Parol xavfsizligi to’g’risida haqida malumot

Ushbu maqolada kuchli parolni qanday yaratish, parolni yaratishda qanday printsiplarga rioya qilish, parollarni qanday saqlash va tajovuzkorlarning sizning ma’lumotlaringiz va qayd yozuvlaringizga kirish imkoniyatini minimallashtirish muhokama qilinadi.

Ushbu material «Parolingizni qanday buzish mumkin» maqolasining davomi bo’lib, siz u erda tasvirlangan material bilan tanishsiz yoki parollarni buzishning barcha asosiy usullarini allaqachon bilasiz deb taxmin qiladi.

Parol yaratish

Hozirgi kunda har qanday Internet-akkauntni ro’yxatdan o’tkazishda, parol yaratishda odatda uning kuchliligi ko’rsatkichi paydo bo’ladi. Deyarli barcha hollarda u quyidagi ikkita omilni baholash asosida ishlaydi: parol uzunligi; parolda maxsus belgilar, katta harflar va raqamlar mavjudligi.

Garchi bular qo’pol kuch sindirish uchun parolga qarshilikning haqiqatan ham muhim parametrlari bo’lsa-da, tizimga xavfsiz ko’rinadigan parol har doim ham shunday emas. Misol uchun, «Pa $$ w0rd» kabi parol (bu maxsus belgilar va raqamlarni o’z ichiga oladi) tarmoqdan olib tashlanishi mumkin, chunki avvalgi maqolada aytib o’tilganidek, odamlar kamdan-kam hollarda noyob parollarni yaratadilar (parollarning 50% dan kamrog’i). noyobdir) va ko’rsatilgan variant kiberjinoyatchilarning sizib chiqqan ma’lumotlar bazalarida mavjud bo’lishi ehtimoli yuqori.

Qilmoq? Eng maqbul echim — bu maxsus belgilar yordamida uzun va tasodifiy parollar yaratish, parollarni ishlab chiqaruvchilardan foydalanish (ba’zi bir onlayn vositalar va Internetda ko’pchilik parollarni boshqarish dasturlari mavjud). Ko’pgina hollarda, ushbu turdagi 10 yoki undan ortiq belgidan tashkil topgan parol tajovuzkorga shunchaki qiziq bo’lmaydi (ya’ni ularning dasturiy ta’minoti bunday o’zgarishlarni tanlash uchun tuzilmaydi), chunki buning uchun zarur bo’lgan vaqt bo’lmaydi bunga arziydi. Yaqinda Google Chrome brauzerida o’rnatilgan parol ishlab chiqaruvchi paydo bo’ldi.

Yuqoridagi usulning asosiy kamchiligi shundaki, bu parollarni eslab qolish qiyin. Agar parolni yodda tutish zarur bo’lsa, unda katta harflar va maxsus belgilarni o’z ichiga olgan 10 ta belgidan iborat parol minglab marta yoki undan ko’proq majbur qilinishiga asoslangan yana bir variant mavjud (aniq raqamlar ruxsat etilgan belgilar to’plamiga bog’liq). Faqatgina kichik harfli lotin belgilaridan iborat bo’lgan 20 ta belgidan iborat parolni parolini hal qilish uchun (parol hal qiluvchi buni bilsa ham).

Shuning uchun 3 dan 5 tagacha oddiy va tasodifiy inglizcha so’zlardan tashkil topgan parolni eslab qolish oson va yorilishi deyarli mumkin emas. Va har bir so’zni katta harf bilan yozib, biz variantlarning sonini ikkinchi kuchga ko’taramiz. Agar bu inglizcha tartibda yozilgan 3 yoki 5 ruscha so’zlar bo’lsa (yana, tasodifiy, ismlar yoki sanalar emas), biz parolni buzish uchun murakkab lug’at usullarining taxminiy ehtimolini ham yo’q qilamiz.

Parollarni yaratishda hech qanday to’g’ri yondashuv mavjud emas — turli xil usullar (eslash, ishonchlilik va boshqa parametrlar bilan bog’liq) savdo-sotiq mavjud, ammo asosiy printsiplar quyidagicha:

• Parol juda ko’p sonli belgidan iborat bo’lishi kerak. Bugungi kunda eng keng tarqalgan chegara 8 belgidan iborat. Agar sizga kuchli parol kerak bo’lsa, bu etarli emas.
• Agar iloji bo’lsa, parolingizga maxsus belgilar, katta va kichik harflar va raqamlarni kiritishingiz kerak.
• Hech qachon parolingizga shaxsiy ma’lumotlarni kiritmang, hatto «aqlli» ko’rinadigan tarzda yozilmagan. Sanalar, ismlar va familiyalar yo’q. Masalan, 0 yildan to bugungi kungacha bo’lgan har qanday zamonaviy Julian taqvimi sanasini ifodalovchi parolni buzish (masalan, 18.07.2015 yoki 18072015 va h.k.) bir necha soniyadan bir necha soatgacha davom etadi (va ba’zilari uchun urinishlar orasidagi kechikishlar tufayli faqat soatlab ketadi) holatlar).

