امنیت رمز عبور

این مقاله در مورد نحوه ایجاد یک رمز عبور ایمن، اصولی که باید در هنگام ایجاد آنها، نحوه ذخیره کلمات عبور و به حداقل رساندن احتمال دریافت نفوذگران به اطلاعات و حساب شما، بحث شود.

این مطالب ادامه مقاله "چگونه رمز عبور شما را می توان هک کرد" و به این معنی است که شما با مواد ارائه شده در آن آشنا هستید و بدون آن همه راه های اساسی را که رمزهای عبور می تواند به خطر بیافتد، می دانید.

ایجاد کلمه عبور

امروزه، هنگام ثبت نام هر حساب اینترنتی، ایجاد یک رمز عبور، معمولا نشانگر قدرت رمز عبور را مشاهده می کنید. تقریبا در همه جا براساس ارزیابی دو عامل زیر کار می کند: طول رمز عبور؛ حضور کاراکترهای خاص، حروف بزرگ و اعداد در رمز عبور.

با وجود این واقعیت که این پارامترها واقعا مهم است که مقاومت رمز عبور را در برابر خرد شدن نیروی بی رحم، رمز عبور که قویا به نظر می رسد، همیشه مورد قبول نیست. به عنوان مثال، یک رمز عبور مانند "Pa $$ w0rd" (و در اینجا کاراکترهای خاص و اعداد وجود دارد) احتمالا بسیار سریع شکسته می شود - به دلیل این واقعیت که (همانطور که در مقاله قبلی توضیح داده شد) مردم به ندرت گذرواژه های منحصر به فرد ایجاد می کنند (کمتر از 50٪ رمزهای عبور منحصر به فرد هستند) و احتمالا این گزینه در پایگاههای اطلاعاتی نشت شده وجود دارد که مزاحمان دارند.

چگونه می شود؟ بهترین گزینه این است که از ژنراتورهای رمز عبور استفاده کنید (در اینترنت در قالب خدمات آنلاین و همچنین در بسیاری از مدیران رمز عبور کامپیوتر استفاده می شود)، ایجاد گذرواژه های تصادفی طولانی با استفاده از کاراکترهای ویژه. در بیشتر موارد، یک رمز عبور از 10 یا بیشتر از این کاراکترها به سادگی برای هکرها اهمیتی ندارد (به عنوان مثال، نرمافزارش برای انتخاب چنین گزینههایی پیکربندی نمیشود) به دلیل اینکه هزینههای زمان پرداخت نمیشوند. اخیرا یک ژنراتور ورودی ساخته شده در مرورگر Google Chrome ظاهر شده است.

در این روش، اشکال اصلی این است که کلمه عبور چنین دشوار است به یاد داشته باشید. اگر نیاز به نگه داشتن رمز عبور در سر شما وجود دارد، گزینه دیگری وجود دارد که بر اساس این واقعیت است که یک رمز عبور از 10 کاراکتر حاوی حروف بزرگ و کاراکترهای خاص، توسط یک نیروی بی قاعده هزاران یا بیشتر شکسته می شود (اعداد خاص به مجموعه عناصر مجاز اجازه می دهد) از یک رمز عبور از 20 کاراکتر، حاوی تنها کاراکترهای کوچک لاتین (حتی اگر مهاجم اطلاعاتی در مورد این داشته باشد).

بنابراین، رمز عبور متشکل از 3-5 واژه ساده انگلیسی تصادفی آسان خواهد بود به یاد داشته باشید و تقریبا غیر ممکن به کرک. و با داشتن هر حرف با حرف بزرگ، تعدادی از گزینه ها را به درجه دوم افزایش می دهیم. اگر این 3-5 کلمات روسی (دوباره، تصادفی، اما نه نام و تاریخ) نوشته شده در طرح انگلیسی، احتمال احتمالی روش های پیچیده استفاده از واژه نامه ها برای انتخاب رمز عبور نیز حذف شده است.

