บ้าน ทำอย่างไร '12345' ไม่ดีจริง ๆ : คู่มือการรักษาความปลอดภัยรหัสผ่านที่ดีที่สุดของคุณ

'12345' ไม่ดีจริง ๆ : คู่มือการรักษาความปลอดภัยรหัสผ่านที่ดีที่สุดของคุณ

สารบัญ:

Anonim

เราแนะนำให้คุณทราบซ้ำแล้วซ้ำอีกว่าวิธีเดียวในการจัดเก็บและใช้รหัสผ่านที่ปลอดภัยคือการใช้เครื่องมือจัดการรหัสผ่าน แต่คุณบางคนไม่ได้ฟัง ในการสำรวจ PCMag เกี่ยวกับรหัสผ่านมีเพียง 24 เปอร์เซ็นต์ของคุณที่รายงานโดยใช้เครื่องมือจัดการรหัสผ่าน ส่วนที่เหลือของคุณกำลังทำอะไร ใช้รหัสผ่านง่าย ๆ เช่นรหัสผ่านหรือ 12345678? จำรหัสผ่านที่ซับซ้อนหนึ่งรหัสและใช้งานได้ทุกที่ใช่หรือไม่ การฟังการดูแลความปลอดภัยของรหัสผ่านนั้นไม่ใช่เรื่องเล็กน้อย แต่ได้รับความเสี่ยงอย่างมหาศาลดังที่แสดงไว้ในการละเมิดคอลเลกชัน # 1 เมื่อไม่นานมานี้ซึ่งมีที่อยู่อีเมลที่ถูกแฮ็กถึง 773 ล้าน ครั้งคุณต้องทำทุกอย่างเท่าที่ทำได้ ปลอดภัย

แม้ว่าคุณจะใช้ตัวจัดการรหัสผ่านที่ดีที่สุด แต่ก็ไม่ได้รับประกันความปลอดภัยของบัญชีของคุณ - ไม่ใช่ถ้าคุณใช้ตัวจัดการรหัสผ่านเพื่อจดจำรหัสผ่านเก่าที่เหนื่อยล้าเหล่านั้น คุณต้องลงไปในสนามเพลาะและเปลี่ยนรหัสผ่านที่ไม่ดีสำหรับรหัสใหม่ที่แข็งแกร่งกว่า

การสำรวจดังกล่าวข้างต้นเปิดเผยว่าร้อยละ 35 ของผู้อ่าน PCMag ไม่เคยเปลี่ยนรหัสผ่านของพวกเขาเว้นแต่จะถูกบังคับให้ทำเช่นนั้นโดยการละเมิด โดยทั่วไปแล้วนั่นไม่ใช่สิ่งเลวร้าย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติไม่แนะนำให้เปลี่ยนรหัสผ่านทุก ๆ 90 วัน ตอนนี้ NIST แนะนำให้ใช้ข้อความรหัสผ่านที่ยาวเช่น "Correct-Horse-Battery-Staple" และเปลี่ยนเฉพาะเมื่อจำเป็นเท่านั้น แต่ถ้าคุณใช้รหัสผ่านที่แย่มาก "เมื่อจำเป็น" หมายถึง ตอนนี้

รหัสผ่านไม่ถูกต้องอะไร เราจะดูคุณสมบัติบางอย่างของรหัสผ่านที่แย่มากแล้วเราจะให้คำแนะนำแก่คุณเกี่ยวกับวิธีการทำรหัสผ่านให้ถูกวิธี

อยู่นอกพจนานุกรม

ทุกสองสามเดือนหนึ่งช่องข่าวหรืออีกโพสต์รายการของรหัสผ่านที่เลวร้ายที่สุด เราเห็นตัวเลือกที่ง่ายต่อการพิมพ์มากมายเช่น 123456 และ 12345678 และ qwerty ง่ายสำหรับคุณ แน่ใจ แต่ยังง่ายสำหรับแฮกเกอร์ที่จะแตก รหัสผ่านทั่วไป (และไม่ดี) อื่น ๆ ประกอบด้วยคำในพจนานุกรมอย่างง่าย เราได้เห็นเบสบอลลิงและ starwars ในรายการรหัสผ่านที่แย่ที่สุด สิ่งเหล่านี้ก็แตกง่ายเช่นกัน

