Գաղտնաբառերի անվտանգություն

Այս հոդվածում կքննարկվի, թե ինչպես պետք է ստեղծել անվտանգ գաղտնաբառ, ինչ սկզբունքներ պետք է պահպանվեն դրանք ստեղծելու, գաղտնաբառեր պահելու եւ նվազագույնի հասցնելու ձեր տեղեկություններն ու հաշիվներին մուտք գործող ներխուժողների հնարավորությունը:

Այս նյութը շարունակվում է «Ինչպես ձեր գաղտնաբառը կարող է խափանվել» հոդվածում եւ ենթադրում է, որ դուք ծանոթ եք այնտեղ ներկայացված նյութին, եւ առանց դրա, դուք գիտեք բոլոր հիմնական եղանակները, որոնցում գաղտնաբառերը կարող են վտանգվել:

Ստեղծեք գաղտնաբառեր

Այսօր, երբ գրանցում եք ցանկացած ինտերնետային հաշիվ, գաղտնաբառ ստեղծելով, դուք սովորաբար տեսնում եք գաղտնաբառը ուժի ցուցանիշը: Գրեթե ամենուրեք այն աշխատում է հետեւյալ երկու գործոնների գնահատման հիման վրա `գաղտնաբառի երկարությունը, գաղտնաբառի մեջ հատուկ նիշերի, տառերի եւ թվերի առկայությունը:

Չնայած այն հանգամանքին, որ դրանք իսկապես կարեւոր պարամետրեր են, որ կոպիտ ուժի կողմից կոտրելու համար գաղտնաբառի դիմադրությունը, հավանական է, որ համակարգը հավասարակշռված լինի: Օրինակ, «Pa $$ դրամ» (եւ այստեղ կան հատուկ նշաններ եւ թվեր) պարունակող գաղտնաբառ, ամենայն հավանականությամբ, կկտրվի շատ արագ, քանի որ (ինչպես նախորդ հոդվածում նկարագրված է), մարդիկ հազվադեպ են ստեղծել եզակի գաղտնաբառեր (գաղտնաբառերի 50% -ից պակաս եզակի է), եւ այս տարբերակը հավանաբար արդեն գոյություն ունի ներխուժած տվյալների բազայում, որոնք ներխուժում են:

Ինչպես լինել: Լավագույն տարբերակն այն է, օգտագործել գաղտնի գեներատորներ (հասանելի է Ինտերնետում օնլայն կոմունալ ծառայությունների տեսքով, ինչպես նաեւ համակարգչային գաղտնաբառերի շատ ղեկավարների կողմից), ստեղծելով երկարատեւ պատահական գաղտնաբառեր, օգտագործելով հատուկ նիշ: Շատ դեպքերում, 10 կամ ավելի նման գրանշանների գաղտնաբառ, պարզապես հաքերների համար հետաքրքիր չէ (այսինքն, նրա ծրագրային ապահովումը չի կազմվի նման ընտրանքներ ընտրել), քանի որ ժամանակի ծախսերը չեն մարում: Վերջերս Google Chrome բրաուզերում հայտնվել է ներկառուցված գաղտնաբառերի գեներատոր:

Այս մեթոդով հիմնական թերությունն այն է, որ նման գաղտնաբառերը դժվար է հիշել: Եթե ​​ձեր գլխում գաղտնաբառ պահելու անհրաժեշտություն կա, կա մեկ այլ տարբերակ `հիմնվելով այն բանի վրա, որ հազարավոր կամ ավելի խիզախ ուժով կոտրված են տառերով եւ հատուկ նիշերով պարունակող 10 տառերի գաղտնաբառ (կոնկրետ համարներ կախված թույլատրելի գծապատկերից) քան 20 նիշից բաղկացած գաղտնաբառ, որը պարունակում է միայն ստորին լատիներեն նիշերը (նույնիսկ եթե հարձակվողը գիտի այդ մասին):

Այսպիսով, 3-5 պարզ պատահական անգլերեն բառերից բաղկացած գաղտնաբառը հեշտ կլինի հիշել եւ գրեթե անհնար է ճեղքել: Եվ ամեն մի խոսքով գրելով մայրաքաղաքային նամակում, մենք բարձրացնում ենք ընտրանքների թիվը երկրորդ աստիճանի: Եթե ​​դրանք 3-5 ռուսերեն բառեր են (կրկին, պատահական, բայց ոչ անուններ եւ ժամկետներ), անգլերենի դասավորության մեջ գրված է, հանվում է նաեւ բառարանի ընտրության բառարանների օգտագործման հմուտ մեթոդների հիպոթետիկ հնարավորությունը:

Անուղղակիորեն բացակայում են գաղտնաբառեր ստեղծելու ճիշտ մոտեցում. Տարբեր ձեւերով կան առավելություններ եւ թերություններ (կապված այն հիշելու ունակությունը, հուսալիությունը եւ այլ պարամետրերը), սակայն հիմնական սկզբունքները հետեւյալն են.