قطعا هیچ راهی برای ایجاد کلمه عبور وجود ندارد: مزایا و معایب در راه های مختلف (مربوط به توانایی به خاطر داشتن آن، قابلیت اطمینان و پارامترهای دیگر) وجود دارد، اما اصول اساسی به شرح زیر است:

  • رمز عبور باید از تعداد قابل توجهی از کاراکترها باشد. شایع ترین محدودیت امروز 8 حرف است. و اگر به یک رمز عبور ایمن نیاز دارید این کافی نیست
  • در صورت امکان، شامل کاراکترهای خاص، حروف بزرگ و حروف کوچک، اعداد در رمز عبور.
  • هرگز اطلاعات شخصی خود را در گذرواژه خود وارد نکنید، حتی اگر با روشهای ظاهری هوشمند نوشته شده باشد. بدون تاریخ، نام و نام خانوادگی. به عنوان مثال، شکستن گذرواژه ای که هر تاریخ تقویم جولیان را از سال 0 و تا به امروز (مانند 2015/07/18 یا 18072015 و غیره) نشان می دهد، از ثانیه تا چند ساعت (و ساعت به دست می آید فقط به علت تاخیر بین تلاش برای برخی از موارد)

شما می توانید ببینید که چگونه رمز عبور خود را در سایت قوی است (هر چند وارد کردن کلمات عبور در برخی از سایت ها، به ویژه بدون https، امن ترین عمل نیست) //rumkin.com/tools/password/passchk.php. اگر نمی خواهید گذرواژه واقعی خود را بررسی کنید، یک ایده مشابه (از همان تعداد کاراکترها و با همان مجموعه ای از کاراکترها) را وارد کنید تا ایده قابلیت اطمینان آن را ببینید.

در حین وارد کردن نویسه ها، سرویس آنتروپی را محاسبه می کند (به طور شرط، تعداد گزینه ها برای آنتروپی 10 بیت است، تعداد گزینه ها 2 تا قدرت دهم است) برای یک رمز عبور داده شده و اطالعات مربوط به قابلیت اطمینان از مقادیر مختلف را فراهم می کند. رمز عبور با یک آنتروپی بیش از 60 تقریبا غیرممکن است حتی در انتخاب هدف.

از کلمه عبور مشابه برای حساب های مختلف استفاده نکنید.

اگر رمز عبور پیچیده ای دارید، اما از هر کجا که می توانید استفاده کنید، به طور خودکار کاملا غیر قابل اعتماد می شود. به محض اینکه هکرها به هر یک از سایتهایی که از این رمز عبور استفاده می کنند و دسترسی به آن را می گیرند، هکرها می توانند مطمئن شوند که بلافاصله (به طور خودکار با استفاده از نرم افزار خاص) بر روی همه ایمیل ها، بازی ها، خدمات اجتماعی و شاید حتی بانک های آنلاین (راه هایی برای دیدن اینکه آیا رمز عبور شما قبلا نشت کرده است، در انتهای مقاله قبلی ذکر شده است).

رمز عبور منحصر به فرد برای هر حساب دشوار است، ناخوشایند است، اما لازم است که این حسابها برای شما مهم باشد. اگر چه، برای برخی از ثبت نامهایی که برای شما ارزش ندارند (یعنی شما آماده هستید که آنها را از دست بدهید و نگران نباشید) و اطلاعات شخصی ندارند، ممکن است خودتان با گذرواژههای منحصر به فرد خود فشار نیاورید.

احراز هویت دو عامل

حتی کلمات عبور قوی تضمین نمی کنند که هیچ کس نمی تواند حساب شما را وارد کند. شما می توانید یک یا چند کلمه عبور را (به عنوان مثال، به عنوان گزینه های مکرر فیشینگ، فیشینگ) یا آن را از دست بدهید.

