„12345” este într-adevăr rău: ghidul tău final pentru securitatea parolelor

V-am sfătuit din nou, că singura modalitate sigură de a stoca și utiliza parolele este să vă bazați pe un manager de parole, dar unii dintre voi nu vă ascultați. Într-un sondaj PCMag privind parolele, doar 24% dintre voi au raportat folosind un manager de parole. Ce faci restul? Folosind parole ușoare precum parola sau 12345678? Memorizarea unei parole complexe și folosirea ei peste tot? Ascultă, îngrijirea securității parolelor nu este mică, dar având în vedere amploarea enormă a riscului - așa cum este ilustrat în recenta încălcare a colecției nr. 1, care a expus 773 milioane de adrese de e-mail hacked - trebuie să faci tot ce poți pentru a-ți păstra parolele. sigur.

Chiar dacă utilizați cel mai bun manager de parolă, aceasta nu garantează siguranța conturilor dvs., nu dacă utilizați administratorul de parole pentru a vă aminti aceleași parole vechi, obosite. Trebuie să cobori în tranșee și să schimbi parolele greșite pentru cele noi, mai puternice.

Sondajul menționat mai sus a relevat că 35% dintre cititorii PCMag nu își schimbă niciodată parolele, cu excepția cazului în care sunt nevoiți să facă acest lucru printr-o încălcare. În general, nu este un lucru atât de rău. Institutul Național de Standarde și Tehnologie nu mai recomandă schimbarea parolelor la fiecare 90 de zile. NIST recomandă acum să folosești fraze lungi precum „Correct-Horse-Battery-Staple” și să le schimbi doar atunci când este necesar. Dar dacă folosești parole groaznice, „când este necesar” înseamnă acum .

Ce face o parolă proastă? Vom analiza unele dintre atributele unor parole teribile și apoi vă vom oferi câteva indicii despre cum să faceți parolele în mod corect.

Stai în afara dicționarului

La fiecare câteva luni, un post de știri sau altul postează o listă cu cele mai proaste parole. Vedem o mulțime de opțiuni ușor de tipat, cum ar fi 123456 și 12345678 și qwerty. Ușor pentru tine? Sigur. Dar, de asemenea, ușor pentru hackeri să crape. Alte parole comune (și sărace) constau din cuvinte simple din dicționar. Am văzut baseball, maimuță și starwars în lista cu cele mai proaste parole. Acestea sunt, de asemenea, ușor de crăpat.

Unele site-uri web sigure se blochează după un număr stabilit de încercări de parolă greșite, dar multe nu. Pentru cei care nu au un blocaj prost ghicit, hackerii pot traversa o listă de adrese de e-mail cu o parolă populară și pot configura un proces automat pentru a încerca combinații până când vor intra.

Un site web securizat corespunzător nu stochează nicăieri parola. În schimb, rulează parola printr-un algoritm de hashing, un fel de criptare unidirecțională. Aceeași intrare produce întotdeauna aceeași ieșire, dar nu există nicio modalitate de a reveni la parola inițială din hashul rezultat. Dacă parola pe care o introduceți trebuie să aibă aceeași valoare stocată, veți avea acces. Chiar dacă hackerii captează datele utilizatorului site-ului, nu primesc parole, ci doar hashes.

Dar hackerii inteligenți pot sparge parolele slabe chiar și atunci când sunt spălate, dacă știu ce funcție de hashing a folosit site-ul. Încep prin a rula un dicționar imens de parole comune prin funcția de hashing. Apoi ei caută hașiile rezultate în datele capturate. Fiecare meci este o parolă fisurată. Site-urile cu cea mai bună securitate îmbunătățesc funcția de hash cu o tehnică numită sărare, ceea ce face imposibil acest tip de fisurare pe masă, dar de ce să-ți asumi riscul? Stai în afara dicționarului.

Gandeste diferit

O prietenă mi-a spus odată parola ei perfectă: 1qaz2wsx3edc4rfv. Putea „tasta” doar glisând un deget pe patru coloane înclinate ale tastaturii. Era atât de perfect, că o folosea peste tot. Și asta a fost o mare greșeală.

Aproape o săptămână nu trece la știrea unei încălcări la o companie sau site web, expunând mii sau milioane de nume de utilizator și parole. Victimele inteligente își schimbă parolele imediat. Cei care ignoră problema se pot găsi blocați din propriile conturi după ce hackerii resetează parola.

