Одна из проблем, связанных с компьютерами и Интернетом, с которыми люди сталкиваются, - это пароли. Какой длины они должны быть? Как вы выбираете хорошие пароли? Как их запомнить? Можете ли вы записать их? Правда ли, что люди говорят, что пароли устарели? В то время как ошибка пароля может быть очень дорогой с точки зрения времени и денег, люди превратили пароли в гораздо большее, чем они должны быть. Эта статья содержит все, что вам нужно знать о паролях.
Эффективность паролей
Несмотря на то, что некоторые говорят, хороший пароль-лучший способ защитить ваши учетные записи. Проблема возникает, когда организации, в которых у вас есть учетные записи, не делают того, что должны, чтобы защитить ваши пароли или личные данные. Это также относится к учетным записям и личной информации, хранящейся организациями, которые обычно считаются не имеют ничего общего с Интернетом: банками, обычными магазинами, операторами сотовой связи, инвестиционными компаниями, агентствами кредитной отчетности, кабинетами врачей, работодателями, Департаментом автотранспорта и т.д . Причина в том, что теперь все и всё подключены к Интернету, независимо от того, получаете ли вы к ним доступ онлайн или нет.
Первая ошибка организаций-слабая безопасность их внутренних компьютерных сетей. Они подключают свои компьютеры к Интернету и не соблюдают меры предосторожности, необходимые для того, чтобы их не взломали. Хотя никакие меры предосторожности не могут предотвратить все взломы, потому что на самом деле нет такой вещи, как безопасный компьютер, организации могут принимать меры предосторожности, чтобы сделать свои компьютерные сети более безопасными. Они часто не принимают эти меры предосторожности, просто потому, что считают их слишком дорогими. К сожалению, вы обычно понятия не имеете, насколько безопасна компьютерная сеть вашего банка, поэтому вы не знаете, безопасно ли вам работать с этим банком. Хуже того, организации, клиентом которых вы не являетесь и о которых, возможно, даже не слышали, имеют вашу личную информацию. К счастью, законы о защите прав потребителей защищают вас в некоторой степени.
Вторая ошибка организаций заключается в том, что они не шифруют или недостаточно шифруют ваши пароли, хранящиеся на их серверах. Это означает, что независимо от того, насколько хорош ваш пароль, и независимо от того, насколько тщательно вы его защитили, вор может получить его, взломав компьютерную сеть организации. Или один из их сотрудников может украсть его. Опять же, у вас нет возможности узнать, надежно ли организация хранит ваш пароль.
Несмотря на слабую безопасность многих организаций, у которых есть ваша личная информация, вы все равно должны делать все возможное, чтобы защитить себя. Это включает в себя использование хороших паролей и закрытие счетов в организациях, с которыми вам больше не нужно вести бизнес.
Как крадут пароли
Обычно используют один из четырех методов получения вашего пароля:
- Социальная инженерия
- Подключение к веб-сайту или компьютеру организации и подбор пароля на экране входа в систему
- Получение зашифрованного пароля с сервера организации и его "взлом"
- Кража пароля непосредственно у вас
Социальная инженерия включает в себя вызов организации, притворяясь вами, и сказать им, что вы забыли свой пароль и нужен новый. Иногда это также включает в себя обман вас в раскрытии пароля по телефону или по электронной почте. Иногда это может включать в себя казалось бы, безобидные вопросы о вашей первой машине, вашем адресе, имени вашего первого питомца, когда вы были ребенком, и т. Д. Это может даже исходить от кого-то, кого вы знаете. Эта информация используется для ответа на так называемые вопросы "безопасности" организации, которая запрашивает их перед выдачей вам нового пароля. Если вор преуспел в атаке социальной инженерии, пароль, который вы используете, не имеет значения, теперь у него есть доступ к вашей учетной записи.
Второй подход, подключение к веб-сайту и угадывание пароля, обычно не работает, если вор уже не имеет хорошего представления о вашем пароле. Причина в том, что большинство веб-сайтов достаточно умны, чтобы разрешить только определенное количество догадок, прежде чем блокировать .
