Über Passwortsicherheit
- 4107
- 258
- Prof. Dr. Darleen Kohlmann
In diesem Artikel wird darüber gesprochen, wie Sie ein sicheres Passwort erstellen, welche Prinzipien beim Erstellen von Kennwörtern speichern und die Wahrscheinlichkeit des Zugriffs auf Ihre Informationen und Konten durch Angreifer minimieren sollten.
Dieses Material ist eine Fortsetzung des Artikels „Wie Ihr Passwort hacken kann“ und impliziert, dass Sie mit dem dort präsentierten Material vertraut sind oder bereits alle Hauptpfade kennen, mit denen Kennwörter beeinträchtigt werden können.
Kennwörter erstellen
Bei der Registrierung eines Internetkontos und des Erstellens eines Kennworts sehen Sie heute in der Regel einen Indikator für den Kennwortverbesserungsanzeige -Indikator. Fast überall arbeitet es auf der Grundlage einer Bewertung der folgenden zwei Faktoren: Passwortlänge; Das Vorhandensein von Sonderzeichen, Großbuchstaben und Zahlen im Passwort.
Trotz der Tatsache, dass dies wirklich wichtige Parameter für die Stabilität des Passworts für eine Hacking -Methode der Durchsetzung sind, ist das Passwort, das für das System zuverlässig erscheint. Zum Beispiel wird ein Passwort wie "PA $ $ W0rd" (und es gibt hier spezielle Symbole und Zahlen) höchstwahrscheinlich sehr schnell gehackt - da die Menschen (wie im vorherigen Artikel beschrieben) selten einzigartig erstellen Passwörter (weniger als 50% der Passwörter sind eindeutig) und die angegebene Option mit hoher Wahrscheinlichkeit liegt bereits in den fließenden Basen, die den Angreifern zur Verfügung stehen.
Wie man ist? Die beste Option ist die Verwendung von Kennwortgeneratoren (es gibt Online -Dienstprogramme im Internet sowie in den meisten Kennwortmanagern für einen Computer), wobei lange zufällige Passwörter mithilfe von Sonderzeichen erstellt werden. In den meisten Fällen ist ein Passwort von 10 oder mehr solcher Symbole einfach nicht von Interesse für den Cracker (t.e. Die Software wird nicht für die Auswahl solcher Optionen konfiguriert), da sich die ausgegebene Zeit nicht auszahlt. Der kürzlich erstellte Kennwortgenerator wurde im Google Chrome Browser angezeigt.
Bei dieser Methode ist der Hauptnachteil, dass solche Passwörter schwer zu erinnern sind. Wenn das Passwort im Kopf gedrückt werden muss, gibt es eine andere Option, die auf der Tatsache basiert, dass ein Passwort von 10 Zeichen, das Großbuchstaben und spezielle Symbole enthält Symbole) Zeiten einfacher, es ist einfacher, es ist einfacher. Als ein Kennwort von 20 Zeichen, das nur Latein -Symbole für Kleinbuchstaben enthält (auch wenn der Cracker davon weiß).
Somit wird ein Passwort, das aus 3-5 einfachen zufälligen englischen Wörtern besteht. Und nachdem wir jedes Wort mit dem Titelbrief geschrieben haben, errichten wir die Anzahl der Optionen im zweiten Grad. Wenn es sich um 3-5 russische Wörter (wieder zufällig und nicht Namen und Daten) handelt, die im englischen Layout geschrieben wurden.
Vielleicht gibt es wahrscheinlich keinen korrekten Ansatz zum Erstellen von Kennwörtern: Auf verschiedene Weise gibt es Vor- und Nachteile (die sich auf die Fähigkeit, sich daran zu erinnern, Zuverlässigkeit und andere Parameter), aber die Grundprinzipien sehen sich wie folgt aus:
- Das Passwort sollte aus einer erheblichen Anzahl von Zeichen bestehen. Die heutige häufigste Einschränkung sind 8 Zeichen. Und das reicht nicht aus, wenn Sie ein sicheres Passwort benötigen.
- Wenn möglich, sollten Sie spezielle Symbole in das Passwort, Kapital und Großbuchstaben, Zahlen einbeziehen.
- Geben Sie niemals personenbezogene Daten in das Passwort ein, selbst wenn Sie von den scheinbar "gerissen" Wegen für Sie aufgezeichnet wurden. Keine Daten, Namen und Nachnamen. Zum Beispiel ist ein Hacking -Passwort ein beliebiges Datum des modernen julianischen Kalenders aus dem 0. Jahr und bis heute (Typ 18.07.2015 oder 18072015 und t.P.) von Sekunden bis Stunden dauern (und dann wird die Uhr nur aufgrund von Verzögerungen zwischen Versuchen für einige Fälle herausgestellt).
