'12345' แย่มาก: สุดยอดคู่มือความปลอดภัยรหัสผ่าน

เผยแพร่แล้ว: 2022-01-29

เราได้แนะนำคุณครั้งแล้วครั้งเล่าว่าวิธีเดียวที่ปลอดภัยในการจัดเก็บและใช้รหัสผ่านคือการพึ่งพาผู้จัดการรหัสผ่าน แต่บางท่านไม่ฟัง ในแบบสำรวจ PCMag เกี่ยวกับรหัสผ่าน มีเพียง 24 เปอร์เซ็นต์ของคุณที่รายงานโดยใช้ตัวจัดการรหัสผ่าน ส่วนที่เหลือของคุณทำอะไรอยู่? ใช้รหัสผ่านง่าย ๆ เช่นรหัสผ่านหรือ 12345678? การจำรหัสผ่านที่ซับซ้อนเพียงอันเดียวและใช้งานได้ทุกที่? ฟังนะ การดูแลความปลอดภัยของรหัสผ่านไม่ใช่เรื่องเล็ก แต่เมื่อพิจารณาจากความเสี่ยงที่มหาศาล ดังที่แสดงไว้ในการละเมิด Collection #1 ล่าสุด ซึ่งเปิดเผยที่อยู่อีเมลที่ถูกแฮ็ก 773 ล้าน รายการ คุณต้องทำทุกอย่างที่ทำได้เพื่อเก็บรหัสผ่านของคุณ ปลอดภัย.

แม้ว่าคุณจะใช้เครื่องมือจัดการรหัสผ่านที่ดีที่สุด แต่ก็ไม่ได้รับประกันความปลอดภัยของบัญชีของคุณ—ไม่ใช่ว่าคุณใช้เครื่องมือจัดการรหัสผ่านเพื่อจำรหัสผ่านที่เก่าและยุ่งยากเหล่านั้น คุณต้องลงไปในร่องลึกและเปลี่ยนรหัสผ่านที่ไม่ดีสำหรับรหัสผ่านใหม่ที่แข็งแกร่งกว่า

แบบสำรวจที่กล่าวข้างต้นเปิดเผยว่า 35 เปอร์เซ็นต์ของผู้อ่าน PCMag ไม่เคยเปลี่ยนรหัสผ่าน เว้นแต่จะถูกบังคับให้ทำโดยฝ่าฝืน โดยทั่วไปนั่นไม่ใช่ สิ่ง ที่เลวร้าย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติไม่แนะนำให้เปลี่ยนรหัสผ่านทุก 90 วันอีกต่อไป ตอนนี้ NIST แนะนำให้ใช้ข้อความรหัสผ่านแบบยาว เช่น "Correct-Horse-Battery-Staple" และเปลี่ยนเมื่อจำเป็นเท่านั้น แต่ถ้าคุณใช้รหัสผ่านที่แย่มาก "เมื่อจำเป็น" หมายถึง ตอนนี้

อะไรทำให้รหัสผ่านไม่ถูกต้อง เราจะพิจารณาคุณลักษณะบางอย่างของรหัสผ่านที่น่ากลัว จากนั้นเราจะให้คำแนะนำเกี่ยวกับวิธีการใช้รหัสผ่านอย่างถูกวิธี

อยู่ให้ห่างจากพจนานุกรม

ทุกสองสามเดือน แหล่งข่าวหนึ่งหรืออีกแห่งโพสต์รายการรหัสผ่านที่แย่ที่สุด เราเห็นตัวเลือกที่พิมพ์ง่ายมากมาย เช่น 123456 และ 12345678 และ qwerty ง่ายสำหรับคุณ? แน่นอน. แต่ยังง่ายสำหรับแฮกเกอร์ที่จะถอดรหัส รหัสผ่านทั่วไป (และไม่ดี) อื่นๆ ประกอบด้วยคำในพจนานุกรมง่ายๆ เราเคยเห็นเบสบอล ลิง และสตาร์วอร์ อยู่ในรายการรหัสผ่านที่แย่ที่สุด สิ่งเหล่านี้ก็แตกง่ายเช่นกัน

