Panduan Kata Laluan yang Kuat: Anda terlalu lemah, berikut adalah penyelesaian …

Cara membuat dan mengingati kata laluan yang kuat


Kata laluan 6 huruf dapat ditebak oleh komputer dalam 1 saat (jika itu adalah kata dari kamus). Huruf kecil 9 huruf (seperti ‘spaghetti’) mengambil masa kurang dari 32 minit. Dan ketika saya meneka, saya tidak bermaksud peluang kecil. Maksud saya 100% kepastian bahawa kata laluan anda boleh diremukkan, menggunakan apa yang dikenali sebagai ‘Kamus Serangan’.

Ini adalah salah satu daripada banyak teknik yang dimiliki oleh penggodam untuk mendapatkan akses tanpa izin ke akaun anda. Dan bagaimana jika anda menggunakan kata laluan yang sama pada banyak akaun? Bagaimana jika penggodam mendapat akses ke akaun e-mel utama anda, dan dari mereka dapat menetapkan semula kata laluan ke mana-mana akaun anda yang lain!

Kerosakannya akan besar, dan mungkin tidak dapat diperbaiki.

Kami bercakap mengenai kemungkinan kehilangan wang, kehilangan kekal akses akaun, pencurian identiti, fitnah awam, pendedahan maklumat peribadi atau kewangan yang sensitif. Percayalah, ia akan menjadi buruk.

Setelah mendapat perhatian anda, izinkan saya menunjukkan kepada anda betapa tidak selamatnya kata laluan anda (dan amalan terbaik mutlak untuk melindungi keselamatan akaun dalam talian dan luar talian).

Contents

Dalam artikel ini, anda akan belajar:

  1. 4 petua cepat untuk kata laluan yang lebih kuat (tetapi anda akan belajar lebih banyak lagi jika anda membaca keseluruhan artikel)
  2. Bagaimana kata laluan retak (pengenalan)
  3. Serangan Kamus
  4. Jadual Pelangi
  5. Keselamatan Kata Laluan
    1. Anatomi kata laluan yang kuat
    2. Amalan Terbaik Kata Laluan (kata laluan unik, pengesahan 2 faktor, dll.)
    3. Cara mengingat / menyimpan kata laluan yang kuat
  6. Vault Kata Laluan (pilihan cloud dan host sendiri)
  7. Pengesahan Dua Faktor (anda memerlukannya. Hari ini.)
  8. Ringkasan dan Sumber Tambahan

4 Peraturan untuk Kata Laluan yang Kuat

Inilah petua teratas saya yang cepat dan kotor untuk memaksimumkan keselamatan kata laluan dan keselamatan akaun anda dalam jangka masa terpendek. Petua ini adalah titik permulaan yang baik, tetapi jika anda mempunyai masa anda akan belajar banyak lagi dengan membaca keseluruhan artikel.

# 1 – Gunakan Kata Laluan yang Kuat

Ini seolah-olah tidak berakal, tetapi kebanyakan orang tidak tahu maksud ‘kuat’. Inilah cheatsheat:

  1. Kuat – Gunakan minimum 3 dari 4 (huruf besar, huruf kecil, angka, simbol)
  2. Lama – 11+ aksara minimum. 16 atau lebih lama jika anda mengabaikan peraturan # 1
  3. Secara rawak – Lebih mudah untuk memecahkan kata laluan yang mengandungi kata-kata sebenar (‘Donkey1975’)

# 2 – Gunakan beberapa kata laluan unik

Sekiranya laman web mempunyai pelanggaran data dan log masuk / kata laluan anda dicuri (saya jamin ini telah berlaku sekurang-kurangnya sekali) berapa banyak laman web lain yang dapat diakses oleh peretas dengan bukti kelayakan anda? Sebaik-baiknya anda mahu nombor itu – ZERO.

Pada hakikatnya, kebanyakan orang harus menjawab di antara “Beberapa” dan “Hampir semuanya …”

Jangan sekali-kali menggunakan kata laluan semula untuk laman web yang sangat penting seperti:

  1. akaun bank
  2. 401k / Akaun stok
  3. E-mel

# 3 – Gunakan Password Vault (untuk mengingat kata laluan anda)

Masalah dengan kata laluan yang kuat adalah mustahil untuk mengingat semuanya. Nasib baik, terdapat beberapa ‘Password Vault’ dan penyelesaian kata laluan awan yang dapat menghasilkan dan mengingat semua kata laluan kuat anda untuk setiap laman web. Yang perlu anda lakukan ialah ingat satu ‘Kata Laluan Utama’ tunggal.

Cadangan saya secara peribadi:

  • Laluan terakhir – Penyelesaian awan, boleh diakses di mana sahaja. Sambungan penyemak imbas dan sokongan mudah alih.
  • Keepass – Loker kata laluan yang dihoskan sendiri. Disimpan pada peranti anda sendiri.

# 4 – Dayakan pengesahan 2 faktor

Pengesahan dua faktor menambah lapisan keselamatan kedua pada proses log masuk. Kata laluan sahaja tidak mencukupi. Anda memerlukan kata laluan dan akses ke peranti pengesahan (biasanya telefon bimbit anda yang menerima permintaan pengesahan melalui pemberitahuan teks atau push).

