'12345' Gerçekten Kötü: Parola Güvenliğine Yönelik En İyi Rehberiniz

Parolaları saklamanın ve kullanmanın tek güvenli yolunun bir parola yöneticisine güvenmek olduğunu size tekrar tekrar tavsiye ettik, ancak bazılarınız dinlemiyorsunuz. Parolalarla ilgili bir PCMag anketinde, yalnızca yüzde 24'ünüz bir parola yöneticisi kullandığını bildirdi. Geri kalanınız ne yapıyorsunuz? Şifre veya 12345678 gibi kolay şifreler mi kullanıyorsunuz? Karmaşık bir parolayı ezberleyip her yerde mi kullanıyorsunuz? Dinleyin, parola güvenliğine dikkat etmek küçük bir mesele değildir, ancak 773 milyon saldırıya uğramış e-posta adresini açığa çıkaran son Koleksiyon #1 ihlalinde gösterildiği gibi, riskin muazzam ölçeği göz önüne alındığında, parolalarınızı korumak için elinizden gelen her şeyi yapmanız gerekir. güvenli.

En iyi şifre yöneticisini kullanıyor olsanız bile, hesaplarınızın güvenliğini garanti etmez - aynı eski, yorgun şifreleri hatırlamak için şifre yöneticisini kullanmasanız bile. Siperlere girmeli ve yeni, daha güçlü şifreler için kötü şifreleri değiştirmelisiniz.

Yukarıda bahsedilen anket, PCMag okuyucularının yüzde 35'inin, bir ihlal tarafından zorunlu tutulmadıkça şifrelerini asla değiştirmediğini ortaya koydu. Genel olarak, bu o kadar da kötü bir şey değil. Ulusal Standartlar ve Teknoloji Enstitüsü artık parolaların her 90 günde bir değiştirilmesini önermemektedir. NIST artık "Doğru-At-Pil-Zımba" gibi uzun parolaların kullanılmasını ve bunların yalnızca gerektiğinde değiştirilmesini önermektedir. Ancak korkunç şifreler kullanıyorsanız, "gerektiğinde" hemen şimdi anlamına gelir.

Bir şifreyi kötü yapan nedir? Korkunç şifrelerin bazı özelliklerine bakacağız ve ardından size şifreleri doğru şekilde nasıl yapacağınıza dair bazı ipuçları vereceğiz.

Sözlükten Uzak Durun

Birkaç ayda bir, bir haber kuruluşu veya başka biri, en kötü şifrelerin bir listesini yayınlar. 123456 ve 12345678 ve qwerty gibi yazması kolay birçok seçenek görüyoruz. Senin için kolay? Emin. Ancak bilgisayar korsanlarının kırılması da kolaydır. Diğer yaygın (ve zayıf) parolalar basit sözlük sözcüklerinden oluşur. En kötü şifreler listesinde beyzbol, maymun ve yıldız savaşlarını gördük. Bunları da kırmak kolaydır.

Bazı güvenli web siteleri, belirli sayıda yanlış parola denemesinden sonra kilitlenir, ancak çoğu bunu yapmaz. Kötü tahmin kilitlemesi olmayanlar için bilgisayar korsanları, popüler şifrelerin bir listesiyle e-posta adresleri listesini geçebilir ve şifreler girene kadar kombinasyonları denemeye devam etmek için otomatik bir süreç oluşturabilir.

Düzgün bir şekilde güvenli bir web sitesi, şifrenizi hiçbir yerde saklamaz. Bunun yerine, parolayı bir karma algoritma, bir tür tek yönlü şifreleme yoluyla çalıştırır. Aynı girdi her zaman aynı çıktıyı üretir, ancak elde edilen karmadan orijinal parolaya geri dönmenin bir yolu yoktur. Yazdığınız parola, depolanan değerle aynıysa, erişim elde edersiniz. Bilgisayar korsanları sitenin kullanıcı verilerini ele geçirseler bile şifre almazlar, sadece hash alırlar.

Ancak akıllı bilgisayar korsanları, sitenin hangi hash işlevini kullandığını biliyorlarsa, hashleme uygulandıklarında bile zayıf şifreleri kırabilirler. Karma işlevi aracılığıyla büyük bir ortak parola sözlüğü çalıştırarak başlarlar. Ardından, yakalanan verilerde elde edilen karmaları ararlar. Her eşleşme kırılmış bir şifredir. En iyi güvenliğe sahip siteler, tuzlama adı verilen ve bu tür bir tablo tabanlı çatlamayı imkansız kılan bir teknikle hash işlevini geliştirir, ancak neden risk alasınız? Sadece sözlükten uzak dur.

Farklı Düşün

Bir keresinde bir arkadaşım bana onun mükemmel şifresini söylemişti: 1qaz2wsx3edc4rfv. Parmağını klavyenin dört eğimli sütununda aşağı kaydırarak "yazabilir". O kadar mükemmeldi ki, her yerde kullandı. Ve bu büyük bir hataydı.

Bir şirkette veya web sitesinde, binlerce veya milyonlarca kullanıcı adının ve şifrenin açığa çıktığı bir ihlal haberi olmadan neredeyse bir hafta geçmiyor. Akıllı kurbanlar şifrelerini hemen değiştirirler. Sorunu görmezden gelenler, bilgisayar korsanları şifreyi sıfırladıktan sonra kendilerini kendi hesaplarına kilitlenmiş bulabilirler.

