hizi pia zina vifaa vya kutengeneza na kutathmini nguvu ya nywila.
Miaka michache iliyopita niliandika nakala tofauti juu ya Wasimamizi Bora wa Nenosiri (inafaa kuiandika tena, lakini unaweza kupata wazo la nini na ni programu gani zinazojulikana kutoka kwa nakala hiyo). Wengine wanapendelea suluhisho rahisi za mkondoni, kama KeePass au 1Password, ambayo huhifadhi nywila zote kwenye kifaa chako, wengine wanapendelea huduma zaidi za kazi ambazo pia hutoa uwezo wa maingiliano (LastPass, Dashlane).
Wasimamizi wa nywila wanaojulikana kwa ujumla huchukuliwa kama njia salama sana na ya kuaminika ya kuhifadhi. Walakini, inafaa kuzingatia maelezo kadhaa:
- Ili kufikia nywila zako zote unahitaji kujua nywila moja tu ya bwana.
- Katika kesi ya utunzaji wa kuhifadhi mkondoni (halisi mwezi uliopita, huduma ya usimamizi wa nywila maarufu wa LastPass ulimwenguni ilibuniwa), itabidi ubadilishe nywila zako zote.
Ninawezaje tena kuhifadhi nywila zangu muhimu? Hapa kuna chaguzi kadhaa:
- Kwenye karatasi iliyo salama ambayo wewe na familia yako mtaweza kupata (haifai nywila ambazo zinahitaji kutumiwa mara nyingi).
- Mbegu ya nywila ya mkondoni (kwa mfano, KeePass) iliyohifadhiwa kwenye kifaa cha kuhifadhi kwa muda mrefu na inabadilishwa mahali pengine ikiwa utapotea.
Kwa maoni yangu, mchanganyiko mzuri wa yote hapo juu ni njia ifuatayo: nywila muhimu zaidi (barua pepe kuu, ambayo unaweza kurejesha akaunti zingine, benki, nk) zimehifadhiwa kichwani na (au) kwenye karatasi mahali salama. Cha muhimu sana na, kwa wakati mmoja, zile zinazotumiwa mara nyingi zinapaswa kupewa mipango ya meneja wa nenosiri.
Habari ya ziada
Natumai kuwa mchanganyiko wa vifungu viwili kwenye mada ya manenosiri zilisaidia baadhi yenu kuzingatia kipaumbele katika nyanja kadhaa za usalama ambazo hukufikiria. Kwa kweli, sikuzingatia chaguzi zote zinazowezekana, lakini mantiki rahisi na uelewa fulani wa kanuni zitanisaidia kuamua jinsi salama ya kile unachofanya kwa wakati fulani. Kwa mara nyingine, wengine walitaja na vidokezo vichache vya ziada:
- Tumia nywila tofauti kwa tovuti tofauti.
- Nywila zinapaswa kuwa ngumu, na unaweza kuongeza ugumu zaidi kwa kuongeza urefu wa nywila.
- Usitumie data ya kibinafsi (ambayo inaweza kupatikana) wakati wa kuunda nenosiri lenyewe, vidokezo vyake, maswali ya usalama ya kupona.
- Tumia uthibitishaji wa hatua mbili inapowezekana.
- Tafuta njia bora ya kuhifadhi nywila salama.
- Kuwa mwangalifu wa hadaa (angalia anwani za wavuti, usimbizo) na ujasusi. Wakati wowote umeulizwa kuingiza nenosiri, angalia ikiwa unaiingiza kwenye tovuti sahihi. Weka kompyuta yako isiwe na programu hasidi.
- Ikiwezekana, usitumie nywila zako kwenye kompyuta za watu wengine (ikiwa ni lazima, fanya kwa njia ya "kutambulika" ya kivinjari, na aina bora zaidi kutoka kwenye kibodi cha skrini), kwenye mitandao ya wazi ya Wi-Fi, haswa ikiwa hakuna usimbuaji wa https wakati wa kuunganisha kwenye wavuti. .
- Labda haupaswi kuhifadhi nywila muhimu kwenye kompyuta au mkondoni ambazo zina thamani sana.
Kitu kama hicho. Nadhani nimeweza kuongeza kiwango cha paranoia. Ninaelewa kuwa mengi ya yale yaliyoelezwa yanaonekana kuwa mabaya, mawazo kama "vizuri, yatanipitisha" yanaweza kutokea, lakini kisingizio cha uvivu tu wakati unafuata sheria rahisi za usalama wakati wa kuhifadhi habari za siri inaweza kuwa ukosefu wa umuhimu wake na utayari wako kwa kwamba itakuwa mali ya wahusika wengine.