Kata Laluan: Cara Melakukannya dengan Betul: 10 Langkah

2024 Pengarang: John Day | [email protected]. Diubah suai terakhir: 2024-01-30 11:11

Awal tahun ini, isteri saya kehilangan akses ke beberapa akaunnya. Kata laluannya diambil dari laman web yang dilanggar, kemudian digunakan untuk masuk ke akaun lain. Tidak sampai laman web mula memberitahunya tentang percubaan log masuk yang gagal, dia menyedari apa-apa yang sedang berlaku.

Saya juga pernah bercakap dengan sebilangan orang yang mengatakan bahawa mereka menggunakan kata laluan yang sama untuk setiap laman web. Kedua-dua perkara ini sudah cukup untuk mendorong saya menulis Instructable ini.

Keselamatan kata laluan adalah bahagian keselamatan dalam talian yang sangat kecil secara keseluruhan. Hampir setiap akaun memerlukan semacam log masuk untuk membolehkan akses ke apa sahaja yang dilindungi. Rentetan tunggal itu sering kali terdapat di antara penyerang dan maklumat peribadi, wang, gambar peribadi, atau titik perjalanan yang telah anda kumpulkan selama bertahun-tahun.

Instruksional ini bertujuan untuk merangkumi beberapa amalan terbaik untuk membuat kata laluan. Sekiranya anda adalah orang yang mempunyai kata laluan yang sama untuk setiap laman web, kata laluan siapa yang menjadi corak pada papan kekunci, atau anda mempunyai kata "kata laluan" dalam kata laluan anda, petunjuk ini sesuai untuk anda.

Penafian

Saya bukan pakar keselamatan. Maklumat ini telah dipelajari dan diteliti dari masa ke masa dan hanya merupakan cadangan dan ringkasan dari subjek yang sangat kompleks. Tutorial ini ditulis pada awal tahun 2018 dan mungkin sudah ketinggalan zaman pada saat anda membacanya.

TL; DR

Sekiranya anda tidak peduli dengan semua alasan dan penjelasan saya di sebalik kata laluan dan hanya mahukan cara mudah untuk membuat kata laluan selamat, lompat ke langkah terakhir.

Langkah 1: Jadikannya Panjang

Panjang adalah salah satu komponen yang sangat penting untuk keselamatan kata laluan. Dengan kelajuan komputer yang semakin pesat, kata laluan dapat dicuba dengan kecepatan yang luar biasa. Ini dipanggil retak kata laluan "brute-force". Ini mengikat setiap kemungkinan kombinasi watak sehingga anda menjumpai watak yang sesuai.

Secara teori, ini menjadikan kata laluan boleh retak, diberi masa yang cukup. Nasib baik, semakin lama kata laluan, semakin lama diperlukan jenis serangan ini. Setiap watak yang anda tambah panjang menjadikan kesukaran menjadi lebih sukar. Sekiranya ia cukup lama, memerlukan beberapa dekad untuk mendapatkannya dengan cara ini, yang menjadikannya tidak bernilai bagi penyerang.

Contohnya

Katakan anda mempunyai kata laluan yang hanya huruf besar. Ini bukan idea yang baik, tetapi ini hanya untuk ilustrasi. Setiap kali anda menambahkan watak lain pada kata laluan, ia akan menggandakan bilangan kata laluan yang mungkin dengan 26. Sekiranya anda mempunyai kata laluan 1 aksara, ia akan mempunyai 26 kata laluan yang mungkin, 2 watak akan mempunyai 676 kata laluan yang mungkin, dan lain-lain. Ini mula menjadi bola salji dengan cepat.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Seperti yang anda lihat, setiap huruf yang anda tambahkan menjadikan serangan ini lebih sukar, dan hampir mustahil dengan karakter yang cukup. Ingat, ini hanya dengan huruf besar. Apabila mereka menjadi lebih kompleks, kesan ini menjadi lebih besar.

