Usalama wa nenosiri

Makala hii itajadili jinsi ya kuunda nenosiri salama, ni kanuni gani zinapaswa kufuatiwa wakati wa kuunda, jinsi ya kuhifadhi manenosiri na kupunguza nafasi ya watumiaji wanaopata habari na akaunti zako.

Nyenzo hii ni mwendelezo wa makala "Jinsi nenosiri lako linaweza kuvunjwa" na linaonyesha kuwa unajua habari zinazoelekezwa hapo, na bila ya hayo, unajua njia zote za msingi ambayo nywila zinaweza kuathiriwa.

Unda nywila

Leo, wakati wa kusajili akaunti yoyote ya mtandao, kuunda nenosiri, kwa kawaida huona kiashiria cha nguvu ya nenosiri. Karibu kila mahali inafanya kazi kulingana na tathmini ya mambo mawili yafuatayo: urefu wa nenosiri; uwepo wa wahusika maalum, barua kubwa na namba katika nenosiri.

Licha ya ukweli kwamba hizi ni vigezo muhimu sana vya kupinga nenosiri kwa kupoteza nguvu, nenosiri ambalo linaonekana kuwa mfumo wa kuaminika sio daima. Kwa mfano, nenosiri kama "Pa $$ w0rd" (na hapa kuna wahusika maalum na namba) zinaweza kupasuka kwa haraka sana - kutokana na ukweli kwamba (kama ilivyoelezwa katika makala iliyotangulia) watu hawajui nywila za kipekee (chini ya asilimia 50% ya nywila ni ya pekee) na chaguo hili ni uwezekano wa kuwepo tayari kwenye databana zilizovuja ambazo wahusika wana.

Jinsi ya kuwa? Chaguo bora ni kutumia jenereta za password (inapatikana kwenye mtandao kwa njia ya huduma za mtandaoni, pamoja na mameneja wengi wa nenosiri la kompyuta), na kujenga nywila za muda mrefu za random kutumia wahusika maalum. Mara nyingi, nenosiri la wahusika 10 au zaidi hawatakuwa na maslahi kwa hacker (yaani, programu yake haitasanidiwa kuchagua chaguo hizo) kutokana na kwamba gharama za muda hazilipa. Hivi karibuni, jenereta ya siri ya kujengwa imeonekana kwenye kivinjari cha Google Chrome.

Kwa njia hii, drawback kuu ni kwamba manenosiri haya ni vigumu kukumbuka. Ikiwa kuna haja ya kuweka nenosiri katika kichwa chako, kuna chaguo jingine, kwa kuzingatia ukweli kwamba neno la siri la wahusika 10, linalo na barua kubwa na wahusika maalum, linapasuka na nguvu ya kijinga ya maelfu au zaidi (nambari maalum hutegemea kuweka ya tabia iliyoruhusiwa), kuliko nenosiri la wahusika 20, wenye vyeo vya chini vya Kilatini (hata kama mshambulizi anajua kuhusu hili).

Kwa hiyo, nenosiri lililo na maneno 3-5 rahisi ya Kiingereza yanaweza kukumbuka na vigumu kupotea. Na baada ya kuandika kila neno na barua kuu, tunaongeza idadi ya chaguzi kwa shahada ya pili. Ikiwa haya ni 3-5 maneno ya Kirusi (tena, kwa nasibu, lakini sio majina na tarehe) yaliyoandikwa katika mpangilio wa Kiingereza, uwezekano wa kufikiri wa mbinu za kisasa za kutumia kamusi kwa kuchagua nenosiri pia huondolewa.

Kuna hakika hakuna njia sahihi ya kujenga nywila: kuna faida na hasara kwa njia mbalimbali (kuhusiana na uwezo wa kukumbuka, kuaminika na vigezo vingine), lakini kanuni za msingi ni kama ifuatavyo:

• Nenosiri lazima lijumuishe idadi kubwa ya wahusika. Kizuizi cha kawaida leo ni wahusika 8. Na hii haitoshi kama unahitaji nenosiri salama.
• Ikiwezekana, jumuisha wahusika maalum, barua za juu na za chini, nambari katika nenosiri.
• Usijumuishe data ya kibinafsi katika nenosiri lako, hata ikiwa imeandikwa katika njia zinazoonekana kuwa wajanja. Hakuna tarehe, majina ya kwanza na majina ya jina. Kwa mfano, kuvunja nenosiri ambalo linawakilisha tarehe yoyote ya kalenda ya kisasa ya Julian kutoka mwaka wa 0 hadi sasa (kama 07/18/2015 au 18072015, nk) itachukua kutoka sekunde hadi saa (na wakati utapatikana tu kwa sababu ya kuchelewesha kati ya majaribio ya matukio fulani).

