در این مقاله نحوه ایجاد یک رمز عبور ایمن ، اصولی که باید هنگام ایجاد آنها رعایت شود ، نحوه ذخیره گذرواژها و به حداقل رساندن احتمال دسترسی کاربران مخرب به اطلاعات و حساب های شما مورد بحث قرار خواهد گرفت.
این مطالب ادامه مقاله "چگونه می توان رمز عبور خود را خراب کرد" و بیانگر این است که شما با مطالب ارائه شده در آنجا آشنا هستید یا همه راه های اصلی به خطر انداختن کلمه عبور را می دانید.
ایجاد رمزهای عبور
امروز ، هنگام ثبت نام یک حساب اینترنتی ، ایجاد رمز عبور ، معمولاً شاخصی از قدرت رمز عبور مشاهده می کنید. تقریباً در همه جا بر اساس ارزیابی از دو عامل زیر کار می کند: طول رمز عبور؛ حضور کاراکترهای ویژه ، حروف بزرگ و اعداد در رمز عبور.
علیرغم اینکه اینها پارامترهای مهمی از مقاومت در برابر رمز عبور در برابر هک شدن توسط brute force هستند ، اما پسوردی که برای سیستم قابل اعتماد به نظر می رسد همیشه چنین نیست. به عنوان مثال ، پسوردی مانند "Pa $ $ w0rd" (و در اینجا شخصیت ها و اعداد ویژه ای وجود دارد) خیلی سریع کرک می شوند - به دلیل این واقعیت که (همانطور که در مقاله قبلی توضیح داده شد) افراد به ندرت رمزهای عبور منحصر به فردی ایجاد می کنند. (کمتر از 50٪ رمزهای عبور منحصر به فرد هستند) و گزینه نشان داده شده احتمالاً در بانکهای اطلاعاتی به بیرون در دسترس مهاجمان است.
چگونه باشد بهترین گزینه استفاده از ژنراتورهای رمز عبور (موجود در اینترنت به عنوان ابزارهای آنلاین و همچنین در بیشتر مدیران رمز عبور برای رایانه ها) ، ایجاد رمزهای عبور تصادفی طولانی با استفاده از کاراکترهای خاص است. در اکثر موارد ، رمز عبور 10 یا بیشتر از این کاراکترها به سادگی مورد پسند کرکر نخواهد بود (یعنی نرم افزار وی برای انتخاب چنین گزینه هایی پیکربندی نمی شود) به دلیل عدم پرداخت هزینه وقت. اخیراً یک ژنراتور رمز عبور داخلی در مرورگر Google Chrome ظاهر شد.
در این روش ، نقطه ضعف اصلی این است که به خاطر سپردن چنین رمزهای عبور دشوار است. در صورت نیاز به نگه داشتن رمز عبور ، گزینه دیگری وجود دارد که بر اساس این واقعیت وجود دارد که یک رمز عبور 10 کاراکتری که حاوی حروف بزرگ و کاراکترهای ویژه باشد با جستجوی هزاران نفر یا بیشتر شکسته می شود (اعداد خاص به مجموعه کاراکترهای معتبر بستگی دارد) از یک رمزعبور 20 کاراکتری که حاوی فقط حروف کوچک لاتین است (حتی اگر کرک از آن اطلاع دارد).
بنابراین ، رمز عبوری متشکل از 3-5 کلمه انگلیسی تصادفی ساده به راحتی قابل یادآوری و شکستن تقریبا غیرممکن خواهد بود. و با نوشتن هر کلمه با حروف بزرگ ، تعداد گزینه ها را به درجه دوم می رسانیم. اگر 3-5 کلمه روسی باشد (دوباره تصادفی ، به جای نام و تاریخ) که در طرح انگلیسی نوشته شده است ، احتمال فرضی روشهای پیچیده استفاده از فرهنگ لغت ها برای انتخاب رمز عبور نیز برداشته می شود.