Langkah 2: Jadikannya Kompleks

Kerumitan adalah faktor besar lain dalam keselamatan kata laluan. Sekiranya laman web dilanggar, kemungkinan nama pengguna dan kata laluan akan dikeluarkan. Sebagai tahap keselamatan asas, semoga laman web mempunyai kata laluan yang dicincang (serupa dengan penyulitan) sebelum disimpan. Ini bermaksud bahawa mereka kacau sebelum masuk ke pangkalan data, dan tidak ada cara untuk membalikkan masalah ini.

Ini semua terdengar baik. Tidak kira apa kata laluan anda kerana ia rosak, bukan? Itu tidak berlaku jika kata laluan anda tidak rumit. Terdapat algoritma hash piawai yang digunakan (SHA1, MD5, SHA512, dan lain-lain) dan mereka akan selalu mempunyai perkara yang sama dengan cara yang sama. Contohnya, jika anda menggunakan SHA1 dan kata laluan anda adalah "kata laluan", kata kunci tersebut akan disimpan dalam pangkalan data sebagai "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", selalu.

Membuat hash memerlukan masa dan komputer, dan mengira semua kemungkinan hash untuk semua kata laluan mungkin mustahil. Apa yang dilakukan orang adalah membuat "kamus" kata laluan biasa. Perkara seperti "kata laluan" atau "qwerty" sudah tentu ada di sana, dan juga yang kurang biasa. Akan ada berjuta-juta kata laluan dalam kamus ini dan hanya memerlukan beberapa saat untuk melalui setiap entri dan membandingkan hash yang diketahui dengan hash kata laluan anda. Ini dipanggil "serangan kamus". Sekiranya anda adalah salah satu yang telah dihitung, pertengkaran tidak akan melindungi kata laluan anda, dan ia dapat digunakan di laman web lain.

Juga, menukar huruf menjadi nombor tidak menambah kerumitan. Nampaknya lebih kompleks mengubah E ke 3 atau I ke 1, tetapi itu adalah amalan biasa sehingga tidak menambah keselamatan. Program retak mempunyai pilihan yang secara automatik akan mencuba variasi tersebut.

Langkah 3: Jadikannya Unik

Mengingati kata laluan sukar. Dengan kehidupan kita semakin dalam talian, tidak jarang setiap orang mempunyai 50+ akaun dalam talian, masing-masing mempunyai log masuk sendiri. Ini sangat sukar untuk dijejaki.

Cara yang paling biasa dilakukan oleh orang ini adalah dengan memilih satu kata laluan "baik" dan menggunakannya di sekumpulan laman web yang berbeza. Ini adalah idea yang mengerikan. Yang diperlukan hanyalah untuk satu pelanggaran keselamatan, atau satu laman web pancingan data untuk mendapatkan nama pengguna dan kata laluan anda untuk memulakan bola. Penyerang boleh mencuba nama pengguna dan kata laluan itu di ratusan laman web dalam beberapa saat. Ini secara automatik akan memasukkan mereka ke dalam setiap laman web dengan nama pengguna yang sama dengan yang dikompromikan.

Saya tahu mempunyai kata laluan yang berbeza untuk setiap laman web sepertinya tugas yang menakutkan, tetapi kami akan membincangkan cara menanganinya kemudian.

Langkah 4: Tiada Peribadi

Maklumat anda tidak begitu peribadi seperti yang anda fikirkan. Pencarian pantas dalam talian dapat dengan mudah mencari tarikh atau alamat kelahiran anda. Sekiranya akaun lain telah dilanggar, lebih banyak maklumat dapat diperoleh dengan mudah. Sekiranya ada penyerang yang cuba masuk ke dalam akaun anda, ini adalah kata laluan yang jelas untuk dicuba. Ia juga membuka jalan masuk untuk ahli keluarga, rakan, atau kenalan.