Unaweza kuangalia jinsi nenosiri lako lililo na nguvu kwenye tovuti (ingawa kuingia nywila kwenye tovuti fulani, hasa bila https, sio salama kabisa) //rumkin.com/tools/password/passchk.php. Ikiwa hutaki kuangalia nenosiri lako halisi, ingiza moja sawa (kutoka kwa idadi sawa ya wahusika na kuweka sawa ya wahusika) kupata wazo la kuaminika kwake.

Wakati wa kuingia kwa wahusika, huduma huhesabu entropy (kwa hali ya kawaida, idadi ya chaguo, kwa entropy ni 10 bits, idadi ya chaguo ni 2 kwa nguvu ya kumi) kwa password fulani na hutoa habari juu ya kuaminika kwa maadili mbalimbali. Nywila na entropy ya zaidi ya 60 haziwezekani kupotea hata wakati wa uteuzi uliotengwa.

Usitumie nywila sawa za akaunti tofauti.

Ikiwa una nenosiri kubwa, lakini unatumia popote iwezekanavyo, inakuwa moja kwa moja kabisa. Mara tu watumiaji hupuka kwenye maeneo yoyote ambapo unatumia nenosiri na ufikiaji, unaweza kuwa na uhakika kwamba utajaribiwa mara moja (moja kwa moja, kwa kutumia programu maalum) kwenye barua pepe nyingine zote maarufu, michezo ya kubahatisha, huduma za kijamii, na labda hata mabenki mtandaoni (Njia ya kuona kama nenosiri lako tayari limeorodheshwa limeorodheshwa mwishoni mwa makala iliyotangulia).

Neno la pekee kwa kila akaunti ni vigumu, ni vigumu, lakini ni muhimu ikiwa akaunti hizi zina umuhimu kwako. Ingawa, kwa usajili fulani ambao hauna thamani kwako (yaani, uko tayari kupoteza nao na hautajali) na hauna habari za kibinafsi, huenda usijisumbue na nywila za kipekee.

Uthibitishaji wa vipengele viwili

Hata nywila zenye nguvu hazihakikishi kuwa hakuna mtu anayeweza kuingia akaunti yako. Unaweza kuiba nenosiri kwa namna moja au nyingine (ubadanganyifu, kwa mfano, kama chaguo la kawaida) au kupata kutoka kwako.

Karibu makampuni yote makubwa ya mtandaoni ikiwa ni pamoja na Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam na wengine hivi karibuni wameongeza uwezo wa kuwezesha uthibitishaji wa hatua mbili au (hatua mbili) katika akaunti zao. Na, kama usalama ni muhimu kwa wewe, mimi sana kupendekeza kuingizwa yake.

Utekelezaji wa uthibitishaji wa sababu mbili ni tofauti kwa huduma tofauti, lakini kanuni ya msingi ni kama ifuatavyo:

1. Unapoingia akaunti kutoka kwa kifaa haijulikani, baada ya kuingia nenosiri sahihi, unatakiwa kupitiwa upimaji wa ziada.
2. Uhakikisho unafanyika kwa msaada wa msimbo wa SMS, maombi maalum kwenye smartphone, kwa njia ya nambari zilizopangwa tayari, ujumbe wa barua pepe, ufunguo wa vifaa (chaguo la mwisho limeonekana kwenye Google, kampuni hii kwa ujumla ni bora zaidi kwa uthibitishaji wa vipengele viwili).

Kwa hiyo, hata kama mshambulizi amejifunza nenosiri lako, hawezi kuingia kwenye akaunti yako bila upatikanaji wa vifaa vyako, simu, au barua pepe.

Ikiwa hujui kikamilifu jinsi kazi za uthibitisho mbili zinavyofanya kazi, ninapendekeza makala ya kusoma kwenye mtandao unaotolewa kwa mada hii au maelezo na miongozo ya hatua kwenye maeneo ambayo inatekelezwa (siwezi kuingiza maelekezo ya kina katika makala hii).

Hifadhi ya nenosiri

Nenosiri la kipekee la kila tovuti - kubwa, lakini jinsi ya kuzihifadhi? Haiwezekani kwamba nywila zote hizi zinaweza kuzingatiwa. Kushika nywila zilizohifadhiwa katika kivinjari ni kazi ya hatari: wao si tu kuwa hatari zaidi kwa upatikanaji halali, lakini inaweza tu kupotea katika tukio la ajali ya mfumo na wakati maingiliano imezimwa.

