„12345” este cu adevărat rău: Ghidul tău suprem pentru securitatea parolei

V-am sfătuit din nou și din nou că singura modalitate sigură de a stoca și de a utiliza parole este să vă bazați pe un manager de parole, dar unii dintre voi nu ascultați. Într-un sondaj PCMag privind parolele, doar 24% dintre voi au raportat că folosiți un manager de parole. Voi ceilalți ce faceți? Folosești parole simple, cum ar fi parola sau 12345678? Memorezi o parolă complexă și o folosești peste tot? Ascultă, să ai grijă de securitatea parolelor nu este o chestiune mică, dar având în vedere amploarea enormă a riscului - așa cum este ilustrat în recenta încălcare a Colecției #1, care a expus 773 de milioane de adrese de e-mail piratate - trebuie să faci tot ce poți pentru a-ți păstra parolele. sigur.

Chiar dacă utilizați cel mai bun manager de parole, acesta nu garantează siguranța conturilor dvs. – nu dacă utilizați managerul de parole pentru a vă aminti aceleași parole vechi și obosite. Trebuie să cobori în tranșee și să schimbi parolele proaste cu altele noi, mai puternice.

Sondajul menționat mai sus a arătat că 35% dintre cititorii PCMag nu își schimbă niciodată parolele, cu excepția cazului în care sunt forțați să facă acest lucru de o încălcare. În general, acesta nu este un lucru atât de rău. Institutul Național de Standarde și Tehnologie nu mai recomandă schimbarea parolelor la fiecare 90 de zile. NIST recomandă acum să folosiți fraze de acces lungi precum „Correct-Horse-Battery-Staple” și să le schimbați numai atunci când este necesar. Dar dacă folosești parole groaznice, „când este necesar” înseamnă chiar acum .

Ce face o parolă proastă? Ne vom uita la unele dintre atributele parolelor teribile și apoi vă vom oferi câteva indicații despre cum să faceți parolele în mod corect.

Stai în afara dicționarului

La fiecare câteva luni, un post de știri sau altul postează o listă cu cele mai proaste parole. Vedem o mulțime de opțiuni ușor de tastat, cum ar fi 123456 și 12345678 și qwerty. Ușor pentru tine? Sigur. Dar și ușor de spart pentru hackeri. Alte parole comune (și slabe) constau în cuvinte simple din dicționar. Am văzut baseball, maimuță și războiul stelelor în lista celor mai proaste parole. Și acestea sunt ușor de spart.

Unele site-uri web securizate se blochează după un anumit număr de încercări de parole greșite, dar multe nu o fac. Pentru cei care nu au o blocare greșită, hackerii pot traversa o listă de adrese de e-mail cu o listă de parole populare și pot configura un proces automat pentru a continua să încerce combinații până când ajung.

Un site web securizat corespunzător nu stochează parola dvs. nicăieri. În schimb, rulează parola printr-un algoritm de hashing, un fel de criptare unidirecțională. Aceeași intrare produce întotdeauna aceeași ieșire, dar nu există nicio modalitate de a reveni la parola originală din hashul rezultat. Dacă parola pe care o introduceți are aceeași valoare care este stocată, aveți acces. Chiar dacă hackerii captează datele utilizatorilor site-ului, ei nu primesc parole, ci doar hashuri.

Dar hackerii inteligenți pot sparge parole slabe chiar și atunci când sunt hashing, dacă știu ce funcție de hashing a folosit site-ul. Încep prin a rula un dicționar imens de parole comune prin funcția de hashing. Apoi caută hashurile rezultate în datele capturate. Fiecare potrivire este o parolă spartă. Site-urile cu cea mai bună securitate îmbunătățesc funcția hash cu o tehnică numită sărare, care face imposibilă acest tip de cracare pe bază de masă, dar de ce să vă asumați riscul? Stai în afara dicționarului.

Gandeste diferit

O prietenă mi-a spus odată parola ei perfectă: 1qaz2wsx3edc4rfv. Ea putea să-l „tasteze” doar glisând un deget pe patru coloane înclinate ale tastaturii. A fost atât de perfect, a folosit-o peste tot. Și asta a fost o mare greșeală.

Nu trece aproape o săptămână fără știri despre o încălcare a unei companii sau site-uri web, expunând mii sau milioane de nume de utilizator și parole. Victimele inteligente își schimbă imediat parolele. Cei care ignoră problema se pot găsi blocați din propriile conturi după ce hackerii resetează parola.

