Adgangskoder: Sådan gør du dem rigtigt: 10 trin

2024 Forfatter: John Day | [email protected]. Sidst ændret: 2024-01-30 08:29

Tidligere på året mistede min kone adgang til nogle af hendes konti. Hendes adgangskode blev taget fra et brudt websted, derefter blev det brugt til at komme ind på andre konti. Det var først, da websteder begyndte at underrette hende om mislykkede loginforsøg, at hun indså, at der var noget i gang.

Jeg har også talt med en række mennesker, der siger, at de bruger den samme adgangskode til hvert websted. Disse to ting har været nok til at anspore mig til at skrive denne Instructable.

Adgangskodesikkerhed er en meget lille del af online sikkerhed som helhed. Næsten hver konto kræver en form for login for at give adgang til det, den beskytter. Denne enkelt streng er ofte alt, hvad der står mellem en angriber og dine personlige oplysninger, penge, personlige billeder eller de rejsepunkter, du har samlet i årevis.

Denne instruktive har til formål at dække nogle bedste fremgangsmåder til oprettelse af adgangskoder. Hvis du er en person, der har den samme adgangskode til hvert websted, hvis adgangskoder er et mønster på tastaturet, eller du har ordet "adgangskode" i din adgangskode, er denne instruktive noget for dig.

Ansvarsfraskrivelse

Jeg er ikke en sikkerhedsekspert. Disse oplysninger er blevet lært og undersøgt over tid og er kun en anbefaling og opsummering af et meget komplekst emne. Denne vejledning blev skrevet i begyndelsen af 2018 og kan være forældet, når du læser den.

TL; DR

Hvis du er ligeglad med alle mine begrundelser og forklaringer bag adgangskoder og bare vil have en nem måde at oprette sikre adgangskoder på, skal du springe til det sidste trin.

Trin 1: Gør det langt

Længde er en meget vigtig komponent til adgangskodesikkerhed. Da computernes hastighed vokser stadigt hurtigere, kan adgangskoder prøves med fantastiske hastigheder. Dette kaldes "brute-force" password-cracking. Det binder alle mulige kombinationer af tegn, indtil du finder den, der matcher.

I teorien gør dette ethvert kodeord sprækkeligt, givet nok tid. Heldigvis, jo længere adgangskoden er, jo længere ville det tage denne angrebstype. Hver karakter, du tilføjer til længden, gør vanskeligheden meget meget sværere. Hvis det er længe nok, kan det tage årtier at finde det på denne måde, hvilket gør det ikke det værd for en angriber.

Eksempel

Lad os sige, at du har en adgangskode, der kun er store bogstaver. Dette er ikke en god idé, men dette er kun til illustration. Hver gang du tilføjer et andet tegn til adgangskoden, multiplicerer det antallet af mulige adgangskoder med 26. Hvis du havde et kodeord på 1 tegn, ville det have 26 mulige adgangskoder, 2 tegn ville have 676 mulige adgangskoder osv. Dette begynder at snebolde hurtigt.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Som du kan se, gør hvert bogstav, du tilføjer, dette angreb meget hårdere og praktisk talt umuligt med nok tegn. Husk, at dette kun er med store bogstaver. Når de bliver mere komplekse, forstørres denne effekt.

Trin 2: Gør det komplekst

Kompleksitet er en anden stor faktor i adgangskodesikkerhed. Hvis et websted nogensinde bliver brudt, er det sandsynligt, at brugernavne og adgangskoder vil blive trukket ud. Som et grundlæggende sikkerhedsniveau har webstedet forhåbentlig adgangskoder hash (ligner kryptering), før det gemmes. Det betyder, at de er forvanskede, før de går ind i databasen, og der er ingen måde at vende denne skævhed.

