Энэ нийтлэлд нууц үгийг хэрхэн бий болгох, түүнийг гаргахдаа ямар зарчмуудыг баримтлах, нууц үгийг хэрхэн хадгалах, хортой хэрэглэгч таны мэдээлэл, дансанд нэвтрэх магадлалыг багасгах талаар ярилцах болно.
Энэ материал нь "Нууц үгээ хэрхэн яаж эвдэх вэ" гэсэн өгүүллийн үргэлжлэл бөгөөд тэнд байгаа материалтай танилцах, эсвэл нууц үгээ алдах бүх гол арга замыг мэддэг гэсэн үг юм.
Нууц үг үүсгэх
Өнөөдөр Интернет данс бүртгүүлэх, нууц үг үүсгэх үед та ихэнхдээ нууц үгний бат бөх байдлын үзүүлэлтийг хардаг. Бараг хаа сайгүй энэ нь дараахь хоёр хүчин зүйлийн үнэлгээнд үндэслэн ажилладаг: нууц үгийн урт; нууц үгэнд тусгай тэмдэгт, том үсэг, тоо байх шаардлагатай.
Эдгээр нь хүчирхийллийн хүчээр хакердах нууц үгийн эсэргүүцлийн үнэхээр чухал үзүүлэлт боловч системд найдвартай санагддаг нууц үг үргэлж тийм байдаггүй. Жишээлбэл, "Pa $$ w0rd" гэх мэт нууц үг (мөн тусгай тэмдэгтүүд, тоо байдаг) маш хурдан хагарах магадлалтай байдаг - (өмнөх нийтлэлд дурдсанчлан) хүмүүс өвөрмөц нууц үг зохиох нь ховор байдаг. (нууц үгийн 50-аас бага хувь нь өвөрмөц байдаг) бөгөөд заасан сонголт нь халдагчдад ил гарсан байж болох мэдээллийн санд аль хэдийн орсон байх магадлалтай.
Хэрхэн байх Хамгийн сайн сонголт бол нууц үг үүсгэгчийг ашиглах (онлайн хэрэгслүүд хэлбэрээр интернетэд ашиглах боломжтой байдаг, компьютеруудад зориулсан ихэнх нууц үгийн менежерүүд дээр ашиглагддаг), тусгай тэмдэгтүүдийг ашиглан урт санамсаргүй нууц үг үүсгэх явдал юм. Ихэнх тохиолдолд эдгээр тэмдэгтээс 10 ба түүнээс дээш тооны нууц үг нь хакеруудад огт сонирхолгүй байдаг (жишээ нь түүний програм хангамж ийм сонголтыг сонгохоор тохируулагдаагүй болно), учир нь зарцуулсан хугацаа нь дуусахгүй болно. Саяхан Google Chrome хөтөч дээр суурилагдсан нууц үг үүсгэгч гарч ирэв.
Энэ аргын гол сул тал нь ийм нууц үгийг санахад хэцүү байдаг. Хэрэв нууц үгийг санаж байх шаардлагатай бол том үсэг, тусгай тэмдэгт бүхий 10 тэмдэгтээс бүрдэх нууц үгийг мянга ба түүнээс дээш тооны тоогоор (анзаарсан тоонууд нь зөв тэмдэгтүүдийн тооноос хамаарч) эвдэхэд хялбар байдаг тул өөр сонголт бий. зөвхөн жижиг латин үсгийг агуулсан 20 тэмдэгтээс бүрдэх нууц үг (хакерын талаар мэддэг байсан ч гэсэн).
Тиймээс 3-5 энгийн санамсаргүй англи үгнээс бүрдсэн нууц үгийг санахад хялбар байх бөгөөд хагарах нь бараг боломжгүй юм. Үг бүрийг том үсгээр бичсэний дараа бид 2-р зэргийн сонголтын тоог нэмэгдүүлдэг. Хэрэв энэ нь англи хэлний байрлалд бичсэн 3-5 орос үг (санамсаргүй, нэр, огноогоор биш) байвал нууц үг сонгохдоо толь бичиг ашиглах нарийн төвөгтэй аргуудыг таамаглах боломжийг хасна.