รหัสผ่านไม่ถูกต้อง

เว็บไซต์ที่ปลอดภัยบางแห่งล็อกลงหลังจากพยายามป้อนรหัสผ่านผิดหลายครั้ง แต่หลายๆ เว็บไซต์กลับไม่ทำ สำหรับผู้ที่ไม่มีการล็อกเอาต์จากการคาดเดา แฮ็กเกอร์สามารถข้ามรายการที่อยู่อีเมลพร้อมรายการรหัสผ่านยอดนิยม และตั้งค่ากระบวนการอัตโนมัติเพื่อลองใช้ชุดค่าผสมต่างๆ ต่อไปจนกว่าจะเข้ามา

เว็บไซต์ที่มีการรักษาความปลอดภัยอย่างเหมาะสมจะไม่เก็บรหัสผ่านของคุณไว้ที่ใด แต่จะรันรหัสผ่านผ่านอัลกอริธึมการแฮช ซึ่งเป็นการเข้ารหัสแบบทางเดียว อินพุตเดียวกันจะสร้างเอาต์พุตเดียวกันเสมอ แต่ไม่มีทางที่จะกลับไปใช้รหัสผ่านเดิมจากแฮชที่ได้ หากรหัสผ่านที่คุณพิมพ์มีค่าเท่ากับค่าที่เก็บไว้ คุณจะได้รับการเข้าถึง แม้ว่าแฮกเกอร์จะดักจับข้อมูลผู้ใช้ของไซต์ แต่ก็ไม่ได้รหัสผ่าน มีแต่แฮช

แต่แฮ็กเกอร์ที่ฉลาดสามารถถอดรหัสรหัสผ่านที่ไม่รัดกุมได้ แม้ว่าจะถูกแฮชก็ตาม หากพวกเขารู้ว่าไซต์ใช้ฟังก์ชันใดในการแฮช พวกเขาเริ่มต้นด้วยการเรียกใช้พจนานุกรมรหัสผ่านทั่วไปขนาดใหญ่ผ่านฟังก์ชันการแฮช จากนั้นพวกเขาจะค้นหาแฮชที่ได้ในข้อมูลที่บันทึกไว้ การแข่งขันแต่ละครั้งเป็นรหัสผ่านที่ถอดรหัส ไซต์ที่มีการรักษาความปลอดภัยที่ดีที่สุดจะปรับปรุงฟังก์ชันแฮชด้วยเทคนิคที่เรียกว่าการใส่เกลือ ซึ่งทำให้การแคร็กแบบตารางประเภทนี้เป็นไปไม่ได้ แต่ทำไมต้องเสี่ยงด้วย เพียงแค่อยู่ห่างจากพจนานุกรม

คิดต่าง

เพื่อนคนหนึ่งเคยบอกฉันรหัสผ่านที่สมบูรณ์แบบของเธอ: 1qaz2wsx3edc4rfv เธอสามารถ "พิมพ์" โดยเพียงแค่เลื่อนนิ้วลงสี่คอลัมน์ที่เอียงของแป้นพิมพ์ มันสมบูรณ์แบบมาก เธอใช้มันทุกที่ และนั่นเป็นความผิดพลาดครั้งใหญ่

เกือบหนึ่งสัปดาห์ผ่านไปโดยที่ไม่มีข่าวคราวของบริษัทหรือเว็บไซต์บางแห่งที่มีการเปิดเผยชื่อผู้ใช้และรหัสผ่านนับพันหรือล้านครั้ง เหยื่ออัจฉริยะเปลี่ยนรหัสผ่านทันที ผู้ที่เพิกเฉยต่อปัญหาอาจพบว่าตัวเองถูกล็อกไม่ให้เข้าใช้บัญชีของตนเองหลังจากที่แฮกเกอร์รีเซ็ตรหัสผ่าน