Det hele lyder godt. Det er ligegyldigt, hvad din adgangskode er, fordi den er forvansket, ikke? Det er ikke tilfældet, hvis din adgangskode ikke er kompleks. Der bruges standard hash -algoritmer (SHA1, MD5, SHA512 osv.), Og de vil altid hash det samme på samme måde. Hvis du f.eks. Bruger SHA1, og din adgangskode var "password", vil den altid blive gemt i databasen som "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Oprettelse af hash tager tid og computerhastighed, og beregning af alle mulige hash for alle mulige adgangskoder er praktisk talt umulig. Hvad folk har gjort er at lave "ordbøger" af almindelige adgangskoder. Ting som "password" eller "qwerty" vil naturligvis være der, såvel som mindre almindelige. Der vil være millioner af adgangskoder i disse ordbøger, og det vil kun tage sekunder at gennemgå hver post og sammenligne den kendte hash med hash af din adgangskode. Dette kaldes et "ordbogsangreb". Hvis din er en af dem, der allerede er blevet beregnet, beskytter forvirringen ikke din adgangskode, og den kan bruges på andre websteder.

Også at ændre bogstaver til tal tilføjer ikke kompleksitet. Det kan virke mere komplekst at ændre E til 3 eller I til 1, men det er sådan en almindelig praksis, at det ikke tilføjer mere sikkerhed. Cracking -programmer har en mulighed, der automatisk prøver disse variationer.

Trin 3: Gør det unikt

Det er svært at huske adgangskoder. Da vores liv bliver mere og mere online, er det ikke ualmindeligt, at hver person har mere end 50 online -konti, hver med deres eget login. Dette kan være meget svært at holde styr på.

Den mest almindelige måde, folk håndterer dette på, er ved at vælge en "god" adgangskode og bruge den på en masse forskellige websteder. Det er en frygtelig idé. Alt det kræver er for et sikkerhedsbrud eller et phishing -websted for at få dit brugernavn og din adgangskode til at starte bolden. Angribere kunne prøve dette brugernavn og kodeord på hundredvis af websteder inden for få sekunder. Dette ville automatisk få dem til hvert websted med det samme brugernavn som det kompromitterede.

Jeg ved, at det har en forskellig opgave at have en anden adgangskode til hvert websted, men vi vil dække, hvordan vi håndterer dette senere.

Trin 4: Intet personligt

Dine oplysninger er ikke så private som du tror. En hurtig søgning online kunne let finde din fødselsdato eller adresse. Hvis en anden konto er blevet brudt, kan der let fås endnu flere oplysninger. Hvis der er en angriber, der forsøger at komme ind på dine konti, ville disse være oplagte adgangskoder at prøve. Det efterlader også adgang til familiemedlemmer, venner eller endda bekendte.

Trin 5: Behandl alle adgangskoder med samme omhu

Når du beskæftiger dig med websteder, bør du behandle sikkerheden for dem alle med samme omhu. For eksempel, hvis du har et login til dit foretrukne kattewebsted, bør du tage de samme forholdsregler som dit bank -login. Det virker måske ikke som meget at miste adgangen til alle de yndige whiskers, men det kan bare være en springbræt for en angriber. Brud på det "uvæsentlige" websted kan give en angriber flere oplysninger om dig, f.eks. Et andet brugernavn, du har brugt, en anden e -mail, du brugte til at logge ind, eller faktiske oplysninger, der kunne bruges til at låse andre websteder op.

Hvis det er et uvæsentligt websted, er der også en større chance for, at de ikke følger korrekt sikkerhedspraksis, hvilket betyder, at hvis din adgangskode er lang og kompleks, men ikke unik, og adgangskoderne ikke er hash korrekt, når de gemmes, denne adgangskode kan let bruges på andre websteder. Igen, bare fordi webstedet er "uvigtigt", betyder det ikke, at din sikkerhed er det.

Trin 6: Hold det skjult

God - Offline opbevaring

Offline opbevaring kan være en god mulighed, hvis du er en glemsom person. At have en USB -stick, som du holder låst væk med dine adgangskoder på, beskytter mod de fleste angreb med undtagelse af familie og venner. Bare hvis du mister denne stick på en eller anden måde, skal du sørge for, at adgangskodefilen eller hele drevet er krypteret, og at stikket er sikkerhedskopieret et sted meget sikkert.

Denne metode har en masse sikkerhed, men på bekostning af bekvemmelighed.

Grunden til, at den skulle være offline, forklares mere detaljeret nedenfor. Husk, at mange enheder automatisk sikkerhedskopieres til skyen nu, selvom du ikke mente det. Hvis du også nogensinde tilslutter denne stick til en enhed, der har en virus eller er kompromitteret, kan dataene let kopieres.

