Hesla: Jak je udělat správně: 10 kroků

2024 Autor: John Day | [email protected]. Naposledy změněno: 2024-01-30 08:23

Začátkem tohoto roku moje žena ztratila přístup k některým svým účtům. Její heslo bylo převzato z narušeného webu a poté bylo použito k získání přístupu k jiným účtům. Až když ji weby začaly upozorňovat na neúspěšné pokusy o přihlášení, došlo jí, že se něco děje.

Také jsem mluvil s několika lidmi, kteří říkají, že pro každé stránky používají stejné heslo. Tyto dvě věci mě dost povzbudily k napsání tohoto Instructable.

Zabezpečení heslem je velmi malá část online zabezpečení jako celku. Téměř každý účet vyžaduje nějaký druh přihlášení, aby umožnil přístup ke všemu, co chrání. Jediný řetězec je často vše, co stojí mezi útočníkem a vašimi osobními informacemi, penězi, osobními obrázky nebo těmi cestovními body, které sbíráte roky.

Tento instruktáž si klade za cíl pokrýt některé osvědčené postupy pro vytváření hesel. Pokud jste někým, kdo má pro každé webové stránky stejné heslo, jehož hesla jsou vzorem na klávesnici nebo máte v hesle slovo „heslo“, je tento návod k použití pro vás.

Prohlášení

Nejsem odborník na bezpečnost. Tyto informace byly časem naučeny a prozkoumány a jsou pouze doporučením a shrnutím velmi složitého předmětu. Tento návod byl napsán na začátku roku 2018 a v době, kdy si ho přečtete, může být zastaralý.

TL; DR

Pokud vás nezajímají všechna moje zdůvodnění a vysvětlení hesel a chcete jen snadný způsob, jak vytvořit bezpečná hesla, přejděte k poslednímu kroku.

Krok 1: Prodlužte to

Délka je jednou z velmi důležitých součástí zabezpečení heslem. S tím, jak se rychlost počítačů stále zvyšuje, lze hesla zkoušet úžasnými rychlostmi. Tomu se říká prolomení hesla „hrubou silou“. Je to svazování všech možných kombinací postav, dokud nenajdete tu, která odpovídá.

Teoreticky to způsobí, že jakékoli heslo bude prolomeno, pokud bude mít dostatek času. Naštěstí čím delší je heslo, tím déle tento typ útoku zabere. Každá postava, kterou přidáte k délce, dělá obtížnost mnohem těžší. Pokud je dostatečně dlouhá, může trvat desítky let, než ji najdete tímto způsobem, což útočníkovi nestojí za to.

Příklad

Řekněme, že máte heslo, které je pouze velká písmena. Není to dobrý nápad, ale slouží pouze pro ilustraci. Pokaždé, když k heslu přidáte další znak, znásobí počet možných hesel číslem 26. Pokud byste měli jednoznakové heslo, mělo by 26 možných hesel, 2 znaky 676 možných hesel atd. To začne rychle sněžit.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Jak vidíte, každé písmeno, které přidáte, činí tento útok mnohem těžším a při dostatku postav je prakticky nemožné. Pamatujte, že je to pouze s velkými písmeny. Jakmile se stanou složitějšími, tento efekt se zvětší.

Krok 2: Udělejte to složitým

Složitost je dalším velkým faktorem zabezpečení heslem. Pokud dojde k prolomení webu, je pravděpodobné, že budou odstraněna uživatelská jména a hesla. Jako základní úroveň zabezpečení doufejme web před uložením hashuje hesla (podobně jako šifrování). To znamená, že jsou zkomolení, než se dostanou do databáze, a neexistuje způsob, jak toto zkomolení zvrátit.

To všechno zní dobře. Nezáleží na tom, jaké je vaše heslo, protože je zkomolené, že? To není případ, pokud vaše heslo není složité. Používají se standardní hashovací algoritmy (SHA1, MD5, SHA512 atd.) A budou vždy hašovat stejnou věc stejným způsobem. Pokud například používáte SHA1 a vaše heslo bylo „heslo“, bylo by uloženo v databázi jako „5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8“, vždy.

