'12345' Adakah benar-benar buruk: panduan utama anda untuk keselamatan kata laluan

Kami telah menasihatkan anda lagi dan lagi bahawa satu-satunya cara yang selamat untuk menyimpan dan menggunakan kata laluan ialah bergantung kepada pengurus kata laluan, tetapi sebahagian daripada anda tidak mendengar. Dalam kaji selidik PCMag pada kata laluan, hanya 24 peratus daripada anda dilaporkan menggunakan pengurus kata laluan. Apa yang kamu buat? Menggunakan kata laluan mudah seperti kata laluan atau 12345678? Menghafal satu kata laluan yang kompleks dan menggunakannya di mana-mana? Dengar, menjaga keselamatan kata laluan bukan perkara kecil, tetapi diberi skala besar risiko-seperti yang digambarkan dalam pelanggaran Koleksi # 1 baru-baru ini, yang mendedahkan 773 juta alamat e-mel yang digodam-anda perlu melakukan semua yang anda boleh untuk memastikan kata laluan anda selamat.

Walaupun anda menggunakan pengurus kata laluan yang terbaik, ia tidak menjamin keselamatan akaun anda-tidak jika anda menggunakan pengurus kata laluan untuk mengingati kata laluan yang lama dan lelah yang sama. Anda perlu turun di parit dan berikan kata laluan yang tidak baik untuk yang baru, lebih kuat.

Kajian yang disebutkan di atas menunjukkan bahawa 35 peratus pembaca PCMag tidak pernah menukar kata laluan mereka, melainkan jika terpaksa melakukannya dengan melanggar. Secara umum, itu bukan perkara yang buruk. Institut Piawaian dan Teknologi Kebangsaan tidak lagi mengesyorkan menukar kata laluan setiap 90 hari. NIST kini mengesyorkan menggunakan kata laluan panjang seperti "Betul-Kuda-Bateri-Staple" dan mengubahnya hanya apabila perlu. Tetapi jika anda menggunakan kata laluan yang dahsyat, bermakna "bila perlu" sekarang juga .

Hanya apa yang membuat kata laluan buruk? Kami akan melihat beberapa sifat kata laluan yang dahsyat, dan kemudian kami akan memberi anda beberapa petunjuk tentang cara melakukan kata laluan dengan cara yang betul.

Tinggal Daripada Kamus

Setiap beberapa bulan satu saluran berita atau jawatan lain senarai kata laluan yang paling teruk. Kami melihat banyak pilihan mudah untuk jenis, seperti 123456 dan 12345678 dan qwerty. Mudah untuk anda? Pasti. Tetapi juga mudah bagi penggodam untuk retak. Kata laluan umum yang lain (dan miskin) terdiri daripada kata-kata kamus ringkas. Kami telah melihat besbol, monyet, dan starwars dalam senarai kata laluan yang paling teruk. Ini juga mudah rosak.

Sesetengah laman web selamat dikunci selepas beberapa set kata laluan yang salah, tetapi banyak yang tidak. Bagi mereka yang tidak mengendahkan kata kunci, penggodam boleh merentas senarai alamat e-mel dengan senarai kata laluan yang popular dan menetapkan proses automatik untuk terus mencuba kombinasi sehingga mereka masuk.

Sebuah laman web yang benar dijamin tidak menyimpan kata laluan anda di mana saja. Sebaliknya, ia menjalankan kata laluan melalui algoritma hashing, satu penyulitan satu arah. Input yang sama selalu menghasilkan output yang sama, tetapi tidak ada cara untuk kembali ke kata laluan asal dari hash yang terhasil. Jika kata laluan yang anda taip menghendaki nilai yang sama yang disimpan, anda mendapat akses. Walaupun penggodam menangkap data pengguna laman web, mereka tidak mendapat kata laluan, hanya mempunyai hash.

Tetapi penggodam pintar boleh memecahkan kata laluan yang lemah walaupun mereka telah hilang, jika mereka tahu apa fungsi hashing tapak yang digunakan. Mereka bermula dengan menjalankan kamus besar kata laluan umum melalui fungsi hashing. Kemudian mereka mencari hash yang dihasilkan dalam data yang ditangkap. Setiap perlawanan adalah kata laluan retak. Tapak dengan keselamatan yang terbaik meningkatkan fungsi hash dengan teknik yang disebut pengasinan, yang menjadikan ini jenis cracking berasaskan jadual tidak mungkin, tetapi mengapa mengambil risiko? Hanya tinggalkan kamus.

Berfikiran berbeza

Seorang kawan pernah memberitahu saya kata laluan yang sempurna: 1qaz2wsx3edc4rfv. Dia boleh "menaip" dengan hanya menggeser jari ke bawah empat lajur papan kekunci. Ia sangat sempurna, dia menggunakannya di mana-mana. Dan itulah kesalahan besar.

Hampir seminggu berjalan tanpa berita mengenai pelanggaran di sesetengah syarikat atau laman web, mendedahkan beribu-ribu atau jutaan nama pengguna dan kata laluan. Mangsa pintar mengubah kata laluan mereka segera. Mereka yang mengabaikan masalah itu mungkin mendapati diri mereka terkunci daripada akaun mereka sendiri selepas penggodam menetapkan kata laluan.

