'12345' on todella huono: perimmäinen opas salasanasuojaukseen

Olemme neuvoneet uudestaan ​​ja uudestaan, että ainoa turvallinen tapa tallentaa ja käyttää salasanoja on luottaa salasananhallintaan, mutta jotkut teistä eivät kuuntele. PCMag-salasanatutkimuksessa vain 24 prosenttia ilmoitti käyttävänsä salasanahallintaa. Mitä muuta teet? Käytätkö helppoja salasanoja, kuten salasana tai 12345678? Muistatko yhden monimutkaisen salasanan ja käytät sitä kaikkialla? Kuuntele, salasanaturvallisuudesta huolehtiminen ei ole pieni asia, mutta ottaen huomioon valtavan suuruusriskit - kuten havainnollistetaan äskettäisessä Collection # 1 -rikkomuksessa, joka paljasti 773 miljoonaa hakkeroitua sähköpostiosoitetta - sinun on tehtävä kaikki voitava säilyttääksesi salasanasi turvallisia.

Vaikka käytätkin parhainta salasananhallintaa, se ei takaa tiliesi turvallisuutta - ei jos käytät salasanahallintaa muistamaan samat vanhat, väsyneet salasanat. Sinun täytyy päästä alas kaivoksissa ja vaihtaa huonot salasanat uusille, vahvemmille.

Edellä mainittu kysely paljasti, että 35 prosenttia PCMag-lukijoista ei koskaan vaihda salasanansa, ellei pakko tehdä niin rikkomuksella. Se ei yleensä ole niin paha asia. Kansallinen standardi- ja teknologiainstituutti ei suosittele enää salasanojen vaihtamista 90 päivän välein. NIST suosittelee nyt pitkien salasanojen, kuten "Oikea-hevonen-akku, nidonta", käyttämistä ja niiden muuttamista vain tarvittaessa. Mutta jos käytät kauheita salasanoja, "tarvittaessa" tarkoittaa nyt .

Mikä tekee huonosta salasanasta? Tarkastellaan joitain kauheiden salasanojen ominaisuuksia, ja sitten annamme sinulle viitteitä siitä, kuinka salasanat tehdään oikein.

Pysy poissa sanakirjasta

Muutaman kuukauden välein yksi uutistoimisto tai toinen julkaisee luettelon pahimmista salasanoista. Näemme paljon helposti kirjoitettavia vaihtoehtoja, kuten 123456 ja 12345678 ja qwerty. Helppoa sinulle? Varma. Mutta myös hakkereiden on helppo murtaa. Muut yleiset (ja huonot) salasanat koostuvat yksinkertaisista sanakirjasanoista. Olemme nähneet baseball-, apina- ja starwars-pahimpien salasanojen luettelossa. Myös näitä on helppo murtaa.

Jotkut suojatut verkkosivustot lukittuvat tietyn määrän väärien salasanayritysten jälkeen, mutta monet eivät. Niille, joilla ei ole huonojen arvausten lukitusta, hakkerit voivat ylittää sähköpostiosoitteiden luettelon suosittujen salasanojen luettelon kanssa ja perustaa automatisoidun prosessin, jolla yritetään jatkaa yhdistelmiä, kunnes he pääsevät sisään.

Oikein suojattu verkkosivusto ei tallenna salasanaasi missään. Sen sijaan se suorittaa salasanan hajautusalgoritmin, eräänlaisen yksisuuntaisen salauksen, kautta. Sama syöttö tuottaa aina saman tuloksen, mutta tuloksena olevasta hashista ei ole mahdollista palata alkuperäiseen salasanaan. Jos kirjoittamasi salasana tiivistää samaan arvoon, joka on tallennettu, saat käyttöoikeuden. Vaikka hakkerit kaappaavat sivuston käyttäjätiedot, he eivät saa salasanoja, vaan tiivistelmiä.

Älykkäät hakkerit voivat kuitenkin murtaa heikkoja salasanoja jopa hajauttaessaan, jos he tietävät, mitä hajautustoimintoa sivusto käyttää. He alkavat suorittamalla valtavan sanakirjan yleisiä salasanoja hashing-toiminnon kautta. Sitten he etsivät tuloksena olevat tiivisteet kaapattuista tiedoista. Jokainen ottelu on murtunut salasana. Sivustot, joissa on paras turvallisuus, parantavat hash-toimintoa suolaamisella kutsutulla tekniikalla, joka tekee tällaisen pöytäpohjaisen murtamisen mahdottomaksi, mutta miksi ottaa riskin? Pysy vain sanakirjan ulkopuolella.

Ajattele eri tavalla

Ystäväni kertoi kerran täydellisen salasanansa: 1qaz2wsx3edc4rfv. Hän voi "kirjoittaa" sen liu'uttamalla sormea ​​näppäimistön neljä viistoa saraketta alaspäin. Se oli niin täydellinen, hän käytti sitä kaikkialla. Ja se oli iso virhe.

Tuskin viikko kuluu ilman uutisia jonkin yrityksen tai verkkosivuston rikkomuksesta paljastaen tuhansia tai miljoonia käyttäjänimiä ja salasanoja. Älykkäät uhrit vaihtavat salasanansa heti. Ne, jotka sivuuttavat ongelman, voivat joutua lukittuihin omiin tileihinsä sen jälkeen, kun hakkerit ovat palauttaneet salasanan.