Tidak semestinya kerumitan, dan banyak sistem 2FA hanya perlu mengesahkan anda sekali, melainkan anda cuba log masuk kemudian dari peranti yang tidak dikenali.

Dua akaun terpenting untuk 2FA:

  1. Vault Kata Laluan Anda (jika tidak, jika seseorang mencuri kata laluan utama anda, mereka dapat mengakses sebarang akaun).
  2. Emel anda (Penggodam dengan akses ke e-mel anda dapat menetapkan semula kata laluan ke akaun lain dengan mudah).

Lastpass mempunyai banyak pilihan (percuma) untuk menambahkan pengesahan 2 faktor ke akaun anda. Sejauh penyedia e-mel, kebanyakan lambat menggunakan teknologi 2FA. Pengecualian yang ketara ialah Google, yang pernah ada Pengesahan 2 faktor pada gmail untuk tahun.

Bagaimana Kata Laluan Dihancurkan

Bahagian ini akan memberi anda pengenalan yang kukuh mengenai pelbagai cara kata laluan anda dapat dikompromikan (vektor ancaman). Kami juga akan membincangkan kaedah yang digunakan oleh laman web untuk menyimpan (atau kadangkala tidak selamat) menyimpan bukti masuk anda dengan selamat.

Anda juga akan belajar bagaimana penggodam dapat membalikkan pangkalan data kata laluan yang dienkripsi (dan bagaimana melindungi diri anda).

Terdapat dua cara utama kata laluan anda dapat dipecahkan:

  1. Meneka kata laluan / serangan kekerasan
  2. Membalikkan kata laluan kejuruteraan yang dicuri dari laman web yang digodam.

Serangan Meneka Kata Laluan

Serangan ini berfungsi (dalam talian dan luar talian) dengan mencuba pelbagai kata laluan yang berbeza untuk nama pengguna yang sama berturut-turut. Komputer yang pantas dapat mencuba ribuan (atau bahkan berjuta-juta) kombinasi sesaat. Menebak serangan berfungsi lebih pantas dalam senario luar talian (memecahkan kata laluan OS atau fail).

Menebak serangan terhadap laman web akan menjadi lebih lambat, kerana pelayan web akan mengehadkan seberapa cepat pengguna dapat mencuba kombinasi kata laluan baru.

Serangan meneka biasa:

  1. Kekerasan – Mencuba setiap kemungkinan kombinasi watak
  2. Serangan Kamus – Tebak kata / kata laluan yang paling biasa

Serangan Brute Force

Ini adalah bentuk serangan meneka kata laluan yang paling mudah. Penggodam menggunakan perisian untuk mencuba setiap kemungkinan kombinasi watak dalam setiap panjang kata laluan, sehingga yang betul dijumpai.

Oleh kerana keperluan kata laluan laman web tertentu diketahui umum (seperti ‘mesti mengandungi sekurang-kurangnya 1 angka’), peraturan serangan brute force dapat disesuaikan dengan keperluan kata laluan minimum laman web.

Terdapat banyak laman web yang dapat menganggarkan jumlah masa yang diperlukan untuk memecahkan kata laluan yang berbeza dengan kepastian 100% dengan kekerasan. Anda juga dapat melihat perbezaan masa untuk PC peribadi berbanding botnet atau superkomputer.

Laman web untuk menganggarkan kekuatan kata laluan anda:

  • Pemeriksaan kata laluan selamat Kapersky
  • Meter Kata Laluan
  • Berapa lama untuk menggodam kata laluan saya

Adakah anda fikir 12 aksara kecil merupakan kata laluan yang kuat? Fikir semula. Berikut adalah keputusan kekerasan kata laluan ‘Vpnuniversiti’ menggunakan alat kata laluan Kapersky:

Kata laluan kekerasan retak (alat kata laluan selamat Kapersky)

Kata laluan ‘vpnuniversity’ retak dalam 25 minit oleh komputer riba Macbook 2012

Betul. Seorang penggodam remaja dengan Macbook berusia 4 tahun dapat memecahkan kata laluan huruf kecil 12 watak dalam masa yang lebih sedikit daripada yang diperlukan untuk menonton episod ‘Seinfeld’. Dan botnet dapat melakukannya dalam satu saat.

Kemudian dalam artikel ini (di bahagian keselamatan kata laluan) kami akan membandingkan hasil ini dengan kata laluan 12 aksara yang dihasilkan secara rawak yang mengandungi semua 4 jenis watak. Petunjuk: Jauh lebih kuat.

Serangan Kamus

Serangan Kamus adalah jalan pintas yang memaksa untuk meneka kata laluan dengan lebih berkesan dengan membuat andaian khusus mengenai kata laluan anda. Secara khusus, kata laluan anda mengandungi kata-kata yang dapat dikenali dan / atau frasa kata laluan yang biasa.