Bedre - husk alt

Husk alle dine adgangskoder. Hvis du er utrolig begavet, kan dette være en mulighed. Der er ingen måde for nogen at finde dem, og du har dem altid med dig. Nogle negative sider er, at de fleste af os ikke er fantastiske til at huske komplekse ting og har en tendens til at tale lidt for meget efter en drink eller to. Især med snesevis af adgangskoder at huske, er dette sandsynligvis ikke engang en mulighed for lægmanden.

Bedst - Ingen opbevaring

Det bedste tilfælde er, at du slet ikke gemmer dem. Enten kan du på en eller anden måde huske alle dine unikke, lange, komplekse adgangskoder, eller få en måde at genskabe dem med det samme. Hvis du kender de ingredienser, der er nødvendige for at genskabe dem, så er der ingen måde, hvorpå en angriber kunne "finde" dem, fordi de ikke eksisterer, før det er nødvendigt. Det lyder måske kompliceret, men det er det virkelig ikke. Mere om dette senere.

Betydningen af offline

Websites administreres af mennesker. For de fleste websteder er det sikkert sikkert at antage, at disse mennesker generelt har gode intentioner, men selv de bedste mennesker kan begå fejl. Alene sidste år var der en række enorme hjemmesidesikkerhedsbrud af store, generelt sikre virksomheder som Linked-In, Yahoo, Equifax, Apple og Uber, for blot at nævne nogle få. Det er store virksomheder med sikkerhedsafdelinger, og de blev overtrådt.

Cloud -opbevaring lyder smart, og det giver bekvemmelighed, men hvad en "sky" i virkeligheden er en andens computer, som du bruger til at gemme dine filer. Som jeg sagde ovenfor, kan folk begå fejl. Hvis det sker, kan dine adgangskoder være tilgængelige for verden. Cloud -websteder er et kæmpe mål for angribere på grund af mængden af data, de har. Knæk cloud -stedet, få adgang til alle de oplysninger, som potentielt millioner af mennesker har gemt.

Jeg er sikker på, at noget af dette er paranoia, men med en stor del af dit liv gemt bag disse adgangskoder, skal du beskytte dem som sådan.

Trin 7: Min anbefaling

Dette har været en meget lang indledning til at forklare de vigtigste søjler i adgangskodesikkerhed. Hvis du følger disse 6 retningslinjer, bør du have minimale sikkerhedsproblemer online, og hvis der sker noget, skal det stoppe ved kilden og ikke sprede sig til resten af dit online liv.

Der er mange forskellige måder, du kan løse disse udfordringer på. Nogle er bedre end andre og giver forskellige fordele. Min yndlingsløsning er SuperGenPass (SGP). Jeg er ikke tilknyttet på nogen måde, jeg er bare fan.

Enkel at bruge

SGP har en app til din telefon og en knap, som du kan tilføje til din browser. Når du går til et websted, og det beder dig om dit login, skal du klikke på knappen. Et lille vindue vil dukke op. Indtast din hovedadgangskode. SGP genererer et kodeord til dette websted og indtaster det i adgangskodeboksen for dig!

Lang

Du kan vælge længden af den adgangskode, der oprettes. Dette genererer adgangskoder på op til 24 tegn, hvilket er ret sikkert, men du kan vælge kortere, hvis nogle websteder begrænser længden af din adgangskode.

Kompleks

Store, små og tal bruges, hvilket er ret sikkert. De følger ikke noget genkendeligt mønster uden ord eller sætninger. Intet af din webadresse eller hovedadgangskode er i denne streng.

Enestående

Hvert websted vil have et helt unikt kodeord. Adgangskoderne for example1.com og example2.com er helt forskellige, selvom der kun er et tegn forskelligt i de første "ingredienser". Som du kan se i eksemplet herunder, er der ingen forbindelse mellem "ingredienserne" og den resulterende adgangskode, og de er MEGET forskellige fra hinanden.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Opbevaring

Det gemmer og sender ingen data. Det kan køres helt offline, hvis du er bekymret, og der er ingen måde for nogen at finde eller stjæle dem.

Trin 8: SGP: Opsætning

Opsætning af SGP er superenkelt. For det første vil du sandsynligvis gerne tilføje det til din bogmærkelinje. For at gøre dette skal du gå til:

chriszarate.github.io/supergenpass/

Der vil være 2 knapper at vælge imellem. For at opsætte en computer, du normalt bruger, skal du trække den venstre knap til din bogmærkelinje. Dette giver dig en ny knap til brug.