Ne hakkerit tietävät, että liian monet ihmiset kierrättävät salasanansa. Kun he ovat löytäneet toimivan käyttäjänimi- ja salasanaparin, he kokeilevat samoja käyttöoikeustietoja muilla sivustoilla. Et ehkä ole niin huolissasi pääsystä Club Penguin -tiliisi menettämiseen, mutta jos käytit samaa kirjautumistunnusta pankkisi verkkosivustolla, sinulla on suuria ongelmia.

Se pahenee. Jos joku muu saa hallintaasi sähköpostitilisi, hän voi ensin lukita sinut vaihtamalla salasanan. Sitten he voivat murtautua muihin tiliisi lähettämällä salasanan palautuslinkin sähköpostitse kyseiselle tilille. Huolestunut vielä?

Älä saa henkilökohtaista

Henkilökohtaisten tietojen käyttäminen salasanojen perustana on todella houkuttelevaa, mutta se on huono idea. Mahdollisuudet ovat hyvät. Koiranimesi nimi ilmestyy hakkereiden käyttämiin sanakirjoihin raa'an joukko-iskuihin. Muut mahdollisuudet, kuten perheenjäsenen nimikirjaimet ja syntymäpäivä, eivät todennäköisesti kuulu räikeään hyökkäykseen, mutta jos joku haluaa hakkeroida tilisi erityisesti, henkilötiedot voivat polttaa kokeilu- ja virhearviointia.

Älä ajattele hetkeksi, että henkilökohtaiset tietosi ovat yksityisiä. On olemassa kymmeniä sivustoja, joilla ihmiset voivat löytää tietoja kaikista: osoite, syntymäaika, siviilisääty ja muut. Sosiaalisen median viestit voivat olla toinen henkilökohtaisten tietojen lähde, varsinkin jos et ole suojannut tiliäsi asianmukaisesti. Päättäväinen hakkeri (tai huono naapuri) voi todennäköisesti arvata minkä tahansa salasanan, jonka olet luonut omien tietojesi perusteella.

Sulje takaovi

Jos et käytä salasananhallintaa, olet varmasti unohtanut sivuston salasanan. Se on aivan liian yleistä, minkä vuoksi käytännössä jokaisella sisäänkirjautumissivulla on "Unohditko salasanasi?" linkki. Jotkut sivustot lähettävät nollauslinkin sähköpostiosoitteeseesi, kun taas toiset sivustot sallivat sinun vaihtaa salasanasi vastauksena turvakysymyksiin. Ja se avaa takaoven kaikille, jotka haluavat hakata tilillesi.

Useimmat sivustot tarjoavat turhamaisia ​​vaihtoehtoja turvallisuuskysymyksiin. Mikä on äitisi tyttönimi? Missä kävit lukion? Mikä oli ensimmäinen työsi? Kuten todettiin, henkilökohtainen elämäsi on avoin kirja kaikille, joilla on Internet-hakutaitoja. Kun mahdollista, ohita esiasetetut kysymykset. Luo oma kysymys yksilöivällä vastauksella, jonka muistat aina, mutta jota kukaan muu ei voinut arvata.

On vaikeampaa, kun sivusto ei anna sinun määritellä omia kysymyksiäsi. Tässä tapauksessa sinun on parasta käyttää mieleenpainuvaa vastausta, joka on täydellinen valhe. Äitini tyttönimi on Obama. Kävin koulussa kommunistien marttyyrien korkealla. Ensimmäisenä työpaikkani olin leijona kesyttäjä. On olemassa riski, koska saatat unohtaa valitsemasi valheesi. Ehdotan, että tallennat nämä pariton vastaukset turvallisina huomautuksina salasanasi hallintaohjelmaan… mutta jos käytit salasanan hallintaa, se olisi muistanut salasanasi sinulle.

Mitä tehdä nyt, kun välität

Toivon olevan vakuuttunut siitä, että yleisten salasanojen käyttäminen on mätä idea, koska salasanojen rakentaminen henkilökohtaisista tiedoista. Ja jopa parhaimmasta vahvasta, satunnaissalasanasta tulee vastuu, jos käytät sitä kaikkialla. Jos olet valmis ryhtymään toimiin, tässä on joitain lähtökohtia:

• Käytä salasananhallintaa.
• Vaihda parempaan salasananhallintaan.
• Muista salasanojen hallitsijalle suunnattoman turvallinen pääsalasana.
• Hyödynnä satunnainen salasanageneraattori päivittääksesi vanhat, huonot salasanasi.
• Voit jopa luoda oman satunnaisen salasanan generaattorin Exceliin.
• Ota kaksifaktorinen todennus käyttöön aina kun mahdollista.

Jos turvallinen sivusto ei huolehdi turvallisuudesta, saatat silti menettää kyseisen sivuston käyttöoikeustiedot tietoturvallisuuteen, mutta tekemällä kaikista salasanasi pitkiksi, vahvoiksi ja ainutlaatuisiksi, olet tehnyt kaiken voitavan suojata online-tilejäsi.

Ja hei! Nyt kun olet käynnissä, turvallisuuden kannalta, harkitse virtuaalisen yksityisen verkon tai VPN: n lisäämistä. Vahvien salasanojen käyttäminen turvallisissa sivustoissa tarkoittaa, että muut eivät voi tunkeutua tilillesi; VPN: n lisääminen tarkoittaa, että kukaan ei voi tarttua yhteytesi kyseisiin suojattuihin sivustoihin.