Video: Passwords (Nobyembre 2024)
Noong nakaraang buwan, si John Dvorak, matagal nang PCMag kolumnista at ipinahayag sa sarili na "cranky geek, " ay nagsusulat ng isang diatribe tungkol sa proseso ng pag-reset ng password. Seryoso akong sinakop na sumasaklaw sa RSA Conference sa San Francisco, kaya hindi ko ito binigyan ng pansin. Ngayon na ako ay tumingin, maaari kong sabihin na ang posisyon ni John ay ganap at lubos na mali. Upang humiram ng isang parirala mula sa " Game of Thrones, " wala kang alam, John Dvorak!
Sinabi ni Dvorak, "Anumang nangyari sa ideya ng pagpapadala ng isang password sa isang tao sa halip na isang link sa pag-reset? Mas gusto ko ang lumang password." Nagpatuloy siya sa pagyayabang sa paggamit ng isang link sa pag-reset sa halip, na nagsasabing "Wala sa mga ito ang nagpoprotekta sa akin o sa ibang tao mula sa anumang bagay. Ito ay isang charade. Paano ito maprotektahan ang anupaman?" Ay, John, sasabihin ko sa iyo.
Wala Nila Ito
Ang pinakamalaking kadahilanan na ang isang ligtas na website ay hindi magpapadala sa iyo ng isang nakalimutan na password ay napaka-simple: wala sila nito. Hindi nila iniimbak kahit saan. At iyon ay isang magandang bagay. Kung hindi nila iniimbak ang iyong password, ang password ay hindi maaaring ninakaw ng mga hacker, o nai-post sa Pastebin ng isang kawalang-galang na empleyado. Talagang para sa totoo, ang isang website na aktwal na nag-iimbak ng iyong password ay namanganib sa iyong privacy.
Kaya, kung hindi nila iniimbak ang iyong password, paano nila malalaman na pinasok mo ang tama? Ang sagot ay nakasalalay sa isang konsepto na tinatawag na hashing. Ang Hashing ay katulad ng pag-encrypt, ngunit ito ay isang paraan na proseso. Ang parehong pag-input sa isang hashing algorithm ay palaging nagbibigay ng parehong output, ngunit walang paraan upang kunin ang output at matuklasan muli ang orihinal.
Sabihin mong mag-sign up para sa isang bagong online account gamit ang iyong paboritong password, na nangyayari na "password." Inilalagay ng site ang kung ano ang iyong ipinasok sa pamamagitan ng isang hashing algorithm at nakakakuha ng ilang mga bastos tulad ng 991CEFz & Nw36, na iniimbak nito. Kapag nag-log in, pinapatakbo ng site ang password na iyong naipasok sa pamamagitan ng parehong algorithm. Kung tumutugma ang resulta, nakapasok ka.
Hindi nila Dapat Ipadala Ito
Kahit na ang isang ligtas na site ay naka-imbak ang iyong aktwal na password, hindi nila dapat ipadala ito sa iyo sa pamamagitan ng email. Ang email ay likas na walang katiyakan. Nagba-bounce ang iyong mga mensahe mula sa server hanggang sa server papunta sa iyong inbox. Maliban kung gumamit ka ng ilang uri ng pag-encrypt ng email, hindi ligtas ang iyong password sa mga paglalakbay nito.
Nagtalo si Dvorak na ang isang link sa pag-reset ng password ay mahina lamang. Mali siya. Para sa isang bagay, ang mga pag-reset ng mga link ay karaniwang maikli ang buhay. Ilang sandali matapos mong hilingin ang link, hindi wasto. Kapag ginamit mo na ang link, muli, ito ay hindi wasto. Gayundin, ang paggamit ng link ay nagtatakda ng isang ligtas na koneksyon sa SSL sa pagitan ng iyong browser at mga server ng site. Ipinasok mo ang iyong bagong password, ang site ay nag-iwas sa ito at nag-iimbak ng resulta, at bumalik ka sa negosyo.
Ngunit Hindi Ko Naaalala!
Pinagsasama ni Dvorak ang problema ng kanyang Dropbox account, na ginagamit lamang niya ng ilang beses sa isang taon. Naturally kapag pinipilit niyang gamitin ito, hindi niya matandaan ang password. Sa katunayan, ang isang password na madali mong matandaan ay malamang na maaaring hulaan ng ibang tao. Ang talagang kailangan niyang gawin ay magsisimulang gumamit ng isang tagapamahala ng password, at baguhin ang lahat ng kanyang umiiral na mga password sa bago, malakas, natatanging.
- Paano Gumagawa ng Maling Ligtas na Mga Password Paano Gumawa ng Maling Ligtas na Mga Password
- Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019 Ang Pinakamahusay na Tagapangasiwa ng Password para sa 2019
- Ang Pag-reset ng password ng Password Ang Dilet ng Pag-reset ng password
Oo, mayroong isang tiyak na halaga ng trabaho na kasangkot sa paglipat sa mga malakas na password, ngunit sulit na pagsisikap. Ang aming sariling Jill Duffy ay nagpapaliwanag kung paano niya ito ginawa sa loob ng limang panahon ng limang linggo. At hindi ito kailangang magastos. Ang ilan sa mga magagamit na libreng tagapamahala ng password ay gumagawa ng isang mahusay na trabaho.
"Ngunit kailangan ko pa ring tandaan ang malakas na master password, " halos naririnig ko ang sinabi ni John. Katotohanang ginagawa mo. Ngunit isang password lang ito, at may mga paraan upang hindi malilimutan ito. Bilang karagdagan, gagamitin mo ito araw-araw, hindi isang beses sa isang taon. Kaya, John, isaalang-alang ito ang iyong wake-up call; oras na upang sumali sa modernong mundo at makakuha ng isang tagapamahala ng password.