Acești hackeri știu că prea mulți oameni își reciclează parolele. După ce găsesc un nume de utilizator și o pereche de parole, încearcă aceleași date de acreditare pe alte site-uri. Este posibil să nu fiți atât de îngrijorat de pierderea accesului la contul dvs. Club Penguin, dar dacă ați folosit aceeași autentificare pe site-ul băncii dvs., aveți mari probleme.

Devine mai rău. Dacă altcineva primește controlul contului dvs. de e-mail, vă poate bloca mai întâi schimbând parola. Apoi, pot intra în celelalte conturi, având un link de resetare a parolei trimise prin e-mail. Te-ai îngrijorat încă?

Nu obține personal

Utilizarea informațiilor personale ca bază pentru parolele dvs. este îngrozitor de tentant, dar este o idee proastă. Este probabil ca numele câinelui dvs. să apară în dicționarele pe care hackerii le folosesc pentru atacuri de forță brută. Alte posibilități, cum ar fi inițialele și data nașterii unui membru al familiei, probabil nu vor cădea într-un atac de forță brută, dar dacă cineva dorește să îți pirateze contul în mod specific, datele personale pot alimenta un atac de ghicire a încercării și a erorilor.

Nu vă gândiți pentru un minut că datele dvs. personale sunt private. Există zeci de site-uri pe care oamenii le pot utiliza pentru a găsi detalii despre oricine: adresa, data nașterii, starea civilă și multe altele. Postările dvs. de socializare pot fi o altă sursă de informații personale, mai ales dacă nu v-ați securizat corect conturile. Un hacker hotărât (sau un vecin neplăcut) poate ghici probabil orice parolă pe care o construiți pe baza propriilor date.

Închideți ușa din spate

Dacă nu utilizați un manager de parole, cu siguranță ați uitat parola pentru un site. Este prea comun, motiv pentru care, practic, fiecare pagină de conectare include un „Ați uitat parola?” legătură. Unele site-uri trimit un link de resetare la adresa de e-mail, în timp ce altele vă permit să resetați parola după ce răspundeți la întrebările de securitate. Și asta deschide o ușă din spate pentru oricine dorește să-ți pirateze contul.

Majoritatea site-urilor oferă opțiuni abisale pentru întrebări de securitate. Care este numele de fata al mamei tale? Unde te-ai dus la liceu? Care a fost prima ta slujbă? După cum am menționat, viața personală este o carte deschisă tuturor celor cu abilități de căutare pe internet. Când este posibil, ignorați întrebările prestabilite. Creați-vă propria întrebare, cu un răspuns unic pe care îl veți aminti întotdeauna, dar pe care nimeni altcineva nu l-ar putea ghici.

Este mai greu când site-ul nu vă permite să vă definiți propriile întrebări. În acest caz, cel mai bun pariu este să folosiți un răspuns memorabil, care este o minciună totală. Numele de fată al mamei mele este Obama. Am mers la școală la Înaltul Mucenic Comunist. Pentru prima mea slujbă, am fost un bătătoritor de lei. Există un element de risc, deoarece s-ar putea să uiți ce minciună ai ales. Aș sugera să stocați aceste răspunsuri oddball ca note sigure în managerul dvs. de parole… dar dacă ați folosi un manager de parole, v-ar fi amintit parola pentru dvs.

Ce să faci acum că îți pasă

Sper că v-am convins că folosirea parolelor comune este o idee putredă, ca fiind construirea parolelor din informații personale. Și chiar și cea mai puternică parolă aleatorie devine o răspundere dacă o utilizați peste tot. Dacă sunteți gata să luați măsuri, iată câteva puncte de plecare:

• Utilizați un manager de parole.
• Comutați la un manager de parole mai bun.
• Amintiți-vă o parolă principală securizată în mod sigur pentru managerul de parole.
• Profitați de un generator de parole aleatoriu pentru a-și actualiza parolele vechi, proaste.
• Ați putea chiar să vă creați propriul generator de parole aleatoriu în Excel.
• Activați autentificarea cu doi factori, oriunde este disponibil.

Dacă un site securizat nu are grijă de securitate, puteți pierde în continuare datele de acreditare ale site-ului pentru o încălcare a datelor, dar făcând toate parolele dvs. lungi, puternice și unice, ați făcut tot ce puteți pentru a vă proteja conturile online.

Și hei! Acum, că sunteți pe o listă, în siguranță, luați în considerare adăugarea unei rețele virtuale virtuale sau VPN. Folosirea parolelor puternice pentru site-uri sigure înseamnă că alții nu pot intra în conturile dvs.; adăugarea unui VPN înseamnă că nu există nicio șansă ca cineva să vă intercepteze conexiunea cu acele site-uri sigure.