ამ სტატიაში განვიხილავთ, თუ როგორ უნდა შექმნათ უსაფრთხო პაროლი, რა პრინციპები უნდა დაიცვან მათი შექმნისას, როგორ შეინახოთ პაროლები და მინიმუმამდე დაიყვანოთ მავნე მომხმარებლების ალბათობა, რომლებსაც მიიღებენ თქვენს ინფორმაციასა და ანგარიშებზე წვდომას.
ეს მასალა სტატიის გაგრძელებაა: "როგორ შეიძლება თქვენი პაროლის გაუქმება" და გულისხმობს, რომ თქვენ კარგად იცნობთ აქ წარმოდგენილ მასალას ან უკვე იცით ყველა ძირითადი გზა, რომლის საშუალებითაც შესაძლებელია პაროლების კომპრომეტირება.
პაროლების შექმნა
დღეს, ინტერნეტ ანგარიშის დარეგისტრირებისას, პაროლის შექმნისას, ჩვეულებრივ, თქვენ ხედავთ პაროლის სიძლიერეს. თითქმის ყველგან ის მუშაობს შემდეგი ორი ფაქტორის შეფასების საფუძველზე: პაროლის სიგრძე; პაროლში სპეციალური სიმბოლოების, დიდი ასოების და ციფრების არსებობა.
იმისდა მიუხედავად, რომ ეს ნამდვილად მნიშვნელოვანი პარამეტრია პაროლისადმი წინააღმდეგობის გაწევისაგან უხეში ძალის გამოყენებით, პაროლი, რომელიც, როგორც ჩანს, საიმედოა სისტემისთვის, ყოველთვის არ არის ასეთი. მაგალითად, პაროლი, როგორიცაა "Pa $ $ w0rd" (და აქ არის სპეციალური სიმბოლოები და რიცხვები) ძალიან სწრაფად იბზარება - იმის გამო, რომ (როგორც წინა სტატიაშია აღწერილი) ადამიანები იშვიათად ქმნიან უნიკალურ პაროლებს. (პაროლების 50% -ზე ნაკლები უნიკალურია) და მითითებული ვარიანტი სავარაუდოდ უკვე განთავსებულია თავდამსხმელთა გაჟონვის მონაცემთა ბაზებში.
როგორ უნდა იყოს საუკეთესო ვარიანტია პაროლის გენერატორების გამოყენება (ინტერნეტში ხელმისაწვდომია ონლაინ კომუნალური საშუალებების სახით, ასევე კომპიუტერების პაროლების უმეტეს მენეჯმენტში), შექმნა გრძელი შემთხვევითი პაროლები სპეციალური სიმბოლოების გამოყენებით. უმეტეს შემთხვევაში, ამ პერსონაჟების 10 ან მეტი პაროლი უბრალოდ არ დააინტერესებს კრეკერს (ე.ი. მისი პროგრამული უზრუნველყოფა არ იქნება კონფიგურირებული, რომ შეარჩიოს ასეთი ვარიანტები) იმის გამო, რომ დახარჯული დრო არ გადაიხდის. ცოტა ხნის წინ, Google Chrome ბრაუზერში გამოჩნდა ჩამონტაჟებული პაროლის გენერატორი.
ამ მეთოდში მთავარი მინუსი ისაა, რომ ასეთი პაროლები ძნელია გახსოვდეთ. თუ საჭიროა პაროლის დამახსოვრება, არსებობს კიდევ ერთი ვარიანტი, გამომდინარე იქიდან, რომ 10-სიმბოლოს პაროლი, რომელიც შეიცავს ასოებს და სპეციალურ სიმბოლოებს, იბზარება ათასობით ან მეტი ძებნის გზით (კონკრეტული რიცხვები დამოკიდებულია სწორი სიმბოლოების სიმრავლეზე), დრო უფრო ადვილია, ვიდრე 20 სიმბოლოს პაროლი, რომელიც შეიცავს მხოლოდ ლათინური ასოების მცირე ასოებს (მაშინაც კი, თუ კრეკერმა იცის ამის შესახებ).