Hvis du bruger en andens computer i fremtiden, kan du vælge knappen til højre. Dette giver dig mulighed for at bruge SGP uden at ændre noget i deres browser. Det er også en mulighed for en mobil browser.

Når det er blevet føjet til din bogmærkelinje, skal du klikke på knappen. Det åbner et lille vindue i hjørnet af din webside. Hvis du klikker på det lille gear, åbnes indstillingerne.

Længde

Tallet til venstre er længden af adgangskoden, som den genererer. Jeg anbefaler at kigge igennem de websteder, du bruger mest, og indstille det til det højeste antal, som disse websteder tillader. Over 12 anbefales, men jo længere jo bedre, især da du ikke behøver at huske det.

Hashtype

Der er to muligheder for hvilken type hash der bruges, MD5 og SHA. Begge genererer adgangskoder med store bogstaver, små bogstaver og tal. At ændre dette er en enkel måde at ændre alle dine adgangskoder, samtidig med at den samme hovedadgangskode bevares.

Hemmelig adgangskode

Den hemmelige adgangskode -sektion er en ekstra måde at sikre, at alt er sikkert. Når appleten starter, hvis du har en hemmelig adgangskode, viser den et lille billede i kodeboksen. Denne adgangskode skal ALTID være den samme, når den starter. Hvis det starter, og dette billede ikke er, hvad det normalt er, er der en chance for, at nogen prøver at få din hovedadgangskode.

Hovedadgangskode

Dette er ikke nødvendigt under opsætningen, men det er meget vigtigt. Sørg for at vælge en stærk adgangskode. Dette er en enkelt adgangskode, som du altid indtaster på hvert websted. Sørg for, at det er noget, du kan huske, men er komplekst, langt og ikke-personligt.

Gemmer

Når du har valgt alle dine indstillinger, skal du klikke på gem -ikonet og tandhjulsikonet igen for at lukke indstillingerne

Trin 9: Brug SGP

For at bruge SGP skal du gå til et websted, som du normalt ville. Når du skal indtaste din adgangskode, skal du klikke på knappen SGP, som du tilføjede til din bogmærkelinje. Hvis du brugte en hemmelig adgangskode, da du konfigurerede SGP, skal du sørge for, at det billede, der vises i kodeboksen, stemmer overens med, hvad det var, da du konfigurerede det.

Indtast din hovedadgangskode, og tryk på Enter. Dette vil beregne din unikke adgangskode til dette websted og udfylde det for dig! Når du skriver din hovedadgangskode, opdateres ikonet. Hvis billedet ikke matcher det ikon, du normalt har, har du enten indtastet din hovedadgangskode forkert, eller også prøver nogen at få din adgangskode.

Afhængigt af hvordan webstedet er skrevet, er SGP muligvis ikke i stand til at indtaste adgangskoden for dig, eller webstedet er muligvis ikke klar over, at det er indtastet. Hvis det er tilfældet, kan du klikke på kopiikonet ved siden af det genererede kodeord og indsætte det manuelt.

Når din adgangskode er indtastet, skal du klikke på Login, og du er der!

Trin 10: Endelige tanker

SGP fungerer muligvis ikke for alle, og det er OK. Det er ikke den perfekte løsning, fordi der ikke findes sådan noget. Hvis du har en anden tjeneste eller metode, som du kan lide at bruge til adgangskoder, skal du huske på de 6 trin for en sikker adgangskode. Hvis din nuværende metode mangler på et par af disse områder, er det måske på tide at kigge efter en anden løsning. Ja, det kan tage en halv dag at ændre alle dine konti, men det ville sandsynligvis være mindre hovedpine end at få dine konti brudt.

En note om onlinelagring: Hvis tjenesten gemmer dine adgangskoder online/i "skyen", skal du kontrollere deres sikkerhedspraksis for at sikre, at de er gode. Webstedet vil sandsynligvis fortælle dig, hvad de gør for at beskytte dine adgangskoder, hvis de gør det korrekt. Hvis du ikke er sikker, skal du sende dem en e -mail og spørge. Hvis de ikke kan give dig et godt/kort/præcist svar, skal du være forsigtig, når du bruger den service.