Twoje hasła będą bezpieczniejsze, jeśli będziesz postępować zgodnie z tymi instrukcjami

Co sprawia, że ​​hasło jest bezpieczne?

Hasło jest uważane za silne, gdy nikt nie może zgadnąć a kiedy różne łamacze haseł, które istnieją dzisiaj, nie mogą „odgadnąć”, a jeśli tak, znalezienie właściwego hasła zajmie dużo czasu (lata). Obecnie wszystkie używane przez nas hasła są przechowywane lokalnie zaszyfrowane, co oznacza, że ​​jeśli użyjemy hasła „hasło”, to hasło nigdy nie będzie przechowywane jawnie, ale hash „hasło”.

Organizacja Narodów Zjednoczonych Hash jest jednokierunkową funkcją kryptograficzną więc będziemy mieli „wejście”, które zwykle jest hasłem i ma tylko jedno wyjście. Ta funkcja skrótu reprezentuje nie tylko hasło, ale także dokument lub zestaw danych. Istnieją funkcje mieszające, które zawsze mają wyjście o tej samej długości, ale inne mają długość dynamiczną, ponieważ zależy ona od samego wejścia. Le treść jest nieczytelnaaw rzeczywistości mając klucz mieszający, nie jest możliwe wykonanie funkcji matematycznej, aby uzyskać „dane wejściowe”. Możliwe, że będą te same kłopoty dla różnych wpisów, ponieważ funkcja skrótu dla SHA-1 ma 160 bitów, a „podsumowane” obiekty nie mają limitu rozmiaru. Ta funkcja nazywa się „kolizją”, a funkcja skrótu jest uważana za niebezpieczną, gdy takie kolizje są znane.

Funkcje skrótu mają szereg podstawowych wymagań:

• Nie udało się pobrać oryginalnego tekstu z hasza.
• Nie można znaleźć żadnego innego zestawu danych z tym samym odciskiem palca (chociaż, jak widzieliśmy powyżej, ten wymóg może nie zostać spełniony). Silna odporność na możliwe kolizje (dwa różne wejścia mogą mieć to samo wyjście).
• Możliwość konwersji tekstu o zmiennej długości do fragmentu o stałym rozmiarze (np. SHA-1, który ma 160 bitów), chociaż pojawiły się nowe funkcje haszujące, których dane wyjściowe nie mają stałego rozmiaru.
• Łatwość użytkowania i aplikacji.
• Długość wyjściowa musi być mała, wydajna (nieco łatwa do obliczenia) i nie może być możliwe uzyskanie „oryginału”.

Niektóre popularne skróty do przechowywania haseł, od SHA2-256, SHA2-384, SHA2-512, a także skróty zaprojektowane specjalnie do użytku z hasłami, takie jak scrypt, bcrypt, argon2 i PBKDF2.

Odciski palców są niezbędne do tworzenia ekranów hasła są zawsze podzielone ze względów bezpieczeństwa Tak więc, jeśli ktoś może zalogować się do naszych systemów, nie dostaje haseł dla każdego użytkownika, ale dostaje „hasz” tego klucza, który musi odszyfrować dwoma głównymi metodami:

• Słownik : Ta metoda polega na posiadaniu słownika zawierającego miliony słów do wypróbowania jeden po drugim. Funkcje skrótu można pobrać tylko w jednym kierunku, celem tego słownika jest posiadanie milionów słów, obliczanie skrótu i ​​porównanie go z hashem, który miałeś wcześniej w hacku.
• Brutalna przemoc : Ta metoda polega na wypróbowaniu wszystkich możliwych kluczy jeden po drugim, aż znajdziesz fragmentację skradzionego hasła bazy danych, a tym samym otrzymasz prawdziwe hasło.

Jednym z najlepszych programów do łamania fragmentacji haseł jest Hashcat, ponieważ wykorzystuje on zarówno moc procesora, jak i karty graficznej komputera. To sprawi, że odszyfrowanie krótkiego hasła będzie bardzo czasochłonne. Ten program zawiera ogromną liczbę różnych skrótów używanych przez duże usługi sieciowe.