  • Գաղտնաբառը պետք է բաղկացած լինի զգալի թվից: Առավել տարածված արգելքը այսօր 8 նիշ է: Եվ սա բավարար չէ, եթե ձեզ անհրաժեշտ է անվտանգ գաղտնաբառ:
  • Հնարավորության դեպքում մուտքագրեք հատուկ նիշերը, վերին եւ ստորին տառերը, գաղտնաբառի համարները:
  • Երբեք անձնական տվյալների մեջ ներառեք ձեր գաղտնաբառը, նույնիսկ եթե այն գրված է թվացյալ խելացի ձեւերով: Ամսաթվերը, անունները եւ ազգանունը չկան: Օրինակ, ժամանակավոր Ջուլիան օրացույցի ցանկացած ամսաթվին ներկայացնող գաղտնաբառի կոտրումը 0-ից մինչեւ այսօրվա (ինչպես 07/18/2015 կամ 18072015 եւ այլն) կտեւի վայրկյանից մինչեւ ժամ (եւ ժամացույցը կստանա միայն ուշացումների պատճառով որոշ դեպքերում փորձերի միջեւ):

Կարող եք ստուգել, ​​թե որքան ուժեղ եք ձեր գաղտնաբառը ձեր կայքում (չնայած որոշ կայքերում գաղտնաբառեր մուտքագրելը, հատկապես առանց https- ի, ամենաապահով պրակտիկան չէ): //rumkin.com/tools/password/passchk.php: Եթե ​​չեք ուզում ստուգել ձեր իրական գաղտնաբառը, մուտքագրեք նմանատիպ (նույն թվով նիշերից եւ միեւնույն նիշերից), դրա հուսալիության մասին պատկերացում կազմելու համար:

Նիշերի մուտքագրման ընթացքում ծառայությունը հաշվում է մուտքի տարրը (պայմանականորեն, ընտրանքների քանակն է, ընդարձակման համար 10 բիթ, տարբերակները, տասներորդ իշխանության համար, տասներորդ հզորության համար), եւ տվյալ տեղեկատվությունը տրամադրում է տարբեր արժեքների հուսալիության մասին: Ավելի քան 60-ից ավել entropy- ն ունեցող գաղտնաբառերը գրեթե անհնար են, նույնիսկ, նպատակային ընտրության ժամանակ:

Մի օգտագործեք նույն գաղտնաբառերը տարբեր հաշիվների համար:

Եթե ​​ունեք մեծ բարդ գաղտնաբառ, բայց այն հնարավորության դեպքում օգտվում եք, ինքնաբերաբար դառնում է ամբողջովին անվստահելի: Երբ հակերները կոտրել են այնպիսի վայրեր, որտեղ դուք օգտագործում եք այդպիսի գաղտնաբառ եւ մուտք եք գործում, կարող եք վստահ լինել, որ այն անմիջապես փորձարկվելու է (ավտոմատ կերպով, օգտագործելով հատուկ ծրագրային ապահովում) բոլոր այլ էլեկտրոնային փոստի հասցեների, խաղերի, սոցիալական ծառայությունների եւ, հնարավոր է, նույնիսկ առցանց բանկերը (տեսնել, թե արդյոք ձեր գաղտնաբառը արդեն լքված է, նախորդ հոդվածի վերջում նշված են):

Յուրաքանչյուր հաշվի համար յուրահատուկ գաղտնաբառ է դժվար, դա անհարմար է, բայց անհրաժեշտ է, եթե այդ հաշիվները ձեզ համար կարեւոր են: Չնայած այն հանգամանքին, որ ինչ-որ գրանցումներում, որոնք ձեզ համար արժեք չունեն (այսինքն, պատրաստ են կորցնել դրանք եւ չեն անհանգստանա) եւ չեն պարունակում անձնական տեղեկություններ, դուք չեք կարող խանգարել յուրահատուկ գաղտնաբառերով:

Երկու գործակից վավերացում

Նույնիսկ ուժեղ գաղտնաբառերը չեն երաշխավորում, որ ոչ ոք չի կարող մուտք գործել ձեր հաշիվ: Դուք կարող եք գողանալ գաղտնաբառը մեկ կամ մյուս ձեւով (ֆիշինգ, օրինակ `ամենատարածված տարբերակը) կամ ստանալ այն:

