Wagwoorde: hoe om dit reg te doen: 10 stappe

2024 Outeur: John Day | [email protected]. Laas verander: 2024-01-30 07:27

Vroeër vanjaar het my vrou toegang tot sommige van haar rekeninge verloor. Haar wagwoord is geneem van 'n webwerf wat oortree is, wat dan gebruik is om in ander rekeninge in te gaan. Eers toe webwerwe haar in kennis stel van mislukte aanmeldpogings, het sy besef dat alles aan die gang was.

Ek het ook met 'n aantal mense gepraat wat sê dat hulle dieselfde wagwoord vir elke webwerf gebruik. Hierdie twee dinge was genoeg om my aan te spoor om hierdie Instructable te skryf.

Wagwoordbeveiliging is 'n baie klein deel van die aanlyn beveiliging as 'n geheel. Byna elke rekening benodig 'n soort aanmelding om toegang te verkry tot alles wat dit beskerm. Daardie enkele string is dikwels alles wat tussen 'n aanvaller en u persoonlike inligting, geld, persoonlike foto's of reispunte wat u al jare versamel het, staan.

Hierdie instruksies het ten doel om 'n paar beste praktyke vir die skep van wagwoorde te dek. As u iemand is wat dieselfde wagwoord vir elke webwerf het, wie se wagwoorde 'n patroon op die sleutelbord is, of as u die woord 'wagwoord' in u wagwoord het, is hierdie instruksie vir u.

Vrywaring

Ek is nie 'n sekuriteitskenner nie. Hierdie inligting is mettertyd aangeleer en nagevors en is slegs 'n aanbeveling en opsomming van 'n baie komplekse onderwerp. Hierdie handleiding is aan die begin van 2018 geskryf en is moontlik verouderd teen die tyd dat u dit lees.

TL; DR

As u nie omgee vir al my redenasies en verduidelikings agter wagwoorde nie en net 'n maklike manier wil hê om veilige wagwoorde te maak, gaan dan na die laaste stap.

Stap 1: Maak dit lank

Lengte is 'n baie belangrike komponent vir wagwoordbeveiliging. Met die toenemende snelheid van rekenaars, kan wagwoorde met ongelooflike snelhede probeer word. Dit word 'brute-force' wagwoordkraak genoem. Dit bind elke moontlike kombinasie van karakters vas totdat u die een vind wat pas.

In teorie maak dit enige wagwoord krakerig, gegewe genoeg tyd. Gelukkig, hoe langer die wagwoord is, hoe langer neem hierdie tipe aanval. Elke karakter wat u by die lengte voeg, maak die moeilikheid baie moeiliker. As dit lank genoeg is, kan dit dekades neem om dit so te vind, wat dit vir 'n aanvaller nie die moeite werd maak nie.

Voorbeeld

Gestel u het 'n wagwoord wat slegs hoofletters is. Dit is nie 'n goeie idee nie, maar dit is slegs ter illustrasie. Elke keer as u 'n ander karakter by die wagwoord voeg, vermenigvuldig dit die aantal moontlike wagwoorde met 26. As u 'n wagwoord van 1 karakter gehad het, het dit 26 moontlike wagwoorde, 2 karakters het 676 moontlike wagwoorde, ens. Dit begin vinnig sneeubal.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Soos u kan sien, maak elke letter wat u byvoeg hierdie aanval baie moeiliker en feitlik onmoontlik met genoeg karakters. Onthou, dit is slegs met hoofletters. As hulle meer kompleks word, word hierdie effek groter.

Stap 2: Maak dit kompleks

Kompleksiteit is nog 'n belangrike faktor in wagwoordbeveiliging. As 'n webwerf ooit oortree word, is dit waarskynlik dat gebruikersname en wagwoorde verwyder sal word. As 'n basiese vlak van beveiliging, het die webwerf hopelik die wagwoorde wat (soortgelyk aan kodering) gehaas is voordat dit gestoor word. Dit beteken dat hulle verwronge is voordat hulle in die databasis ingaan, en daar is geen manier om hierdie onstuimigheid om te keer nie.

Dit klink alles goed. Dit maak nie saak wat u wagwoord is nie, want dit is verkeerd, reg? Dit is nie die geval as u wagwoord nie ingewikkeld is nie. Daar word standaard hash -algoritmes gebruik (SHA1, MD5, SHA512, ens) en hulle sal altyd dieselfde ding op dieselfde manier hash. As u byvoorbeeld SHA1 gebruik en u wagwoord 'wagwoord' was, word dit altyd in die databasis gestoor as '5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8'.

Om hash te skep, verg tyd en rekenaar, en dit is prakties onmoontlik om alle moontlike hash's vir alle moontlike wagwoorde te bereken. Wat mense gedoen het, is om 'woordeboeke' te maak met algemene wagwoorde. Dinge soos 'wagwoord' of 'qwerty' sal natuurlik daar wees, sowel as minder algemene. Daar sal miljoene wagwoorde in hierdie woordeboeke wees, en dit sal slegs sekondes neem om deur elke inskrywing te gaan en die bekende hash met die hash van u wagwoord te vergelyk. Dit word 'n "woordeboekaanval" genoem. As u s'n een is wat reeds bereken is, sal die gebrek u wagwoord nie beskerm nie, en dit kan op ander webwerwe gebruik word.

Om letters in syfers te verander, voeg ook nie kompleksiteit by nie. Dit lyk miskien meer kompleks om van E na 3 of I na 1 te verander, maar dit is so 'n algemene praktyk dat dit nie meer veiligheid bied nie. Krakprogramme het 'n opsie wat hierdie variasies outomaties probeer.

Stap 3: Maak dit uniek

Dit is moeilik om wagwoorde te onthou. Aangesien ons lewens toenemend aanlyn word, is dit nie ongewoon dat elke persoon meer as 50 aanlynrekeninge het nie, elk met hul eie aanmelding. Dit kan baie moeilik wees om by te hou.

Die mees algemene manier waarop mense dit hanteer, is deur 'n 'goeie' wagwoord te kies en dit op 'n klomp verskillende webwerwe te gebruik. Dit is 'n vreeslike idee. Al wat nodig is, is vir een sekuriteitsbreuk, of een phishing -webwerf om u gebruikersnaam en wagwoord te kry om die bal te laat rol. Aanvallers kan die gebruikersnaam en wagwoord binne enkele sekondes op honderde webwerwe probeer. Dit sal hulle outomaties op elke webwerf met dieselfde gebruikersnaam as die in die gedrang bring.

Ek weet dat dit 'n uitdagende taak is om 'n ander wagwoord vir elke webwerf te hê, maar ons sal later bespreek hoe u dit moet hanteer.

Stap 4: Niks persoonlik nie

U inligting is nie so privaat as wat u dink nie. 'N Vinnige soektog aanlyn kan u geboortedatum of adres maklik vind. As 'n ander rekening oortree is, kan meer inligting maklik verkry word. As daar 'n aanvaller is wat probeer om by u rekeninge in te gaan, is dit 'n duidelike wagwoord om te probeer. Dit laat ook toegang oop vir familielede, vriende of selfs kennisse.

Stap 5: Behandel alle wagwoorde met dieselfde sorg

As u met webwerwe handel, moet u die veiligheid van almal met dieselfde sorg hanteer. As u byvoorbeeld by u gunsteling katwebwerf aangemeld het, moet u dieselfde voorsorgmaatreëls tref as u bankaanmelding. Dit lyk miskien nie veel om toegang tot al die pragtige snorhare te verloor nie, maar dit kan net 'n trap vir 'n aanvaller wees. Die oortreding van die 'onbelangrike' webwerf kan 'n aanvaller meer inligting oor u gee, soos 'n ander gebruikersnaam wat u gebruik het, 'n ander e -pos wat u gebruik het om aan te meld, of werklike inligting wat gebruik kan word om ander webwerwe te ontsluit.

As dit ook 'n onbelangrike webwerf is, is die kans groter dat hulle nie die regte beveiligingspraktyke volg nie, wat beteken dat as u wagwoord lank en ingewikkeld is, maar nie uniek nie, en die wagwoorde nie behoorlik gehaak word wanneer dit gestoor word nie, die wagwoord kan maklik op ander webwerwe gebruik word. Weereens, net omdat die webwerf 'onbelangrik' is, beteken dit nie dat u veiligheid dit is nie.

Stap 6: Hou dit weggesteek

Goed - vanlyn berging

Vanlyn stoor kan 'n goeie opsie wees as u 'n vergeetagtige persoon is. As u 'n USB -stick het wat u met u wagwoorde opsluit, word dit beskerm teen die meeste aanvalle, met die uitsondering van familie en vriende. As u hierdie stok op een of ander manier verloor, moet u seker maak dat die wagwoordlêer of die hele skyf geënkripteer is en dat die stokkie êrens baie veilig is.

Hierdie metode bied baie sekuriteit, maar ten koste van gemak.

Die rede waarom dit vanlyn moet wees, word hieronder in meer besonderhede verduidelik. Hou in gedagte dat baie toestelle nou outomaties 'n back-up van die wolk maak, selfs al het u dit nie bedoel nie. As u hierdie stok ook ooit aansluit op 'n toestel met 'n virus of 'n kompromie het, kan die data maklik gekopieer word.

Beter - onthou alles

Onthou al u wagwoorde. As u ongelooflik begaafd is, kan dit 'n opsie wees. Daar is geen manier waarop iemand dit kan vind nie, en u het dit altyd by u. Sommige nadele is dat die meeste van ons nie wonderlik is om komplekse dinge te onthou nie, en is geneig om 'n bietjie te veel te praat na 'n drankie of twee. Veral met tientalle wagwoorde om te onthou, is dit waarskynlik nie eens 'n opsie vir die leek nie.

Beste - geen berging nie

Die beste scenario is dat u dit glad nie moet stoor nie. Óf onthou op een of ander manier al u unieke, lang, komplekse wagwoorde, of u kan dit op die een of ander manier herskep. As u die bestanddele ken wat nodig is om dit te herskep, kan 'n aanvaller dit nie 'vind' nie, omdat dit nie bestaan totdat dit nodig is nie. Dit klink dalk ingewikkeld, maar dit is regtig nie. Meer hieroor later.

Die belangrikheid van vanlyn

Webwerwe word deur mense bestuur. Vir die meeste webwerwe is dit waarskynlik veilig om aan te neem dat hierdie mense oor die algemeen goeie bedoelings het, maar selfs die beste mense kan foute begaan. Verlede jaar alleen was daar 'n aantal groot inbreuk op die veiligheid van die webwerf van groot, algemeen beveiligde ondernemings soos Linked-In, Yahoo, Equifax, Apple en Uber, om maar net 'n paar te noem. Dit is groot ondernemings met veiligheidsafdelings en hulle is oortree.

Wolkberging klink luuks, en dit bied gemak, maar wat 'n 'wolk' in werklikheid is, is die rekenaar van iemand anders wat u gebruik om u lêers te stoor. Soos ek hierbo gesê het, kan mense foute maak. As dit gebeur, kan u wagwoorde wêreldwyd beskikbaar wees. Wolkwebwerwe is 'n reuse -teiken vir aanvallers vanweë die hoeveelheid data wat hulle besit. Breek die wolkwebwerf en kry toegang tot al die inligting wat moontlik miljoene mense gestoor het.

Ek is seker dat sommige hiervan paranoia is, maar beskerm dit as sodanig met 'n groot deel van u lewe wat agter hierdie wagwoorde weggesteek is.

Stap 7: My aanbeveling

Dit was 'n baie lang aanhef om die belangrikste pilare van wagwoordbeveiliging te verduidelik. As u die 6 riglyne volg, moet u minimale veiligheidsprobleme aanlyn hê, en as daar iets gebeur, moet dit by die bron stop, nie na die res van u aanlyn lewe versprei nie.

Daar is baie verskillende maniere waarop u hierdie uitdagings kan oplos. Sommige is beter as ander en bied verskillende voordele. My gunsteling oplossing is SuperGenPass (SGP). Ek is geensins verbonde nie, ek is net 'n fan.

Eenvoudig om te gebruik

SGP het 'n app vir u telefoon en 'n knoppie wat u by u blaaier kan voeg. As u na 'n webwerf gaan en u om u aanmelding vra, klik op die knoppie. 'N Klein venster verskyn. Voer u hoofwagwoord in. SGP sal 'n wagwoord vir hierdie webwerf genereer en dit in die wagwoord boks vir u invoer!

Lank

U kan die lengte van die wagwoord wat geskep is, kies. Dit sal wagwoorde tot 24 karakters genereer, wat redelik veilig is, maar u kan korter kies as sommige webwerwe die lengte van u wagwoord beperk.

Kompleks

Hoofletters, kleinletters en getalle word gebruik, wat redelik veilig is. Hulle volg geen herkenbare patroon sonder woorde of frases nie. Niks van u URL of hoofwagwoord is in hierdie string nie.

Uniek

Elke webwerf sal 'n heeltemal unieke wagwoord hê. Die wagwoorde vir example1.com en example2.com is heeltemal anders, alhoewel daar slegs een karakter verskil in die aanvanklike "bestanddele". Soos u in die onderstaande voorbeeld kan sien, is daar geen verband tussen die 'bestanddele' en die gevolglike wagwoord nie, en dit verskil baie van mekaar.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Berging

Dit stoor en stuur geen data nie. Dit kan heeltemal vanlyn uitgevoer word as u bekommerd is, en daar is geen manier waarop iemand dit kan vind of steel nie.

Stap 8: SGP: Opstel

Die opstel van SGP is super eenvoudig. Eerstens wil u dit waarskynlik by u boekmerkbalk voeg. Om dit te doen, gaan na:

chriszarate.github.io/supergenpass/

Daar sal 2 knoppies wees om van te kies. Sleep die linkerknoppie na u boekmerkbalk om 'n rekenaar op te stel wat u gewoonlik gebruik. Dit gee u 'n nuwe knoppie om te gebruik.

As u in die toekoms iemand anders se rekenaar gebruik, kan u die knoppie aan die regterkant kies. Hiermee kan u SGP gebruik sonder om iets in hul blaaier te verander. Dit is ook 'n opsie vir 'n mobiele blaaier.

Sodra dit by u boekmerkbalk gevoeg is, klik op die knoppie. Dit sal 'n klein venster in die hoek van u webblad oopmaak. As u op die klein rat klik, word die instellings oopgemaak.

Lengte

Die nommer aan die linkerkant is die lengte van die wagwoord wat dit sal genereer. Ek beveel aan dat u deur die webwerwe kyk wat u die meeste gebruik en dit stel op die hoogste aantal wat hierdie webwerwe toelaat. Meer as 12 word aanbeveel, maar hoe langer hoe beter, veral omdat u dit nie hoef te onthou nie.

Hash tipe

Daar is twee opsies vir die tipe hash wat gebruik word, MD5 en SHA. Beide genereer wagwoorde met hoofletters, klein letters en syfers. Om dit te verander, is 'n eenvoudige manier om al u wagwoorde te verander terwyl u dieselfde hoofwagwoord behou.

Geheime wagwoord

Die geheime wagwoordafdeling is 'n ekstra manier om seker te maak dat alles veilig is. As die applet begin, as u 'n geheime wagwoord het, sal dit 'n klein prentjie in die wagwoordblokkie wys. Hierdie wagwoord moet ALTYD dieselfde wees as dit begin. As dit begin en hierdie beeld nie is wat dit gewoonlik is nie, is daar 'n kans dat iemand u hoofwagwoord probeer kry.

Hoofwagwoord

Dit is nie nodig tydens die opstelling nie, maar dit is baie belangrik. Maak seker dat u 'n sterk wagwoord kies. Dit is 'n enkele wagwoord wat u altyd op elke webwerf invoer. Maak seker dat dit iets is wat u kan onthou, maar dat dit ingewikkeld, lank en nie-persoonlik is.

Spaar

Sodra u al u instellings gekies het, klik weer op die stoor -ikoon en die rat -ikoon om die instellings toe te maak

Stap 9: Gebruik SGP

Om SGP te gebruik, blaai na 'n webwerf soos u normaalweg sou doen. As u u wagwoord moet invoer, klik op die SGP -knoppie wat u by u boekmerkbalk gevoeg het. As u 'n geheime wagwoord gebruik het tydens die opstel van SGP, moet u seker maak dat die prentjie wat in die wagwoordblokkie verskyn, ooreenstem met wat dit was toe u dit opgestel het.

Tik u hoofwagwoord in en druk Enter. Dit sal u unieke wagwoord vir hierdie webwerf bereken en dit vir u invul! Terwyl u u hoofwagwoord tik, word die ikoon opgedateer. As die prentjie nie ooreenstem met die ikoon wat u gewoonlik het nie, het u u hoofwagwoord verkeerd ingevoer of probeer u wagwoord kry.

Afhangende van hoe die webwerf geskryf is, kan SGP moontlik nie die wagwoord vir u invoer nie, of kan die webwerf nie besef dat dit ingevoer is nie. As dit die geval is, kan u op die kopie -ikoon langs die gegenereerde wagwoordkassie klik en dit met die hand plak.

Sodra u wagwoord ingevoer is, klik op Login en u is daar!

Stap 10: Laaste gedagtes

SGP werk moontlik nie vir almal nie, en dit is in orde. Dit is nie die perfekte oplossing nie, want daar bestaan nie so iets nie. As u 'n ander diens of metode het wat u graag vir wagwoorde wil gebruik, moet u die ses stappe in gedagte hou vir 'n veilige wagwoord. As u huidige metode op 'n paar van hierdie gebiede te kort skiet, is dit dalk tyd om 'n ander oplossing te soek. Ja, dit kan 'n halwe dag neem om al u rekeninge te verander, maar dit sal waarskynlik minder pyn veroorsaak as om u rekeninge te oortree.

'N Opmerking oor aanlynberging: as die diens u wagwoorde aanlyn/in die' wolk 'stoor, moet u hul veiligheidspraktyke nagaan om seker te maak dat dit goed is. Die webwerf sal u waarskynlik vertel wat hulle doen om u wagwoorde te beskerm as hulle dit reg doen. As jy nie seker is nie, stuur vir hulle 'n e -pos en vra. As hulle u nie 'n goeie/bondige/akkurate antwoord kan gee nie, wees versigtig as u die diens gebruik.