Третий подход-взлом паролей. Это процедура, которая выходит за рамки этой статьи, чтобы полностью объяснить. В основном это связано с тем, что вор крадет длинный список зашифрованных ("хэшированных") паролей владельцев учетных записей с сервера и находит добавленную строку символов и алгоритм шифрования, который использовался для создания хэшей паролей (обычно один из нескольких известных алгоритмов). Затем ворподбирает и хэширует очень большой словарь возможных паролей и сравнивает хэши каждого возможного пароля в словаре с каждым хэшированным паролем в списке, который он украл. Это называется атакой по словарю. Если определенного пароля, который он пытается расшифровать, нет в словаре, ему придется сделать так называемую "атаку грубой силы", в которой он подбирает и хэширует случайно угаданные пароли, пока не получит хэш, соответствующий хэшу нужного пароля, который он пытается расшифровать в своем украденном списке. Когда он получает совпадение, он взломал пароль.
Последний способ получения пароля - получить его непосредственно от вас способами, отличными от социальной инженерии. Если мы говорим о воре, который находится в другом городе, это может включать кражу вашего пароля с вашего компьютера через сеть. Если речь идет о местном воре, скорее всего, кто-то из ваших знакомых, они могут получить ваш пароль с вашего компьютера или из места, где вы его записали.
Как защитить себя от каждого типа атаки
Вы ничего не можете сделать, чтобы предотвратить успешную атаку социальной инженерии, если она направлена против организации, в которой у вас есть учетная запись. Если это направлено против вас, ваш лучший метод сопротивления-всегда быть в курсе, когда люди задают вам личные вопросы, и не выдавать личную информацию, которая человеку не нужна-например, ваш день рождения, адрес. Один из моих коллег однажды спросил мой любимый цвет. Мне пришлось сказать ему, что я не хотел раскрывать это, потому что это был один из вопросов безопасности, которые они использовали на работе, чтобы идентифицировать нас для сброса пароля. Он, казалось, не был оскорблен этим. Обычно честных людей такой ответ не расстроит, если он произнесен спокойным и сочувственным тоном. Еще одна вещь, которую я всегда делаю, - это оставлять вопросы безопасности на веб-сайтах пустыми или заполнять их длинными строками ерунды. Таким образом, даже люди, которые хорошо меня знают, не могут сбросить мои пароли.
Несколько стратегий могут помочь предотвратить взлом пароля. Важно знать, что, поскольку метод атаки по словарю обычно занимает гораздо меньше времени, чем атака брутфорсом, не выбирайте пароль, который может быть в словаре вора. Предположим, что словарь состоит из нескольких миллионов паролей. Это означает, что никогда не используйте что-то простое, как слово или имя, за которым следует число, последовательная строка чисел, составное слово, два слова, соединенные вместе,(имя и год рождения) или любой пароль, который слишком короток.
Чтобы предотвратить атаку полного перебора, которая может последовать за неудачной атакой по словарю, вы всегда должны создавать так называемые "сильные" пароли. Это просто пароли, которые могут противостоять атаке брутфорса в течение длительного периода времени. Надежный пароль состоит из длинной строки комбинации прописных и строчных букв, цифр и "специальных" символов (например &, ^, /, +, ?, и т. Д.). Если я правильно подсчитал, это дает вам 94 возможных варианта для каждого символа в вашем пароле. Если вы выберете 15 из них в случайном порядке, это даст вору набор от 94 до пятнадцатой степени возможных паролей, которые ему придется искать, чтобы убедиться, что один из них ваш. Это примерно 2,86 x 10 29 паролей. Учитывая текущее состояние компьютерных технологий, вор с настольным компьютером и быстрым графическим процессором может генерировать, хэшировать и сравнивать с хэшем вашего пароля около десяти миллиардов догадок пароля в секунду. Коммерческие компьютеры взлома паролей могут управлять чем-то в районе трех триллионов догадок пароля в секунду. Это означает, что с коммерческим взломщиком паролей вору потребуется около девяти миллиардов лет, чтобы взломать ваш пятнадцатизначный пароль. Создатели некоторых из наших современных инструментов шифрования предлагают использовать 20 символов или более. Я чувствую, что это перебор. Но они, вероятно, просто консервативны, поскольку никто не может предсказать возможности взлома паролей, которые могут существовать через пятьдесят или сто лет. Существует также так называемое "столкновение хэшей", которое уменьшает количество необходимых догадок, но это выходит за рамки этой статьи. Давайте сравним девять миллиардов лет с промежутком времени, который потребовался бы вору, чтобы взломать слабый восьмизначный пароль, состоящий только из строчных букв и цифр-около одной секунды. Это означает, что вор может либо попытаться взломать ваш сильный 15-символьный пароль, либо миллионы слабых паролей, которые он может иметь в своем украденном списке. Как вы думаете, на что он пойдет? То, что вам нужно убрать из этой статьи, - это просто то, что вам стоит усилий использовать надежные пароли.