Վերջերս գրեթե բոլոր լուրջ օնլայն ընկերությունները, ներառյալ Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam եւ այլն, ավելացրել են իրենց հաշիվներում երկու գործոն (կամ երկու քայլ) վավերացման հնարավորություն: Եվ, եթե ձեզ համար կարեւոր է անվտանգությունը, ես խորհուրդ եմ տալիս ընդգրկել:

Երկկողմանի հավաստագրման իրականացումը մի քանի տարբեր ծառայություններից տարբերվում է, սակայն հիմնական սկզբունքը հետեւյալն է.

  1. Անհայտ սարքի հաշիվ մուտք գործելիս ճիշտ գաղտնաբառ մուտքագրելուց հետո Ձեզանից պահանջվում է լրացուցիչ փորձարկում:
  2. Ստուգումը տեղի է ունենում SMS- ի միջոցով, սմարթֆոնի հատուկ հայտ, նախկինում պատրաստված տպագիր կոդերի, էլեկտրոնային փոստի հաղորդագրության, ապարատային բանալին (Google- ում հայտնված վերջին տարբերակը, այս ընկերությունը, ընդհանուր առմամբ, ամենալավն է երկու գործոնով վավերացման համար):

Այսպիսով, նույնիսկ եթե հարձակվողն իմացել է ձեր գաղտնաբառը, նա չի կարող մուտք գործել ձեր հաշիվ առանց ձեր սարքերի, հեռախոսի կամ էլեկտրոնային փոստի մուտք:

Եթե ​​դուք լիովին չեք հասկանում, թե ինչպես է երկու գործոնով վավերացումը աշխատում, ես խորհուրդ եմ տալիս ինտերնետում հոդվածներ ընթերցել այս թեմայով, կամ նկարագրություններ եւ ուղեցույցներ այն վայրերում, որտեղ այն իրականացվում է (ես չեմ կարողանա ներառել մանրամասն հոդվածներ այս հոդվածում):

Գաղտնաբառերի պահեստավորում

Դժվար եզակի գաղտնաբառերը յուրաքանչյուր կայքի համար մեծ է, բայց ինչպես դրանք պահպանել: Հնարավոր է, որ այդ բոլոր գաղտնաբառերը կարելի է հաշվի առնել: Զննարկված գաղտնաբառերը բրաուզերում պահելը ռիսկային գործարք է. Նրանք ոչ միայն թույլ չտվեցին չթույլատրված մուտք գործել, այլ կարող են պարզապես կորցնել համակարգային վթարի դեպքում եւ երբ համաժամեցումը անջատված է:

Լավագույն լուծումը համարվում է գաղտնաբառի կառավարիչներ, ընդհանրապես ներկայացնող ծրագրեր, որոնք պահում են ձեր բոլոր գաղտնի տվյալները կոդավորված անվտանգ պահեստում (երկուսն էլ անցանց եւ առցանց), որը հասանելի է մեկ վարպետության գաղտնաբառով (կարող եք նաեւ թույլատրել երկու գործակից վավերացում): Բացի այդ, այս ծրագրերի մեծ մասը հագեցված է գաղտնաբառերի հուսալիության գնահատման եւ գնահատման գործիքներով:

Մի քանի տարի առաջ ես առանձին հոդված էի գրել լավագույն գաղտնաբառերի կառավարիչների մասին (արժե կրկնօրինակել, բայց կարող եք պատկերացում կազմել այն մասին, թե ինչ է եւ ինչ ծրագրեր են տարածված հոդվածից): Ոմանք գերադասում են պարզ դյուրանցման լուծումներ, ինչպիսիք են KeePass կամ 1Password, որոնք պահում են բոլոր գաղտնաբառերը ձեր սարքում, մյուսները `ավելի ֆունկցիոնալ կոմունիկացիաներ, որոնք նույնպես ներկայացնում են համաժամացման հնարավորությունները (LastPass, Dashlane):

Հայտնի գաղտնաբառերի կառավարիչները սովորաբար համարվում են որպես անվտանգ եւ հուսալի միջոց պահելու համար: Այնուամենայնիվ, հարկ է հաշվի առնել որոշ մանրամասներ.