Wskazówki, jak zrobić dobry klucz

Aby stworzyć dobry klucz serwisowy, musisz pomyśleć jak to zaprojektować, aby nie dotyczyło to dwóch rodzajów ataków na hasła a przynajmniej w jak najmniejszym stopniu na nią wpływać. Ze względu na te dwa różne ataki (słownik i brute force) ważne jest, aby hasło spełniało określone wymagania:

• Użyj klucza, którego nie można znaleźć w żadnym słowniku.
• Nie używaj hasła składającego się z jednego lub dwóch słów, ponieważ słownik może również zawierać popularne słowa.
• Używaj dużych haseł (ponad 12 znaków), aby szybko złamać hasło w mgnieniu oka.
• Nie używaj haseł związanych z naszą prywatnością, takich jak data urodzenia, nazwa użytkownika i inne dane osobowe.

Kombinacja cyfr, liter i symboli

Właściwe byłoby również użycie kombinacji cyfr, wielkich liter, małych liter i symboli. Ta kombinacja znaków jest zalecana, aby bardzo utrudnić programy brutalnej siły, ponieważ powinieneś wypróbować wszystkie możliwe kombinacje z myślą o tym. Na przykład, jeśli chcemy utworzyć hasło, które jest bezpieczne i łatwe do zapamiętania, możemy wybrać frazę, która szczególnie nam się podoba i wybrać pierwszą literę każdego słowa i zamienić ją na wielką, a następnie wprowadzić liczbę wybranych przez nas znaków. opinia

Generatory haseł

Istnieją absolutnie niesamowite programy dla duplikatów wydarzeń, a także dla transakcji z LastPass i KeePass, a także dla parametrów claves, które nie są dozwolone tylko przez almacenar todas las contraseñas en paralyzuro de nelugar srégés uslugi. Idealnie byłoby na przykład użyć losowego 15-znakowego klucza, składającego się z wielkich i małych liter, cyfr i symboli. Ważnym szczegółem jest to, że jeśli planujesz używać symboli na kluczu WPA2 routera Wi-Fi, powinieneś mieć świadomość, że niektóre symbole nie są obsługiwane, więc używaj zwykłych symboli zamiast rzadkich symboli.

W przypadku tego typu programu będziemy musieli zapamiętać tylko jedno hasło, aby uzyskać dostęp do pozostałych haseł, które bezpiecznie przechowujemy w programie.

Nigdy nie używaj tego samego hasła do wielu usług

Nigdy nie należy ponownie używać tego samego hasła w wielu usługach, zwłaszcza jeśli są one połączone z Internetem, ponieważ jeśli jedna z tych usług zostanie naruszona i zdoła złamać hasło, może wykorzystać Twoje informacje. sposób. Zrobiono już wiele dużych hacków, takich jak Dropbox, Sony, Adobe i wiele innych firm. Dlatego konieczne jest używanie różnych kluczy dla różnych usług.

Mała „sztuczka”, którą możesz zrobić (choć nie jest wysoce zalecana, ponieważ mogą odgadnąć wzorzec i zaatakować tylko „inną” część) jest użycie tego samego klawisza „boot” dla wszystkich usług i „zakończ” innym ciągiem postaci.

Typowe błędy podczas tworzenia haseł

Istnieje wiele typowych błędów podczas tworzenia silnych kluczy i należy ich zawsze unikać:

• Używaj tego samego hasła do wszystkich usług
• Hasła z danymi osobowymi, takimi jak data urodzenia, data ślubu i inne.
• Napisz to na karteczce i przyklej na ekranie
• Zabierz ze sobą hasło zapisane na kartce papieru
• Zapisz hasła używane w postaci zwykłego tekstu na naszym pulpicie.

Jak mogę sprawdzić, czy moje hasło jest bezpieczne?