تقریبا تمام شرکت های آنلاین جدی از جمله Google، Yandex، Mail.ru، فیس بوک، Vkontakte، مایکروسافت، Dropbox، LastPass، Steam و دیگران اخیرا توانایی فعال کردن احراز هویت دو عامل (یا دو مرحله ای) را در حساب های خود اضافه کرده اند. و اگر ایمنی برای شما مهم باشد، من به شدت آن را در نظر می گیرم.

پیاده سازی احراز هویت دو عامل برای سرویس های مختلف کمی متفاوت است، اما اصل اساسی به شرح زیر است:

  1. هنگام ورود به حساب از یک دستگاه ناشناخته، پس از ورود به گذرواژه صحیح، از شما خواسته می شود که تست اضافی را انجام دهید.
  2. تأیید با کمک یک کد اس ام اس، یک برنامه ویژه بر روی یک گوشی هوشمند، با استفاده از کدهای چاپی که قبلا آماده شده است، یک پیام الکترونیکی، کلید سخت افزاری (آخرین گزینه در Google ظاهر می شود، این شرکت به طور کلی بهتر است از نظر احراز هویت دو عامل).

بنابراین، حتی اگر مهاجم رمز عبور خود را آموخته است، او قادر نخواهد بود بدون دسترسی به دستگاه ها، تلفن یا ایمیل خود به حساب شما وارد شود.

اگر شما به طور کامل نمی دانید که چگونه دوپارامر احراز هویت کار می کند، توصیه می کنم مقاله هایی را در اینترنت اختصاص داده شده به این موضوع یا توصیف ها و دستورالعمل های اقدام در سایت هایی که در آن اجرا شده است (من قادر نخواهم بود دستورالعمل های دقیق را در این مقاله ذکر کنم).

ذخیره سازی رمز عبور

کلمه عبور منحصر به فرد برای هر سایت مشکل است - عالی است، اما چگونه آنها را ذخیره کنید؟ بعید است که همه این کلمات عبور را می توان در ذهن نگه داشت. ذخیره کلمات عبور ذخیره شده در مرورگر، یک اقدام خطرآفرین است: آنها نه تنها آسیب پذیرتر از دسترسی غیر مجاز هستند، بلکه می توانند به سادگی در صورت خرابی سیستم و زمانی که همگام سازی غیرفعال می شود، از بین بروند.

بهترین راه حل به عنوان مدیریت رمز عبور شناخته می شود، به طور کلی برنامه هایی را نشان می دهد که تمام داده های مخفی خود را در یک مخزن امن رمزگذاری شده (هر دو آفلاین و آنلاین) ذخیره می کنند که با استفاده از یک رمز عبور اصلی قابل دسترسی است (شما همچنین می توانید احراز هویت دو عامل را فعال کنید). همچنین، بسیاری از این برنامه ها با ابزارهایی برای تولید و ارزیابی قابلیت اطمینان کلمات عبور مجهز شده اند.

چند سال پیش یک مقاله جداگانه درباره بهترین مدیران رمز را نوشتم (ارزش بازنویسی آن است، اما شما می توانید ایده ای از آنچه در آن است و چه برنامه هایی از مقاله محبوب است بدانید). بعضی از راه حل های آفلاین ساده مانند KeePass یا 1Password را ترجیح می دهند که تمام گذرواژه ها را بر روی دستگاه شما ذخیره می کند، بعضی دیگر - سرویس های کاربردی کاربردی تر که همچنین قابلیت های هماهنگ سازی (LastPass، Dashlane) را نشان می دهد.

مدیران رمز عبور شناخته شده معمولا به عنوان یک راه بسیار امن و مطمئن برای ذخیره آنها در نظر گرفته می شوند. با این حال، با توجه به برخی از جزئیات، ارزش دارد:

  • برای دسترسی به تمام گذرواژه های شما باید فقط یک رمز عبور اصلی را بدانید.
  • در مورد هک کردن ذخیره سازی آنلاین (به معنای واقعی کلمه یک ماه قبل، محبوب ترین سرویس مدیریت رمز عبور در جهان، LastPass، هک شد) باید تمام گذرواژه های خود را تغییر دهید.

