Sterk lykilorðaleiðbeiningar: Kveðja er of veik, hérna er lagfæringin …

Hvernig á að búa til og muna sterk lykilorð


Tölvu er hægt að giska á 6 stafa lykilorð á einni sekúndu (ef það er orð úr orðabókinni). Tólf stafir með lágstöfum (eins og „spaghetti“) tekur tæpar 32 mínútur. Og þegar ég giska á, þá meinti ég ekki lítið tækifæri. Ég meina 100% vissu um að hægt sé að klikka á lykilorðinu þínu með því að nota það sem er kallað „Orðabók árás“.

Þetta er aðeins ein af mörgum aðferðum sem tölvusnápur hefur til ráðstöfunar til að fá óviðkomandi aðgang að reikningnum þínum. Og hvað ef þú notar sama lykilorð á mörgum reikningum? Hvað ef tölvusnápur fær aðgang að aðalpósthólfinu þínu og frá þeirra geta endurstillt lykilorðið á einhvern annan reikning!

Tjónið væri stórfellt og mögulega óbætanlegt.

Við erum að tala um mögulegt tap af peningum, varanlegt tap á aðgangi að reikningum, persónuþjófnaði, meiðyrði almennings, útsetningu fyrir viðkvæmum persónulegum eða fjárhagslegum upplýsingum. Treystu mér, það væri slæmt.

Nú þegar ég vek athygli þína, leyfðu mér að sýna þér hversu óörugg lykilorð þín eru í raun (og alger bestu venjur til að vernda öryggi reikninga á netinu og offline).

Contents

Í þessari grein munt þú læra:

  1. 4 snögg ráð fyrir sterkari lykilorð (en þú munt læra margt fleira ef þú lest alla greinina)
  2. Hvernig lykilorð eru sprungin (kynning)
  3. Orðabók árás
  4. Regnbogaborð
  5. Lykilorð Öryggi
    1. Líffærafræði sterkt lykilorð
    2. Góð vinnubrögð við lykilorð (einstök lykilorð, staðfesting tveggja þátta osfrv.)
    3. Hvernig á að muna / geyma sterku lykilorðin þín
  6. Lykilorðsvalar (valkostir í skýi og sjálfum hýst)
  7. Tvíþátta staðfesting (þú þarft þetta. Í dag.)
  8. Yfirlit og viðbótarúrræði

4 reglur um sterk lykilorð

Hér eru mínar fljótu og óhreinu ráð til að hámarka lykilorð þitt og öryggi reiknings á skemmstu tíma. Þessi ráð eru góður upphafspunktur, en ef þú hefur tíma muntu læra margt fleira með því að lesa alla greinina.

# 1 – Notaðu sterk lykilorð

Þetta virðist vera neinn heili, en flestir vita ekki hvað „sterkt“ þýðir. Hér er svindl:

  1. Sterk – Notaðu lágmark 3 af 4 (hástafi, lágstafir, tölur, tákn)
  2. Langt – 11+ stafir lágmarki. 16 eða lengur ef þú hunsar reglu # 1
  3. Handahófi – Það er auðveldara að brjóta lykilorð sem inniheldur raunveruleg orð (‘Donkey1975’)

# 2 – Notaðu mörg einstök lykilorð

Ef vefsvæði er með gagnabrot og innskráningu / lykilorð þitt er stolið (ég ábyrgist að þetta hafi þegar gerst að minnsta kosti einu sinni), hversu margar aðrar síður mun tölvusnápurinn hafa aðgang að persónuskilríkjum þínum? Helst að þú viljir að sú tala verði – NÚLL.

Í raun og veru þyrftu flestir að svara einhvers staðar á milli „Nokkrir“ og „Næstum allir…“

Aldrei nokkurn tíma endurnýtir lykilorð fyrir afar mikilvægar vefsíður eins og:

  1. Bankareikningar
  2. 401k / hlutabréfareikningar
  3. Netfang

# 3 – Notaðu lykilorðsvellu (til að muna lykilorð)

Vandamálið með sterk lykilorð er ómögulegt að muna þau öll. Sem betur fer eru til margar „Password Vault“ og lykilorð með ský lykilorð sem geta búið til og munað öll sterk lykilorð fyrir hverja vefsíðu. Allt sem þú þarft að gera er að muna eftir einu „lykilorði“.

Persónulega tillögur mínar:

  • Lastpass – Skýlausn, aðgengileg alls staðar. Stækkun vafra og stuðningur farsíma.
  • Keepass – Sjálf hýst, dulkóðuð lykilorðaskápur. Geymt á eigin tæki.

# 4 – Virkja staðfestingu á tveimur þáttum

Tvíþátta staðfesting bætir öðru öryggislagi við innskráningarferlið. Lykilorð eitt og sér er ekki nóg. Þú þarft bæði lykilorð og aðgang að auðkenningartækinu (sem venjulega er farsíminn þinn sem fær staðfestingarbeiðnir með texta eða ýttu tilkynningum).

Það er ekki nærri eins mikið þræta og það hljómar eins og mörg 2FA kerfi þurfa aðeins að staðfesta þig einu sinni, nema þú reynir að skrá þig inn síðar af óþekktu tæki.

