Сырсөз коопсуздук жөнүндө

Бул макалада биз сырсөздөрдү сактоо жана кибер каракчылар тарабынан өтө маалымат жана каттоо эсептерине кирүү мүмкүнчүлүгүн алуу мүмкүнчүлүгүн азайтуу үчүн, кантип аларды түзүүдө коопсуз сырсөз түзүүнү кантип, кандай негиздери артынан керек багытталат.

Бул материал "кантип сөздү жаракалар пайда болот" деген уландысы болуп саналат жана материалдык жактан чыгып, же сырсөз бузулушу мүмкүн болгон бардык негизги жолдорун билип менен жакшы тааныш экенин божомолдойт.

сырсөздөрдү түзүү

Бүгүнкү күндө, бир сөздү түзүү, Интернет эсепти каттоо учурунда сиз сырсөз күчү көрсөткүчкө менен карайбыз. Дээрлик бардык жерде, ал төмөнкү эки баалоонун негизинде иштейт: сырсөз узундугу; Сырсөздү атайын белгилердин, тамга жана сандардан болушу.

ишенимдүү система дайыма эле андай боло бербейт окшойт сөздү кара күч сөздү басканы үчүн туруктуулук абдан маанилүү параметрлерин экендигине карабастан. Мисалы, "КБсы w0rd $$" сыяктуу сөз (ошондой эле бир катар атайын белгилер, ошондой эле маалымат жок), абдан тез дептир болушу мүмкүн - байланыштуу (мурунку макалада айтылгандай) болгондугуна байланыштуу, эл сейрек уникалдуу сырсөздөрдү түзүү (өзгөчө сырсөздөрдү 50% дан кем эмес) жана Variant мурда террорчулар жеткиликтүү маалымат базалары кетип болушу ыктымал деп билдирди.

Эмне кылуу керек? жакшы ыкмалардан - сырсөз генератор (онлайн куралдар түрүндө Интернетте жеткиликтүү, ошондой эле ЭЭМ үчүн сырсөз жетекчилери) пайдаланууга атайын белгилердин менен узак кокустук сырсөздөрдү түзөт. көпчүлүк учурларда, мисалы, каармандардын 10 же андан ашык бир сөздү эле чабуулчу үчүн кызыгуу жок болот убакыт байланыштуу экенин төлөп эч качан аяган эмес (башкача айтканда, анын программалык мындай параметрлерди тандоо өзгөрүүлөр жок). Жакында сөз генератор Google Chrome пайда-жылы курулган.

Бул ыкма, негизги кемчилик болуп сырсөздөрдү эстеп калуу кыйынга турат. эске калуу үчүн муктаждык бар болсо, дагы бир мүмкүнчүлүк жок, бир киши же бир нече аскердик күчү менен талкаланды баш тамгалар жана атайын белгилерди камтыган, сырсөз 10 белгиден көп экенин эске алсак (так саны берилген тамга жараша) эсе кыйын, бир гана тамга белгилерди камтыган 20 белгиден сырсөз (чабуулчу бул тууралуу билген да) караганда.

Ошентип, 3-5-жөнөкөй кокустук англисче сөздөрдү турган бир сөздү эстеп жеңил болот жана бул жаракалар дээрлик мүмкүн эмес. Ал эми баш тамга менен, ар бир сөздү жазуу менен, биз экинчи даражадагы жолдор санын куруп жатабыз. Бирок, эгерде ал 3-5 орус сөздөрү (кайра, кокус, тескерисинче, ысымдарга жана мөөнөтү караганда) пароль болжоо татаал ыкмалары сөздүктөрдү колдонуу менен гипотетикалык мүмкүнчүлүгү жок болуп, англис жайлаштыруунун жазылган болот.

Сөзсүз сырсөздөрдү түзүүгө туура ыкма, балким, жок: ар кандай жолдор менен артыкчылыктары жана кемчиликтери бар (аны, ишенимдүүлүгүн жана башка параметрлерин жаттоо жөндөмү менен байланышкан), ал эми негизги негиздери төмөнкүлөр болуп саналат:

• Сырсөз белгиден көп сандаган турат керек. Бүгүнкү күндө көбүнчө чектөө - 8 белги. Эгер коопсуз сырсөз келсе, бул жетиштүү эмес.
• Эгер мүмкүн болсо, сырсөз атайын белгилер, тамга жана кичине тамга, сандарды киргизилиши керек.
• Эч качан, атүгүл сен "амалкөй" жолдоруна жазылган сөздү жеке маалыматтарды камтыйт. Жок, даталар, аты-жөнүн. Мисалы, сөз Ителги бир күн заманбап Джулиан 0-чи жыл менен бүгүнкү күнгө чейин бирге календарлык (07.18.2015 түрлөр же 18,072,015, ж.б.) саат секунда (ал тургай, андан кийин, саат гана артта айланат алып келет кээ бир учурларда аракеттери ортосунда).