Dengan mengehadkan serangan kata laluan hanya kepada kombinasi kata laluan termasuk kata-kata yang diketahui (atau kata laluan bukan kata umum lain seperti ‘123123’) penyerang dapat membuat serangan kekerasan lebih berkesan. Sebabnya? Hanya sebilangan kecil (kurang dari 0.1%) dari semua kombinasi watak rawak yang sebenarnya akan mengandungi perkataan yang dikenali dengan 4 watak atau lebih.

Kelebihan: Dengan andaian anda menggunakan kata sandi yang rentan terhadap serangan kamus, kata sandi anda akan retak dalam waktu kurang dari 1/1000 dari waktu yang diperlukan oleh komputer untuk mencuba kombinasi karakter rawak sehingga pertandingan dijumpai. Hasilnya, sebilangan besar serangan meneka dalam talian adalah serangan kamus.

Kekurangan: Tidak mungkin serangan kamus dapat meneka kata laluan dengan betul yang terdiri daripada aksara, nombor dan simbol semata-mata. Sekiranya kata laluan tidak mengandungi kata, kecocokan tidak akan pernah dijumpai, walaupun serangan berjalan untuk jangka masa yang tidak terbatas.

Penyimpanan Data, Penyulitan & Penyahsulitan Kata Laluan

Walaupun serangan meneka kata laluan menargetkan hanya satu pengguna pada satu masa, pelanggaran data dapat memperlihatkan bukti masuk untuk ribuan atau bahkan berjuta-juta pengguna pada satu masa. Terdapat beberapa pelanggaran data MASSIVE dalam 4 tahun terakhir, termasuk Target, Ashley Madison, dan Adobe.

Bahagian ini akan melihat teknik yang digunakan oleh laman web (atau tidak) untuk menyimpan kata laluan anda dengan selamat, serta teknik yang paling biasa (seperti Jadual Pelangi) yang digodam oleh penggodam untuk membalikkan pangkalan data kata laluan yang dienkripsi..

Bagaimana laman web menyimpan kata laluan

Sebilangan besar laman web yang menyimpan data pengguna mengambil langkah berjaga-jaga untuk menyimpan kata laluan dalam bentuk yang dienkripsi. Jika dilaksanakan dengan betul, walaupun pangkalan data pengguna dicuri semasa penggodaman, sukar atau mustahil untuk menyahsulitkan kata laluan menjadi teks biasa.

Laman web menyimpan kata laluan menggunakan teknik yang disebut ‘Hashing’.

Apa itu Hashing?

Dalam bentuk paling mudah, Fungsi Hash Kriptografi atau algoritma ‘Hash’ adalah sekumpulan peraturan matematik yang mengubah coretan teks menjadi rentetan watak rawak dengan panjang tetap (tidak kira berapa lama teks yang dimasukkan, hash yang dihasilkan akan selalu bilangan aksara yang sama).

Matematik di sebalik hashing sangat rumit, dan terdapat banyak algoritma hashing yang boleh dipilih, tetapi semuanya berkongsi 1 perkara yang sama, yang merupakan inti mengapa hash merupakan kaedah yang baik untuk menyimpan kata laluan …

Fungsi Hash Kriptografi adalah fungsi sehala. Maksudnya, mudah untuk menghitung hash coretan teks, tetapi secara matematik sangat sukar (pada dasarnya mustahil) untuk menukar hash secara matematik kembali ke teks asal.

Terdapat juga 3 sifat penting CHF:

  1. Rentetan teks yang diberikan seperti ‘kata laluan’ akan selalu menghasilkan output hash yang sama
  2. Menukar 1 watak input (‘kata laluany‘) Secara dramatik akan mengubah hash ouput
  3. Tidak mungkin dua rentetan teks input berbeza menghasilkan output hash yang sama.

Terdapat banyak laman web percuma di mana anda boleh mengira hash sendiri untuk melihat bagaimana prosesnya berjalan. Berikut adalah pasangan:

  • http://www.sha1-online.com – menggunakan fungsi SHA1 hash.
  • Penjana MD5 – Menggunakan fungsi hashing MD5 (tidak lagi dianggap selamat)

Contohnya, menjalankan algoritma hash SHA1 pada kata ‘kata laluan’ menghasilkan ini:

Contoh hash SHA-1

SHA-1 hash perkataan ‘kata laluan’

Bagaimana laman web menggunakan hashing untuk penyulitan kata laluan

Apabila anda membuat nama pengguna / kata laluan pada kombo, laman web sebenarnya tidak menyimpan kata laluan anda di dalam pangkalan data. Sebaliknya, mereka menyimpan Hash kata laluan anda. Apabila anda cuba log masuk, laman web akan mengira hash teks yang anda masukkan di medan ‘kata laluan’, dan membandingkan hasilnya dengan hash yang tersimpan di dalam pangkalan data. Sekiranya sesuai, log masuk anda akan berjaya.

Jadi pada hakikatnya, laman web sebenarnya tidak tahu apa kata laluan anda (sebab itulah biasanya anda hanya dapat menetapkan semula kata laluan anda, anda sebenarnya tidak dapat mengambilnya jika anda terlupa).

Kelebihan ini jelas: Sekiranya pangkalan data pengguna laman web dicuri, penggodam sebenarnya tidak akan mempunyai kata laluan anda, mereka hanya akan mengetahui hash kata laluan, yang tidak mencukupi untuk log masuk ke akaun anda.