Mereka penggodam tahu bahawa terlalu banyak orang mengitar semula kata laluan mereka. Sebaik sahaja mereka mencari nama pengguna dan kata laluan yang berfungsi, mereka mencuba kelayakan yang sama di tapak lain. Anda mungkin tidak begitu bimbang kehilangan akses ke akaun Club Penguin anda, tetapi jika anda menggunakan login yang sama di laman web bank anda, anda mendapat masalah besar.

Ia semakin teruk. Jika orang lain menguasai akaun e-mel anda, mereka boleh mengunci anda dengan menukar kata laluan. Kemudian mereka boleh memasuki akaun anda yang lain dengan mempunyai pautan set semula kata laluan yang diemail ke akaun tersebut. Bimbang lagi?

Jangan Dapatkan Peribadi

Menggunakan maklumat peribadi sebagai asas untuk kata laluan anda sangat menggoda, tetapi idea yang buruk. Kemungkinan besar nama anjing anda muncul dalam kamus penggodam digunakan untuk serangan kekerasan. Kemungkinan lain seperti inisial dan tarikh lahir ahli keluarga mungkin tidak akan jatuh ke serangan kekerasan, tetapi jika seseorang mahu menggodam akaun anda secara khusus, data peribadi itu dapat menimbulkan serangan meneka percubaan dan kesilapan.

Jangan berfikir seminit bahawa butiran peribadi anda adalah peribadi. Terdapat lusinan laman yang boleh digunakan orang untuk mencari butiran tentang sesiapa sahaja: alamat, tarikh lahir, status perkahwinan, dan banyak lagi. Siaran media sosial anda boleh menjadi sumber maklumat peribadi yang lain, terutamanya jika anda tidak memperoleh akaun anda dengan betul. Seorang penggodam yang ditentukan (atau jiran yang baik) mungkin boleh meneka kata laluan yang anda bina berdasarkan data anda sendiri.

Tutup Pintu Kembali

Sekiranya anda tidak menggunakan pengurus kata laluan, anda pastinya telah mengalami kata laluan untuk tapak. Sudah terlalu umum, itulah sebabnya hampir setiap halaman masuk mengandungi "Lupa kata laluan anda?" pautan. Sesetengah tapak menghantar pautan set semula ke alamat e-mel anda, sementara yang lain membolehkan anda menetapkan semula kata laluan selepas menjawab soalan keselamatan anda. Dan itu membuka pintu belakang kepada sesiapa yang ingin menggodam akaun anda.

Kebanyakan laman web menawarkan pilihan yang tidak menyenangkan untuk soalan keselamatan. siapakah nama ibu kandung anda? Di manakah anda pergi ke sekolah menengah? Apakah pekerjaan pertama anda? Seperti yang dinyatakan, kehidupan peribadi anda adalah buku terbuka kepada sesiapa yang mempunyai kemahiran mencari internet. Sekiranya mungkin, abaikan soalan yang dipratetap. Buat soalan anda sendiri, dengan jawapan yang unik yang anda akan selalu ingat tetapi tiada siapa yang boleh meneka.

Lebih sukar apabila laman web ini tidak membenarkan anda menentukan soalan anda sendiri. Dalam kes itu, pertaruhan terbaik anda ialah menggunakan jawapan yang tidak dapat dilupakan, iaitu kebohongan keseluruhan. Nama gadis ibu saya ialah Obama. Saya pergi ke sekolah di High Martyrs Komunis. Untuk kerja pertama saya, saya adalah tamer singa. Ada unsur risiko, kerana anda mungkin lupa apa yang anda pilih. Saya akan mencadangkan menyimpan jawapan ini sebagai nota selamat dalam pengurus kata laluan anda… tetapi jika anda menggunakan pengurus kata laluan, ia akan mengingati kata laluan untuk anda.

Apa yang Harus Dilakukan Sekarang Bahawa Anda Memelihara

Saya harap saya telah meyakinkan anda bahawa menggunakan kata laluan yang biasa adalah idea busuk, sebagai membina kata laluan dari maklumat peribadi. Malah, kata laluan rawak yang kuat, menjadi tanggungjawab jika anda menggunakannya di seluruh tempat. Jika anda sudah bersedia untuk mengambil tindakan, berikut adalah beberapa titik permulaan:

• Gunakan pengurus kata laluan.
• Beralih kepada pengurus kata laluan yang lebih baik.
• Ingat kata laluan induk yang aman untuk pengurus kata laluan anda.
• Ambil kesempatan daripada penjana kata laluan rawak untuk menaik taraf kata laluan lama dan buruk anda.
• Anda juga boleh membuat penjana kata laluan rawak anda sendiri dalam Excel.
• Dayakan pengesahan dua faktor di mana sahaja tersedia.

Sekiranya tapak yang selamat tidak menjaga keselamatan, anda masih boleh kehilangan kelayakan laman web tersebut untuk pelanggaran data, tetapi dengan membuat semua kata laluan anda panjang, kuat, dan unik, anda telah melakukan semua yang anda boleh untuk melindungi akaun dalam talian anda.

Dan hey! Sekarang anda berada di atas gulung, bijak dengan keselamatan, pertimbangkan untuk menambah rangkaian peribadi maya, atau VPN. Menggunakan kata laluan yang kuat untuk tapak selamat bermakna orang lain tidak boleh masuk ke dalam akaun anda; menambah VPN bermakna tidak ada sesiapa pun yang boleh memintas sambungan anda ke laman web yang selamat itu.