Tveir mikilvægustu reikningarnir fyrir 2FA:

  1. Lykilorðsgröfin þín (annars ef einhver stelur aðal lykilorðinu þínu getur hann fengið aðgang að hvaða reikningi sem er).
  2. Netfangið þitt (Tölvusnápur með aðgang að tölvupóstinum þínum getur auðveldlega endurstillt lykilorð á aðra reikninga).

Lastpass hefur marga (ókeypis) valkosti til að bæta við tveimur þáttum staðfestingu á reikninginn þinn. Að því er varðar tölvupóstveitendur hafa flestir gengið hægt að nota 2FA tækni. Athyglisverð undantekningin er Google sem hefur haft 2 þáttar staðfesting á Gmail í mörg ár.

Hvernig lykilorð eru klikkuð

Þessi hluti mun veita þér trausta kynningu á hinum ýmsu leiðum sem hægt er að skerða lykilorð þitt (ógnvektar). Við munum einnig ræða aðferðir sem vefsíður nota til að geyma á öruggan hátt (eða stundum á óöruggan hátt) innskráningarskilríki þín.

Þú munt einnig læra hvernig tölvusnápur getur snúið við dulkóðuðum lykilorðagagnagrunnum (og hvernig þú verndar sjálfan þig).

Það eru tvær megin leiðir sem þú getur klikkað á lykilorðinu þínu:

  1. Giska á lykilorð / árás á skepna
  2. Andstæða verkfræðilegum lykilorðum stolið af tölvusnápur.

Giska árásir á lykilorð

Þessar árásir virka (bæði á netinu og utan nets) með því að prófa mörg mismunandi lykilorð fyrir sama notandanafn og fljótt í röð. Hröð tölva getur prófað þúsundir (eða jafnvel milljónir) samsetningar á sekúndu. Giska árásir vinna miklu hraðar í atburðarás án nettengingar (sprunga á stýrikerfi eða lykilorð fyrir skrár).

Að giska á árásir á vefsíður verður hægar, því vefþjóninn mun takmarka hversu hratt notandi getur prófað nýja lykilorðssamsetningu.

Algengar giskaárásir:

  1. Dugnaður – Prófaðu allar mögulegar persónusamsetningar
  2. Orðabók árás – Giska á algengustu orð / lykilorð

Brute Force Attacks

Þetta er einfaldasta form giska árás lykilorð. Tölvusnápur notar hugbúnað til að prófa allar mögulegar samsetningar af stöfum í hverri lykilorðalengd, þar til réttur er fundinn.

Þar sem lykilorðskröfur tiltekinna vefsíðna eru þekktar opinberlega (svo sem „verður að innihalda að minnsta kosti 1 tölu“) er hægt að aðlaga reglur skothríðsárásarinnar að lágmarkskröfum um lykilorð vefsíðna.

Það eru til margar síður sem geta metið tímann sem það myndi taka að sprunga mismunandi lykilorð með 100% vissu með skepnum. Þú getur jafnvel séð tímamismuninn á einkatölvu á móti botneti eða ofurtölvu.

Síður til að meta styrkleika lykilorðsins:

  • Kapersky öruggt lykilorð athuga
  • Lykilorðsmælir
  • Hversu lengi á að hakka lykilorðið mitt

Telur þú að 12 lágstafir séu sterkt lykilorð? Hugsaðu aftur. Hér eru niðurstöður fyrir skepnuna fyrir lykilorðið „Vpnuniversity“ með því að nota Kapersky lykilorðatólið:

Brute Force lykilorð klikkað (Kapersky öruggt lykilorðatól)

Lykilorð ‘vpnuniversity’ klikkaði á 25 mínútum af Macbook fartölvu 2012

Það er rétt. Unglinga tölvusnápur með 4 ára Macbook getur klikkað lykilorð með 12 stafa lágstöfum á skemmri tíma en það tekur að horfa á þáttinn af „Seinfeld“. Og botnet gæti gert það á einni sekúndu.

Síðar í þessari grein (í lykilorðinu um öryggisatriði lykilorðsins) munum við bera saman þessa niðurstöðu við 12 stafat lykilorð af handahófi sem inniheldur allar 4 stafategundirnar. Ábending: Það er miklu MIKLU sterkara.

Orðabók árás

Orðabók árás er smákaka sem er þvinguð til að giska á lykilorð mun skilvirkari með því að gera ákveðna forsendu um lykilorðið þitt. Nánar tiltekið að lykilorðið þitt inniheldur greinanleg orð og / eða algengar lykilorðasambönd.

Með því að takmarka lykilorðsárásina við aðeins lykilorðssamsetningar, þar með talin þekkt orð (eða önnur algeng lykilorð sem ekki eru orð eins og ‘123123’), getur árásarmaður gert sprengjuárás miklu skilvirkari. Ástæðan? Aðeins örlítið brot (innan við 0,1%) allra handahófsstafasamsetninga mun í raun innihalda þekkt orð af 4 stöfum eða meira.