Siz o’zingizning parolingizning kuchini saytda tekshirishingiz mumkin (garchi ba’zi saytlarda parollarni kiritish, ayniqsa, https holda xavfsiz usul emas) http://rumkin.com/tools/password/passchk.php Agar xohlamasangiz haqiqiy parolingizni tekshiring, uning ishonchliligi haqida ma’lumot olish uchun o’xshashini (bir xil sonli va bir xil belgilar to’plami bilan) kiriting.

Belgilar kiritilgach, xizmat berilgan parol uchun entropiyani (shartli ravishda, tanlov soni, 10-bitli entropiya uchun tanlov soni, 2-dan 60-gacha kuchni) hisoblab chiqadi va har xil qiymatlarning ishonchliligi yordamini beradi. Entropiyasi XNUMX dan katta bo’lgan parollarni, hatto yo’naltirilgan moslashtirish paytida ham yorib yuborish deyarli mumkin emas.

Turli xil hisoblar uchun bir xil parollardan foydalanmang

Agar sizda katta murakkab parol bo’lsa, lekin uni hamma joyda ishlatsangiz, u avtomatik ravishda xavfli bo’lib qoladi. Hackerlar bunday parolni ishlatadigan saytlarning birortasiga kirib, unga kirish huquqini qo’lga kiritishi bilanoq, u darhol (avtomatik ravishda, maxsus dasturiy ta’minot bilan) pochta, o’yinlar, ijtimoiy xizmatlar va boshqa barcha mashhur xizmatlarda sinab ko’rilishiga amin bo’ling. ehtimol hatto onlayn-bank (avvalgi maqolaning oxiriga qarang, parolingiz allaqachon chiqib ketganligini bilish uchun).

Har bir hisob uchun noyob parol murakkab, u juda og’ir, ammo agar bu hisoblar siz uchun muhim bo’lsa, juda muhimdir. Shunga qaramay, siz uchun hech qanday ahamiyatga ega bo’lmagan (ya’ni siz ularni yo’qotishga tayyormiz va xavotir olmaysiz) va shaxsiy ma’lumotlaringiz bo’lmagan ba’zi yozuvlar uchun siz noyob parollar bilan bezovta qila olmaysiz.

Ikki faktorli autentifikatsiya

Hatto kuchli parollar ham sizning hisobingizga hech kim kira olmasligiga kafolat bermaydi. Parolni u yoki bu usul bilan o’g’irlash mumkin (masalan, fishing — bu eng keng tarqalgan variant) yoki uni yashirish mumkin.

Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam va boshqalar kabi deyarli barcha jiddiy onlayn kompaniyalar hisoblarda ikki faktorli (yoki ikki bosqichli) autentifikatsiyani yoqish imkoniyatini qo’shdilar. nisbatan qisqa vaqt ichida. Agar siz uchun xavfsizlik muhim bo’lsa, uni yoqishingizni maslahat beraman.

Ikki faktorli autentifikatsiyani amalga oshirish turli xil xizmatlar uchun bir oz boshqacha ishlaydi, ammo asosiy printsip quyidagicha:

1. Hisobingizni noma’lum qurilmadan kiritishda, to’g’ri parolni kiritgandan so’ng, sizdan qo’shimcha tekshiruvdan o’tishingiz so’raladi.
2. Tasdiqlash SMS yordamida kod, smartfoningizdagi maxsus dastur, oldindan tayyorlangan bosma kodlar, elektron pochta xabarlari, apparat kalitlari yordamida amalga oshiriladi (oxirgi variant Google bilan paydo bo’ldi, bu kompaniya odatda ikki omil haqida gap ketganda birinchi o’rinda turadi) autentifikatsiya).

Shu tarzda, tajovuzkor sizning parolingizni bilib olgan bo’lsa ham, ular sizning qurilmangizga, telefoningizga yoki elektron pochtangizga kirmasdan hisobingizga kira olmaydi.

Agar siz ikki faktorli autentifikatsiya qanday ishlashini to’liq tushunmasangiz, men sizga mavzu bo’yicha maqolalarni yoki uni amalga oshiriladigan saytlarda tavsif va qo’llanmalarni onlayn o’qishingizni maslahat beraman (men ushbu maqolaga batafsil ko’rsatmalarni kiritolmayman).

Parolni saqlash

Har bir sayt uchun murakkab va noyob parollar juda zo’r, ammo ularni qanday saqlash kerak? Ushbu parollarni boshingizda saqlay olmasligingiz ehtimoldan yiroq emas. Saqlangan parollarni brauzerda saqlash xavfli fikrdir: ular nafaqat ruxsatsiz kirishga nisbatan himoyasiz bo’lib qolmaydilar, balki tizim ishdan chiqqan taqdirda va sinxronizatsiya o’chirib qo’yilganda ham ularni yo’q qilishlari mumkin.

Optimal echim parol menejerlari deb hisoblanadi, bu umumiy ma’noda barcha maxfiy ma’lumotlaringizni xavfsiz shifrlangan tonozda (oflaynda ham, onlaynda ham) saqlaydigan, bitta asosiy parol yordamida kirish imkoniyatiga ega (siz qo’shimcha ravishda ikki faktorli autentifikatsiyani yoqishingiz mumkin). Bundan tashqari, ushbu dasturlarning aksariyati parol yaratish va kuchni baholash vositalari bilan jihozlangan.