ამრიგად, 3-5 მარტივი შემთხვევითი ინგლისური სიტყვისაგან შექმნილი პაროლი ადვილი დასამახსოვრებელი იქნება და თითქმის შეუძლებელი იქნება მისი დაშლა. და თითოეული სიტყვის დამწერლობით რომ დავწეროთ, ჩვენ ვარიანტების რაოდენობას მეორე ხარისხამდე ვაყენებთ. თუ ეს იქნება ინგლისურ განლაგებაში დაწერილი 3-5 რუსული სიტყვა (კვლავ შემთხვევითი, ვიდრე სახელები და თარიღები), ასევე ამოიღება პაროლების შერჩევისთვის ლექსიკონების გამოყენების დახვეწილი მეთოდების ჰიპოთეტური შესაძლებლობა.
შესაძლოა, პაროლების შექმნისას ნამდვილად არ იყოს სწორი მიდგომა: არსებობს სხვადასხვა მეთოდების დადებითი მხარეები და უარყოფითი მხარეები (ეს არის მისი დამახსოვრების შესაძლებლობასთან, საიმედოობასთან და სხვა პარამეტრებთან), მაგრამ ძირითადი პრინციპები ასეთია:
- პაროლი უნდა შეიცავდეს სიმბოლოების მნიშვნელოვან რაოდენობას. დღეს ყველაზე გავრცელებული შეზღუდვაა 8 სიმბოლო. და ეს საკმარისი არ არის, თუ თქვენ გჭირდებათ პაროლი.
- თუ ეს შესაძლებელია, პაროლში უნდა შეიტანოთ სპეციალური სიმბოლოები, ზედა და ქვედა ასოები, ნომრები.
- არასოდეს შეიყვანოთ პაროლიში პირადი მონაცემები, თუნდაც ჩაწერილი ერთი შეხედვით "რთული" მეთოდებით. თარიღი, სახელები და გვარი არ არის. მაგალითად, პაროლის დამსხვრევა, რომელიც წარმოადგენს იულიუსის თანამედროვე კალენდრის ნებისმიერ თარიღს, 0 – ე წლიდან დღემდე, (ტიპის 2015 წლის 18 ივლისს ან 18072015 და ა.შ.) წამში წლობით საათებში დასჭირდება (და მაშინაც კი, საათი გამოჩნდება მხოლოდ შეფერხებების გამო ზოგიერთი შემთხვევის მცდელობებს შორის).
თქვენ შეგიძლიათ შეამოწმოთ რამდენად ძლიერია თქვენი პაროლი საიტზე (თუმცა პაროლების შეტანა ზოგიერთ საიტზე, განსაკუთრებით https– ის გარეშე, ეს არ არის ყველაზე უსაფრთხო პრაქტიკა) //rumkin.com/tools/password/passchk.php. თუ არ გსურთ თქვენი ნამდვილი პაროლის გადამოწმება, შეიყვანეთ ანალოგიური (იგივე სიმბოლოებიდან და სიმბოლოების ერთიდაიგივე ნაკრებიდან), რომ გაეცნოთ მის სიძლიერეს.
სიმბოლოების შეყვანის პროცესში, სამსახური ითვლის ენტროპიას (პირობითად, ენტროპიის ვარიანტების რაოდენობა 10 ბიტია, ოფციონის რაოდენობა 2-დან მეათე სიმძლავრეზე) მოცემულია პაროლით და უზრუნველყოფს ინფორმაციას სხვადასხვა მნიშვნელობების საიმედოობაზე. 60-ზე მეტი ენტროპიის პაროლები თითქმის შეუძლებელია მიზანმიმართული შერჩევის დროს.