Vytváření hashů vyžaduje čas a počítač, a výpočet všech možných hashů pro všechna možná hesla je prakticky nemožný. To, co lidé udělali, je vytvořit „slovníky“běžných hesel. Věci jako „heslo“nebo „qwerty“tam samozřejmě budou, stejně jako méně běžné. V těchto slovnících budou miliony hesel a bude trvat jen několik sekund, než projdete každým záznamem a porovnáte známý hash s hashem vašeho hesla. Tomu se říká „slovníkový útok“. Pokud je ten váš jednou z těch, které již byly vypočítány, kloktání neochrání vaše heslo a lze jej použít na jiných webech.

Také změna písmen na čísla nepřináší složitost. Může se to zdát složitější změnit E na 3 nebo I na 1, ale to je tak běžná praxe, že to nepřidává žádné další zabezpečení. Cracking programy mají možnost, která tyto varianty automaticky vyzkouší.

Krok 3: Udělejte to jedinečným

Zapamatovat si hesla je těžké. S tím, jak se náš život stává stále více online, není neobvyklé, že každý člověk má více než 50 online účtů, každý s vlastním přihlášením. To může být velmi těžké sledovat.

Nejčastěji to lidé řeší tak, že si vyberou jedno „dobré“heslo a použijí ho na spoustě různých webů. To je hrozný nápad. Stačí, aby jedno narušení bezpečnosti nebo jeden phishingový web získal vaše uživatelské jméno a heslo pro zahájení koule. Útočníci si toto uživatelské jméno a heslo mohli během několika sekund vyzkoušet na stovkách webových stránek. Tím by se automaticky dostali na každou webovou stránku se stejným uživatelským jménem jako ta, která byla napadena.

Vím, že mít pro každé stránky jiné heslo vypadá jako skličující úkol, ale jak to zvládneme, si povíme později.

Krok 4: Nic osobního

Vaše informace nejsou tak soukromé, jak si myslíte. Rychlé vyhledávání online snadno najde vaše datum narození nebo adresu. Pokud byl narušen jiný účet, lze snadno získat ještě více informací. Pokud se do vašich účtů pokouší dostat útočník, byla by to zjevná hesla k pokusu. Nechává také vstup otevřený rodinným příslušníkům, přátelům nebo dokonce známým.

Krok 5: Zacházejte se všemi hesly se stejnou péčí

Při jednání s webovými stránkami byste měli k zabezpečení všech přistupovat stejně opatrně. Pokud se například přihlásíte na svůj oblíbený web pro kočky, měli byste provést stejná opatření jako přihlášení do banky. Ztratit přístup ke všem těm rozkošným vousům se nemusí zdát, ale mohlo by to být jen odrazovým můstkem pro útočníka. Porušení této „nedůležité“webové stránky by útočníkovi mohlo poskytnout více informací o vás, například jiné uživatelské jméno, které jste použili, jiný e -mail, který jste použili k přihlášení, nebo skutečné informace, které by bylo možné použít k odemčení jiných webů.

Pokud se jedná o nedůležité webové stránky, je větší šance, že nebudou dodržovat správné bezpečnostní postupy, což znamená, že pokud je vaše heslo dlouhé a složité, ale není jedinečné a hesla nejsou při uložení správně hašována, toto heslo lze snadno použít na jiných webových stránkách. To, že je stránka „nedůležitá“, opět neznamená, že vaše zabezpečení ano.

Krok 6: Udržujte to skryté

Dobré - offline úložiště

Offline úložiště může být dobrou volbou, pokud jste zapomnětlivý člověk. Mít USB klíč, který necháváte uzamčený s hesly, chrání před většinou útoků, s výjimkou rodiny a přátel. Jen v případě, že tuto kartu nějak ztratíte, zkontrolujte, zda je soubor s heslem nebo celý disk zašifrován a zda je disk zálohován na velmi bezpečném místě.

Tato metoda má mnoho zabezpečení, ale za cenu pohodlí.

Důvod, proč by měl být offline, je podrobněji vysvětlen níže. Mějte na paměti, že spousta zařízení je nyní automaticky zálohována do cloudu, i když jste to nechtěli. Také, pokud někdy připojíte tuto páčku k zařízení, které má virus nebo je napadeno, data lze snadno zkopírovat.