Магадгүй нууц үг үүсгэх талаар зөв зөв арга байдаггүй: янз бүрийн аргуудын давуу болон сул талууд байдаг (үүнийг санах чадвар, найдвартай байдал болон бусад үзүүлэлтүүдтэй холбоотой), гэхдээ үндсэн зарчим нь дараах байдалтай байна.
- Нууц үг тодорхой тооны тэмдэгтээс бүрдэх ёстой. Өнөө үед хамгийн түгээмэл хязгаарлалт бол 8 тэмдэгт юм. Хэрэв танд нууц үг хэрэгтэй бол энэ нь хангалтгүй юм.
- Боломжтой бол нууц үгэнд тусгай тэмдэгт, том, жижиг үсэг, тоог оруулах хэрэгтэй.
- Нууц үгийг санасан ч гэсэн хувийн нууц үгээ хэзээ ч бүү оруул. Огноо, нэр, овог байхгүй. Жишээлбэл, орчин үеийн Жулиан хуанлийн аль нэг огноог 0 дэх жилээс өнөөдрийг хүртэл (2015 оны 7-р сарын 18 эсвэл 18072015 гэх мэт) задлах нь хэдэн секундээс хэдэн цаг хүртэл үргэлжлэх болно (тэр ч байтугай цаг хойшлогдож байгаа тул цаг хугацаа л ажиллах болно. зарим тохиолдолд авах оролдлогын хооронд).
Та нууц үг нь сайт дээр хэр хүчтэй байгааг шалгаж болно (хэдийгээр зарим сайт дээр нууц үг оруулах нь хамгийн аюулгүй арга биш ч гэсэн) //rumkin.com/tools/password/passchk.php. Хэрэв та өөрийн жинхэнэ нууц үгээ баталгаажуулахыг хүсэхгүй бол ижил төстэй (ижил тооны тэмдэгтүүдээс, ижил багц тэмдэгтүүдээс) оруулаад түүний бат бөх байдлын талаар ойлголттой болоорой.
Тэмдэгт оруулах явцад уг үйлчилгээ энтропийг тооцоолж өгдөг (нөхцөлт байдлаар энтропийн сонголтуудын тоо 10 бит, тохируулгын тоо 2-оос аравны хүч хүртэл) бөгөөд тухайн нууц үгийг ашиглан янз бүрийн утгын найдвартай байдлын талаархи мэдээллийг өгдөг. 60-аас дээш тооны энтропи бүхий нууц үгүүд нь зорилтот сонголтын үеэр хагарах нь бараг боломжгүй юм.
Өөр нууц үг ашиглан ижил нууц үгийг ашиглах хэрэггүй
Хэрэв танд гайхалтай, төвөгтэй нууц үг байгаа бол та үүнийг хаана ч ашиглаж болно, энэ нь автоматаар бүрэн найдваргүй болно. Хакерууд та ийм нууц үгийг ашигладаг сайтуудын аль нэгэнд нэвтэрч ороход түүнийг бусад бүх алдартай имэйл, тоглоом, нийгмийн үйлчилгээ, тэр ч байтугай тэр даруй (автоматаар, тусгай програм хангамж ашиглан) туршиж үзэхээ мартуузай. онлайн банкууд (Таны нууц үг аль хэдийн алдагдсан эсэхийг мэдэх арга нь өмнөх нийтлэлийн төгсгөлд өгсөн болно).
Данс тус бүрт өвөрмөц нууц үг оруулах нь хэцүү байдаг, гэхдээ эдгээр дансууд нь таны хувьд дор хаяж чухал ач холбогдолтой бол энэ нь зайлшгүй шаардлагатай юм. Хэдийгээр таны хувьд ямар ч ач холбогдолгүй зарим бүртгэлүүдийн хувьд (өөрөөр хэлбэл та тэдгээрийг алдахад бэлэн байгаа бөгөөд санаа зовох зүйлгүй), хувийн мэдээллийг агуулаагүй ч гэсэн та өвөрмөц нууц үгсээр зурж болохгүй.
Хоёр хүчин зүйлийн гэрчлэл
Хүчтэй нууц үг нь хэн ч таны бүртгэлд нэвтрэхгүй гэсэн баталгаа өгөхгүй. Нууц үгийг ямар нэгэн байдлаар хулгайлах боломжтой (жишээ нь фишинг, хамгийн түгээмэл сонголт гэх мэт) эсвэл танаас авч болно.
Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam болон бусад бараг бүх томоохон онлайн компаниуд харьцангуй саяхан үеэс эхлэн дансанд хоёр хүчин зүйл (эсвэл хоёр алхамтай) баталгаажуулахыг идэвхжүүлсэн байна. Аюулгүй байдал танд чухал бол үүнийг асаахыг зөвлөж байна.
Хоёр хүчин зүйлийн гэрчлэлийг хэрэгжүүлэх нь янз бүрийн үйлчилгээнд бага зэрэг ялгаатай боловч үндсэн зарчим нь дараах байдалтай байна.
- Таныг үл мэдэгдэх төхөөрөмжөөс таны дансанд зөв нууц үг оруулсны дараа нэмэлт шалгалтанд орохыг шаардана.
- Баталгаажуулалтыг SMS код, ухаалаг гар утасны тусгай програм, урьдчилан бэлтгэсэн хэвлэмэл код, имэйлийн зурвас, техник хангамжийн түлхүүр ашиглан хийж гүйцэтгэдэг (хамгийн сүүлийн сонголт нь Google-ээс ирсэн, энэ компани нь хоёр хүчин зүйлийн гэрчлэлээр тэргүүлэгч байр суурь эзэлдэг).
Тиймээс халдагч таны нууц үгийг олж мэдсэн ч гэсэн таны төхөөрөмж, утас, имэйлд нэвтрэхгүйгээр таны акаунт руу нэвтрэх боломжгүй байна.
Хэрэв та хоёр хүчин зүйлийн гэрчлэл хэрхэн ажилладаг талаар бүрэн ойлгохгүй байгаа бол энэ сэдвээр Интернетэд нийтлэл, сайт дээр байрлуулсан үйлдлийн тодорхойлолт, зааварчилгааг уншихыг зөвлөж байна (Би энэ нийтлэлд дэлгэрэнгүй зааврыг оруулах боломжгүй болно).
Нууц үг хадгалах
Сайт тус бүрт зориулсан өвөрмөц нууц үгс маш сайн байдаг, гэхдээ би тэдгээрийг хэрхэн хадгалах вэ? Эдгээр бүх нууц үгийг санаж байх нь магадлал багатай юм. Хадгалагдсан нууц үгийг хөтөч дээр хадгалах нь эрсдэлтэй ажил юм: тэд зөвшөөрөлгүй нэвтрэхэд эмзэг болж зогсохгүй системийн эвдрэл, синхрончлол идэвхгүй болсон тохиолдолд алдагддаг.
Хамгийн оновчтой шийдэл нь нууц үгийн менежер гэж тооцогддог бөгөөд энэ нь ерөнхийдөө нэг нууц үгийг ашиглан нэвтрэх боломжтой нууц үгийн хадгалалтад (офлайн, онлайн хэлбэрээр) хадгалагддаг програмууд юм. Эдгээр програмуудын ихэнх нь нууц үг үүсгэх, үнэлэх хэрэгслээр тоноглогдсон байдаг.
Хэдэн жилийн өмнө Би Шилдэг Нууц Үгийн Менежерүүдийн талаар тусдаа нийтлэл бичсэн (үүнийг дахин бичих нь зүйтэй юм. Гэхдээ та энэ нь юу вэ, нийтлэлээс юугаараа алдартай болохыг олж мэдэх боломжтой юм). Зарим нь таны төхөөрөмж дээрх бүх нууц үгийг хадгалдаг KeePass эсвэл 1Password гэх мэт энгийн офлайн шийдлүүдийг илүүд үздэг бол бусад нь синхрончлох чадварыг өгдөг (LastPass, Dashlane) нэмэлт функцүүдийг ашиглахыг илүүд үздэг.
Мэдэгдэж байгаа нууц үгийн менежерүүд нь тэдгээрийг хадгалах хамгийн найдвартай, найдвартай арга гэж үздэг. Гэсэн хэдий ч зарим нарийн ширийн зүйлийг анхаарч үзэх нь зүйтэй.
- Бүх нууц үгэндээ хандахын тулд та зөвхөн нэг мастер нууц үгийг мэдэх хэрэгтэй.
