Ang '12345' ay talagang masama: ang iyong panghuli gabay sa seguridad ng password

Pinapayuhan ka namin nang paulit-ulit na ang tanging ligtas na paraan upang mag-imbak at gumamit ng mga password ay umasa sa isang tagapamahala ng password, ngunit ang ilan sa iyo ay hindi nakikinig. Sa isang survey ng PCMag sa mga password, 24 porsyento lamang ang iyong iniulat gamit ang isang tagapamahala ng password. Ano ang ginagawa mo? Paggamit ng madaling password tulad ng password o 12345678? Kabisaduhin ang isang kumplikadong password at ginagamit ito sa lahat ng dako? Makinig, ang pag-aalaga sa seguridad ng password ay hindi maliit na bagay, ngunit binigyan ng malaking sukat ng peligro - tulad ng inilalarawan sa kamakailang paglabag ng Koleksyon # 1, na nakalantad ng 773 milyong mga email address na na-hack - kailangan mong gawin ang lahat ng iyong makakaya upang mapanatili ang iyong mga password ligtas.

Kahit na gumagamit ka ng pinakamahusay na tagapamahala ng password, hindi nito ginagarantiyahan ang kaligtasan ng iyong mga account - hindi kung gagamitin mo ang tagapamahala ng password upang matandaan ang mga parehong luma, pagod na mga password. Kailangan mong bumaba sa trenches at i-out ang masamang mga password para sa mga bago, mas malakas.

Ang survey na nabanggit sa itaas ay nagsiwalat na 35 porsyento ng mga mambabasa ng PCMag ay hindi kailanman nagbabago ng kanilang mga password, maliban kung pilitin itong gawin sa pamamagitan ng isang paglabag. Sa pangkalahatan, hindi iyon isang masamang bagay. Hindi na inirerekomenda ng National Institute of Standards and Technology ang pagbabago ng mga password tuwing 90 araw. Inirerekumenda ngayon ng NIST na gumamit ng mga mahabang passphrases tulad ng "Tamang-Kabayo-Baterya-Staple" at baguhin lamang ang mga ito kung kinakailangan. Ngunit kung gumagamit ka ng mga kahila-hilakbot na password, "kung kinakailangan" ay nangangahulugang ngayon .

Ano lamang ang gumagawa ng isang masamang password? Titingnan namin ang ilan sa mga katangian ng mga kahila-hilakbot na password, at pagkatapos ay bibigyan ka namin ng ilang mga payo sa kung paano gawin ang mga password sa tamang paraan.

Manatili sa Diksyon

Bawat ilang buwan ng isang outlet ng balita o ibang mga post ng isang listahan ng mga pinakamasama mga password. Nakakakita kami ng maraming madaling-type na mga pagpipilian, tulad ng 123456 at 12345678 at qwerty. Madali para sa iyo? Oo naman. Ngunit madali din para sa mga hacker na mag-crack. Ang iba pang mga karaniwang (at mahirap) na mga password ay binubuo ng mga simpleng salitang salita. Nakita namin ang baseball, unggoy, at mga starwars sa listahan ng mga pinakamasamang password. Ang mga ito, ay madali ring mag-crack.

Ang ilang mga secure na website ay naka-lock pagkatapos ng isang hanay ng mga maling pagtatangka ng password, ngunit marami ang hindi. Para sa mga walang masamang pag-lockout, maaaring i-cross ang mga hacker ng isang listahan ng mga email address na may listahan ng mga sikat na password at mag-set up ng isang awtomatikong proseso upang mapanatili ang pagsisikap hanggang sa makapasok sila.

Ang isang maayos na secure na website ay hindi maiimbak ng iyong password kahit saan. Sa halip, pinapatakbo nito ang password sa pamamagitan ng isang hashing algorithm, isang uri ng isang one-way na pag-encrypt. Ang parehong pag-input ay palaging gumagawa ng parehong output, ngunit walang paraan upang makabalik sa orihinal na password mula sa nagreresultang hash. Kung ang password na nai-type mo ay hadhes sa parehong halaga na naka-imbak, makakakuha ka ng access. Kahit na kinukuha ng mga hacker ang data ng gumagamit ng site, hindi sila nakakakuha ng mga password, nakasimangot lamang.