არ გამოიყენოთ იგივე პაროლები სხვადასხვა ანგარიშისთვის
თუ თქვენ გაქვთ შესანიშნავი, რთული პაროლი, მაგრამ თქვენ იყენებთ იქ, სადაც შეგიძლიათ, ეს ავტომატურად ხდება სრულიად არასაიმედო. როგორც კი ჰაკერები შეხვდებით რომელიმე საიტს, სადაც იყენებთ ასეთ პაროლს და შეძლებთ მასზე წვდომას, დარწმუნებული უნდა იყოს, რომ ის დაუყოვნებლივ ტესტირდება (ავტომატურად, სპეციალური პროგრამის გამოყენებით) ყველა სხვა პოპულარულ ელ.ფოსტაზე, თამაშზე, სოციალურ სერვისზე და შესაძლოა, ონლაინ ბანკები (გზები თუ თქვენი პაროლი უკვე გაჟონა არის მოცემული წინა სტატიის ბოლოს).
თითოეული ანგარიშის უნიკალური პაროლი რთულია, ის მოუხერხებელია, მაგრამ ეს სრულიად აუცილებელია, თუ ეს ანგარიშები თქვენთვის გარკვეულ მნიშვნელობას მაინც წარმოადგენს. მიუხედავად იმისა, რომ ზოგიერთი რეგისტრაციისთვის, რომლებსაც არანაირი მნიშვნელობა არ აქვს თქვენთვის (ესე იგი, თქვენ მზად ხართ დაკარგოთ ისინი და არ ინერვიულოთ) და არ შეიცავს პირად ინფორმაციას, თქვენ ვერ შეაჩერებთ უნიკალურ პაროლებს.
ორი ფაქტორიანი ავთენტიფიკაცია
ძლიერი პაროლებიც კი არ იძლევა იმის გარანტიას, რომ ვერავინ შეძლებს თქვენს ანგარიშში შესვლას. პაროლი შეიძლება მოიპაროს ამა თუ იმ გზით (ფიშინგი, მაგალითად, როგორც ყველაზე გავრცელებული ვარიანტი) ან მიიღოთ თქვენგან.
თითქმის ყველა მთავარმა ონლაინ კომპანიამ, მათ შორის Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam და სხვები, დაამატეს შესაძლებლობა, რომ შედარებით მცირე ხნის წინ, ანგარიშებში ორფაქტორული (ან ორეტაპიანი) ავტორიზაცია გახადონ. თუ უსაფრთხოება თქვენთვის მნიშვნელოვანია, გირჩევთ ჩართოთ იგი.
ორფუნქციური ავტორიზაციის განხორციელება განსხვავებულად მუშაობს სხვადასხვა მომსახურებისთვის, მაგრამ ძირითადი პრინციპი ასეთია:
- უცნობი მოწყობილობიდან თქვენს ანგარიშში შესვლისას, სწორი პაროლის შეყვანის შემდეგ, თქვენ მოგთხოვთ დამატებით შემოწმებას.
- შემოწმება ხდება SMS კოდის გამოყენებით, სმარტფონზე სპეციალური აპლიკაციის გამოყენებით, წინასწარ მომზადებული დაბეჭდილი კოდების, ელექტრონული ფოსტის გაგზავნის, აპარატის კლავიშის გამოყენებით (ბოლო ვარიანტი Google- დან მოვიდა, ეს კომპანია, ზოგადად, ლიდერია, ორ ფაქტორიანი ავთენტიფიკაციის თვალსაზრისით).
ამრიგად, მაშინაც კი, თუ თავდამსხმელმა გაარკვია თქვენი პაროლი, ის ვერ შეძლებს თქვენს ანგარიშში შესვლას თქვენი მოწყობილობების, ტელეფონის, ელ.ფოსტის საშუალებით.
თუ თქვენ ბოლომდე არ გესმით, როგორ მოქმედებს ორი ფაქტორიანი ავტორიზაცია, გირჩევთ ინტერნეტში სტატიების წაკითხვას ამ თემის შესახებ, ან აღწერეთ აღწერილობები და მითითებები მოქმედების შესახებ თავად საიტებზე, სადაც იგი ხორციელდება (მე მხოლოდ ამ სტატიაში დეტალურ მითითებებს ვერ ჩავწვდები).