Bu bilgisayar korsanları, çok fazla insanın şifrelerini geri dönüştürdüğünü biliyor. Çalışan bir kullanıcı adı ve şifre çifti bulduklarında, aynı kimlik bilgilerini diğer sitelerde denerler. Club Penguin hesabınıza erişimi kaybetme konusunda çok endişeli olmayabilirsiniz, ancak aynı oturumu bankanızın web sitesinde kullandıysanız, büyük bir sorununuz var demektir.

Daha da kötüleşiyor. E-posta hesabınızın kontrolünü başka biri alırsa, önce şifreyi değiştirerek sizi kilitleyebilir. Ardından, o hesaba bir şifre sıfırlama bağlantısı göndererek diğer hesaplarınıza girebilirler. Henüz endişeli misin?

Kişiselleştirmeyin

Parolalarınızın temeli olarak kişisel bilgileri kullanmak son derece cezbedicidir, ancak bu kötü bir fikirdir. Köpeğinizin adının bilgisayar korsanlarının kaba kuvvet saldırıları için kullandığı sözlüklerde görünmesi ihtimali yüksektir. Bir aile üyesinin baş harfleri ve doğum tarihi gibi diğer olasılıklar muhtemelen kaba kuvvet saldırısına uğramaz, ancak birisi özellikle hesabınızı hacklemek isterse, bu kişisel veriler bir deneme yanılma tahmin saldırısını ateşleyebilir.

Kişisel bilgilerinizin gizli olduğunu bir an bile düşünmeyin. İnsanların herhangi biriyle ilgili ayrıntıları bulmak için kullanabileceği düzinelerce site vardır: adres, doğum tarihi, medeni durum ve daha fazlası. Sosyal medya gönderileriniz, özellikle hesaplarınızı gerektiği gibi korumadıysanız, başka bir kişisel bilgi kaynağı olabilir. Azimli bir bilgisayar korsanı (veya meraklı bir komşu), muhtemelen kendi verilerinize dayanarak oluşturduğunuz herhangi bir şifreyi tahmin edebilir.

Arka Kapıyı Kapatın

Parola yöneticisi kullanmıyorsanız, kesinlikle bir sitenin parolasını unutmayı deneyimlemişsinizdir. Bu çok yaygın, bu nedenle hemen hemen her giriş sayfasında bir "Şifrenizi mi unuttunuz?" bağlantı. Bazı siteler e-posta adresinize bir sıfırlama bağlantısı gönderirken, diğerleri güvenlik sorularınızı yanıtladıktan sonra şifrenizi sıfırlamanıza izin verir. Bu da hesabınızı hacklemek isteyen herkese bir arka kapı açar.

Çoğu site, güvenlik soruları için berbat seçenekler sunar. Annenizin kızlık soyadı nedir? Liseye nerede gittin? İlk işin neydi? Belirtildiği gibi, kişisel yaşamınız internet arama becerisine sahip herkese açık bir kitaptır. Mümkün olduğunda, önceden ayarlanmış soruları görmezden gelin. Her zaman hatırlayacağınız, ancak başka kimsenin tahmin edemeyeceği benzersiz bir yanıtla kendi sorunuzu oluşturun.

Site kendi sorularınızı belirlemenize izin vermediğinde bu daha zordur. Bu durumda, en iyi seçeneğiniz, tamamen yalan olan akılda kalıcı bir cevap kullanmaktır. Annemin kızlık soyadı Obama. Okula Komünist Şehitler Lisesi'nde gittim. İlk işim için aslan terbiyecisiydim. Hangi yalanı seçtiğinizi unutabileceğiniz için bir risk unsuru vardır. Bu tuhaf yanıtları parola yöneticinizde güvenli notlar olarak saklamanızı öneririm... ancak bir parola yöneticisi kullanıyorsanız parolayı sizin için hatırlar.

Önemsediğiniz Şimdi Ne Yapmalısınız?

Umarım sizi, kişisel bilgilerden şifreler oluşturmak gibi ortak şifreleri kullanmanın çürümüş bir fikir olduğuna ikna etmişimdir. Ve her yerde kullanırsanız, en güçlü, rastgele şifre bile bir sorumluluk haline gelir. Harekete geçmeye hazırsanız, işte bazı başlangıç ​​noktaları:

• Bir şifre yöneticisi kullanın.
• Daha iyi bir şifre yöneticisine geçin.
• Parola yöneticiniz için son derece güvenli bir ana parolayı hatırlayın.
• Eski, bozuk şifrelerinizi yükseltmek için rastgele bir şifre üreticisinden yararlanın.
• Excel'de kendi rastgele şifre oluşturucunuzu bile oluşturabilirsiniz.
• Mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirin.

Güvenli bir site güvenliği sağlamazsa, yine de o sitenin kimlik bilgilerini bir veri ihlali nedeniyle kaybedebilirsiniz, ancak tüm parolalarınızı uzun, güçlü ve benzersiz hale getirerek çevrimiçi hesaplarınızı korumak için elinizden gelen her şeyi yaptınız.

Ve selam! Artık güvenlik açısından ilerlemeye başladığınıza göre, sanal bir özel ağ veya VPN eklemeyi düşünün. Güvenli siteler için güçlü parolalar kullanmak, başkalarının hesaplarınıza giremeyeceği anlamına gelir; bir VPN eklemek, kimsenin bu güvenli sitelerle bağlantınızı kesme şansının olmadığı anlamına gelir.