Lepší - pamatovat si všechno

Zapamatujte si všechna svá hesla. Pokud jste neuvěřitelně nadaní, může to být volba. Nikdo je nemůže najít a vždy je máte u sebe. Některé stinné stránky jsou, že většina z nás není úžasná, když si pamatuje složité věci, a má tendenci mluvit příliš mnoho po pití nebo dvou. Zvláště s desítkami hesel k zapamatování to pravděpodobně není ani možnost pro laiky.

Nejlepší - žádné úložiště

Nejlepším scénářem je, abyste je vůbec neukládali. Buď si nějak zapamatujte všechna svá jedinečná, dlouhá a složitá hesla, nebo budete mít způsob, jak je znovu vytvořit za běhu. Pokud znáte ingredience potřebné k jejich opětovnému vytvoření, pak neexistuje způsob, jak by je útočník mohl „najít“, protože neexistují, dokud nejsou potřeba. Může to znít složitě, ale ve skutečnosti tomu tak není. Více o tom později.

Důležitost offline

Webové stránky spravují lidé. U většiny webových stránek je pravděpodobně bezpečné předpokládat, že tito lidé mají obecně dobré úmysly, ale i ti nejlepší lidé mohou dělat chyby. Jen v loňském roce došlo k řadě obrovských porušení zabezpečení webových stránek velkých, obecně bezpečných společností, jako jsou Linked-In, Yahoo, Equifax, Apple a Uber, abychom jmenovali alespoň některé. Jedná se o velké společnosti s bezpečnostními odděleními, které byly porušeny.

Cloudové úložiště zní efektně a nabízí pohodlí, ale „cloud“ve skutečnosti je počítač někoho jiného, který používáte k ukládání souborů. Jak jsem řekl výše, lidé mohou dělat chyby. Pokud k tomu dojde, vaše hesla mohou být dostupná světu. Cloudové stránky jsou pro útočníky obrovským cílem kvůli množství dat, která mají. Prolomte cloudový web a získejte přístup ke všem informacím, které si potenciálně uložily miliony lidí.

Jsem si jistý, že něco z toho je paranoia, ale s obrovským kusem vašeho života skrytým za těmito hesly je chraňte jako takové.

Krok 7: Moje doporučení

Toto byla velmi dlouhá preambule k vysvětlení hlavních pilířů zabezpečení heslem. Pokud se budete řídit těmito 6 pokyny, měli byste mít minimální problémy se zabezpečením online, a pokud se něco stane, mělo by to skončit u zdroje, ne se rozšířit do zbytku vašeho online života.

Existuje mnoho různých způsobů, jak můžete tyto výzvy vyřešit. Některé jsou lepší než jiné a poskytují různé výhody. Moje oblíbené řešení je SuperGenPass (SGP). Nejsem nijak spojen, jsem jen fanoušek.

Jednoduché použití

SGP má aplikaci pro váš telefon a tlačítko, které si můžete přidat do prohlížeče. Když přejdete na webovou stránku a požádá vás o přihlášení, klikněte na tlačítko. Otevře se malé okno. Zadejte své hlavní heslo. SGP vygeneruje heslo pro tento web a zadá ho do pole pro heslo!

Dlouho

Můžete si vybrat délku hesla, které se vytvoří. To vygeneruje hesla až do 24 znaků, což je docela bezpečné, ale můžete zvolit kratší, pokud některé webové stránky omezují délku vašeho hesla.

Komplex

Používají se velká, malá písmena a čísla, což je docela bezpečné. Nesledují žádný rozpoznatelný vzorec bez slov nebo frází. V tomto řetězci není nic z vaší adresy URL ani hlavního hesla.

Unikátní

Každý web bude mít zcela jedinečné heslo. Hesla pro example1.com a example2.com jsou zcela odlišná, přestože v počátečních „přísadách“se liší pouze jeden znak. Jak vidíte na níže uvedeném příkladu, mezi „přísadami“a výsledným heslem neexistuje žádné spojení a jsou od sebe VELMI odlišné.

hlavní heslo: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Úložný prostor

Neukládá a nepřenáší žádná data. Pokud vás to znepokojuje, lze jej spustit zcela offline a neexistuje způsob, jak ho někdo najít nebo ukrást.

Krok 8: SGP: Nastavení

Nastavení SGP je velmi jednoduché. Nejprve jej pravděpodobně budete chtít přidat na panel záložek. Chcete -li to provést, přejděte na:

chriszarate.github.io/supergenpass/

Na výběr budou 2 tlačítka. Chcete -li nastavit počítač, který obvykle používáte, přetáhněte levé tlačítko do lišty záložek. Tím získáte nové tlačítko k použití.