چطور می توانم رمزهای مهم شما را ذخیره کنم؟ در اینجا چند گزینه وجود دارد:

  • بر روی کاغذ در امن، دسترسی به که شما و اعضای خانواده خود را داشته باشد (مناسب برای کلمات عبور که شما اغلب نیاز به استفاده از).
  • پایگاه داده رمز عبور آفلاین (به عنوان مثال، KeePass) ذخیره شده در یک دستگاه ذخیره سازی با دوام و در هر صورت در صورت از دست رفتن کپی می شود.

به نظر من، بهترین ترکیب هر چیزی که در بالا شرح داده شده است رویکرد زیر است: مهمترین رمزهای عبور (اصلی ایمیل که با آن می توانید سایر حساب ها، بانک و غیره را بازیابی کنید) در سر و در (یا) کاغذ در یک مکان امن ذخیره می شود. کمتر مهم و در عین حال، آنهایی که اغلب استفاده می شود باید به مدیران رمز عبور اختصاص داده شوند.

اطلاعات اضافی

امیدوارم که ترکیبی از دو مقاله در گذرنامه به برخی از شما کمک کند تا به برخی از جنبه های امنیتی توجه کنید که در مورد آن فکر نکردید. البته، من تمام گزینه های ممکن را در نظر نگرفتم، اما منطق ساده و برخی درک اصول به خودم کمک می کنم که تصمیم بگیرم که در یک لحظه خاص چه کاری انجام می دهم. یک بار دیگر، بعضی از موارد ذکر شده و چندین امتیاز اضافی وجود دارد:

  • از کلمات عبور مختلف برای سایت های مختلف استفاده کنید.
  • کلمه عبور باید پیچیده باشد، سخت ترین کار این است که با افزایش طول رمز عبور پیچیدگی را افزایش دهیم.
  • هنگام ایجاد گذرواژه خود، نکات آن، سوالات آزمون برای بازیابی اطلاعات شخصی (که می توانید پیدا کنید) از آن استفاده نکنید.
  • در صورت امکان از تأیید صحت دو مرحلهای استفاده کنید.
  • بهترین راه نگه داشتن گذرواژههای خود را بهینه کنید.
  • مراقب باشید از فیشینگ (بررسی آدرس سایت ها، حضور رمزگذاری) و نرم افزارهای جاسوسی. هر جا که از آنها خواسته می شود رمز عبور خود را وارد کنید، بررسی کنید که آیا شما واقعا وارد سایت آن شده اید. اطمینان حاصل کنید که هیچ بدافزار در رایانه وجود ندارد.
  • در صورت امکان از کلمات عبور خود در رایانه های شخص دیگری استفاده نکنید (در صورت لزوم، آن را در حالت ناشناس مرورگر یا حتی بهتر از صفحهکلید روی صفحه نمایش استفاده کنید)، در شبکههای عمومی باز Wi-Fi، مخصوصا اگر در هنگام اتصال به سایت، رمزگذاری https ندارید .
  • شاید نتوانید مهمترین و واقعی ترین کلمه عبور را در کامپیوتر یا آنلاین ذخیره کنید.

چیزی شبیه به آن. من فکر می کنم که من توانستم درجه پارانویایی را بالا ببرم. من متوجه شدم که بسیاری از موارد فوق به نظر ناخوشایند می افتد، افکار مانند "خوب، من دور می شوم" ممکن است بوجود آید، اما تنها بهانه ای برای تنبل بودن آن در هنگام رعایت قوانین ساده ایمنی برای ذخیره سازی اطلاعات محرمانه می تواند تنها فقدان آن اهمیت و آمادگی شما برای که به مالکیت اشخاص ثالث تبدیل خواهد شد.

پست های محبوب

https://termotools.com fa.termotools.com © امنیت (ویروس ها) 2024