Kostir: Miðað við að þú notir lykilorð sem er viðkvæmt fyrir árás á orðabók, gæti lykilorðið þitt klikkað á innan við 1/1000 af þeim tíma sem það tæki tölvu að prófa handahófsstafasamsetningar þar til samsvörun fannst. Fyrir vikið eru langflestar giskunarárásir á netinu orðabækur árásir.

Ókostir: Það er ómögulegt fyrir orðabókarárás að giska rétt á lykilorð sem samanstendur af eingöngu handahófi stafi, tölur og tákn. Ef lykilorðið er ekki með orði, mun samsvörun aldrei finnast, jafnvel þó að árásin gangi í óendanlega tíma.

Gagnahnekkir, dulkóðun lykilorðs og afkóðun

Þótt árásir á giska á lykilorð miði aðeins við einn notanda í einu, geta brot á gögnum afhjúpað innskráningarskilríki fyrir þúsundir eða jafnvel milljónir notenda í einu. Margvísleg gagnabrot hafa verið brotin undanfarin 4 ár, þar á meðal Target, Ashley Madison og Adobe.

Þessi hluti mun skoða þær aðferðir sem vefsíður nota (eða ekki) til að geyma lykilorð þitt á öruggan hátt, svo og algengustu aðferðirnar (eins og Rainbow Tables) tölvusnápur nota til að snúa verkfræðilegum dulkóðuðu lykilorðagagnagrunnum.

Hvernig vefsíður geyma lykilorð

Flestar vefsíður sem geyma notendagögn gera varúðarráðstafanir til að geyma lykilorð á dulkóðuðu formi. Ef rétt er lagt til, jafnvel þó að gagnagrunninum sé stolið við hakk, þá verður erfitt eða ómögulegt að afkóða lykilorð í venjulegan texta.

Vefsíður geyma lykilorð með tækni sem kallast ‘Hashing’.

Hvað er Hashing?

Í einfaldasta forminu, dulmáls Hash virkni eða ‘Hash’ reiknirit er mengi stærðfræðilegrar reglna sem umbreytir hvaða textaútgáfu sem er í streng af handahófi stafi af fastri lengd (sama hversu lengi innsláttur textinn, útgefna hassið verður alltaf sami fjöldi stafi).

Stærðfræðin að baki hraðskreiðum er ákaflega flókin og það eru til margvíslegar hassleiðaralgrímur sem hægt er að velja um, en þær eiga allar eitt sameiginlegt, sem er kjarninn í því hvers vegna hass er góð leið til að geyma lykilorð…

A dulmáls Hash aðgerð er ein leið aðgerð. Sem þýðir að það er auðvelt að reikna kjötkássa textaútgáfunnar en stærðfræðilega mjög erfitt (í rauninni ómögulegt) að breyta stærðfræði hassi aftur í frumtextann.

Það eru einnig 3 mikilvægir eiginleikar CHF:

  1. Gefinn textastrengur eins og „lykilorð“ mun alltaf leiða til sömu kjötkássaútgangs
  2. Að breyta 1 staf í inntakinu („lykilorðy‘) Mun breyta hassi ouput verulega
  3. Það er mjög ólíklegt að tveir mismunandi strengir innsláttartexta framleiði sömu kjötkássaútgang.

Það eru til margar ókeypis síður þar sem þú getur reiknað út hass til að sjá hvernig ferlið virkar. Hérna eru par:

  • http://www.sha1-online.com – notar SHA1 kjötkássaaðgerðina.
  • MD5 rafall – notar MD5 hraðakstursaðgerðina (telst ekki lengur örugg)

Til dæmis, með því að framkvæma SHA1 kjötkássa reiknirit með orðinu „lykilorð“, hefur það í för með sér:

Dæmi um SHA-1 kjötkássa

SHA-1 kjötkássa orðsins „lykilorð“

Hvernig vefsíður nota hraðakstur fyrir dulkóðun lykilorðs

Þegar þú býrð til notandanafn / lykilorð í greiða geymir vefsíðan ekki í raun aðgangsorðið þitt í gagnagrunninum. Í staðinn geyma þeir Hass af lykilorðinu þínu. Þegar þú reynir að skrá þig inn reiknar vefurinn hassið á textanum sem þú slærð inn í ‘lykilorð’ reitinn og berð þá niðurstöðu saman við hassið sem er geymt í gagnagrunninum. Ef þeir passa saman mun innskráning þín ná árangri.

Þannig að í raun veit vefsíðan ekki í raun hvað lykilorðið þitt er (þess vegna geturðu venjulega aðeins endurstillt lykilorðið þitt, þú getur ekki sótt það ef þú gleymir því).

Kosturinn við þetta er augljós: Ef notendagagnagrunni síðunnar er stolið, þá hafa tölvusnápurnir í raun ekki aðgangsorðið þitt, þeir vita aðeins hassið á lykilorðinu, sem dugar ekki til að skrá þig inn á reikninginn þinn.

Bíddu, af hverju getur tölvusnápurinn ekki bara skráð sig inn með því að nota hassið sem þeir stálu?