شاید به طور قطع روش صحیح در ایجاد رمزهای عبور وجود نداشته باشد: در روشهای مختلف مزایا و معایب (همراه با توانایی به خاطر سپردن آن ، قابلیت اطمینان و پارامترهای دیگر) وجود دارد ، با این حال ، اصول اساسی به شرح زیر است:
- رمز عبور باید از تعداد قابل توجهی از کاراکترها تشکیل شود. رایج ترین محدودیت امروز 8 کاراکتر است. و در صورت نیاز به رمز عبور ایمن کافی نیست.
- در صورت امکان ، کاراکترهای ویژه ، حروف بزرگ و کوچک ، شماره ها باید در رمز عبور وارد شوند.
- هرگز داده های شخصی را در گذرواژه وارد نکنید ، حتی با روش های به ظاهر "مشکل" ضبط کنید. هیچ تاریخ ، نام و نام خانوادگی وجود ندارد. به عنوان مثال ، شکستن گذرواژه به نمایندگی از هر تاریخی از تقویم مدرن جولیان از سال 0 تا امروز (از نوع 18 ژوئیه 2015 یا 18072015 و غیره) از ثانیه به ساعت زمان می برد (و حتی در این صورت ساعت فقط به دلیل تاخیر معلوم می شود. بین تلاش برای برخی موارد).
می توانید رمز عبور خود را در سایت چقدر قوی کنید (اگرچه وارد کردن گذرواژه در برخی سایتها ، به ویژه بدون https امن ترین عمل نیست) //rumkin.com/tools/password/passchk.php. اگر نمی خواهید رمزعبور واقعی خود را تأیید کنید ، یک علامت مشابه (از همان تعداد کاراکترها و با همان مجموعه کاراکترها) وارد کنید تا در مورد قدرت آن ایده بگیرید.
در فرآیند وارد کردن کاراکترها ، سرویس آنتروپی را محاسبه می کند (به طور مشروط ، تعداد گزینه های آنتروپی 10 بیت است ، تعداد گزینه ها 2 تا قدرت دهم است) برای یک رمز عبور داده شده و از قابلیت اطمینان مقادیر مختلف کمک می کند. رمزهای عبور با آنتروپی بیش از 60 حتی در هنگام انتخاب هدفمند ، شکستن آنها غیرممکن است.
برای حساب های مختلف از کلمات عبور مشابه استفاده نکنید
اگر یک رمزعبور عالی و پیچیده دارید ، اما در هر کجا که می توانید از آن استفاده کنید ، به طور خودکار غیرقابل اعتماد می شود. به محض اینکه هکرها به هرکدام از سایتهایی که از چنین رمز عبور استفاده می کنند شکسته می شوند و به آن دسترسی پیدا می کنید ، مطمئن باشید که بلافاصله مورد آزمایش قرار می گیرد (بطور خودکار ، با استفاده از نرم افزار ویژه) در سایر ایمیل های رایج ، بازی ، خدمات اجتماعی و حتی ممکن است بانک های آنلاین (راه هایی برای دیدن اینکه آیا رمز عبور شما قبلاً فاش کرده است ، در انتهای مقاله قبلی آورده شده است).
رمز عبور منحصر به فرد برای هر حساب کار دشواری است ، ناخوشایند است ، اما لازم است اگر این حساب ها حداقل برای شما اهمیت داشته باشد. اگرچه ، برای برخی از ثبت نام هایی که هیچ ارزشی برای شما ندارد (یعنی آماده هستید که آنها را گم کنید و نگران نباشید) و حاوی اطلاعات شخصی نیستید ، نمی توانید با کلمات عبور منحصر به فرد کرنش کنید.
احراز هویت دو عاملی
حتی رمزهای عبور قوی تضمین نمی کنند که هیچ کس نتواند وارد حساب شما شود. رمز عبور را می توان به یک روش یا دیگری سرقت کرد (برای مثال فیشینگ ، به عنوان رایج ترین گزینه) یا از شما گرفته شد.