Ngunit ang mga matalinong hacker ay maaaring mag-crack ng mga mahina na password kahit na sila ay nabigo, kung alam nila kung ano ang function ng hashing na ginamit ng site. Nagsisimula sila sa pamamagitan ng pagpapatakbo ng isang malaking diksyunaryo ng mga karaniwang password sa pamamagitan ng hashing function. Pagkatapos ay hahanapin nila ang mga nagresultang hashes sa nakuha na data. Ang bawat tugma ay isang basag na password. Ang mga site na may pinakamainam na seguridad ay nagpapaganda ng function ng hash na may isang pamamaraan na tinatawag na salting, na ginagawang imposible ang ganitong uri ng pag-crack na batay sa mesa, ngunit bakit panganib? Manatili lamang sa labas ng diksyunaryo.

Mag-isip ng iba

Isang kaibigan ang isang beses sinabi sa akin ng kanyang perpektong password: 1qaz2wsx3edc4rfv. Maaari niyang "i-type" ito sa pamamagitan lamang ng pag-slide ng isang daliri pababa sa apat na slanted na mga haligi ng keyboard. Ito ay perpekto, ginamit niya ito kahit saan. At iyon ay isang malaking pagkakamali.

Mahirap sa isang linggo ang napadaan nang walang balita ng isang paglabag sa ilang kumpanya o website, na naglalantad ng libu-libo o milyon-milyong mga username at password. Binago agad ng mga Smart biktima ang kanilang mga password. Ang mga hindi pinapansin ang problema ay maaaring mahanap ang kanilang mga sarili na naka-lock sa kanilang sariling mga account matapos i-reset ng mga hacker ang password.

Alam ng mga hacker na ang lahat ng napakaraming tao ay nagre-recycle ng kanilang mga password. Kapag nahanap nila ang isang nagtatrabaho na username at pares ng password, sinubukan nila ang parehong mga kredensyal sa iba pang mga site. Maaaring hindi ka nag-aalala tungkol sa pagkawala ng pag-access sa iyong Club Penguin account, ngunit kung ginamit mo ang parehong pag-login sa website ng iyong bangko, nakakuha ka ng malaking problema.

Mas lumala ito. Kung ang ibang tao ay nakakontrol ng iyong email account, maaari mo silang mai-lock sa labas sa pamamagitan ng pagbabago ng password. Pagkatapos ay maaari silang masira sa iyong iba pang mga account sa pamamagitan ng pagkakaroon ng isang link sa pag-reset ng password na na-email sa account na iyon. Nag-aalala pa?

Huwag Kumuha ng Personal

Ang paggamit ng personal na impormasyon bilang batayan para sa iyong mga password ay nakakaganyak na nakatutukso, ngunit isang masamang ideya. Mabuti ang posibilidad na lumitaw ang pangalan ng iyong aso sa mga diksyonaryo na ginagamit ng mga hacker para sa mga pag-atake ng brute. Ang iba pang mga posibilidad tulad ng mga inisyal at kapanganakan ng isang miyembro ng pamilya ay marahil ay hindi mahuhulog sa isang pag-atake na malupit, ngunit kung nais ng isang tao na tadtad ang iyong account, ang personal na data ay maaaring mag-gasolina ng isang pagsubok na pag-atake at pagsubok na pag-atake.

Huwag mag-isip ng isang minuto na ang iyong mga personal na detalye ay pribado. Mayroong dose-dosenang mga site na maaaring magamit ng mga tao upang makahanap ng mga detalye tungkol sa sinuman: address, birthdate, status ng pag-aasawa, at marami pa. Ang iyong mga post sa social media ay maaaring isa pang mapagkukunan ng personal na impormasyon, lalo na kung hindi mo maayos na na-secure ang iyong mga account. Ang isang tinukoy na hacker (o isang kapit-bahay na nosy) ay maaaring hulaan ang anumang password na binuo mo batay sa iyong sariling data.