Vegna þess að þegar þeir reyna að skrá sig inn reiknar vefsíðan hassið á öllu því sem er inntak í reitinn „lykilorð“. Ef tölvusnápur reynir bara að nota kjötkássuna sem þeir stálu sem lykilorðinu, reiknar vefsíðan raunverulega út hass af hassinu sem passa ekki við innskráningarskilríki í gagnagrunninum og innskráningu þeirra verður hafnað.

Til dæmis. Við reiknuðum þegar kjötkássa orðsins „lykilorð“ en hvað ef þú reiknar út kjötkássa hassins? Þú færð þetta …

Hash of Hash dæmi

Hass af hassi „lykilorðs“

Svo þó þeir hafi stolið dulkóðuðu hassi lykilorðsins þíns, vita þeir samt ekki hvað lykilorðið þitt er í raun. En herra Hacker er enn með bragð í erminni. Það er kallað a Regnbogaborðið og hann gæti hugsanlega afkóðað lykilorðið þitt ennþá…

Regnbogaborð

Skilgreiningin er að Hash aðgerð er stærðfræðilega ómöguleg að snúa við (þú getur ekki reiknað upphaflegan texta út frá hinu útgefna kjötkássa) svo tölvusnápur ákvað að koma að vandamálinu úr annarri átt. Lausnin? Regnbogaborð.

Þessi skáldsaga nálgun er í raun meira eins og skepna afl aðferð. Tölvusnápur vill afkóða gagnagrunn með flýtiritum fyrir lykilorð, svo að hann notar í raun hugbúnað til að reikna kjötkássa milljóna (eða jafnvel milljarða) lykilorðssamsetningar. Þessir reiknaðir flýti eru geymdir í gagnagrunni sem kallast ‘Rainbow Table’.

Þegar hann er með regnbogaborð getur tölvusnápurinn einfaldlega borið saman gagnagrunn sinn um stolna hass, við regnbogaborðið sitt með reiknaðum hassi. Í hvert skipti sem hugbúnaðurinn finnur samsvörun getur tölvusnápurinn auðveldlega dregið lykilorðið af því að regnbogaborðið kortleggur öll lykilorð með lykilorðinu.

Hversu framkvæmanlegt er Rainbow Table Attack?

Mjög eins og Ashley Madison brotið sannaði. Með því að nota regnbogatöflur gátu tölvuþrjótarnir afkóðað meira en 11 milljónir af þeim 30 milljónum lykilorða sem stolið var í brotinu, vegna þess að sumir af fyrstu reikningum notenda voru flýttir fyrir með óörugga reiknirit MD5.

Það er furðu auðvelt að fá aðgang að regnbogaborðum. Trúðu því eða ekki, þú getur búið til regnbogatöflur sjálfur á heimilistölvu með ókeypis hugbúnaði eins og Rainbow Crack. Það eru líka ókeypis gagnagrunir sem hægt er að kaupa eða jafnvel ókeypis á straumspilasíðum og spjallþræðir. Það eru jafnvel ókeypis vefsíður sem kanna flýti gegn töflum með útreiknuðum gildum.

Ekki kemur á óvart að hass af sameiginlegu eins orða lykilorði er hægt að afkóða næstum samstundis með ókeypis gagnagrunni á netinu (sem er mikið minni en raunverulegt regnbogaborð).

Vissir þú að hugsa um að gera lykilorð þitt að uppáhalds (ameríska) fótboltaliðinu? Hugsaðu aftur…

Hash öfugt leit lykilorð

Auðvelt er að snúa stuttu lykilorði við eitt orð

Regnbogatafla veikleikar og varnir

Regnbogatöflur eru einn helsti veikleiki: það eru takmörk fyrir því hversu mikið af gögnum þau geta geymt áður en þau verða hæg, ómeðfærileg eða of stór til að geyma. Færanlegt regnbogaborð getur aðeins geymt flýti fyrir allar lykilorðssamsetningar sem eru allt að 12 stafir að lengd áður en það fer að verða sífellt óframkvæmanlegt út frá tíma- og kostnaðarsjónarmiði (það stig vinnsluafls er ekki laust).

Hægt er að teygja þessi mörk aðeins ef regnbogaborðið nær ekki til allra handahófsstafasamsetningar heldur einbeitir sér í stað að þekktum orðasamsetningum (eins og orðabókarárás).

Það eru tvær aðal tækni til að nýta sér þessa takmörkun og halda lykilorðunum þínum öruggum:

  1. Söltun (útfærð af vefsíðunni þegar aðgangsorð þitt er hraðað)
  2. Sterkari lykilorð (þessi er á þig bróðir.)

Lykilorðssöltun

Saltun er langbesti vörnin gegn regnbogaborðum og rétta notkun lykilorðssöltunar getur gert árásina nánast fullkomlega óframkvæmanleg, því það neyðir spjallþráðinn til að búa til einstakt (og stórt) regnbogaborð fyrir hvert einstakt lykilorð sem þeir vilja klikka.