เว็บไซต์ที่ปลอดภัยบางแห่งล็อคลงหลังจากพยายามตั้งรหัสผ่านผิดจำนวนครั้ง สำหรับผู้ที่ไม่มีการล็อคที่ไม่คาดคิดแฮกเกอร์สามารถข้ามรายชื่อที่อยู่อีเมลด้วยรายการรหัสผ่านที่ได้รับความนิยมและตั้งค่ากระบวนการอัตโนมัติเพื่อพยายามรวมกันจนกว่าพวกเขาจะเข้ามา

เว็บไซต์ที่ปลอดภัยอย่างถูกต้องไม่เก็บรหัสผ่านของคุณทุกที่ แต่จะเรียกใช้รหัสผ่านผ่านอัลกอริทึมการแฮชซึ่งเป็นการเข้ารหัสแบบทางเดียว อินพุตเดียวกันสร้างเอาต์พุตเดียวกันเสมอ แต่ไม่มีทางที่จะกลับไปใช้รหัสผ่านเดิมจากแฮชที่เกิดขึ้นได้ หากรหัสผ่านที่คุณพิมพ์ hash เป็นค่าเดียวกับที่เก็บไว้คุณจะสามารถเข้าถึงได้ แม้ว่าแฮ็กเกอร์จะเก็บข้อมูลผู้ใช้ของเว็บไซต์พวกเขาจะไม่ได้รับรหัสผ่านเพียงแค่แฮช

แต่แฮ็กเกอร์อัจฉริยะสามารถถอดรหัสรหัสผ่านที่อ่อนแอได้แม้ว่าพวกเขาจะถูกแฮชหากพวกเขารู้ว่าเว็บไซต์ที่ใช้ฟังก์ชันแฮช พวกเขาเริ่มต้นด้วยการใช้พจนานุกรมรหัสผ่านทั่วไปขนาดใหญ่ผ่านฟังก์ชั่นการแฮช จากนั้นพวกเขามองหาแฮชที่เกิดขึ้นในข้อมูลที่ถูกจับ แต่ละการแข่งขันเป็นรหัสผ่านที่ถอดรหัส ไซต์ที่มีการรักษาความปลอดภัยที่ดีที่สุดจะเพิ่มฟังก์ชั่นแฮชด้วยเทคนิคที่เรียกว่า salting ซึ่งทำให้การแคร็กบนโต๊ะแบบนี้เป็นไปไม่ได้ แต่ทำไมจึงมีความเสี่ยง เพิ่งออกจากพจนานุกรม

คิดต่าง

เพื่อนเคยบอกรหัสผ่านที่สมบูรณ์แบบให้เธอ: 1qaz2wsx3edc4rfv เธอสามารถ "พิมพ์" ได้โดยเพียงแค่เลื่อนนิ้วลงสี่คอลัมน์ที่เอียงของแป้นพิมพ์ มันสมบูรณ์แบบมากเธอใช้มันทุกที่ และนั่นเป็นความผิดพลาดครั้งใหญ่

แทบจะทุกสัปดาห์ผ่านไปโดยไม่มีข่าวว่ามีการฝ่าฝืนที่ บริษัท หรือเว็บไซต์บางแห่งเปิดเผยชื่อผู้ใช้และรหัสผ่านหลายพันล้านครั้ง ผู้ที่ตกเป็นเหยื่อสมาร์ทเปลี่ยนรหัสผ่านทันที ผู้ที่เพิกเฉยต่อปัญหาอาจพบว่าตัวเองถูกล็อคจากบัญชีของตนเองหลังจากที่แฮกเกอร์รีเซ็ตรหัสผ่าน