Tunggu, mengapa penggodam tidak boleh masuk menggunakan hash yang mereka curi?

Kerana ketika mereka cuba masuk, laman web akan mengira hash apa sahaja yang dimasukkan dalam bidang ‘kata laluan’. Sekiranya penggodam hanya cuba menggunakan hash yang mereka curi sebagai kata laluan, laman web sebenarnya akan mengira hash hash yang tidak sepadan dengan kelayakan masuk dalam pangkalan data, dan log masuk mereka akan ditolak.

Sebagai contoh. Kami sudah mengira hash perkataan ‘password’ tetapi bagaimana jika anda mengira hash hash? Anda mendapat ini …

Hash contoh Hash

Tanda hash ‘kata laluan’

Oleh itu, walaupun mereka mencuri hash kata laluan anda yang disulitkan, mereka masih tidak tahu apa sebenarnya kata laluan anda. Tetapi Mr Hacker masih mempunyai tipu muslihat. Ia dipanggil a Jadual Pelangi dan dia mungkin dapat menyahsulitkan kata laluan anda …

Jadual Pelangi

Secara definisi, fungsi Hash secara matematik mustahil untuk dibalikkan (anda tidak dapat mengira teks asalnya berdasarkan hash yang dikeluarkan) sehingga penggodam memutuskan untuk menghadapi masalah dari arah yang berbeza. Penyelesaian? Meja pelangi.

Pendekatan novel ini sebenarnya lebih menyerupai kaedah brute force. Penggodam ingin menyahsulitkan pangkalan data kata laluan hash, jadi dia sebenarnya menggunakan perisian untuk mengira hash berjuta-juta (atau bahkan berbilion) kombinasi kata laluan. Hash yang dikira ini disimpan dalam konfigurasi pangkalan data yang dikenali sebagai ‘Rainbow Table’.

Sebaik sahaja dia mempunyai meja pelangi, penggodam dapat membandingkan pangkalan data hash yang dicuri, dengan meja pelangi yang dikira. Setiap kali perisian menemui padanan, penggodam dapat dengan mudah menyimpulkan kata laluan, kerana meja pelangi memetakan setiap kata laluan teks biasa ke hashnya.

Betapa layaknya Serangan Meja Pelangi?

Sangat, seperti yang ditunjukkan oleh pelanggaran Ashley Madison. Dengan menggunakan jadual pelangi, penggodam dapat menyahsulit lebih daripada 11 juta daripada 30 juta kata laluan yang dicuri dalam pelanggaran tersebut, kerana beberapa akaun pengguna awal dicincang dengan algoritma MD5 yang tidak selamat.

Mendapatkan akses ke meja pelangi sangat mudah. Percaya atau tidak, anda boleh menghasilkan jadual pelangi sendiri di komputer rumah menggunakan perisian percuma seperti Rainbow Crack. Terdapat juga pangkalan data percuma yang tersedia untuk pembelian, atau bahkan secara percuma di laman web torrent dan forum penggodaman. Bahkan ada laman web percuma yang memeriksa hash terhadap jadual nilai yang dihitung sebelumnya.

Tidak menghairankan, hash kata laluan satu perkataan yang biasa dapat didekripsi hampir seketika menggunakan pangkalan data dalam talian percuma (yang banyak lebih kecil daripada meja pelangi sebenar).

Adakah anda berfikir untuk menjadikan kata laluan anda sebagai pasukan bola sepak kegemaran anda (Amerika)? Fikir semula…

Pencarian kata laluan terbalik

Kata laluan satu perkataan pendek mudah diterbalikkan

Kelemahan dan Pertahanan Meja Pelangi

Jadual pelangi mempunyai satu kelemahan utama: ada had berapa banyak data yang dapat mereka simpan sebelum menjadi lambat, tidak berat sebelah atau terlalu besar untuk disimpan. Meja pelangi mudah alih hanya dapat menyimpan hash untuk semua kombinasi kata laluan dengan panjang hingga 12 aksara sebelum ia mula menjadi tidak dapat dilaksanakan dari perspektif masa dan kos (tahap daya pemprosesan tidak percuma).

Batasan ini dapat diperluas sedikit jika jadual pelangi tidak termasuk semua kombinasi watak rawak, tetapi lebih memusatkan perhatian pada kombinasi kata yang diketahui (seperti serangan kamus).

Terdapat dua teknik utama untuk memanfaatkan had ini dan memastikan kata laluan anda selamat:

  1. Pengasinan (dilaksanakan oleh laman web ketika mencirikan kata laluan anda)
  2. Kata laluan yang lebih kukuh (ini ada pada anda bro.)

Penjualan Kata Laluan

Salting sejauh ini adalah pertahanan # 1 terhadap meja pelangi, dan penggunaan kata sandi yang betul dapat membuat serangan hampir tidak praktikal, kerana memaksa penggodam untuk menghasilkan meja pelangi yang unik (dan besar) untuk setiap kata laluan individu yang ingin mereka retak.