Acei hackeri știu că prea mulți oameni își reciclează parolele. Odată ce găsesc o pereche de nume de utilizator și parolă care funcționează, încearcă aceleași acreditări pe alte site-uri. S-ar putea să nu fiți atât de îngrijorat de pierderea accesului la contul dvs. Club Penguin, dar dacă ați folosit aceeași autentificare pe site-ul băncii dvs., aveți mari probleme.

Devine mai rău. Dacă altcineva preia controlul asupra contului dvs. de e-mail, mai întâi vă poate bloca prin schimbarea parolei. Apoi, ei pot pătrunde în celelalte conturi ale dvs. prin trimiterea unui link de resetare a parolei către acel cont. Inca ingrijorat?

Nu deveni personal

Folosirea informațiilor personale ca bază pentru parole este îngrozitor de tentant, dar este o idee proastă. Sunt șanse mari ca numele câinelui tău să apară în dicționarele pe care hackerii le folosesc pentru atacuri cu forță brută. Alte posibilități, cum ar fi inițialele și data nașterii unui membru al familiei, probabil nu vor cădea într-un atac cu forță brută, dar dacă cineva dorește să vă spargă contul în mod specific, acele date personale pot alimenta un atac de ghicire prin încercare și eroare.

Nu vă gândiți nici măcar un minut că datele dvs. personale sunt private. Există zeci de site-uri pe care oamenii le pot folosi pentru a găsi detalii despre oricine: adresă, data nașterii, starea civilă și multe altele. Postările tale pe rețelele sociale pot fi o altă sursă de informații personale, mai ales dacă nu ți-ai securizat corespunzător conturile. Un hacker hotărât (sau un vecin băgacios) poate ghici probabil orice parolă pe care o construiți pe baza propriilor date.

Închide ușa din spate

Dacă nu utilizați un manager de parole, cu siguranță ați experimentat uitarea parolei pentru un site. Este prea obișnuit, motiv pentru care practic fiecare pagină de conectare include un „Ați uitat parola?” legătură. Unele site-uri trimit un link de resetare la adresa ta de e-mail, în timp ce altele vă permit să resetați parola după ce răspundeți la întrebările dvs. de securitate. Și asta deschide o ușă din spate pentru oricine dorește să-ți spargă contul.

Majoritatea site-urilor oferă opțiuni abisale pentru întrebări de securitate. Care este numele de fata al mamei tale? Unde te-ai dus la liceu? Care a fost primul tău loc de muncă? După cum am menționat, viața ta personală este o carte deschisă pentru oricine are abilități de căutare pe internet. Când este posibil, ignorați întrebările prestabilite. Creează-ți propria întrebare, cu un răspuns unic pe care îl vei aminti întotdeauna, dar pe care nimeni altcineva nu l-ar putea ghici.

Este mai greu când site-ul nu vă lasă să vă definiți propriile întrebări. În acest caz, cel mai bun pariu este să folosești un răspuns memorabil care este o minciună totală. Numele de fată al mamei mele este Obama. Am fost la școală la Liceul Martirilor Comuniști. Pentru prima mea slujbă, am fost îmblânzitor de lei. Există un element de risc, deoarece s-ar putea să uiți ce minciună ai ales. Aș sugera să stocați aceste răspunsuri ciudate ca note sigure în managerul de parole... dar dacă ați fi folosit un manager de parole, acesta și-ar fi amintit parola pentru dvs.

Ce să faci acum că îți pasă

Sper că v-am convins că folosirea parolelor obișnuite este o idee putredă, ca să construiți parole din informații personale. Și chiar și cea mai bună parolă puternică, aleatorie, devine o răspundere dacă o utilizați peste tot. Dacă sunteți gata să acționați, iată câteva puncte de plecare:

• Utilizați un manager de parole.
• Treceți la un manager de parole mai bun.
• Amintiți-vă de o parolă principală nebun de sigură pentru managerul de parole.
• Profitați de un generator de parole aleatorii pentru a vă actualiza parolele vechi și proaste.
• Puteți chiar să vă creați propriul generator de parole aleatorii în Excel.
• Activați autentificarea cu doi factori oriunde este disponibilă.

Dacă un site securizat nu se ocupă de securitate, ați putea totuși să pierdeți acreditările site-ului respectiv din cauza unei încălcări a datelor, dar făcând toate parolele lungi, puternice și unice, ați făcut tot ce ați putut pentru a vă proteja conturile online.

Și hei! Acum, că sunteți pe drum, din punct de vedere al securității, luați în considerare adăugarea unei rețele private virtuale sau VPN. Folosirea parolelor puternice pentru site-uri securizate înseamnă că alte persoane nu pot pătrunde în conturile dvs.; adăugarea unui VPN înseamnă că nu există nicio șansă ca cineva să vă poată intercepta conexiunea la acele site-uri securizate.