Á einfaldan hátt, a Salt er strengur af handahófi stafir sem er bætt við lok lykilorðsins áður en það er flýtt til geymslu í gagnagrunni vefsins. Gagnagrunnurinn geymir bæði kjötkássa, sem og saltgildið svo að það geti rétt reiknað kjötkássa í hvert skipti sem þú skráir þig inn.

Vegna þess að hver notendareikningur notar mismunandi saltgildi þegar lykilorðið er búið til, þá mun öll regnbogatafla sem er búin til með þekktu salti (stolið úr gagnagrunninum) aðeins virka til að snúa verkfræði við lykilorð þess eins notanda (að því gefnu að saltið gerir lykilorðið + saltlengd langt til löng til að geyma í regnbogaborði).

Til þess að sama regnbogaborðið sé notað til að afkóða alla hass í gagnagrunninum, þá þyrfti hann að vera stærri til að geta innihaldið allar innsláttarsamsetningar lykilorðslengdina + saltlengdina. Með því að gera saltið nógu stórt (jafnvel 16 stafir væri nóg) að reikna kjötkássa allra mögulegra samsetningar væri umfram óframkvæmanlegt.

Að nota annað saltgildi fyrir hvern notanda þýðir líka að jafnvel þó að tveir notendur hafi sama lykilorð, þá verður hassið sem er geymt í gagnagrunninum annað fyrir hvern og einn (vegna þess að einstaka saltinu er bætt við lykilorðið áður en hassið er breytt, þannig að framleiðsla er breytt.

Ashley Madison gerði það ekki salta lykilorð þeirra á réttan hátt, þess vegna var svo auðvelt að afkóða MD5 hassið sem stolið var í brotinu.

Löng lykilorð

Flest fyrirtæki munu fylgja viðeigandi öryggisaðferðum og nota stórt salt áður en þú flýtir lykilorðinu þínu til geymslu. Sumir gera það ekki, hvorki með leti né fáfræði. Þetta er bara önnur ástæða þess að þú ættir að taka á þig að gera lykilorðið þitt eins sterkt og mögulegt er.

Með því að búa til lykilorð þitt 16+ stafi og nota allar 4 stafategundirnar geturðu gert regnbogaborð árás óframkvæmanlegt jafnvel gegn ósöltuðum hassi.

Tölvuþrjótarnir láta sér nægja að snúa við 90% veikra lykilorða notenda sem vita ekki betur og gögn þín ættu vonandi að vera örugg og örugg.

Sterk lykilorð (Allt sem þú þarft að vita)

Ef þú fylgir þessum leiðbeiningum sem mælt er með varðandi val og geymslu lykilorðs muntu draga verulega úr hættu á útsetningu ef gagnabrot verða. Enginn getur ábyrgst algjört öryggi (vissulega get ég það ekki) en þessi lögmál eru gríðarlegt skref í rétta átt.

Hvað er sterkt lykilorð?

Góð lykilorð ætti helst að vera eins lengi og mögulegt er, eins handahófi (eða að minnsta kosti að því er virðist af handahófi) og innihalda eins margar stafagerðir og mögulegt er:

4 stafategundirnar eru:

  • stórir stafir
  • lágstafir
  • tölur
  • tákn

Til að sýna fram á hversu mikilvægt það er að bæta við eins mörgum af þessum 4 táknategundum og mögulegt er þegar þú býrð til lykilorð, skulum við íhuga erfiðleikann við að brjóta lykilorðið þitt með skepnum:

Það eru 26 lágstafir (í enska stafrófinu) þannig að 8 stafa lykilorð hefur alla stafi 268 einstök samsetning.

Ef þú bætir við hástöfum, tölunum 0-9 og 10 táknum (þau 10 sem eru fáanleg með því að ýta á SHIFT + [a töluna 0-9]) færðu 72 einstaka stafaval. Í 8 stafa lykilorði skilar þetta 728 einstök samsetning.

Viltu giska á hversu margar fleiri mögulegar samsetningar eru þegar þú notar 72 stafi fyrir lykilorðið þitt?

Við skulum gera stærðfræði:

268 = 208.827.064.576

728 = 722,204,136,308,736

728/268 = 3458 (ávöl til næsta heiltölu).

Með öðrum orðum, ef það tók 1 dag að sprunga fyrsta lykilorðið, þá tæki það næstum 10 ár að sprunga það annað.

Þegar þú ferð í 12 stafi er munurinn enn dramatískari:

7212 / 2612 = 203.381 sinnum eins sterk.

Reglurnar fyrir gott lykilorð:

  • Sterk (margar stafategundir)
  • Langt (11 stafir að lágmarki, 13+ eru betri)
  • Handahófi (Forðist að nota algeng orð sem eru viðkvæm fyrir árásum á orðabók).

Góð vinnubrögð við lykilorð (mun lágmarka váhrif þín eftir gagnabrot).

Fylgdu þessum einföldu reglum til að lágmarka tjónið (ef einhver) sem gæti orðið ef tölvusnápur stal gagnagrunni sem inniheldur eitt af lykilorðunum þínum.

Regla # 1 – Notaðu einstök lykilorð (sérstaklega fyrir mikilvæga reikninga).