Suluhisho bora huchukuliwa kuwa mameneja wa nenosiri, kwa ujumla inayowakilisha mipango inayohifadhi data yako yote ya siri katika hifadhi iliyohifadhiwa salama (wote nje ya mtandao na mtandaoni), ambayo inapatikana kwa kutumia nenosiri moja (unaweza pia kuwezesha uthibitishaji wa sababu mbili). Pia, wengi wa programu hizi zina vifaa vya kuzalisha na kutathmini uaminifu wa nywila.

Miaka michache iliyopita, niliandika makala tofauti kuhusu Wasimamizi wa Neno la Nywila Bora (ni muhimu kuandika tena, lakini unaweza kupata wazo la nini na ni mipango gani inayojulikana kutoka kwenye makala). Wengine hupendelea ufumbuzi rahisi wa nje ya mtandao, kama KeePass au 1Password, ambayo huhifadhi nywila zote kwenye kifaa chako, wengine - huduma nyingi zaidi ambazo zinawakilisha uwezo wa kufanana (LastPass, Dashlane).

Wamiliki wa nenosiri waliojulikana kwa ujumla wanaonekana kama njia salama na ya kuaminika ya kuhifadhi. Hata hivyo, ni muhimu kuzingatia maelezo fulani:

• Ili kufikia nywila zako zote unahitaji kujua nenosiri moja tu.
• Katika kesi ya hicking online kuhifadhi (halisi mwezi mmoja uliopita, huduma maarufu zaidi ya usimamizi wa nenosiri, LastPass, ilikuwa hacked), utakuwa na mabadiliko ya nywila yako yote.

Je, ni mwingine gani unaweza kuokoa nywila zako muhimu? Hapa kuna chaguzi kadhaa:

• Katika karatasi katika salama, upatikanaji ambao wewe na familia yako utawa na (siofaa kwa nywila ambazo mara nyingi unahitaji kutumia).
• Hifadhi ya nywila ya nje ya mtandao (kwa mfano, KeePass) imehifadhiwa kwenye kifaa cha kudumisha data cha kudumu na kilichopigwa mahali pengine ikiwa imepoteza.

Kwa maoni yangu, mchanganyiko bora wa kila kitu kilichoelezwa hapo juu ni mbinu ifuatayo: nywila muhimu zaidi (E-mail kuu, ambayo unaweza kurejesha akaunti nyingine, benki, nk) zinahifadhiwa kwenye kichwa na (au) kwenye karatasi mahali salama. Chini muhimu na, wakati huo huo, unatumiwa mara kwa mara kwa mameneja wa nenosiri.

Maelezo ya ziada

Natumaini mchanganyiko wa makala mbili juu ya nywila kwa baadhi yenu umesaidia kutekeleza mawazo kwenye baadhi ya vipengele vya usalama ambazo hamfikiri. Bila shaka, sikuzingatia njia zote zinazowezekana, lakini mantiki rahisi na ufahamu fulani wa kanuni zitasaidia mwenyewe kuamua jinsi unavyofanya salama kwa wakati fulani. Mara nyingine tena, baadhi yaliyotaja na pointi kadhaa za ziada:

• Tumia nywila tofauti kwa maeneo tofauti.
• Nywila lazima iwe ngumu, ngumu zaidi ni kuongeza utata kwa kuongeza urefu wa nenosiri.
• Usitumie data binafsi (ambayo unaweza kupata) wakati wa kujenga nenosiri yenyewe, mawazo yake, maswali ya mtihani wa kupona.
• Tumia uthibitishaji wa hatua mbili iwezekanavyo.
• Pata njia bora ya kuweka nywila zako salama.
• Jihadharini na udanganyifu (angalia anwani za maeneo, uwepo wa encryption) na spyware. Popote walipoulizwa kuingia nenosiri, angalia ikiwa unaingia kwenye tovuti sahihi. Hakikisha kuwa hakuna programu zisizo za kompyuta kwenye kompyuta.
• Ikiwezekana, usitumie nywila zako kwenye kompyuta za mtu mwingine (ikiwa ni lazima, fanya katika mfumo wa incognito wa kivinjari, au hata bora, tumia kibodi cha skrini), kwenye mitandao ya wazi ya Wi-Fi, hasa kama huna https encryption wakati unapounganisha kwenye tovuti .
• Labda haipaswi kushika nywila muhimu zaidi, muhimu, kwenye kompyuta au mtandaoni.

Kitu kama hicho. Nadhani niliweza kuongeza kiwango cha paranoia. Ninaelewa kwamba mengi ya hapo juu yanaonekana kuwa yasiyo ya kushangaza, mawazo kama "vizuri, yataipiga" yanaweza kutokea, lakini msamaha pekee wa kuwa wavivu wakati wa kufuata kanuni rahisi za usalama za kuhifadhi habari za siri zinaweza kuwa ni ukosefu wa umuhimu na utayari wako kwa kwamba itakuwa mali ya vyama vya tatu.