Secara sederhana, a Garam adalah rentetan watak rawak yang ditambahkan pada akhir kata laluan anda sebelum dicincang untuk disimpan di pangkalan data laman web. Pangkalan data menyimpan kedua-dua hash, serta nilai garam sehingga dapat mengira hash dengan betul setiap kali anda log masuk.

Oleh kerana setiap akaun pengguna menggunakan nilai garam yang berbeza semasa kata laluan mereka dibuat, jadual pelangi yang dibuat menggunakan garam yang diketahui (dicuri dari pangkalan data) hanya akan berfungsi untuk merekodkan semula kata laluan pengguna tersebut (dengan asumsi garam membuat kata laluan + panjang garam jauh hingga panjang untuk disimpan di meja pelangi).

Agar meja pelangi yang sama digunakan untuk mendekripsi semua hash dalam pangkalan data, ia harus cukup besar untuk memuat semua kombinasi input panjang kata laluan + panjang garam. Dengan menjadikan garam cukup besar (bahkan 16 aksara akan banyak) mengira hash semua kombinasi yang mungkin tidak akan dapat dilaksanakan.

Menggunakan nilai garam yang berbeza untuk setiap pengguna juga bermaksud bahawa walaupun dua pengguna mempunyai kata sandi yang sama, hash yang tersimpan dalam pangkalan data akan berbeza untuk masing-masing (kerana garam unik ditambahkan pada kata laluan sebelum mencirikan, sehingga mengubah output.

Ashley Madison tidak betulkan kata laluan mereka, itulah sebabnya sangat mudah untuk menyahsulitkan hash MD5 yang dicuri dalam pelanggaran tersebut.

Kata Laluan Panjang

Sebilangan besar syarikat akan mengikuti prosedur keselamatan yang betul dan menggunakan garam besar sebelum mencantumkan kata laluan anda untuk penyimpanan. Sebilangan orang tidak, baik melalui kemalasan atau kejahilan. Ini adalah satu lagi sebab anda harus mengambilnya sendiri untuk menjadikan kata laluan anda sekuat mungkin.

Dengan membuat kata laluan anda 16+ aksara, dengan menggunakan semua 4 jenis watak, anda dapat membuat serangan meja pelangi tidak praktikal walaupun terhadap hash yang tidak berlapis.

Penggodam akan berpuas hati untuk membalikkan 90% kata laluan yang lemah oleh pengguna yang tidak tahu lebih baik, dan semoga data anda semestinya tetap selamat dan terjamin.

Kata Laluan yang Kuat (Semua yang anda perlu ketahui)

Sekiranya anda mengikuti amalan terbaik yang disyorkan untuk pemilihan dan penyimpanan kata laluan, anda akan mengurangkan risiko anda secara mendadak sekiranya berlaku pelanggaran data. Tidak ada yang dapat menjamin keselamatan mutlak (tentunya saya tidak dapat) tetapi prinsip-prinsip ini merupakan langkah besar ke arah yang betul.

Apa yang merupakan kata laluan yang kuat?

Kata laluan yang baik semestinya selagi mungkin, sekerap mungkin (atau paling tidak rawak) mungkin, dan mengandungi seberapa banyak jenis watak:

4 jenis watak tersebut adalah:

  • huruf besar
  • huruf kecil
  • nombor
  • simbol

Untuk menggambarkan betapa pentingnya menambahkan sebanyak mungkin 4 jenis watak ini semasa anda membuat kata laluan, mari kita pertimbangkan kesukaran untuk memecahkan kata laluan anda melalui kekerasan:

Terdapat 26 huruf kecil (dalam abjad Inggeris) sehingga kata laluan 8 huruf besar mempunyai kata kunci 268 kombinasi unik.

Sekiranya anda menambah huruf besar, angka 0-9, dan 10 simbol (10 yang tersedia dengan menekan SHIFT + [angka 0-9]) anda akan mendapat 72 pilihan watak yang unik. Dalam kata laluan 8 aksara, ini menghasilkan 728 kombinasi unik.

Adakah anda ingin meneka berapa banyak kemungkinan kombinasi yang ada ketika anda menggunakan 72 aksara untuk kata laluan anda?

Mari buat matematik:

268 = 208,827,064,576

728 = 722,204,136,308,736

728/268 = 3458 (dibundarkan ke bilangan bulat terdekat).

Dengan kata lain, jika memerlukan 1 hari untuk memecahkan kata laluan pertama, akan memakan masa hampir 10 tahun untuk memecahkan kata laluan pertama.

Apabila anda mencapai 12 watak, perbezaannya lebih dramatik:

7212 / 2612 = 203,381 kali lebih kuat.

Peraturan untuk kata laluan yang baik:

  • Kuat (pelbagai jenis watak)
  • Lama (Minimum 11 watak, 13+ lebih baik)
  • Secara rawak (Elakkan menggunakan kata-kata umum yang rentan terhadap serangan kamus).

Amalan Terbaik Kata Laluan (Akan mengurangkan pendedahan anda selepas pelanggaran data).

Ikuti peraturan mudah ini untuk meminimumkan kerosakan (jika ada) yang mungkin berlaku jika penggodam mencuri pangkalan data yang mengandungi salah satu kata laluan anda.