პაროლის შენახვა
თითოეული საიტის დახვეწილი უნიკალური პაროლები შესანიშნავია, მაგრამ როგორ ვნახო ისინი? ნაკლებად სავარაუდოა, რომ ყველა ამ პაროლის გათვალისწინება შეიძლება. შენახული პაროლების ბრაუზერში შენახვა სარისკო ვალდებულებაა: ისინი არა მხოლოდ გახდებიან დაუცველი დაშვებისგან დაუცველი, არამედ უბრალოდ შეიძლება დაიკარგონ სისტემის დაზიანების შემთხვევაში და სინქრონიზაციის გამორთვის შემთხვევაში.
საუკეთესო გამოსავალი ითვლება პაროლის მენეჯერებად, რომლებიც ზოგადად ტერმინებია პროგრამები, რომლებიც ინახავს ყველა თქვენს საიდუმლო მონაცემს დაშიფრულ უსაფრთხო შენახვაში (როგორც ხაზგარეშე, ისე ინტერნეტით), რომელსაც წვდომა აქვს ერთი სამაგისტრო პაროლის გამოყენებით (თქვენ ასევე შეგიძლიათ ჩართოთ ორი ფაქტორიანი ავტორიზაცია). ამ პროგრამების უმეტესი ნაწილი ასევე აღჭურვილია პაროლების სიძლიერის გამომუშავებისა და შეფასების ინსტრუმენტებით.
რამდენიმე წლის წინ დავწერე ცალკე სტატია საუკეთესო პაროლის მენეჯერების შესახებ (ღირს გადაწერა მას, მაგრამ შეგიძლიათ გაითვალისწინოთ ეს რა არის და რომელი პროგრამებია პოპულარული სტატიიდან). ზოგი ურჩევნია მარტივ ხაზგარეშე გადაწყვეტილებებს, როგორიცაა KeePass ან 1Password, რომელიც თქვენს პაროლზე ინახავს ყველა პაროლს, ზოგი ურჩევნია უფრო ფუნქციონალური კომუნალური საშუალებებით, რომლებიც ასევე უზრუნველყოფენ სინქრონიზაციის შესაძლებლობებს (LastPass, Dashlane).
ცნობილი პაროლის მენეჯერები ზოგადად განიხილება, როგორც მათი ძალიან უსაფრთხო და საიმედო გზა მათი შენახვისთვის. ამასთან, ღირს რამდენიმე დეტალის გათვალისწინება:
- თქვენი ყველა პაროლის შესასვლელად საჭიროა იცოდეთ მხოლოდ ერთი სამაგისტრო პაროლი.
- ონლაინ შენახვის ჰაკერების შემთხვევაში (სულ რაღაც ერთი თვის წინ, მსოფლიოში ყველაზე პოპულარული LastPass პაროლის მართვის სერვისი გატაცებული იყო), თქვენ მოგიწევთ თქვენი ყველა პაროლის შეცვლა.
სხვაგვარად როგორ შემიძლია შენახვა ჩემი მნიშვნელოვანი პაროლები? აქ მოცემულია რამდენიმე ვარიანტი:
- დაცულ ფურცელზე, რომლითაც თქვენ და თქვენი ოჯახის წევრები გექნებათ წვდომა (არ არის შესაფერისი პაროლები, რომელთა გამოყენება ხშირად გჭირდებათ).
- ხაზგარეშე პაროლის მონაცემთა ბაზა (მაგალითად, KeePass), რომელიც ინახება გრძელვადიან საცავ მოწყობილობაზე და დაკარგვის შემთხვევაში სადმე დუბლირებულია.