Flestir nota sama lykilorð aftur og aftur fyrir mismunandi reikninga. Vandinn við þetta er augljós. Ef tölvusnápur stelur lykilorðinu þínu getur hann nú fengið aðgang að öllum reikningum sem nota þessa innskráningar- / lykilorðssamsetningu.

Ef þú notar einstakt lykilorð fyrir hvern reikning gerir þjófnaður eins lykilorðs ekki neinn af öðrum reikningum þínum varnarlaus. Lykilorðshvelfingar eins og Lastpass eru með innbyggða handahófi rafall lykilorðs og getur hjálpað þér að velja einstakt sterkt lykilorð fyrir hverja síðu.

Það er engin ástæða að einhver ætti að geta nálgast bankareikninginn þinn bara af því að hann hakkaði kvakareikninginn þinn (og ef þú heldur að frægt fólk, þá verður Twitter tölvusnápur allan tímann). Notaðu einstök lykilorð.

Regla # 2 – Virkja staðfestingu á tveimur þáttum fyrir mikilvæga reikninga þína

Ef þú ert ekki að nota 2FA enn þá ættirðu að vera það. Það er mjög erfitt fyrir einhvern annan að ná stjórn á reikningnum þínum, jafnvel þó að þeir séu með réttu innskráningar- / lykilorðasamsetninguna. Það er auðvelt að útfæra, fáanlegt á mörgum vefsvæðum og venjulega ókeypis.

Hvað er staðfesting tveggja þátta

2FA (stundum einnig kallað tveggja þátta sannprófun) er öryggisráðstöfun sem krefst þess að notendur ljúki 2 aðskildum skrefum áður en þeir fá aðgang að reikningi. Algengasta 2FA samsetningin er:

  1. Eitthvað sem þú veist (samsetning notandanafn / lykilorð)
  2. Eitthvað sem þú ert með (snjallsími, öryggismerki, glampi drif osfrv …)

Eftir að þú hefur slegið inn notandanafnið / lykilorðið þitt notarðu líkamlega sannprófunarbúnaðinn þinn til að klára innskráninguna. Oft mun þetta vera í formi textaskilaboða eða ýta tilkynningu sem send er í snjallsímann þinn, sem inniheldur einstakt (og tímabundið) staðfestingarkóða.

Jafnvel þó að tölvusnápur nái að afkóða lykilorðið þitt, þá er mjög ólíklegt að hann nái fram að ganga frá auðkenningartækinu þínu (nema að hann sé í alvöru áhugasamir).

Hvar á að nota 2FA?

Þó að margar vefsíður bjóða upp á tvíþátta staðfestingu, gerir meirihlutinn það ekki. Það bætir lítinn tíma við innskráningarferlið, svo það er venjulega aðeins þess virði fyrir mikilvægustu vefsíðurnar.

Það eru 3 aðalflokkar vefsvæða sem við mælum eindregið með að gera 2FA kleift:

  1. Aðalpósthólfið þitt
  2. Lykilorð skýjaversins (ef þú notar það)
  3. Banka / verðbréfamiðlun

Af hverju þessar reikningagerðir?

Banka / verðbréfamiðlun / eftirlaunareikningar – Þessir reikningar eru augljósir kostir fyrir 2FA, vegna þess að reikningsbrot væru hrikaleg. Stærstur hluti nettóvirðis þíns (utan þíns húss ef þú átt einn) er í grundvallaratriðum bara tölustafir í tölvugagnagrunni. Ef tölvusnápur öðlaðist aðgang að reikningnum þínum gæti hann flutt lífeyrissparnaðinn þinn á annan reikning og þú munt, eins og við segjum, Shit Outta Luck.

Valkostir tölvupósts / lykilorða – Að mörgu leyti eru þessir reikningar í raun mikilvægastir, vegna þess að hliðarreikningar þeirra. Ef tölvusnápur hefur aðgang að tölvupóstinum þínum getur hann endurstillt lykilorð þín fyrir hvaða vefsíðu sem notar það netfang. Lykilorðsgröf er jafnvel hættulegri og ef málamiðlun er í hættu gæti tölvusnápur bókstaflega hlaðið niður öllum notandasamsetningum þínum er einfaldur texti. Yikes.

Það eru þó nokkrar slæmar fréttir. Mjög fáir tölvupóstveitendur hafa talið 2FA þess virði. Sem betur fer heldur google áfram í fremstu röð persónulegs öryggis. Það er fljótt og auðvelt að virkja tveggja þátta auðkenningu fyrir Gmail.

Af hverju þú þarft lykilorðastjóra

Vandræðin við sterk, einstök lykilorð eru þau að það er ómögulegt að muna. Bókstaflega.

Þess vegna hafa milljónir (hugsanlega milljarðar) notenda snúið sér að lykilstjórnunarþjónustu eins og Lastpass, Keepass, Dashlane og 1Password. Allt sem þú þarft að muna er eitt „aðal lykilorð“ og lykilorðsstjórinn sinnir allri þungri lyftingu og geymslu á persónuskilríkjum á netinu.