แฮ็กเกอร์เหล่านั้นรู้ว่ามีคนจำนวนมากเกินไปที่จะรีไซเคิลรหัสผ่าน เมื่อพวกเขาพบชื่อผู้ใช้และรหัสผ่านที่ใช้งานได้พวกเขาจะลองข้อมูลรับรองเดียวกันบนไซต์อื่น ๆ คุณอาจไม่กังวลเกี่ยวกับการสูญเสียการเข้าถึงบัญชี Club Penguin ของคุณ แต่ถ้าคุณใช้การเข้าสู่ระบบเดียวกันบนเว็บไซต์ของธนาคารคุณมีปัญหาใหญ่

มันแย่ลงเรื่อย ๆ หากบุคคลอื่นสามารถควบคุมบัญชีอีเมลของคุณพวกเขาสามารถล็อคคุณก่อนโดยเปลี่ยนรหัสผ่าน จากนั้นพวกเขาสามารถเจาะเข้าไปในบัญชีอื่น ๆ ของคุณโดยมีลิงค์รีเซ็ตรหัสผ่านส่งอีเมลไปที่บัญชีนั้น กังวลหรือยัง

อย่าได้รับส่วนบุคคล

การใช้ข้อมูลส่วนบุคคลเป็นพื้นฐานสำหรับรหัสผ่านของคุณดึงดูดอย่างมาก แต่ก็เป็นความคิดที่ไม่ดี โอกาสดีที่ชื่อสุนัขของคุณจะปรากฏในพจนานุกรมแฮ็กเกอร์ที่ใช้สำหรับการโจมตีที่ดุร้าย ความเป็นไปได้อื่น ๆ เช่นชื่อย่อและวันเกิดของสมาชิกในครอบครัวอาจไม่ตกอยู่ในการโจมตีที่โหดเหี้ยม แต่ถ้ามีคนต้องการแฮ็คบัญชีของคุณโดยเฉพาะข้อมูลส่วนบุคคลนั้นสามารถกระตุ้นให้เกิดการเดาและลองผิดลองถูก

อย่าคิดว่ารายละเอียดส่วนบุคคลของคุณจะเป็นส่วนตัว มีไซต์มากมายที่ผู้คนสามารถใช้เพื่อค้นหารายละเอียดเกี่ยวกับใคร: ที่อยู่วันเกิดสถานะการสมรสและอื่น ๆ โพสต์โซเชียลมีเดียของคุณสามารถเป็นแหล่งข้อมูลส่วนบุคคลอื่นได้โดยเฉพาะหากคุณไม่ได้รักษาความปลอดภัยบัญชีของคุณ แฮ็กเกอร์ที่กำหนด (หรือเพื่อนบ้านที่มีจมูกยาว) อาจเดารหัสผ่านใด ๆ ที่คุณสร้างขึ้นตามข้อมูลของคุณเอง

ปิดประตูหลัง

หากคุณไม่ได้ใช้เครื่องมือจัดการรหัสผ่านคุณจะต้องลืมรหัสผ่านสำหรับเว็บไซต์อย่างแน่นอน เป็นเรื่องธรรมดาเกินไปซึ่งเป็นเหตุผลว่าทำไมทุกหน้าเข้าสู่ระบบจึงมี "ลืมรหัสผ่านของคุณ" ลิงค์ บางเว็บไซต์ส่งลิงค์รีเซ็ตไปยังที่อยู่อีเมลของคุณในขณะที่บางเว็บไซต์ให้คุณรีเซ็ตรหัสผ่านหลังจากตอบคำถามเพื่อความปลอดภัยของคุณ และนั่นเป็นการเปิดประตูหลังให้กับทุกคนที่ต้องการแฮ็คบัญชีของคุณ