Langkah 5: Rawat Semua Kata Laluan Dengan Penjagaan yang Sama

Semasa berurusan dengan laman web, anda harus menjaga keselamatan mereka semua dengan tahap penjagaan yang sama. Sebagai contoh, jika anda mempunyai log masuk ke laman web kucing kegemaran anda, anda harus mengambil langkah berjaga-jaga yang sama seperti log masuk bank anda. Nampaknya tidak banyak kehilangan akses ke semua misai yang menggemaskan itu, tetapi itu hanya boleh menjadi batu loncatan bagi penyerang. Melanggar laman web "tidak penting" itu dapat memberi penyerang lebih banyak maklumat mengenai anda, seperti nama pengguna lain yang telah anda gunakan, e-mel lain yang anda gunakan untuk log masuk, atau maklumat sebenar yang boleh digunakan untuk membuka kunci laman web lain.

Juga, jika itu adalah laman web yang tidak penting, ada kemungkinan lebih baik mereka tidak mengikuti amalan keselamatan yang betul, yang bermaksud jika kata laluan anda panjang dan kompleks, tetapi tidak unik, dan kata laluan tidak dicincang dengan betul ketika disimpan, kata laluan itu boleh digunakan dengan mudah di laman web lain. Sekali lagi, hanya kerana laman web ini "tidak penting", tidak bermaksud keselamatan anda.

Langkah 6: Simpannya Tersembunyi

Bagus - Storan Luar Talian

Penyimpanan luar talian boleh menjadi pilihan yang baik jika anda seorang yang pelupa. Memiliki tongkat USB yang anda simpan dengan kata laluan anda di dalamnya melindungi daripada kebanyakan serangan, kecuali keluarga dan rakan. Sekiranya anda kehilangan tongkat ini entah bagaimana, pastikan fail kata laluan atau keseluruhan pemacu disulitkan dan tongkat itu disandarkan di tempat yang sangat selamat.

Kaedah ini mempunyai banyak keselamatan, tetapi dengan kos kemudahan.

Sebab bahawa ia harus di luar talian dijelaskan dengan lebih terperinci di bawah. Perlu diingat bahawa banyak peranti disandarkan ke awan secara automatik sekarang, walaupun anda tidak bermaksud demikian. Juga, jika anda pernah memasang tongkat ini ke perangkat yang mempunyai virus atau disusupi, data dapat disalin dengan mudah.

Lebih Baik - Ingat Segalanya

Ingat semua kata laluan anda. Sekiranya anda sangat berbakat, ini mungkin pilihan. Tidak ada cara untuk seseorang mencarinya, dan anda selalu memilikinya bersama anda. Beberapa kelemahan adalah bahawa kebanyakan kita tidak mengagumi mengingat perkara yang kompleks, dan cenderung untuk bercakap terlalu banyak selepas minum atau dua. Terutama dengan puluhan kata laluan yang perlu diingat, ini mungkin bukan pilihan untuk orang awam.

Terbaik - Tanpa Storan

Senario terbaik adalah untuk anda tidak menyimpannya sama sekali. Entah bagaimana ingat semua kata laluan anda yang unik, panjang dan kompleks, atau ada cara untuk membuatnya semula dengan cepat. Sekiranya anda mengetahui bahan-bahan yang diperlukan untuk mencipta semula, maka tidak mungkin penyerang dapat "mencarinya" kerana tidak ada sehingga diperlukan. Ini mungkin terdengar rumit, tetapi sebenarnya tidak. Lebih lanjut mengenai ini kemudian.

Kepentingan Luar Talian

Laman web diuruskan oleh orang. Bagi kebanyakan laman web, mungkin selamat untuk menganggap orang-orang ini mempunyai niat baik, tetapi orang terbaik juga boleh melakukan kesilapan. Tahun lalu sahaja, terdapat sejumlah besar pelanggaran keselamatan laman web syarikat besar yang umumnya selamat seperti Linked-In, Yahoo, Equifax, Apple, dan Uber, untuk beberapa nama sahaja. Ini adalah syarikat besar dengan jabatan keselamatan dan mereka dilanggar.

Penyimpanan awan terdengar mewah, dan ia menawarkan kemudahan, tetapi sebenarnya "awan" itu adalah komputer orang lain yang anda gunakan untuk menyimpan fail anda. Seperti yang saya katakan di atas, orang boleh melakukan kesilapan. Sekiranya itu berlaku, kata laluan anda boleh didapati di seluruh dunia. Laman web cloud menjadi sasaran raksasa bagi penyerang kerana jumlah data yang mereka simpan. Hancurkan laman awan, dapatkan akses ke semua maklumat yang berpotensi disimpan oleh berjuta-juta orang.