Flestar þessar þjónustur eru „skýjarðar“, sem þýðir að lykilorðsgröfin þín er fáanleg hvar sem er með internettengingu. Lykilorð þín verða geymd í dulkóðuðu gagnagrunni með sömu tækni og faglegur dulkóðun á harða disknum (sem ætti samt að vernda gögnin þín jafnvel þó að gagnagrunnurinn sé hakkaður).

Það eru tvenns konar lykilstjórnendur:

  1. Óhýsilausar (ótengdar) lausnir.
  2. Cloud (net) lausnir

Bæði skýja- og sjálfstýrt lykilorðastjórnendur ná því sama (geyma og muna öll lykilorð á dulkóðuðu formi) en hver og einn hefur sína eigin kosti og galla.

Sjálfhýst á móti skýjatengdum lykilstjórnendum

Meirihluti þjónustu lykilorðastjórnunar er nú byggður á skýjum vegna þess að skýið gerir notendum kleift að samstilla lykilorð sitt í öllum tækjum og fá aðgang að lykilorðum sínum úr hvaða tæki sem er með internettengingu. Þó að þessi þægindi séu gríðarlegur ávinningur, þá eru líka tvö varnir:

  1. Þú verður að treysta lykilorðastjórnunarfyrirtækinu þínu til að missa ekki (eða jafnvel stela) lykilorðunum þínum.
  2. Þú verður að treysta getu þeirra til að dulkóða og vernda lykilorð þitt gegn þjófnaði af öðrum.

Kjarni málsins: Svo lengi sem þú ert að halda þig við traustustu nöfnin með lykilorðastjórnun, þá ættu gögnin þín að vera örugg og þú getur treyst því að lykilorðin þín séu vernduð með því að nota iðnaðarstaðla sem best:

  • Núll dulkóðun (Aðeins þú ert með dulkóðunarlykilinn)
  • HTTPS dulkóðuð gagnaflutning lykilorða til / úr hvelfingunni þinni
  • Saltun lykilorðs með flýti (svo þau eru erfitt að snúa verkfræðingi jafnvel þó að hvelfing þín sé brotin).

3 uppáhalds lykilstjórar okkar

Þrjár uppáhalds lykilstjórar okkar (ekki í röð) eru:

  • Lastpass (aðeins ský)
  • Dashlane (ský og staðbundin samstilling)
  • Keepass (staðbundið hvelfing með valkost fyrir samstillingu)

Hver og einn hefur sína kosti og hver sá sem þú ættir að velja fer eftir fjárhagsáætlun þinni, persónuverndarstillingum og hvort þú forgangsraðir þægindi meira en öryggi.

Lasspass (Cloud | Freemium)

Lasspass er aðeins lykilorðsstjóri í skýinu sem gerir aðgangsupplýsingar þínar aðgengilegar úr hvaða tæki sem er.

Þeir starfa á freemium verðlagningarlíkani, þar sem tölvuvafralengingar eða ókeypis en þú verður að borga til að fá aðgang að lastpass hvelfingunni þinni í farsímann þinn.

Lastpass firefox

Lastpass firefox viðbót

Hvernig Lastpass virkar

Þú notar Lastpass með því að setja viðbótina fyrir uppáhalds vafra þinn (allir helstu vafrar eru studdir). Þú skráir þig inn á Lastpass reikninginn þinn með einu ‘Master Password’ sem veitir þér síðan aðgang að Lastpass ‘gröfinni’ þínum í heild sinni..

Lastpass mun sjálfkrafa búa til innskráningar- / lykilorðarsvæði fyrir vistaðar síður (eða jafnvel sjálfvirkt eftirlit ef þú vilt).

Öll notendanöfn þín / lykilorð eru dulkóðuð á staðnum áður en þau eru send í lastpass skýið með AES 256 bita dulkóðun. Lastpass veit ekki einu sinni aðal lykilorðið þitt (þeir geyma bara söltaðan kjötkássa til að staðfesta innskráningu). Þetta er sannkallaður lykilorðsmiður með núll þekkingu.

Er LastPass öruggt?

Mjög. Allur gagnagrunnurinn þinn er geymdur á dulkóðuðu formi, þannig að jafnvel þótt gögnum sé stolið frá skýþjónum þeirra, þá er afar ólíklegt að tölvusnápur geti brotið dulkóðunina sem verndar lykilorð þín.

Lastpass var í raun tölvusnápur árið 2015 en boðflennirnir náðu ekki að skerða notendareikninga þökk sé margvíslegum ofauknum öryggisráðstöfunum Lastpass útfærir.

Tvíþátta staðfesting

Gerðu Lastpass grindina enn öruggari með því að virkja tvíþátta staðfestingu (þeir bjóða upp á marga valkosti, sem margir eru ókeypis). Þetta gerir það næstum ómögulegt fyrir tölvusnápur að fá aðgang að reikningnum þínum, jafnvel þó að þeir séu með aðal lykilorðið þitt.

Verðlag

Lastpass er ‘Freemium’ þjónusta. Í grundvallaratriðum er það algerlega ókeypis að nota síðustu leiðina í uppáhalds vafranum þínum en þú verður að uppfæra til að samstilla lykilorð við snjallsímann þinn eða önnur farsíma. Premium er aðeins $ 12 árlega.