ไซต์ส่วนใหญ่มีตัวเลือกสุดซึ้งสำหรับคำถามเพื่อความปลอดภัย แม่ของคุณชื่ออะไร คุณไปโรงเรียนมัธยมที่ไหน งานแรกของคุณคืออะไร ชีวิตส่วนตัวของคุณเป็นหนังสือเปิดกว้างสำหรับทุกคนที่มีทักษะการสืบค้นทางอินเทอร์เน็ต เมื่อเป็นไปได้ให้ละเว้นคำถามที่ตั้งไว้ล่วงหน้า สร้างคำถามของคุณเองพร้อมคำตอบที่เป็นเอกลักษณ์ที่คุณจะจดจำได้ตลอดเวลา แต่ไม่มีใครเดาได้

มันยากขึ้นเมื่อไซต์ไม่อนุญาตให้คุณกำหนดคำถามของคุณเอง ในกรณีนั้นทางออกที่ดีที่สุดของคุณคือการใช้คำตอบที่น่าจดจำซึ่งเป็นการโกหกทั้งหมด แม่ของฉันชื่อโอบามา ฉันไปโรงเรียนที่โรงเรียนคอมมิวนิสต์เสียสละ สำหรับงานแรกของฉันฉันเป็นผู้ฝึกสอนสิงโต มีองค์ประกอบของความเสี่ยงเนื่องจากคุณอาจลืมโกหกที่คุณเลือก ฉันขอแนะนำให้จัดเก็บคำตอบลูกคี่นี้เป็นบันทึกที่ปลอดภัยในตัวจัดการรหัสผ่านของคุณ … แต่ถ้าคุณใช้ตัวจัดการรหัสผ่านมันจะจำรหัสผ่านให้คุณได้

สิ่งที่ต้องทำตอนนี้ที่คุณสนใจ

ฉันหวังว่าฉันจะเชื่อคุณว่าการใช้รหัสผ่านทั่วไปเป็นความคิดที่เน่าเสียเนื่องจากการสร้างรหัสผ่านจากข้อมูลส่วนบุคคล และแม้แต่รหัสผ่านที่รัดกุมที่สุดรหัสผ่านแบบสุ่มจะกลายเป็นความรับผิดชอบหากคุณใช้รหัสผ่านทั้งหมด หากคุณพร้อมที่จะดำเนินการต่อไปนี้เป็นจุดเริ่มต้นบางส่วน:

  • ใช้เครื่องมือจัดการรหัสผ่าน
  • เปลี่ยนเป็นเครื่องมือจัดการรหัสผ่านที่ดีกว่า
  • จำรหัสผ่านหลักที่ปลอดภัยอย่างบ้าคลั่งสำหรับผู้จัดการรหัสผ่านของคุณ
  • ใช้ประโยชน์จากเครื่องสร้างรหัสผ่านแบบสุ่มเพื่ออัปเกรดรหัสผ่านเก่าและไม่ดีของคุณ
  • คุณสามารถสร้างตัวสร้างรหัสผ่านแบบสุ่มของคุณเองใน Excel
  • เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยทุกที่ที่มี

หากไซต์ที่ปลอดภัยไม่ได้ดูแลความปลอดภัยคุณอาจสูญเสียข้อมูลประจำตัวของไซต์นั้นไปยังการละเมิดข้อมูล แต่ด้วยการทำให้รหัสผ่านทั้งหมดของคุณยาวแข็งแรงและมีเอกลักษณ์คุณได้ทำทุกอย่างเพื่อปกป้องบัญชีออนไลน์ของคุณ

และเฮ้! ตอนนี้คุณอยู่ในสภาวะปลอดภัยควรพิจารณาเพิ่มเครือข่ายส่วนตัวเสมือนหรือ VPN การใช้รหัสผ่านที่คาดเดายากสำหรับไซต์ที่ปลอดภัยหมายถึงผู้อื่นไม่สามารถเจาะเข้าสู่บัญชีของคุณ การเพิ่ม VPN หมายความว่าไม่มีโอกาสที่ทุกคนสามารถขัดขวางการเชื่อมต่อของคุณไปยังไซต์ที่ปลอดภัยเหล่านั้นได้

'12345' ไม่ดีจริง ๆ : คู่มือการรักษาความปลอดภัยรหัสผ่านที่ดีที่สุดของคุณ