Чтобы предотвратить утечку паролей из вашего компьютера, убедитесь, что они не в вашем компьютере. Большинство паролей украдены из компьютеров, потому что люди позволяют интернет-браузерам запоминать свои пароли. Никогда не делайте этого с конфиденциальными паролями. Кроме того, хорошей практикой является не хранить даже зашифрованные пароли на вашем компьютере. Вместо этого используйте зашифрованный USB-накопитель или, по крайней мере, незашифрованный USB-накопитель с зашифрованным файлом паролей.
Простые методы выбора и хранения паролей
Многие люди почему-то считают, что пытаться создать надежные пароли-пустая трата времени, потому что вы не сможете справиться с запоминанием нескольких надежных паролей. Это абсолютно неправда. Но давайте предположим, что у вас плохая память и вам нужно где-то хранить мало используемые пароли. Есть несколько способов сделать это.
Первый наименее безопасен, но будет работать против всех сетевых краж, и это бесплатно. Это просто записать свои пароли на листе бумаги и оставить его в ящике стола. Вы также должны сделать копии своих паролей и положить их в другое место, например, в сейф, на случай, если ваш дом сгорит дотла. Вы можете рассмотреть этот метод для хранения паролей к учетным записям, для которых не критично, если бы пароли были украдены физически.
Еще один способ, который также является бесплатным, но более безопасным, - это поместить ваши пароли в зашифрованный файл. Это работает как против удаленных, так и против физических потерь. Пароль к зашифрованному файлу-это ваш мастер-пароль, который вы будете использовать почти каждый день и поэтому вряд ли забудете. Итак, единственный пароль, который вам нужно запомнить, - это ваш мастер-пароль. Поместите этот зашифрованный файл на флэш-накопитель.
Другой метод, который является несколько безопасным, то есть менее безопасным, чем только что упомянутый метод, - это использовать базовый пароль, состоящий, возможно, из восьми или десяти символов. Затем следуйте этому с серией, возможно, из четырех других уникальных символов. Таким образом, каждый из ваших паролей, которые у вас есть для электронной почты, банка и других онлайн-аккаунтов, будет состоять из вашего базового пароля, за которым следуют разные четыре символа. Тогда вам нужно запомнить только один базовый пароль и несколько четырех символьных паролей.
Самый безопасный метод хранения паролей начинается с аппаратно зашифрованного USB-накопителя. Затем зашифруйте файл пароля самостоятельно и добавьте его на свой аппаратный USB-накопитель. Это дает вам дважды зашифрованные файлы паролей.
Последний метод, который я не предлагаю, - это использовать такой сервис, как LastPass. Я не рекомендую это по двум причинам. Во-первых, это стоит денег, и что еще хуже, вы платите ежемесячную абонентскую плату за программное обеспечение. Вторая причина заключается в том, что если ваш мастер-пароль украден с серверов службы паролей, каждый пароль, который у вас есть, будет в руках вора. На мой взгляд, хранить конфиденциальные пароли и данные самостоятельно всегда лучше, чем доверять их третьей стороне.
Суть в том, что у вас действительно нет оправдания для того, чтобы не использовать надежные пароли на всех ваших учетных записях, потому что теперь у вас есть несколько способов гарантировать, что вы их не забудете.