Bir necha yil oldin men eng yaxshi parol menejerlari haqida maqola yozgan edim (uni qayta yozishga arziydi, lekin siz ular nima ekanligini va maqolada qaysi dasturlar mashhurligi haqida ma’lumot olishingiz mumkin). Ba’zi odamlar o’z qurilmalarida barcha parollarni saqlaydigan KeePass yoki 1Password kabi oddiy oflayn echimlarni afzal ko’rishadi, boshqalari esa sinxronizatsiya qobiliyatiga ega bo’lgan ko’proq funktsional yordam dasturlarini afzal ko’rishadi (LastPass, Dashlane).

Eng mashhur parol menejerlari odatda parollarni saqlashning juda xavfsiz va ishonchli usuli hisoblanadi. Shunga qaramay, ba’zi tafsilotlarni yodda tutish kerak:

• Barcha parollaringizga kirish uchun faqat asosiy parolni bilishingiz kerak.
• Onlayn seyf buzilgan taqdirda (bir oy oldin dunyodagi eng mashhur parollarni boshqarish xizmati LastPass buzilgan), siz barcha parollaringizni o’zgartirishingiz kerak bo’ladi.

Qanday qilib muhim parollarni saqlashingiz mumkin? Mana bir nechta variant:

• Qog’ozda, siz va oila a’zolaringiz kira oladigan seyfda (tez-tez ishlatib turiladigan parollar uchun mos emas).
• Oflayn parol ma’lumotlar bazasi (masalan, KeePass) uzoq muddatli saqlash moslamasida saqlanadi va yo’qolgan taqdirda biron bir joyda takrorlanadi.

Yuqoridagilarning eng maqbul kombinatsiyasi, mening fikrimcha, quyidagi yondashuvdir: eng muhim parollar (boshqa elektron pochta xabarlari, bank va boshqalarni tiklash uchun ishlatilishi mumkin bo’lgan asosiy elektron pochta) boshida va / yoki qog’ozda saqlanadi xavfsiz joy. Kamroq ahamiyatga ega va shu bilan birga tez-tez ishlatiladigan parollar parollarni boshqarish dasturlariga ishonib topshirilishi kerak.

Qo’shimcha ma’lumot

Parollar mavzusidagi ikkita maqolaning birlashishi, ba’zilaringizga xavfsizlikning o’ylamagan ba’zi jihatlariga e’tibor berishga yordam berdi deb umid qilaman. Albatta, men barcha mumkin bo’lgan variantlarni ko’rib chiqmadim, ammo oddiy mantiq va printsiplarni ma’lum darajada anglash sizga har qanday vaqtda o’zingizni qanchalik xavfsiz qilayotganingizni o’zingiz hal qilishga yordam beradi. Shunga qaramay, ba’zilari aytib o’tilgan va ba’zi qo’shimcha fikrlar:

• Turli xil saytlar uchun turli xil parollardan foydalaning.
• Parollar murakkab bo’lishi kerak, murakkablikni oshirishi mumkin bo’lgan eng kuchli narsa parol uzunligini oshirishdir.
• O’zingizning parolingiz, parolingiz haqida ko’rsatmalar va tiklashni boshqarish bo’yicha savollaringizni yaratishda shaxsiy ma’lumotlardan (bilib olish mumkin) foydalanmang.
• Iloji boricha ikki bosqichli autentifikatsiyadan foydalaning.
• Parollaringizni xavfsiz saqlashning eng yaxshi usulini toping.
• Fishing (veb-sayt manzillarini tekshirish, kodlash) va josuslarga qarshi dasturlardan ehtiyot bo’ling. Sizdan har doim parolni kiritish so’ralganda, uni to’g’ri saytga kiritganingizga ishonch hosil qiling. Kompyuteringizda zararli dastur yo’qligiga ishonch hosil qiling.
• Iloji boricha, parollaringizni boshqa odamlarning kompyuterlarida (agar kerak bo’lsa, buni brauzerning «inkognito rejimida» bajaring yoki yaxshiroq, ekran klaviaturasidan kiriting), umumiy va ochiq Wi-Fi tarmoqlarida ishlatmang, agar saytga ulanishda https shifrlash bo’lmasa.
• Eng muhim, haqiqatan ham hayotiy parollarni kompyuteringizda yoki Internetda saqlash yaxshi fikr bo’lmasligi mumkin.

Qandaydir tarzda. Men paranoyya darajasini oshirishga muvaffaq bo’ldim deb o’ylayman. Tushundimki, bularning ko‘pi noqulaydek tuyuladi, siz “men undan qutulib qolaman” deb o‘ylashingiz mumkin, ammo maxfiy ma’lumotlarni saqlashda oddiy xavfsizlik qoidalariga rioya qilishda dangasalik uchun yagona bahona bu muhim emasligi va siz bunga tayyor ekanligingizdir. uni uchinchi shaxslarga oshkor qilish.