Pokud v budoucnu používáte počítač někoho jiného, můžete vybrat tlačítko vpravo. To vám umožní používat SGP beze změny v jejich prohlížeči. Je to také možnost pro mobilní prohlížeč.

Jakmile bude přidán na panel záložek, klikněte na tlačítko. Otevře se malé okno v rohu vaší webové stránky. Kliknutím na malý převod se otevře nastavení.

Délka

Číslo vlevo je délka hesla, které bude generovat. Doporučuji si prohlédnout stránky, které používáte nejčastěji, a nastavit je na nejvyšší počet, který tyto stránky povolí. Doporučuje se více než 12, ale čím déle, tím lépe, zejména proto, že si to nemusíte pamatovat.

Typ hash

Existují dvě možnosti, jaký typ hashe se používá, MD5 a SHA. Oba budou generovat hesla s velkými písmeny, malými písmeny a čísly. Změna je jednoduchý způsob, jak změnit všechna hesla při zachování stejného hlavního hesla.

Tajné heslo

Sekce tajných hesel je přidaným způsobem, jak zajistit, že je vše v bezpečí. Když máte spuštěný aplet, pokud máte tajné heslo, zobrazí se v poli pro heslo malý obrázek. Toto heslo by mělo být při spuštění VŽDY stejné. Pokud se spustí a tento obrázek není tím, čím obvykle je, existuje šance, že se někdo pokusí získat vaše hlavní heslo.

Hlavní heslo

Během instalace to není nutné, ale je to velmi důležité. Ujistěte se, že jste vybrali silné heslo. Toto je jediné heslo, které vždy zadáváte na každém webu. Ujistěte se, že je to něco, co si můžete zapamatovat, ale je to složité, dlouhé a neosobní.

Ukládání

Jakmile vyberete všechna svá nastavení, kliknutím na ikonu uložení a ikonu ozubeného kola nastavení zavřete

Krok 9: Použijte SGP

Chcete -li používat SGP, přejděte na web jako obvykle. Když potřebujete zadat heslo, klikněte na tlačítko SGP, které jste přidali na lištu záložek. Pokud jste při nastavování SGP použili tajné heslo, ujistěte se, že obrázek, který se zobrazí v poli pro heslo, odpovídá tomu, jaký byl při jeho nastavení.

Zadejte své hlavní heslo a stiskněte Enter. Tím se vypočítá vaše jedinečné heslo pro tento web a vyplní se za vás! Při psaní hlavního hesla se ikona aktualizuje. Pokud se obrázek neshoduje s ikonou, kterou obvykle máte, buď jste špatně zadali hlavní heslo, nebo se někdo pokouší získat vaše heslo.

V závislosti na tom, jak je web napsán, vám SGP možná nebude moci zadat heslo, nebo si web nemusí uvědomit, že byl zadán. V takovém případě můžete kliknout na ikonu kopírování vedle vygenerovaného pole pro heslo a vložit jej ručně.

Jakmile je heslo zadáno, klikněte na Přihlásit a jste tam!

Krok 10: Závěrečné myšlenky

SGP nemusí fungovat pro každého a to je v pořádku. Není to dokonalé řešení, protože nic takového neexistuje. Pokud máte jinou službu nebo metodu, kterou rádi používáte pro hesla, mějte na paměti 6 kroků pro zabezpečené heslo. Pokud vaše současná metoda v několika z těchto oblastí chybí, může být načase hledat jiné řešení. Ano, změna všech vašich účtů může trvat půl dne, ale pravděpodobně by vás méně bolela hlava, než kdyby vaše účty byly narušeny.

Poznámka k online úložišti: Pokud služba ukládá vaše hesla online/v „cloudu“, zkontrolujte jejich bezpečnostní postupy, abyste se ujistili, že jsou dobré. Stránka vám pravděpodobně řekne, co dělají pro ochranu vašich hesel, pokud to dělají správně. Pokud si nejste jisti, pošlete jim e -mail a zeptejte se. Pokud vám nemohou dát dobrou/stručnou/přesnou odpověď, buďte při používání této služby opatrní.