Saya yakin bahawa sebahagian daripada ini adalah paranoia, tetapi dengan sebahagian besar hidup anda yang tersembunyi di sebalik kata laluan ini, lindungi mereka seperti itu.

Langkah 7: Cadangan Saya

Ini merupakan mukadimah yang sangat panjang untuk menjelaskan rukun utama keselamatan kata laluan. Sekiranya anda mengikuti 6 garis panduan tersebut, anda semestinya mempunyai masalah keselamatan minimum dalam talian, dan jika ada yang berlaku, ia harus berhenti di sumbernya, dan tidak tersebar ke sepanjang hayat dalam talian anda.

Terdapat banyak cara untuk menyelesaikan cabaran ini. Sebilangannya lebih baik daripada yang lain dan memberikan faedah yang berbeza. Penyelesaian kegemaran saya ialah SuperGenPass (SGP). Saya tidak berafiliasi, saya hanya peminat.

Mudah Digunakan

SGP mempunyai aplikasi untuk telefon anda, dan butang yang boleh anda tambahkan ke penyemak imbas anda. Apabila anda pergi ke laman web dan ia meminta anda masuk, klik pada butang. Tetingkap kecil akan muncul. Masukkan kata laluan utama anda. SGP akan menghasilkan kata laluan untuk laman web ini dan memasukkannya ke dalam kotak kata laluan untuk anda!

Lama

Anda boleh memilih panjang kata laluan yang dibuat. Ini akan menghasilkan kata laluan hingga 24 aksara, yang cukup selamat, tetapi anda boleh memilih lebih pendek jika beberapa laman web menghadkan panjang kata laluan anda.

Kompleks

Huruf besar, huruf kecil, dan angka digunakan, yang cukup selamat. Mereka tidak mengikuti corak yang dikenali tanpa kata atau frasa. Tidak ada URL atau kata laluan utama anda dalam rentetan ini.

Unik

Setiap laman web akan mempunyai kata laluan yang benar-benar unik. Kata laluan untuk example1.com dan example2.com sama sekali berbeza, walaupun hanya terdapat satu watak yang berbeza dalam "bahan" awal. Seperti yang anda lihat dalam contoh di bawah, tidak ada hubungan antara "ramuan" dan kata laluan yang dihasilkan dan mereka sangat berbeza antara satu sama lain.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Penyimpanan

Ia menyimpan dan tidak menghantar data. Ia boleh dijalankan sepenuhnya di luar talian jika anda prihatin dan tidak ada cara bagi seseorang untuk mencari atau mencuri mereka.

Langkah 8: SGP: Persediaan

Menetapkan SGP sangat mudah. Pertama, anda mungkin mahu menambahkannya ke bar penanda halaman anda. Untuk melakukan ini, pergi ke:

chriszarate.github.io/supergenpass/

Akan ada 2 butang untuk dipilih. Untuk menyediakan komputer yang biasa anda gunakan, seret butang kiri ke bar penanda halaman anda. Ini akan memberi anda butang baru untuk digunakan.

Sekiranya anda menggunakan komputer orang lain pada masa akan datang, anda boleh memilih butang di sebelah kanan. Ini akan membolehkan anda menggunakan SGP tanpa mengubah apa-apa di penyemak imbas mereka. Ia juga merupakan pilihan untuk penyemak imbas mudah alih.

Setelah ditambahkan ke bar penanda halaman anda, klik pada butang. Ia akan membuka tetingkap kecil di sudut laman web anda. Mengklik gear kecil akan membuka tetapannya.

Panjang

Nombor di sebelah kiri adalah panjang kata laluan yang akan dihasilkannya. Saya cadangkan untuk melihat laman web yang paling kerap anda gunakan dan tetapkannya ke nombor tertinggi yang dibenarkan oleh laman web ini. Lebih dari 12 disyorkan, tetapi semakin lama semakin baik, terutamanya kerana anda tidak perlu mengingatnya.