Peraturan # 1 – Gunakan Kata Laluan Unik (Terutama untuk akaun penting).

Kebanyakan orang menggunakan kata laluan yang sama berulang kali untuk akaun yang berbeza. Masalah dengan ini jelas. Sekiranya penggodam mencuri kata laluan anda, dia sekarang dapat mengakses akaun apa pun yang menggunakan kombinasi log masuk / kata laluan itu.

Sekiranya anda menggunakan kata laluan unik untuk setiap akaun, pencurian satu kata laluan tidak akan menjadikan mana-mana akaun anda yang lain terdedah. Kubah kata laluan seperti Lastpass mempunyai penjana kata laluan rawak yang terpasang kemudian dapat membantu anda memilih kata laluan kuat yang unik untuk setiap laman web.

Tidak ada sebab seseorang boleh mengakses akaun bank anda hanya kerana mereka menggodam akaun twitter anda (dan jika anda percaya selebriti, Twitter selalu digodam). Gunakan kata laluan yang unik.

Peraturan # 2 – Dayakan pengesahan 2 faktor untuk akaun penting anda

Sekiranya anda belum menggunakan 2FA, anda semestinya. Sangat sukar bagi orang lain untuk mengawal akaun anda, walaupun mereka mempunyai kombinasi log masuk / kata laluan yang betul. Mudah dilaksanakan, tersedia di banyak laman web, dan biasanya percuma.

Apa itu Pengesahan Dua Faktor

2FA (kadang kala disebut juga dua faktor pengesahan) adalah langkah keselamatan yang memerlukan pengguna menyelesaikan 2 langkah berasingan sebelum mengakses akaun. Gabungan 2FA yang paling biasa adalah:

  1. Sesuatu yang anda tahu (gabungan log masuk / kata laluan)
  2. Sesuatu yang anda ada (Telefon pintar, token keselamatan, pemacu denyar, dll …)

Selepas anda memasukkan log masuk / kata laluan anda, anda menggunakan peranti pengesahan fizikal anda untuk melengkapkan log masuk. Selalunya ini dalam bentuk SMS atau pemberitahuan push yang dihantar ke telefon pintar anda, yang mengandungi kod pengesahan yang unik (dan sementara).

Walaupun penggodam berjaya menyahsulitkan kata laluan anda, sangat tidak mungkin dia dapat menggunakan peranti pengesahan anda (melainkan dia sungguh bermotivasi).

Di mana menggunakan 2FA?

Walaupun banyak laman web menawarkan pengesahan 2 faktor, majoriti tidak. Ia juga menambahkan sedikit masa untuk proses log masuk, jadi biasanya hanya bermanfaat untuk laman web yang paling penting.

Terdapat 3 kategori utama laman web yang sangat kami sarankan untuk mengaktifkan 2FA:

  1. Akaun e-mel utama anda
  2. Awan awan kata laluan anda (jika anda menggunakannya)
  3. Akaun bank / broker

Mengapa jenis akaun ini?

Akaun Bank / Broker / Persaraan – Akaun ini adalah pilihan yang jelas untuk 2FA, kerana pelanggaran akaun akan sangat mendatangkan kerugian. Sebilangan besar nilai bersih anda (di luar rumah anda jika anda memiliki) pada dasarnya hanya angka dalam pangkalan data komputer. Sekiranya penggodam mendapat akses ke akaun anda, dia boleh memindahkan simpanan wang anda ke akaun lain, dan anda akan, seperti yang kita katakan, Shit Outta Luck.

Akaun peti besi e-mel / Kata Laluan – Dalam banyak cara, akaun ini sebenarnya yang paling penting, kerana akaun gerbang mereka. Sekiranya penggodam dapat mengakses e-mel anda, dia dapat menetapkan semula kata laluan anda untuk mana-mana laman web yang menggunakan alamat e-mel tersebut. Sebuah peti besi kata laluan lebih berbahaya, dan jika dikompromikan, penggodam secara harfiah dapat memuat turun semua kombinasi log masuk anda adalah teks biasa. Yikes.

Namun ada sedikit berita buruk. Sangat sedikit penyedia e-mel yang menganggap 2FA bernilai usaha. Nasib baik, google terus mementingkan keselamatan diri. Mengaktifkan pengesahan 2 faktor untuk Gmail adalah cepat dan mudah.

Mengapa anda memerlukan pengurus kata laluan

Masalah dengan kata laluan yang kuat dan unik adalah mustahil untuk diingat. Secara harfiah.

Itulah sebabnya berjuta-juta (mungkin berbilion) pengguna telah beralih ke perkhidmatan pengurusan kata laluan seperti Lastpass, Keepass, Dashlane, dan 1Password. Yang perlu anda ingat ialah 1 ‘Kata Laluan Utama’ dan pengurus kata laluan melakukan semua pengangkatan dan penyimpanan kelayakan dalam talian anda dengan berat.