Isara ang Back Door

Kung hindi ka gumagamit ng isang tagapamahala ng password, tiyak na naranasan mo na kalimutan ang password para sa isang site. Ito ay karaniwang pangkaraniwan, kung saan halos lahat ng bawat pahina ng pag-login ay may kasamang "Nakalimutan ang iyong password?" link. Ang ilang mga site ay nagpapadala ng isang link sa pag-reset sa iyong email address, habang pinapayagan ka ng iba na i-reset mo ang password matapos masagot ang iyong mga katanungan sa seguridad. At nagbukas iyon ng isang pabalik na pintuan sa sinumang nais na i-hack ang iyong account.

Karamihan sa mga site ay nag-aalok ng napakaraming mga pagpipilian para sa mga katanungan sa seguridad. Ano ang pangalan ng pagkadalaga ng iyong ina? Saan ka nag sekondarya? Kung ano ang iyong unang trabaho? Tulad ng nabanggit, ang iyong personal na buhay ay isang bukas na libro sa sinumang may mga kasanayan sa paghahanap sa internet. Kung posible, huwag pansinin ang mga preset na katanungan. Lumikha ng iyong sariling katanungan, na may isang natatanging sagot na lagi mong tatandaan ngunit wala nang ibang hulaan.

Mas mahirap kapag hindi hayaan ng site na tukuyin mo ang iyong sariling mga katanungan. Sa kasong iyon, ang iyong pinakamahusay na mapagpipilian ay ang paggamit ng isang di malilimutang sagot na isang kabuuang kasinungalingan. Ang pangalan ng pagkadalaga ng aking ina ay si Obama. Nagpunta ako sa paaralan sa Komunista na Martyrs High. Para sa aking unang trabaho, ako ay isang leon tamer. Mayroong isang elemento ng peligro, dahil maaari mong kalimutan ang aling kasinungalingan na iyong pinili. Iminumungkahi ko ang pag-iimbak ng mga sagot na oddball na ito bilang mga ligtas na tala sa iyong tagapamahala ng password … ngunit kung gumagamit ka ng isang tagapamahala ng password ay maaalala nito ang password para sa iyo.

Ano ang Gagawin Ngayon Na Pinapahalagahan mo

Inaasahan kong nakumbinsi ko sa iyo na ang paggamit ng mga karaniwang password ay isang bulok na ideya, tulad ng pagbuo ng mga password mula sa personal na impormasyon. At kahit na ang pinakamahusay na malakas, random na password ay nagiging isang pananagutan kung gagamitin mo ito sa buong lugar. Kung handa kang kumilos, narito ang ilang mga panimulang punto:

• Gumamit ng isang tagapamahala ng password.
• Lumipat sa isang mas mahusay na tagapamahala ng password.
• Tandaan ang isang insanely secure na password ng master para sa iyong tagapamahala ng password.
• Samantalahin ang isang random na generator ng password upang mai-upgrade ang iyong luma, masamang mga password.
• Maaari ka ring lumikha ng iyong sariling random na generator ng password sa Excel.
• Paganahin ang pagpapatunay na two-factor kung saan magagamit.

Kung ang isang ligtas na site ay hindi mag-aalaga ng seguridad, maaari mo pa ring mawala ang mga kredensyal ng site sa isang paglabag sa data, ngunit sa pamamagitan ng paggawa ng lahat ng iyong mga password na mahaba, malakas, at natatangi, nagawa mo ang lahat ng iyong makakaya upang maprotektahan ang iyong mga online na account.

At siya! Ngayon na nasa isang roll ka, matalino sa seguridad, isaalang-alang ang pagdaragdag ng isang virtual pribadong network, o VPN. Ang paggamit ng mga malalakas na password para sa mga ligtas na site ay nangangahulugan na ang iba ay hindi masisira sa iyong mga account; ang pagdaragdag ng isang VPN ay nangangahulugang walang pagkakataon na maaaring makagambala sa iyong pagkonekta sa mga ligtas na site.