SecurityWatch

แฮกเกอร์เหล่านั้นรู้ว่ามีคนจำนวนมากเกินไปรีไซเคิลรหัสผ่านของพวกเขา เมื่อพบคู่ชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้ พวกเขาลองใช้ข้อมูลรับรองเดียวกันบนไซต์อื่นๆ คุณอาจไม่ได้กังวลเกี่ยวกับการสูญเสียการเข้าถึงบัญชี Club Penguin ของคุณ แต่หากคุณใช้ข้อมูลเข้าสู่ระบบเดียวกันบนเว็บไซต์ของธนาคาร แสดงว่าคุณมีปัญหาใหญ่

มันแย่ลง หากมีคนอื่นควบคุมบัญชีอีเมลของคุณ พวกเขาสามารถล็อคคุณออกก่อนโดยเปลี่ยนรหัสผ่าน จากนั้นพวกเขาสามารถเจาะเข้าไปในบัญชีอื่นๆ ของคุณได้ โดยส่งลิงก์รีเซ็ตรหัสผ่านไปยังบัญชีนั้นทางอีเมล กังวลยัง?

อย่าเป็นส่วนตัว

การใช้ข้อมูลส่วนบุคคลเป็นพื้นฐานสำหรับรหัสผ่านของคุณเป็นสิ่งที่น่าดึงดูดใจอย่างยิ่ง แต่เป็นความคิดที่ไม่ดี เป็นไปได้มากที่ชื่อสุนัขของคุณจะปรากฏในพจนานุกรมที่แฮ็กเกอร์ใช้สำหรับการโจมตีแบบเดรัจฉาน ความเป็นไปได้อื่น ๆ เช่น ชื่อย่อและวันเกิดของสมาชิกในครอบครัวอาจจะไม่ถูกโจมตีแบบเดรัจฉาน แต่ถ้ามีคนต้องการแฮ็คบัญชีของคุณโดยเฉพาะ ข้อมูลส่วนบุคคลนั้นสามารถกระตุ้นการโจมตีด้วยการเดาแบบลองผิดลองถูกได้

อย่าคิดสักครู่ว่ารายละเอียดส่วนบุคคลของคุณเป็นเรื่องส่วนตัว มีไซต์มากมายที่ผู้คนสามารถใช้เพื่อค้นหารายละเอียดเกี่ยวกับใครก็ได้: ที่อยู่ วันเกิด สถานภาพการสมรส และอื่นๆ โพสต์บนโซเชียลมีเดียของคุณอาจเป็นแหล่งข้อมูลส่วนบุคคลอีกแหล่งหนึ่ง โดยเฉพาะหากคุณไม่ได้รักษาความปลอดภัยให้กับบัญชีของคุณอย่างเหมาะสม แฮ็กเกอร์ที่ตั้งใจแน่วแน่ (หรือเพื่อนบ้านที่เจ้าเล่ห์) อาจเดารหัสผ่านใดๆ ที่คุณสร้างจากข้อมูลของคุณเองได้

ปิดประตูหลัง

หากคุณไม่ได้ใช้ตัวจัดการรหัสผ่าน แสดงว่าคุณลืมรหัสผ่านของเว็บไซต์อย่างแน่นอน มันเป็นเรื่องธรรมดาเกินไป ซึ่งเป็นเหตุว่าทำไมแทบทุกหน้าเข้าสู่ระบบจึงมี "ลืมรหัสผ่านของคุณ" ลิงค์ บางเว็บไซต์ส่งลิงก์รีเซ็ตไปยังที่อยู่อีเมลของคุณ ในขณะที่บางเว็บไซต์ให้คุณรีเซ็ตรหัสผ่านได้หลังจากตอบคำถามเพื่อความปลอดภัยแล้ว และนั่นจะเปิดประตูหลังให้กับทุกคนที่ต้องการแฮ็คบัญชีของคุณ