تقریباً کلیه شرکتهای بزرگ آنلاین از جمله Google ، Yandex ، Mail.ru ، Facebook ، VKontakte ، Microsoft ، Dropbox ، LastPass ، Steam و سایر موارد از همین اواخر به این امکان رسیده اند که احراز هویت دو عاملی (یا دو مرحله ای) را در حساب ها انجام دهند. و اگر امنیت برای شما مهم است ، توصیه می کنم که آن را روشن کنید.
اجرای احراز هویت دو عاملی برای خدمات مختلف کمی متفاوت است ، اما اصل اساسی به شرح زیر است:
- وقتی از یک دستگاه ناشناخته وارد حساب خود می شوید ، پس از وارد کردن رمز عبور صحیح ، از شما خواسته می شود که یک چک اضافی را انجام دهید.
- این چک با استفاده از کد پیامکی ، یک برنامه ویژه در تلفن هوشمند ، استفاده از کدهای چاپی از پیش آماده شده ، یک پیام الکترونیکی ، یک کلید سخت افزاری انجام می شود (آخرین گزینه از طرف گوگل آمده است ، این شرکت از نظر احراز هویت دو عاملی یک رهبر است).
بنابراین ، حتی اگر یک مهاجم رمز عبور شما را دریابد ، نمی تواند بدون دسترسی به دستگاه ها ، تلفن ، ایمیل خود وارد حساب شما شود.
اگر کاملاً درک نکرده اید که چگونه تأیید هویت دو عاملی انجام می شود ، توصیه می کنم مقاله هایی را در اینترنت در مورد این موضوع بخوانید یا توصیف ها و دستورالعمل هایی را برای اقدام در سایت های خود ، محل اجرای آن مطالعه کنید (من فقط نمی توانم دستورالعمل های مفصلی را در این مقاله درج کنم).
ذخیره سازی رمز عبور
کلمات عبور منحصر به فرد پیشرفته برای هر سایت عالی هستند ، اما چگونه می توانم آنها را ذخیره کنم؟ بعید نیست که همه این رمزهای عبور را در خاطر داشته باشید. ذخیره رمزهای عبور ذخیره شده در یک مرورگر یک کار با ریسک است: آنها نه تنها در برابر دسترسی غیرمجاز آسیب پذیر می شوند بلکه در صورت خرابی سیستم و همزمانی غیرفعال می شوند.
بهترین راه حل برای مدیران رمز عبور در نظر گرفته می شود ، که به طور کلی برنامه هایی هستند که تمام داده های مخفی شما را در یک فروشگاه امن رمزگذاری شده (بصورت آفلاین و آنلاین) ذخیره می کنند ، و با استفاده از یک رمز عبور اصلی (دسترسی به آنها) می توانید دسترسی داشته باشید (همچنین می توانید احراز هویت دو عاملی را نیز فعال کنید). بیشتر این برنامه ها همچنین به ابزارهایی برای تولید و ارزیابی قدرت پسورد مجهز شده اند.
چند سال پیش ، من مقاله جداگانه ای درباره بهترین مدیران رمز عبور نوشتم (ارزش بازنویسی آن را دارد ، اما می توانید تصور کنید که این چیست و چه برنامه هایی از این مقاله محبوب است). برخی راه حلهای آفلاین ساده مانند KeePass یا 1Password را ترجیح می دهند که تمام رمزهای عبور را در دستگاه شما ذخیره می کند ، برخی دیگر ابزارهای کاربردی تر را ترجیح می دهند که قابلیت همگام سازی را نیز ارائه می دهند (LastPass ، Dashlane).
مدیران رمز عبور شناخته شده معمولاً به عنوان روشی بسیار ایمن و مطمئن برای ذخیره آنها در نظر گرفته می شوند. با این حال ، ارزشمند است که برخی از جزئیات را در نظر بگیرید:
- برای دسترسی به کلیه کلمات عبور خود ، فقط باید یک رمز عبور اصلی را بدانید.