  • Բոլոր գաղտնաբառերը մուտք գործելու համար անհրաժեշտ է իմանալ միայն մեկ վարպետության գաղտնաբառը:
  • Ինտերնետային պահեստը խափանելու դեպքում (բառացիորեն մեկ ամիս առաջ, աշխարհի ամենատարածված գաղտնաբառերի կառավարման ծառայությունը, LastPass- ը կոտրվել է), դուք ստիպված կլինեք փոխել ձեր բոլոր գաղտնաբառերը:

Ինչպես այլ կերպ կարող եք փրկել ձեր կարեւոր գաղտնաբառերը: Ահա մի քանի տարբերակ.

  • Թղթի վրա անվտանգ, մուտքի հնարավորություն, որը դուք եւ ձեր ընտանիքի անդամները կունենաք (հարմար չէ գաղտնաբառերի համար, որոնք հաճախ անհրաժեշտ է օգտագործել):
  • Անցանց գաղտնաբառերի տվյալների բազան (օրինակ, KeePass) պահվում է տեւական տվյալների պահպանման սարքի վրա եւ կրկնօրինակվում է կորստի դեպքում:

Իմ կարծիքով, վերը նկարագրված ամենի լավագույն համադրությունը հետեւյալ մոտեցումն է. Ամենակարեւոր ծածկագրերը (հիմնական էլ-փոստը, որի հետ դուք կարող եք վերականգնել այլ հաշիվներ, բանկ եւ այլն) պահվում են գլխին եւ (կամ) թղթի վրա `ապահով վայրում: Ավելի քիչ կարեւոր է եւ, միեւնույն ժամանակ, հաճախ օգտագործվողները պետք է հանձնվեն գաղտնաբառի կառավարիչներին:

Լրացուցիչ տեղեկություններ

Հուսով եմ, որ ձեզանից ոմանց համար գաղտնաբառերի վերաբերյալ երկու հոդվածների համադրությունը օգնում է ուշադրություն հրավիրել անվտանգության որոշ ոլորտների վրա, որոնք դուք չէիք մտածել: Իհարկե, ես հաշվի չեմ առել բոլոր հնարավոր տարբերակները, բայց պարզ տրամաբանությունը եւ սկզբունքների որոշակի ընկալումը կօգնեն որոշել, թե որքան անվտանգ է այն, ինչ անում եք տվյալ պահին: Կրկին, ոմանք նշել են եւ մի քանի լրացուցիչ դրույթներ.

  • Օգտագործեք տարբեր գաղտնաբառեր տարբեր կայքերում:
  • Գաղտնաբառերը պետք է բարդ լինեն, ամենադժվարն այն է, որ ավելացնեք բարդությունը `ավելացնելով գաղտնաբառը երկարությունը:
  • Մի օգտագործեք անձնական տվյալները (որը դուք կարող եք գտնել), գաղտնաբառի ստեղծման ժամանակ, նրա ակնարկները, վերականգնման թեստային հարցերը:
  • Հնարավորության դեպքում օգտագործեք երկու քայլով իսկությունը:
  • Գտնել ձեր գաղտնաբառերը անվտանգ պահելու լավագույն եղանակը:
  • Խուսափեք խուզարկությունից (ստուգեք կայքերի հասցեները, կոդավորման ներկայությունը) եւ լրտեսող ծրագրերը: Ուր էլ որ նրանք խնդրեն մուտքագրել գաղտնաբառ, ստուգեք, թե արդյոք իսկապես մուտք եք գործում այն ​​տեղում: Համոզված եղեք, որ համակարգչում չկան վնասակար ծրագրեր:
  • Հնարավորության դեպքում մի օգտագործեք ձեր գաղտնաբառերը մեկ ուրիշի համակարգիչների վրա (անհրաժեշտության դեպքում դա արեք այն բրաուզերի գաղտնի ռեժիմում, նույնիսկ ավելի լավ է, օգտագործեք էկրանի ստեղնաշարի վրա), բաց Wi-Fi ցանցերում, հատկապես, եթե դուք չեք հոսթին կոդավորելու կայք, .
  • Գուցե դուք չպետք է պահեք ամենակարեւոր, իսկապես արժեքավոր, գաղտնաբառերը համակարգչում կամ առցանց:

Նման բան: Կարծում եմ, ես կարողացա բարձրացնել պարոնիայի աստիճանը: Ես հասկանում եմ, որ վերոհիշյալներից շատերը անհարմար են թվում, «գուցե լավ կլինի, որ շրջանցի ինձ» կարող է առաջանալ, բայց գաղտնի տեղեկատվության պահպանման համար պարզ անվտանգության կանոնների պահպանման դեպքում միակ պատճառաբանությունը կարող է լինել միայն դրա կարեւորության բացակայությունը եւ ձեր պատրաստակամությունը որ այն կդառնա երրորդ անձանց գույքը: