„12345” jest naprawdę zły: Twój najlepszy przewodnik po zabezpieczeniach haseł

Opublikowany: 2022-01-29

Wielokrotnie informowaliśmy, że jedynym bezpiecznym sposobem przechowywania i używania haseł jest poleganie na menedżerze haseł, ale niektórzy z was nie słuchają. W ankiecie PCMag na temat haseł tylko 24% z was zgłosiło użycie menedżera haseł. Co robi reszta z was? Używasz prostych haseł, takich jak hasło lub 12345678? Zapamiętywanie jednego złożonego hasła i używanie go wszędzie? Słuchaj, dbanie o bezpieczeństwo haseł to niemała sprawa, ale biorąc pod uwagę ogromną skalę ryzyka — jak pokazano w niedawnym naruszeniu kolekcji nr 1, które ujawniło 773 miliony zhakowanych adresów e-mail — musisz zrobić wszystko, aby zachować swoje hasła bezpieczna.

Nawet jeśli używasz najlepszego menedżera haseł, nie gwarantuje to bezpieczeństwa Twoich kont — nie, jeśli używasz menedżera haseł do zapamiętywania tych samych starych, zmęczonych haseł. Musisz zejść do okopów i wymienić złe hasła na nowe, silniejsze.

Wspomniana powyżej ankieta wykazała, że ​​35 procent czytelników PCMag nigdy nie zmienia swoich haseł, chyba że jest do tego zmuszony przez włamanie. Ogólnie rzecz biorąc, nie jest to takie złe. Narodowy Instytut Standardów i Technologii nie zaleca już zmiany haseł co 90 dni. NIST zaleca teraz używanie długich haseł, takich jak „Popraw-koń-bateria-zszywka” i zmienianie ich tylko wtedy, gdy jest to konieczne. Ale jeśli używasz okropnych haseł, „kiedy to konieczne” oznacza właśnie teraz .

Co sprawia, że ​​hasło jest złe? Przyjrzymy się niektórym atrybutom okropnych haseł, a następnie podamy kilka wskazówek, jak prawidłowo tworzyć hasła.

Trzymaj się z dala od słownika

Co kilka miesięcy jeden lub drugi serwis informacyjny publikuje listę najgorszych haseł. Widzimy wiele łatwych do wpisania opcji, takich jak 123456 i 12345678 oraz qwerty. Łatwe dla Ciebie? Pewny. Ale także łatwy do złamania przez hakerów. Inne popularne (i słabe) hasła składają się z prostych słów słownikowych. Na liście najgorszych haseł widzieliśmy baseball, małpę i gwiezdne wojny. Te też są łatwe do złamania.

Złe hasła

Niektóre bezpieczne strony internetowe blokują się po określonej liczbie prób wprowadzenia błędnych haseł, ale wiele z nich tego nie robi. Dla tych, którzy nie mają blokady na złe odgadnięcie, hakerzy mogą skrzyżować listę adresów e-mail z listą popularnych haseł i skonfigurować zautomatyzowany proces, aby próbować kombinacji, dopóki się nie dostaną.

Prawidłowo zabezpieczona strona internetowa nie przechowuje nigdzie Twojego hasła. Zamiast tego uruchamia hasło przez algorytm mieszający, rodzaj szyfrowania jednokierunkowego. Te same dane wejściowe zawsze dają te same dane wyjściowe, ale nie ma możliwości powrotu do oryginalnego hasła z wynikowego skrótu. Jeśli hasło, które wpisujesz, miesza się z tą samą wartością, która jest przechowywana, uzyskujesz dostęp. Nawet jeśli hakerzy przechwycą dane użytkownika witryny, nie otrzymają haseł, tylko skróty.

Jednak sprytni hakerzy mogą złamać słabe hasła, nawet jeśli są zaszyfrowane, jeśli wiedzą, z jakiej funkcji haszującej korzystała witryna. Zaczynają od uruchomienia ogromnego słownika popularnych haseł za pomocą funkcji mieszającej. Następnie szukają wynikowych skrótów w przechwyconych danych. Każdy mecz to złamane hasło. Witryny z najlepszymi zabezpieczeniami wzbogacają funkcję skrótu za pomocą techniki zwanej soleniem, która uniemożliwia tego rodzaju cracking w oparciu o tabele, ale po co ryzykować? Po prostu trzymaj się poza słownikiem.

Myśl inaczej

Znajoma powiedziała mi kiedyś swoje idealne hasło: 1qaz2wsx3edc4rfv. Mogła to „wpisać” po prostu przesuwając palcem po czterech skośnych kolumnach klawiatury. Był tak doskonały, że używała go wszędzie. I to był wielki błąd.

Prawie tydzień nie pojawia się wiadomość o naruszeniu bezpieczeństwa w jakiejś firmie lub witrynie internetowej, ujawniającym tysiące lub miliony nazw użytkowników i haseł. Inteligentne ofiary natychmiast zmieniają swoje hasła. Ci, którzy ignorują problem, mogą zostać zablokowani na własnych kontach po zresetowaniu hasła przez hakerów.

Bezpieczeństwo

Ci hakerzy wiedzą, że zbyt wiele osób przetwarza swoje hasła. Po znalezieniu działającej pary nazwy użytkownika i hasła próbują użyć tych samych poświadczeń w innych witrynach. Być może nie martwisz się tak bardzo utratą dostępu do swojego konta Club Penguin, ale jeśli użyłeś tego samego loginu na stronie swojego banku, masz duże kłopoty.

Pogarsza się. Jeśli ktoś inny przejmie kontrolę nad Twoim kontem e-mail, może najpierw zablokować Cię, zmieniając hasło. Następnie mogą włamać się na Twoje inne konta, wysyłając link do resetowania hasła na to konto. Martwisz się jeszcze?

Nie bądź osobisty

Używanie danych osobowych jako podstawy haseł jest strasznie kuszące, ale to zły pomysł. Są duże szanse, że imię twojego psa pojawia się w słownikach używanych przez hakerów do ataków brute-force. Inne możliwości, takie jak inicjały i data urodzenia członka rodziny, prawdopodobnie nie padną ofiarą brutalnego ataku, ale jeśli ktoś chce włamać się konkretnie do Twojego konta, te dane osobowe mogą posłużyć do zgadywania metodą prób i błędów.

Nie myśl nawet przez chwilę, że Twoje dane osobowe są prywatne. Istnieją dziesiątki witryn, za pomocą których ludzie mogą znaleźć szczegółowe informacje o dowolnej osobie: adres, data urodzenia, stan cywilny i inne. Twoje posty w mediach społecznościowych mogą być kolejnym źródłem informacji osobistych, zwłaszcza jeśli nie odpowiednio zabezpieczyłeś swoje konta. Zdeterminowany haker (lub wścibski sąsiad) prawdopodobnie odgadnie każde hasło, które zbudujesz na podstawie własnych danych.

Zamknij tylne drzwi

Jeśli nie korzystasz z menedżera haseł, z pewnością zdarzyło Ci się zapomnieć hasła do witryny. To zbyt powszechne, dlatego praktycznie każda strona logowania zawiera komunikat „Zapomniałeś hasła?” połączyć. Niektóre witryny wysyłają link do resetowania na Twój adres e-mail, podczas gdy inne umożliwiają zresetowanie hasła po udzieleniu odpowiedzi na pytania zabezpieczające. A to otwiera tylne drzwi każdemu, kto chce włamać się na Twoje konto.

Pytanie i odpowiedź bezpieczeństwa

Większość witryn oferuje fatalne opcje pytań bezpieczeństwa. Jakie jest nazwisko panieńskie Twojej matki? Gdzie chodziłeś do liceum? Jaka była Twoja pierwsza praca? Jak już wspomniano, Twoje życie osobiste jest otwartą księgą dla każdego, kto ma umiejętności wyszukiwania w Internecie. Jeśli to możliwe, zignoruj ​​zadane pytania. Stwórz własne pytanie, z unikalną odpowiedzią, którą zawsze będziesz pamiętać, ale której nikt inny nie może odgadnąć.

Trudniej jest, gdy strona nie pozwala na zdefiniowanie własnych pytań. W takim przypadku najlepiej jest użyć niezapomnianej odpowiedzi, która jest całkowitym kłamstwem. Nazwisko panieńskie mojej matki to Obama. Chodziłem do szkoły w Liceum Męczenników Komunistycznych. W mojej pierwszej pracy byłem pogromcą lwów. Istnieje element ryzyka, ponieważ możesz zapomnieć, które kłamstwo wybrałeś. Sugerowałbym przechowywanie tych dziwnych odpowiedzi jako bezpiecznych notatek w swoim menedżerze haseł… ale gdybyś używał menedżera haseł, zapamiętałby on hasło za Ciebie.

Co robić teraz, gdy Ci zależy

Mam nadzieję, że przekonałem Cię, że używanie popularnych haseł to zepsuty pomysł, podobnie jak budowanie haseł na podstawie danych osobowych. I nawet najlepsze silne, losowe hasło staje się ciężarem, jeśli używasz go wszędzie. Jeśli jesteś gotowy do działania, oto kilka punktów wyjścia:

  • Użyj menedżera haseł.
  • Przełącz się na lepszego menedżera haseł.
  • Zapamiętaj niesamowicie bezpieczne hasło główne do swojego menedżera haseł.
  • Skorzystaj z generatora losowych haseł, aby uaktualnić swoje stare, złe hasła.
  • Możesz nawet stworzyć własny generator losowych haseł w programie Excel.
  • Włącz uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie jest to możliwe.

Jeśli bezpieczna witryna nie zapewnia bezpieczeństwa, nadal możesz utracić dane uwierzytelniające tej witryny w przypadku naruszenia bezpieczeństwa danych, ale dzięki temu, że wszystkie hasła są długie, silne i niepowtarzalne, zrobiłeś wszystko, co w Twojej mocy, aby chronić swoje konta online.

I hej! Teraz, gdy jesteś na fali, jeśli chodzi o bezpieczeństwo, rozważ dodanie wirtualnej sieci prywatnej lub VPN. Używanie silnych haseł do bezpiecznych witryn oznacza, że ​​inni nie mogą włamywać się na Twoje konta; dodanie VPN oznacza, że ​​nikt nie może przechwycić połączenia z tymi bezpiecznymi witrynami.