Fáðu Lastpass

Dashlane (Local + Cloud Sync | Freemium)

Dashlane er annar Freemium lykilorðastjóri eins og Lastpass. Þeir hafa enn fleiri möguleika en ókeypis útgáfan virkar aðeins á eitt tæki. Til að fá sem mest út úr Dashlane þarftu að uppfæra í iðgjaldaplan þeirra sem kostar $ 39,99 á ári.

Dashlane lykilorðastjóri

Dashlane samstillir sterk lykilorð þín í öllum tækjum

Hvernig Dashlane virkar

Í kjarna þess er Dashlane mjög líkur Lastpass. Lykilorðagagnagrunnurinn þinn er dulkóðaður á staðnum með því að nota aðal lykilorð sem þú veist aðeins. Þú getur auðveldlega nálgast lykilorð þín með Dashlane vafraviðbyggingu (öllum helstu vöfrum) eða Dashlane appinu í snjallsímanum / spjaldtölvunni.

Lögun

  • 256 bita AES dulkóðun (núllþekking)
  • Samstilltu lykilorð þín á öruggan hátt með skýinu
  • Fáðu aðgang að lykilorðunum þínum úr hvaða tæki sem er
  • Breyttu öllum lykilorðunum þínum með einum smelli (yfir 250 vefsvæði studd).
  • Lykill rafall „sterkur“
  • Geymdu kreditkortaupplýsingar þínar á öruggan hátt
  • tveggja þátta staðfesting (valfrjálst)

Langtækasta aðgerðin er 1-smelltu lykilorðabreytingin, sem getur breytt öllum lykilorðunum þínum þegar í stað á yfir 250 vinsælustu vefsíðum heims eins og Evernote, Amazon, Spotify og fleira …

Verðlag

Dashlane er ókeypis í hverju tæki sem er eða þú getur uppfært fyrir $ 39.99 á ári til að styðja mörg tæki.

Heimsæktu Dashlane

Keepass (Local gagnagrunnur með / samstillingarvalkost | Ókeypis)

Keepass er alveg ókeypis lykilorðastjóri sem geymir innskráningar / lykilorð í dulkóðuðum gagnagrunni á eigin tæki. Það eru verkefni frá þriðja aðila sem bæta við stuðningi við farsíma líka.

Keepass

Keepass staðbundið lykilorð gagnagrunns

Hvernig það virkar

Notendanöfn / lykilorð eru öll geymd í staðbundnum gagnagrunni (á eigin vél) sem hægt er að dulkóða með vali á dulritunaralgrími, þar á meðal: AES, Blowfish eða Twofish.

Gagnagrunnurinn er dulkóðaður með „aðal lykilorði“ með möguleika á að bæta við „lykilskrá“ ef þú vilt það. Lykilorð eru mynd af tveggja þátta sannprófun sem gerir þér kleift að nota hvaða skjal sem er á tölvunni þinni sem aukalykill sem krafist er auk lykilorðsins.

Þú getur dregið og sleppt innskráningar- / lykilorðum frá keepass í vafrann þinn, eða notað eitt af mörgum ókeypis viðbótum til að fylla sjálfkrafa út lykilorðareitina beint frá keepass.

Stuðningur farsíma

Keepass var upphaflega þróað aðeins fyrir Mac og Windows vélar, en það hefur einnig verið flutt til iOS og Android af verktökum frá þriðja aðila. Þú getur notað eitt af eftirfarandi forritum til að samstilla Keepass gröfina við farsímann þinn:

  • KeepassDroid (Android)
  • Keepass2Android (Android)
  • MiniKeePass (iOS)
Sæktu Keepass

Klára

Nú þegar þú veist af hverju lykilorð þitt með 6-9 stafa lágstafir eru svo ótryggir, vertu viss um að gera ráðstafanir til að gera eitthvað í málinu. Eina manneskjan sem er að leita að þér á netinu öryggi er þú.

Það er óhjákvæmilegt að tölvusnápur stela gagnagrunni með innskráningu / upplýsingum (að öllum líkindum, það hefur þegar gerst hvort sem þú gerir þér grein fyrir því eða ekki).

Með því að nota sterk, einstök lykilorð þú getur lágmarkað líkurnar á því að tölvusnápur snúist við lykilorðið þitt (að því gefnu að vefsvæðinu sé fylgt eftir „hashing“ -háttum). Og með því að nota aldrei sama lykilorð tvisvar þarftu ekki að hafa áhyggjur af því að stolið lykilorð sé notað til að skrá þig inn á mörg vefsvæði.

Geymdu öll sterk lykilorð í lykilorðastjóra (eins og passaskil) og uppfærðu öryggi þitt með tveggja þátta auðkenningu.

Tölvusnápur gengur að mestu leyti eftir lítinn hangandi ávöxtum (sem þýðir fólk með stutt, auðveld lykilorð). Með því að fylgja þessum einföldu reglum muntu gera sjálfan þig að miklu minna aðlaðandi markmiði. Komdu að því.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map