Jenis Hash

Terdapat dua pilihan untuk jenis hash yang digunakan, MD5 dan SHA. Kedua-duanya akan menghasilkan kata laluan dengan huruf besar, huruf kecil, dan angka. Mengubah ini adalah cara mudah untuk menukar semua kata laluan anda sambil menyimpan kata laluan induk yang sama.

Kata Laluan Rahsia

Bahagian kata laluan rahsia adalah kaedah tambahan untuk memastikan bahawa semuanya selamat. Apabila applet dimulakan, jika anda mempunyai kata laluan rahsia, ia akan menunjukkan gambar kecil di kotak kata laluan. Kata laluan ini SELALU sama semasa ia bermula. Sekiranya ia bermula dan gambar ini tidak seperti biasanya, ada kemungkinan seseorang berusaha mendapatkan kata laluan utama anda.

Kata Laluan Induk

Ini tidak diperlukan semasa penyediaan, tetapi sangat penting. Pastikan memilih kata laluan yang kuat. Ini adalah satu kata laluan yang selalu anda masukkan di setiap laman web. Pastikan ia adalah sesuatu yang anda boleh ingat, tetapi kompleks, panjang, dan tidak bersifat peribadi.

Menyimpan

Sebaik sahaja anda memilih semua tetapan anda, klik ikon simpan dan ikon gear sekali lagi untuk menutup tetapan

Langkah 9: Gunakan SGP

Untuk menggunakan SGP, layari laman web seperti biasa. Apabila anda perlu memasukkan kata laluan anda, klik pada butang SGP yang anda tambahkan ke bar penanda buku anda. Sekiranya anda menggunakan kata laluan rahsia ketika menyiapkan SGP, pastikan gambar yang muncul di kotak kata laluan sesuai dengan apa yang ada ketika anda menetapkannya.

Taipkan Kata Laluan Utama anda dan tekan Enter. Ini akan mengira kata laluan unik anda untuk laman web ini dan mengisinya untuk anda! Semasa anda mengetik Kata Laluan Utama anda, ikon akan dikemas kini. Sekiranya gambar tidak sesuai dengan ikon yang biasanya anda miliki, anda salah mengetik Kata Laluan Utama anda, atau seseorang cuba mendapatkan kata laluan anda.

Bergantung pada cara laman web ini ditulis, SGP mungkin tidak dapat memasukkan kata laluan untuk anda, atau laman web tersebut mungkin tidak menyedari bahawa ia telah dimasukkan. Sekiranya demikian, anda boleh mengklik ikon salin di sebelah kotak kata laluan yang dihasilkan dan menampalnya secara manual.

Setelah kata laluan anda masuk, klik Log masuk dan anda berada di sana!

Langkah 10: Pemikiran Akhir

SGP mungkin tidak berfungsi untuk semua orang, dan itu tidak mengapa. Ini bukan penyelesaian yang sempurna kerana tidak ada perkara seperti itu. Sekiranya anda mempunyai perkhidmatan atau kaedah lain yang anda suka gunakan untuk kata laluan, ingatlah 6 langkah untuk kata laluan yang selamat. Sekiranya kaedah semasa anda kekurangan beberapa bidang ini, mungkin sudah tiba masanya untuk mencari penyelesaian lain. Ya, mungkin memerlukan setengah hari untuk mengubah semua akaun anda, tetapi itu mungkin akan menjadi lebih menyakitkan daripada membuat akaun anda dilanggar.

Catatan mengenai storan dalam talian: Sekiranya perkhidmatan menyimpan kata laluan anda dalam talian / di "cloud", periksa amalan keselamatan mereka untuk memastikan kata kunci itu bagus. Laman web ini mungkin akan memberitahu anda apa yang mereka lakukan untuk melindungi kata laluan anda jika mereka melakukannya dengan betul. Sekiranya anda tidak pasti, hantarkan e-mel dan tanyakan kepada mereka. Sekiranya mereka tidak dapat memberikan jawapan yang baik / ringkas / tepat, berhati-hatilah semasa menggunakan perkhidmatan tersebut.