- در صورت هک ذخیره سازی آنلاین (فقط یک ماه پیش ، محبوب ترین سرویس مدیریت رمز عبور LastPass در جهان هک شد) ، شما مجبور خواهید بود که کلمه عبور خود را تغییر دهید.
چگونه دیگر می توانم رمزهای مهم خود را ذخیره کنم؟ در اینجا چند گزینه وجود دارد:
- روی کاغذ در صندوق امانتی که شما و اعضای خانواده خود به آنها دسترسی خواهید داشت (برای رمزهای عبور که اغلب باید استفاده شود) مناسب نیست.
- یک پایگاه داده رمز عبور آفلاین (به عنوان مثال KeePass) که در یک دستگاه ذخیره طولانی مدت ذخیره شده و در صورت از دست دادن در جایی کپی می شود.
ترکیب مطلوب موارد فوق ، به نظر من ، رویکرد زیر است: مهمترین رمزهای عبور (ایمیل اصلی ، که با آن می توانید سایر حسابها ، بانک و غیره را بازیابی کنید) در سر و (یا) روی کاغذ در یک مکان امن ذخیره می شوید. موارد کم اهمیت و در عین حال ، اغلب مورد استفاده باید به برنامه های مدیر رمز عبور اختصاص یابد.
اطلاعات اضافی
امیدوارم ترکیبی از دو مقاله با موضوع رمزهای عبور به برخی از شما کمک کند تا به برخی از جنبه های امنیتی توجه کنید که در مورد آنها فکر نکرده اید. البته من تمام گزینه های ممکن را در نظر نگرفتم ، اما یک منطق ساده و برخی درک اصول به من کمک می کند تا در یک لحظه خاص تصمیم بگیرم که چه میزان ایمن است. بار دیگر ، برخی از موارد ذکر شده و چند نکته دیگر:
- برای سایتهای مختلف از رمزهای عبور مختلف استفاده کنید.
- رمزهای عبور باید پیچیده باشند و شما می توانید با افزایش طول رمز عبور بیشتر پیچیدگی را افزایش دهید.
- هنگام ایجاد گذرواژه از داده های شخصی (که مشخص می شود) استفاده نکنید ، به آن اشاره می کنید ، از سوالات امنیتی برای بازیابی استفاده می کنید.
- در صورت امکان از تأیید صحت دو مرحله ای استفاده کنید.
- بهترین روش برای ذخیره ایمن رمزهای عبور را پیدا کنید.
- نسبت به فیشینگ (بررسی آدرس های وب سایت ، رمزگذاری) و نرم افزارهای جاسوسی احتیاط کنید. از هر کجا از شما خواسته شده است که یک رمز ورود را وارد کنید ، بررسی کنید که آیا واقعاً آن را در سایت درست وارد کرده اید یا خیر. رایانه خود را از بدافزار نگه دارید.
- در صورت امکان ، از رمزهای عبور خود در رایانه های دیگران استفاده نکنید (در صورت لزوم ، این کار را در حالت "ناشناس" مرورگر و حتی تایپ بهتر از صفحه کلید روی صفحه نمایش) در شبکه های عمومی Wi-Fi عمومی بخصوص اگر رمزگذاری https در هنگام اتصال به سایت وجود ندارد ، انجام دهید. .
- شاید شما نباید مهمترین رمزهای عبور را در رایانه یا آنلاین ذخیره کنید که واقعاً با ارزش هستند.
چیزی شبیه این فکر می کنم توانستم درجه پارانویا را بالا ببرم. من می فهمم که بخش اعظم آنچه توصیف می شود ناراحت کننده به نظر می رسد ، افکاری مانند "خوب ، این امر من را دور می زند" ، اما تنها بهانه ای برای تنبلی هنگام پیروی از قوانین ایمنی ساده هنگام ذخیره اطلاعات محرمانه ، تنها عدم اهمیت آن و آمادگی شما برای این امر است. که به دارایی اشخاص ثالث تبدیل می شود.