Sebilangan besar perkhidmatan ini ‘berasaskan awan’, yang bermaksud peti besi kata laluan anda tersedia dari mana-mana lokasi dengan sambungan internet. Kata laluan anda akan disimpan dalam pangkalan data yang dienkripsi, menggunakan teknologi yang sama dengan enkripsi cakera keras profesional (yang masih harus melindungi data anda walaupun pangkalan data diretas).

Terdapat dua jenis pengurus kata laluan:

  1. Penyelesaian yang dihoskan sendiri (luar talian).
  2. Penyelesaian Cloud (dalam talian)

Kedua-dua pengurus kata laluan cloud dan host sendiri melakukan perkara yang sama (menyimpan dan mengingat semua kata laluan anda dalam bentuk yang dienkripsi) tetapi masing-masing mempunyai kebaikan dan keburukannya sendiri.

Pengendali kata laluan yang dihoskan sendiri berbanding Cloud

Sebilangan besar perkhidmatan pengurusan kata laluan kini berasaskan awan kerana awan membolehkan pengguna menyegerakkan kata laluan mereka di semua peranti dan mengakses kata laluan mereka dari mana-mana peranti dengan sambungan internet. Walaupun kemudahan ini adalah faedah besar, terdapat juga dua peringatan:

  1. Anda harus mempercayai syarikat pengurusan kata laluan anda untuk tidak kehilangan (atau bahkan mencuri) kata laluan anda.
  2. Anda harus mempercayai kemampuan mereka untuk menyulitkan dan melindungi kata laluan anda daripada pencurian oleh orang lain.

Pokoknya: Selagi anda berpegang pada pengurusan kata laluan nama yang paling dipercayai, data anda harus selamat dan anda boleh mempercayai bahawa kata laluan anda dilindungi menggunakan amalan terbaik standard industri seperti:

  • Penyulitan pengetahuan sifar (Hanya anda yang mempunyai kunci penyulitan)
  • Pemindahan data terenkripsi HTTPS kata laluan ke / dari peti besi anda
  • Penjualan kata laluan hash (jadi mereka sukar untuk membuat kejuruteraan terbalik walaupun peti besi anda dilanggar).

3 pengurus kata laluan kegemaran kami

3 pengurus kata laluan kegemaran kami (tidak teratur) adalah:

  • Laluan terakhir (awan sahaja)
  • Dashlane (penyegerakan awan dan tempatan)
  • Keepass (peti besi tempatan dengan pilihan penyegerakan)

Masing-masing mempunyai kelebihan tersendiri, dan mana yang harus anda pilih bergantung pada anggaran, pilihan privasi anda, dan sama ada anda mengutamakan kemudahan daripada keselamatan.

Lasspass (Awan | Freemium)

Lasspass adalah pengurus kata laluan hanya awan yang menjadikan maklumat log masuk anda mudah diakses dari mana-mana peranti.

Mereka beroperasi pada model harga freemium, di mana pelanjutan penyemak imbas PC atau percuma tetapi anda perlu membayar untuk mengakses peti besi terakhir dari peranti mudah alih anda.

Firefox Lastpass

Sambungan firefox Lastpass

Bagaimana Lastpass Berfungsi

Anda menggunakan Lastpass dengan memasang pelanjutannya untuk penyemak imbas web kegemaran anda (semua penyemak imbas utama disokong). Anda log masuk ke akaun lastpass anda dengan satu ‘Kata Laluan Utama’ yang kemudian memberi anda akses ke ‘peti besi’ Lastpass penuh anda.

Lastpass secara automatik akan mengisi semula ruang masuk / kata laluan untuk laman web yang disimpan (atau bahkan autologin jika anda mahu).

Semua nama pengguna / kata laluan anda disulitkan secara tempatan sebelum menghantarnya ke cloud lastpass menggunakan penyulitan AES 256-bit. Lastpass bahkan tidak mengetahui Kata Laluan Utama anda (mereka hanya menyimpan hash masinnya untuk pengesahan log masuk). Ini adalah pengurus kata laluan pengetahuan sifar.

Adakah LastPass selamat?

Sangat. Seluruh pangkalan data anda disimpan dalam bentuk yang dienkripsi, jadi walaupun data dicuri dari pelayan cloud mereka, penggodam sangat tidak mungkin dapat memecahkan penyulitan yang melindungi kata laluan anda.

Lastpass sebenarnya diretas pada tahun 2015 tetapi penceroboh tidak dapat menjejaskan akaun pengguna berkat pelbagai langkah keselamatan yang berlebihan yang dilaksanakan oleh Lastpass.

Pengesahan Dua Faktor

Jadikan peti besi Lastpass anda lebih selamat dengan mengaktifkan pengesahan 2 faktor (mereka menawarkan pelbagai pilihan, yang kebanyakannya percuma). Ini menjadikan hampir mustahil bagi penggodam untuk mengakses akaun anda, walaupun mereka mempunyai kata laluan utama anda.

Harga

Lastpass adalah perkhidmatan ‘Freemium’. Pada dasarnya adalah percuma untuk menggunakan jalan terakhir di penyemak imbas web kegemaran anda tetapi anda harus menaik taraf untuk menyegerakkan kata laluan ke telefon pintar atau peranti mudah alih anda yang lain. Premium hanya $ 12 setiap tahun.