Sie können überprüfen, wie zuverlässig Ihr Passwort auf der Website ist (obwohl es nicht die sicherste Praxis ist, Kennwörter auf einigen Websites zu geben) http: // rumkin ist nicht die sicherste Praxis.Com/Tools/Passwort/Passchk.Php. Wenn Sie Ihr reales Passwort nicht überprüfen möchten, geben Sie eine ähnliche (aus derselben Anzahl von Zeichen und mit demselben Satz) ein, um eine Vorstellung von seiner Zuverlässigkeit zu erhalten.
Im Verlauf von Eingabemymbolen berechnet der Dienst die Entropie (bedingt die Anzahl der Optionen für die Entropie von 10 Bit beträgt die Anzahl der Optionen im zehnten Grad) für ein bestimmtes Passwort und gibt ein Zertifikat über die Zuverlässigkeit verschiedener Werte an. Passwörter mit einer Entropie von mehr als 60 sind auch während einer gezielten Auswahl fast unmöglich zu hacken.
Verwenden Sie nicht die gleichen Passwörter für verschiedene Konten
Wenn Sie ein großartiges schwieriges Passwort haben, es aber nach Möglichkeit verwenden, wird es automatisch völlig nicht zuverlässig. Sobald Hackers auf einer der Websites hackt, auf denen Sie ein solches Passwort verwenden und darauf zugreifen können Online -Banken (Möglichkeiten, um festzustellen, ob Ihr Passwort bereits am Ende des vorherigen Artikels geführt wird).
Ein eindeutiges Passwort für jedes Konto ist schwierig, es ist unpraktisch, aber es ist erforderlich, wenn diese Konten für Sie zumindest einiger Bedeutung sind. Obwohl Sie für einige Registrierungen, die keinen Wert für Sie haben (dh Sie sind bereit, sie zu verlieren und sich keine Sorgen zu machen) und keine persönlichen Informationen enthalten, können Sie nicht mit eindeutigen Passwörtern belasten.
Zwei-Faktor-Authentifizierung
Selbst zuverlässige Passwörter garantieren nicht, dass niemand Ihr Konto eingeben kann. Das Passwort kann auf die eine oder andere Weise gestohlen werden (zum Beispiel als häufigste Option) oder von Ihnen herausfinden.
Fast alle ernsthaften Online -Unternehmen, einschließlich Google, Yandex, Mail.Ru, in Kontakt, Microsoft, Dropbox, LastPass, Steam und andere haben die Möglichkeit hinzugefügt, zwei Authentifizierungen des Faktors (oder zwei Stufe) in die Konten einzubeziehen. Und wenn die Sicherheit für Sie wichtig ist, empfehle ich sie dringend, sie einzubeziehen.
Die Implementierung einer zweifaktorischen Authentifizierung unterscheidet sich für verschiedene Dienste geringfügig, aber das Grundprinzip sieht sich wie folgt aus:
- Am Eingang des Kontos von einem unbekannten Gerät werden nach dem Eingeben des richtigen Passwort.
- Die Prüfung erfolgt mit dem SMS-Code, einer speziellen Anwendung auf einem Smartphone, über vorbereitete gedruckte Codes, E-Mail und Hardwareschlüssel (die letzte Option wurde in Google angezeigt. Dieses Unternehmen ist im Allgemeinen ein Vorteil, der die Zwei-Faktor-Authentifizierung betrifft).
Auch wenn der Angreifer Ihr Passwort erkannt hat, kann er nicht in Ihr Konto gehen, ohne auf Ihre Geräte, Telefon -E -Mails zuzugreifen.
Wenn Sie nicht vollständig verstehen, wie zwei Faktorauthentifizierung funktioniert, empfehle ich, Artikel über das Internet zu lesen, die diesem Thema oder Beschreibungen und Anleitung für die Aktion auf den Websites selbst gewidmet sind, auf denen sie implementiert sind (ich kann keine detaillierten Anweisungen in diesen Artikel aufnehmen ).
Passwortspeicher
Komplexe eindeutige Passwörter für jede Website sind ausgezeichnet, aber wie man sie speichert? Es ist unwahrscheinlich, dass all diese Passwörter berücksichtigt werden können. Die Speicherung gespeicherter Passwörter in einem Browser ist ein riskantes Unterfangen: Sie werden nicht nur anfälliger für unbefugten Zugriff, sondern können auch im Falle eines Ausfalls des Systems verloren gehen und wenn die Synchronisation ausgeschaltet wird.
Kennwortmanager gelten im Allgemeinen als die beste Lösung, die Programme darstellen, die alle Ihre geheimen Daten in einem verschlüsselten sicheren Speicher (sowohl offline als auch online) speichern, auf die mit einer Master-Bewährung zugegriffen wird (Sie können zusätzlich die Zwei-Faktor-Authentifizierung einbeziehen). Die meisten dieser Programme sind auch mit Tools generiert und die Kennwortzuverlässigkeit bewertet.