คำถามและคำตอบเพื่อความปลอดภัย

ไซต์ส่วนใหญ่เสนอตัวเลือกที่แย่มากสำหรับคำถามเพื่อความปลอดภัย นามสกุลเดิมของแม่คุณคืออะไร? คุณเรียนมัธยมปลายที่ไหน งานแรกของคุณคืออะไร? ตามที่ระบุไว้ ชีวิตส่วนตัวของคุณเป็นหนังสือที่เปิดกว้างสำหรับทุกคนที่มีทักษะการค้นหาทางอินเทอร์เน็ต หากเป็นไปได้ ให้ข้ามคำถามที่ตั้งไว้ล่วงหน้า สร้างคำถามของคุณเองด้วยคำตอบที่ไม่เหมือนใครซึ่งคุณจะจำได้ตลอดแต่ไม่มีใครคาดเดาได้

ยากขึ้นเมื่อไซต์ไม่อนุญาตให้คุณกำหนดคำถามของคุณเอง ในกรณีนั้น ทางออกที่ดีที่สุดของคุณคือใช้คำตอบที่น่าจดจำซึ่งเป็นเรื่องโกหกทั้งหมด นามสกุลเดิมของแม่ฉันคือโอบามา ฉันไปโรงเรียนที่คอมมิวนิสต์มรณสักขี สำหรับงานแรกของฉัน ฉันเป็นผู้ฝึกสิงโต มีองค์ประกอบของความเสี่ยง เนื่องจากคุณอาจลืมไปว่าคุณเลือกโกหกแบบไหน ฉันขอแนะนำให้เก็บคำตอบแปลก ๆ เหล่านี้เป็นบันทึกที่ปลอดภัยในตัวจัดการรหัสผ่านของคุณ…แต่ถ้าคุณใช้ตัวจัดการรหัสผ่าน มันคงจำรหัสผ่านของคุณได้

สิ่งที่ต้องทำตอนนี้ที่คุณห่วงใย

ฉันหวังว่าฉันจะเชื่อคุณว่าการใช้รหัสผ่านทั่วไปเป็นความคิดที่ไม่ดี เหมือนกับการสร้างรหัสผ่านจากข้อมูลส่วนบุคคล และแม้แต่รหัสผ่านแบบสุ่มที่รัดกุมที่สุดก็ยังต้องรับผิดชอบหากคุณใช้รหัสผ่านนี้ทั่วๆ ไป หากคุณพร้อมที่จะดำเนินการ ต่อไปนี้คือจุดเริ่มต้น:

  • ใช้ตัวจัดการรหัสผ่าน
  • เปลี่ยนไปใช้ตัวจัดการรหัสผ่านที่ดีกว่า
  • จำรหัสผ่านหลักที่ปลอดภัยอย่างเมามันสำหรับผู้จัดการรหัสผ่านของคุณ
  • ใช้ประโยชน์จากตัวสร้างรหัสผ่านแบบสุ่มเพื่ออัปเกรดรหัสผ่านเก่าที่ไม่เหมาะสมของคุณ
  • คุณยังสามารถสร้างโปรแกรมสร้างรหัสผ่านแบบสุ่มของคุณเองใน Excel ได้อีกด้วย
  • เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยทุกที่ที่มี

หากไซต์ที่ปลอดภัยไม่ดูแลความปลอดภัย คุณยังสามารถสูญเสียข้อมูลประจำตัวของไซต์นั้นจากการละเมิดข้อมูล แต่ด้วยการทำให้รหัสผ่านของคุณยาว รัดกุม และไม่ซ้ำใคร คุณได้ทำทุกอย่างที่ทำได้เพื่อปกป้องบัญชีออนไลน์ของคุณ

และเฮ้! ตอนนี้คุณอยู่ในขั้นตอนของการรักษาความปลอดภัยแล้ว ให้พิจารณาเพิ่มเครือข่ายส่วนตัวเสมือนหรือ VPN การใช้รหัสผ่านที่รัดกุมสำหรับไซต์ที่ปลอดภัยหมายความว่าผู้อื่นไม่สามารถเจาะเข้าไปในบัญชีของคุณได้ การเพิ่ม VPN หมายความว่าไม่มีใครสามารถสกัดกั้นการเชื่อมต่อกับไซต์ที่ปลอดภัยเหล่านั้นได้