Bardzo łatwym sposobem sprawdzenia, czy hasło jest bezpieczne, jest myślenie, że ktoś próbuje je złamać, jeśli odpowiedź na wszystkie te pytania brzmi NIE, będziesz mieć silne hasło:

• Czy w słowniku pojawi się ten wpis?
• Czy to hasło zawiera dane osobowe, takie jak imię mojej matki lub data urodzenia?
• Czy hasło jest krótkie i czy można je łatwo złamać przez programy o dużej mocy?
• Czy to hasło jest bardzo proste (bez symboli, cyfr lub wielkich lub małych liter)?

Możesz również skorzystać z usług online, aby sprawdzić „ważność” swojego hasła, ale nigdy nie wprowadzaj rzeczywistego hasła, którego używasz do określonej usługi, ale podobne hasło, wprowadzając wielkie i małe litery, cyfry i inne symbole. Nigdy nie konfiguruj usługi online, aby sprawdzić podstawową moc, prawdziwe hasło, ponieważ mogą one zbierać wszystkie klucze od użytkowników bez Twojej wiedzy.

Czy wystarczy silne hasło?

Obecnie same hasła mogą nie być wystarczająco silne W rzeczywistości zawsze zaleca się korzystanie z drugiego agenta uwierzytelniania. Obecnie posiadamy następujące mechanizmy uwierzytelniania:

• Coś, co mamy : karty magnetyczne, karty inteligentne, a nawet własny smartfon/tablet.
• Coś, co wiemy : Hasła
• Coś, czym jesteśmy : biometryczny

Jedną z najbezpieczniejszych kombinacji jest logowanie przez połączenie dwóch z tych trzech czynników które ci wyjaśniliśmy. Na przykład, aby uzyskać dostęp do usługi, możemy skonfigurować hasło (coś, co wiemy), a także coś, co posiadamy (nasz smartfon z aplikacją uwierzytelniającą). Zaletą takiego połączenia jest to, że zwiększa poziom bezpieczeństwa i utrudnia złośliwemu użytkownikowi dostęp do usługi, ponieważ musi ona spełniać oba wymagania, a nie tylko hasło. Minusem jest to, że czas uwierzytelniania wydłuży się, ponieważ będziemy musieli wprowadzić hasło i hasło wygenerowane przez nasz smartfon. Kolejną wadą byłby brak drugiego czynnika.

Jak mogę sprawdzić, czy moje dane uwierzytelniające zostały ujawnione w Internecie?

Obecnie istnieje kilka usług, które pozwolą nam dowiedzieć się, czy nasze hasła lub tożsamości cyfrowe zostały ujawnione w Internecie. Pierwsza usługa to zrobiłem , po prostu wpisz swój adres e-mail, poinformuje Cię, czy obawiasz się kradzieży bazy danych, w której wyświetlany jest wprowadzony adres e-mail, jest to całkowicie bezpłatna usługa i bardzo szybko powie nam, która ma dużą bazę wycieków do sprawdzenia.

Druga usługa to Ekran Firefoksa , usługa bardzo podobna do poprzedniej usługi i w przypadku niektórych naruszeń danych opiera się na poprzedniej usłudze. Główna różnica polega na tym, że wyśle ​​nam e-mail, jeśli okaże się, że nasz e-mail jest częścią wycieku w przyszłości, co jest dla nas idealne do podjęcia odpowiednich działań (zmiana hasła).

Wreszcie, samo Google nam pozwala sprawdź wszystkie hasła które zapamiętaliśmy i zsynchronizowaliśmy w Google Chrome. W ten sposób poinformuje nas, czy doszło do wycieku danych w miejscu jego ujawnienia, a także poinformuje nas, czy powtarzamy to samo hasło w różnych usługach (bardzo częsty błąd) i wskaże nawet, jeśli hasło jest silny czy nie.

Jak już wspomniałeś, istnieje wiele kroków wymaganych do utworzenia bezpiecznych haseł i, jeśli to możliwe, zawsze włączaj dwustopniową weryfikację różnych usług, które ją obsługują.