Dapatkan Laluan Terakhir

Dashlane (Setempat + Cloud Sync | Freemium)

Dashlane adalah pengurus kata laluan Freemium lain seperti Lastpass. Mereka mempunyai lebih banyak ciri tetapi versi percuma hanya berfungsi pada satu peranti. Untuk memanfaatkan Dashlane secara maksimum, anda perlu menaik taraf ke rancangan premium mereka yang berharga $ 39.99 / tahun.

Pengurus kata laluan Dashlane

Dashlane menyegerakkan kata laluan yang kuat pada semua peranti

Bagaimana Dashlane Berfungsi

Pada intinya, Dashlane sangat mirip dengan Lastpass. Pangkalan data kata laluan anda dienkripsi secara tempatan menggunakan kata laluan induk yang hanya anda ketahui. Anda boleh mengakses kata laluan anda dengan mudah dengan pelanjutan penyemak imbas Dashlane (semua penyemak imbas utama) atau aplikasi Dashlane pada telefon pintar / tablet anda.

ciri-ciri

  • Penyulitan AES 256-bit (Pengetahuan Sifar)
  • Segerakkan kata laluan anda ke awan dengan selamat
  • Akses kata laluan anda dari mana-mana peranti
  • Tukar semua kata laluan anda dalam 1 klik (lebih daripada 250 laman web disokong).
  • Penjana kata laluan ‘kuat’
  • Simpan maklumat kad kredit anda dengan selamat
  • pengesahan dua faktor (pilihan)

Sejauh ini, ciri yang paling unik adalah perubahan kata laluan 1 klik, yang dapat mengubah semua kata laluan anda dengan serta merta di lebih daripada 250 laman web paling popular di dunia seperti Evernote, Amazon, Spotify dan banyak lagi…

Harga

Dashlane percuma di mana-mana 1 peranti atau anda boleh menaik taraf dengan harga $ 39,99 / tahun untuk menyokong pelbagai peranti.

Lawati Dashlane

Keepass (Pangkalan Data Tempatan dengan pilihan penyegerakan | Percuma)

Keepass adalah pengurus kata laluan percuma yang menyimpan log masuk / kata laluan anda dalam pangkalan data yang disulitkan pada peranti anda sendiri. Terdapat projek pihak ketiga yang menambahkan sokongan untuk peranti mudah alih juga.

Keepass

Pangkalan data kata laluan tempatan Keepass

Bagaimana ia berfungsi

Nama pengguna / Kata Laluan semuanya disimpan dalam pangkalan data tempatan (pada mesin anda sendiri) yang boleh dienkripsi dengan algoritma cipher pilihan anda termasuk: AES, Blowfish, atau Twofish.

Pangkalan data dienkripsi menggunakan ‘kata laluan induk’ dengan pilihan untuk menambahkan ‘fail kunci’ jika anda mahu. Keyfiles adalah bentuk pengesahan dua faktor yang membolehkan anda menggunakan sebarang fail di komputer anda sebagai ‘kunci’ sekunder yang diperlukan selain kata laluan.

Anda boleh menyeret dan melepaskan log masuk / kata laluan dari keepass ke penyemak imbas web anda, atau menggunakan salah satu dari banyak sambungan percuma untuk mengisi secara automatik bidang kata laluan terus dari keepass.

Sokongan Mudah Alih

Keepass pada asalnya dikembangkan hanya untuk mesin Mac dan Windows, tetapi juga telah dibawa ke iOS dan Android oleh pembangun pihak ketiga. Anda boleh menggunakan salah satu aplikasi berikut untuk menyegerakkan peti besi Keepass ke peranti mudah alih anda:

  • KeepassDroid (Android)
  • Keepass2Android (Android)
  • MiniKeePass (iOS)
Muat turun Keepass

Balut

Setelah anda mengetahui mengapa kata laluan huruf kecil 6-9 watak anda sangat tidak selamat, pastikan anda mengambil langkah untuk melakukan sesuatu mengenainya. Satu-satunya orang yang menjaga keselamatan dalam talian anda adalah awak.

Tidak dapat dielakkan bahawa penggodam akan mencuri pangkalan data yang mengandungi maklumat masuk / maklumat anda (kemungkinan besar, itu sudah berlaku sama ada anda menyedarinya atau tidak).

Dengan menggunakan kata laluan yang kuat dan unik anda boleh meminimumkan kemungkinan penggodam merekodkan semula kata laluan anda (dengan anggapan laman web ini mengikuti amalan ‘hashing’ yang betul). Dan dengan tidak pernah menggunakan kata laluan yang sama dua kali, anda tidak perlu risau kata laluan dicuri digunakan untuk log masuk ke beberapa laman web.

Simpan semua kata laluan kuat anda dalam pengurus kata laluan (seperti jalan terakhir) dan tingkatkan keselamatan anda dengan pengesahan 2 faktor.

Penggodam kebanyakannya mengejar buah yang rendah (bermaksud orang yang mempunyai kata laluan pendek dan mudah). Dengan mengikuti peraturan mudah ini, anda akan menjadikan diri anda sebagai sasaran yang kurang menarik. Dapatkannya.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map