- Онлайн хадгаламжийг хакердсан тохиолдолд (ердөө нэг сарын өмнө дэлхийн хамгийн алдартай LastPass нууц үгийн менежментийн үйлчилгээг хакердсан) нууц үгээ солих шаардлагатай болно.
Өөр нууц үгсийг хэрхэн хадгалах вэ? Энд хэд хэдэн сонголт байна:
- Та болон танай гэр бүлийн гишүүдэд нэвтрэх эрхтэй нууцлалтай цаасан дээр (ихэнхдээ нууц үгийг оруулж өгөх шаардлагагүй).
- Офлайн нууц үгийн мэдээллийн сан (жишээлбэл, KeePass) нь урт хугацааны хадгалах төхөөрөмжид хадгалагдаж, алдагдсан тохиолдолд хаа нэгтээ хуулбарлагддаг.
Миний бодлоор дээр дурдсан бүхний хамгийн оновчтой хослол нь дараахь аргууд юм: хамгийн чухал нууц үг (бусад данс, банк гэх мэт бусад дансаа сэргээх боломжтой үндсэн имэйл) нь толгой болон (эсвэл) цаасан дээр аюулгүй газар хадгалагддаг. Бага ач холбогдолтой бөгөөд үүн дээр ихэвчлэн ашиглагддаг нууц үгийг менежерийн програмуудад хуваарилах хэрэгтэй.
Нэмэлт мэдээлэл
Нууц үг сэдвийн талаархи хоёр өгүүллийг хослуулсан нь аюулгүй байдлын зарим талаар анхаарч үзээгүй зарим хүмүүст тусалсан гэж найдаж байна. Мэдээжийн хэрэг би боломжит бүх боломжуудыг харгалзан үзээгүй боловч энгийн логик, зарчмуудын зарим ойлголт нь тухайн цаг үед таны хийж байгаа зүйлийг хэр найдвартай хийж байгааг шийдэхэд тусална. Дахин хэлэхэд зарим зүйлийг дурьдаж, хэдэн нэмэлт зүйл хэлэв.
- Өөр сайтуудад өөр нууц үг ашиглана уу.
- Нууц үг нь нарийн төвөгтэй байх ёстой бөгөөд нууц үгийн уртыг нэмэгдүүлэх замаар та нарийн төвөгтэй байдлыг хамгийн их нэмэгдүүлэх боломжтой.
- Нууц үгийг өөрөө үүсгэж байх үед хувийн мэдээллийг бүү ашигла (олж болно), нууц үг, сэргээх нууцлалын асуултууд.
- Боломжтой бол 2 шатлалт баталгаажуулалтыг ашиглана уу.
- Нууц үгийг аюулгүй хадгалах хамгийн сайн аргыг хайж олоорой.
- Фишинг (вэбсайтын хаяг, шифрлэлтийг шалгах) болон тагнуулын програмаас болгоомжил. Нууц үг оруулах болгондоо, зөв сайтад оруулсан эсэхээ шалгаарай. Компьютероо хорт вирусаас ангид байлгаарай.
- Боломжтой бол нууц үгээ бусад хүмүүсийн компьютер дээр бүү ашиглаарай (хэрэв шаардлагатай бол үүнийг хөтөчийн "нууц нэр" горимд хийж, дэлгэцийн гарнаас ч илүү сайн харагдах болно), олон нийтийн нээлттэй Wi-Fi сүлжээн дээр, ялангуяа сайт руу холбогдох үед шифрлэлт байхгүй тохиолдолд ашиглах боломжтой. Байна.
- Магадгүй та хамгийн чухал нууц үгийг компьютер эсвэл онлайн хэлбэрээр хадгалах ёсгүй.
Ийм л байна. Би паранойн түвшинг дээшлүүлж чадсан гэж бодож байна. Тайлбарласан зүйлийн ихэнх нь тохиромжгүй мэт санагдаж байгааг би ойлгож байна. "Сайн, энэ нь намайг давах болно" гэх мэт бодлууд гарч ирж болох боловч нууц мэдээлэл хадгалахад аюулгүй ажиллагааны энгийн дүрмийг дагаж мөрдөх нь залхуурал цорын ганц шалтгаан нь түүний ач холбогдол дутагдалтай байх ба таны бэлэн байдалд бэлэн байж болзошгүй юм. гуравдагч этгээдийн өмч болно.