Vor ein paar Jahren habe ich einen separaten Artikel über die besten Passwortmanager geschrieben (er sollte umgeschrieben werden, aber eine Vorstellung davon, was es ist und welche Programme aus dem Artikel beliebt sein können). Einige bevorzugen einfache Offline -Lösungen wie Keepass oder 1Password, das Speichern aller Passwörter auf Ihrem Gerät. Andere sind mehr funktionale Dienstprogramme, die auch die Funktionen der Synchronisation darstellen (LastPass, Dashlane).
Berühmte Passwortmanager gelten allgemein als sehr sicherer und zuverlässiger Weg, um sie zu speichern. Es lohnt sich jedoch, einige Details in Betracht zu ziehen:
- Um auf alle Ihre Passwörter zuzugreifen, müssen Sie nur eine Master -Bewährung kennen.
- Im Falle des Hackens des Online -Speichers (erst vor einem Monat, dem beliebtesten LastPass -Kennwortverwaltungsdienst der Welt) müssen Sie alle Ihre Passwörter ändern.
Wie sonst können Sie Ihre wichtigen Passwörter speichern? Hier sind ein paar Optionen:
- Auf Papier in einem sicheren Zugang, auf den Sie und Ihre Familie haben (nicht für Passwörter geeignet sind, die häufig verwendet werden müssen).
- Offline -Passwort -Datenbank (z. B. Keepass), auf einem dauerhaften Informationsakkumulator gespeichert und irgendwo im Falle eines Verlusts dupliziert.
Die optimale Kombination aller oben genannten ist der folgende Ansatz: die wichtigsten Passwörter (die Haupt-E-Mail, mit der Sie andere Konten, Bank usw. wiederherstellen können.P.) im Kopf gelagert und (oder) auf Papier an einem zuverlässigen Ort. Weniger wichtig und gleichzeitig sollten häufig verwendet werden - Kennwortmanagern.
Weitere Informationen
Ich hoffe, dass die Kombination von zwei Artikeln zum Thema Passwörter für einige von Ihnen dazu beigetragen hat, auf einige Aspekte der Sicherheit zu achten, über die Sie nicht nachgedacht haben. Natürlich habe ich nicht alle möglichen Optionen berücksichtigt, aber eine einfache Logik und ein gewisses Verständnis der Prinzipien werden dazu beitragen, unabhängig zu entscheiden, wie sicher Sie in einem bestimmten Moment tun, was Sie tun. Wieder einmal einige der genannten und einige zusätzliche Punkte:
- Verwenden Sie verschiedene Passwörter für verschiedene Websites.
- Passwörter sollten schwierig sein, Sie können die Schwierigkeit stark erhöhen, indem Sie die Länge des Passworts erhöhen.
- Verwenden Sie keine personenbezogenen Daten (die Sie herausfinden können) beim Erstellen des Kennworts selbst und steuern Sie Fragen zur Wiederherstellung.
- Verwenden Sie eine zweistufige Authentifizierung, wo sie möglich ist.
- Finden Sie die optimale Möglichkeit, Kennwörter sicher zu speichern.
- Fürchten Sie die Phishing (überprüfen Sie die Adressen der Websites, die Verfügbarkeit von Verschlüsselung) und Spionageprogramme. Überall dort, wo sie ein Passwort eingeben, überprüfen Sie, ob Sie es wirklich auf der richtigen Website eingeben. Stellen Sie sicher, dass der Computer keine schädliche Schädigung gibt.
- Wenn möglich, verwenden Sie Ihre Passwörter nicht auf den Computern anderer Personen (falls erforderlich, tun Sie dies im Browser-Modus „Incognito“ und erhalten HTTPS -Verschlüsselung bei der Verbindung mit der Site.
- Vielleicht sollten Sie nicht die wichtigsten und wirklich lebensbedingungen, Passwörter auf einem Computer oder online speichern.
Irgendwie so. Ich glaube, ich habe es geschafft, ein gewisses Maß an Paranoia zu erhöhen. Ich verstehe, dass ein Großteil der Beschriebenen unpraktisch erscheint. Gedanken können wie „Nun, es wird mich umgehen“ entstehen, aber die einzige Rechtfertigung für Faulheit, wenn sie den einfachen Sicherheitsregeln befolgen, wenn es vertrauliche Informationen speichert Denn die Tatsache, dass sie Eigentum Dritter wird.
- « Microsoft hat ein Dienstprogramm zum Blockieren von Windows 10 -Updates veröffentlicht
- Fragen und Antworten zu Windows 10 »