ზემოაღნიშნულის ოპტიმალური კომბინაცია, ჩემი აზრით, შემდეგი მიდგომაა: ყველაზე მნიშვნელოვანი პაროლები (მთავარი ელ.ფოსტა, რომელთანაც შეგიძლიათ სხვა ანგარიშების აღდგენა, ბანკი და ა.შ.) ინახება თავში და (ან) ქაღალდზე უსაფრთხო ადგილზე. ნაკლებად მნიშვნელოვანი და, ამავე დროს, ხშირად გამოყენებული მასალები პაროლების მენეჯერის პროგრამებს უნდა გადაეცეს.
დამატებითი ინფორმაცია
ვიმედოვნებ, რომ პაროლების თემასთან დაკავშირებით ორი სტატიის ერთობლიობამ ზოგიერთ თქვენგანს დაეხმარა ყურადღება მიექცია უსაფრთხოების ზოგიერთ ასპექტს, რომლის შესახებაც არ გიფიქრიათ. რა თქმა უნდა, მე არ გავითვალისწინე ყველა შესაძლო ვარიანტი, მაგრამ მარტივი ლოგიკა და პრინციპების გარკვევა მეხმარება იმის გარკვევაში, თუ რამდენად უსაფრთხო ხარ კონკრეტულ მომენტში. კიდევ ერთხელ აღნიშნავენ რამდენიმე და რამდენიმე დამატებით პუნქტს:
- გამოიყენეთ სხვადასხვა პაროლები სხვადასხვა საიტებისთვის.
- პაროლები უნდა იყოს რთული, ხოლო ყველაზე მეტად შეგიძლიათ სირთულის გაზრდა პაროლის სიგრძის გაზრდით.
- არ გამოიყენოთ პირადი მონაცემები (რაც გაირკვეს), პაროლის შექმნისას, მინიშნებები ამის შესახებ, უსაფრთხოების კითხვები აღდგენისთვის.
- გამოიყენეთ 2 – ნაბიჯი გადამოწმება, სადაც ეს შესაძლებელია.
- იპოვნეთ საუკეთესო გზა, რომ უსაფრთხოდ შეინახოთ პაროლები.
- ფრთხილად იყავით ფიშინგზე (შეამოწმეთ ვებსაიტების მისამართები, დაშიფვრა) და ჯაშუში პროგრამები. სადაც არ უნდა გითხრათ პაროლის შეყვანა, შეამოწმეთ, ნამდვილად შედით მას შესაბამის საიტზე. შეინახეთ კომპიუტერი malware.
- თუ ეს შესაძლებელია, არ გამოიყენოთ თქვენი პაროლები სხვა ადამიანების კომპიუტერებზე (საჭიროების შემთხვევაში, გააკეთეთ ეს ბრაუზერის „ინკოგნიტო“ რეჟიმში და კიდევ უკეთესი ტიპის ეკრანიანი კლავიატურადან), ღია ღია Wi-Fi ქსელებში, განსაკუთრებით იმ შემთხვევაში, თუ არ არის https დაშიფვრა საიტზე დაკავშირებისას .
- შესაძლოა, თქვენ არ შეინახოთ ყველაზე მნიშვნელოვანი პაროლები კომპიუტერში ან ინტერნეტით, რომლებიც ნამდვილად ღირებულია.
მსგავსი რამ. ვფიქრობ, მოვახერხე პარანოიის ხარისხის ამაღლება. მე მესმის, რომ აღწერილი ნაწილის დიდი ნაწილი არასასიამოვნოა, მაგრამ მოსაზრებები, როგორიცაა "კარგად, ეს გვერდს ავარიდებ თავს", მაგრამ სიზარმაცის ერთადერთი საბაბი, როდესაც დაცულია უსაფრთხოების მარტივი წესების დაცვა, კონფიდენციალური ინფორმაციის შენახვისას, შეიძლება მხოლოდ მისი მნიშვნელობის არარსებობა და მზაობა რომ ეს გახდება მესამე მხარის საკუთრება.