Сиз сайтка сиздин канчалык ишенимдүү пароль (айрыкча, HTTPS жок кээ бир сайттар сырсөздөрдү кирген да, - коопсуз тажрыйбасы жок) текшере алат //rumkin.com/tools/password/passchk.php. Эгер учурдагы сөздү текшерүү үчүн кереги жок болсо, анда ушундай эле (каармандардын бир санын жана алардын бир тобун), анын ишенимдүүлүгү жөнүндө түшүнүк алуу кирет.

тамгаларды киргизүү учурунда, кызмат энтропияны эсептейт (шарттуу, 10-бит энтропиясы жолдорун саны 2 онунчу бийликке бирдей тандоолордун саны) ар кандай ишенимдүүлүгү баалуулуктарды берилген сөз жана маалымат кайнатат. да максатка тандоо учурунда бузуп, дээрлик эч мүмкүн эмес 60 жаштан Энтропия менен Паролдор.

ар кандай каттоо үчүн бир эле сыр сөз колдонгон эмес,

Эгер жакшы күчтүү сөздү бар болсо, бирок ал жерде мүмкүн болушунча аны колдонуу, албетте, ал дароо ишенимдүү эмес болуп калат. Хакерлер бир сөздү пайдалануу жана ага ээ болуу мүмкүнчүлүгү сайттардын бирине, таштагандан кийин, ал башка популярдуу электрондук почта боюнча дароо сыналган (жазуусу, атайын программаларды колдонуу менен) болот албетте, оюн, коомдук тармактар ​​жана, балким, бир онлайн банктар (жол сөздү мурунку макалада аягында берилет өткөргөнү же жокпу, көрөйүн,).

ар бир каттоо үчүн уникалдуу сөз - бул оор, аны ыңгайсыз, бирок, албетте, бул билдирүүлөр сага, жок эле дегенде, бир нече мааниге ээ болсо керек. Бирок, кээ бир айкелин сиз үчүн эч кандай мааниге ээ эмес, анткени (б.а., аларды жоготуп, тынчсызданганын болууга даяр) жана жеке маалыматтарды камтыбаган, жана өзгөчө сырсөз менен кетире албайт.

Эки себеп текшерүү

Ал тургай, күчтүү сырсөздөр түрдө эч ким кире албайт деп кепилдик бере албайт. Сырсөз (мисалы, өтө көп Variant катары көргөзүү,) же силер vyznat тигил же уурдап болушу мүмкүн.

Дээрлик бардык негизги онлайн компаниялар, анын ичинде Google менен болгон, Яндекс, Mail.ru, Facebook, Vkontakte, Microsoft, Елбасы, LastPass, салыштырмалуу жакында менен буу жана башкаларды эки нерсени (же эки-кадам) текшерүү билдирүүлөр жөнүндө буруш үчүн жөндөмүн кошумчалады. коопсуздук үчүн маанилүү болсо, мен жогорку кирет аны сунуш кылат.

эки себеп аныктыгын ишин жүзөгө ашыруу ар кандай кызмат көрсөтүүлөр үчүн бир аз башкача, бирок негизги принцип төмөнкүчө чагылдырууга болот:

1. Сиз белгисиз түзмөктөн эсебине кирген учурда, туура сөздү киргизип, кошумча текшерүүдөн өтүүгө талап кылынат.
2. Текшерүү смс кодексинин бир чыгарылган атайын арыз, басма коддору, билдирүүлөр, электрондук почта алдын-ала чара аркылуу ишке ашырылат, бир ключ (акыркы версия Google, эки себеп текшерүү бардык башкы макалада компания пайда болду).

Ошентип, чабуулчу сөздү билген болсо да, ал сиздин аппарат, тел, электрондук почта аркылуу алууга мүмкүнчүлүгү бар туруп, сиздин эсепке кирүү мүмкүн.

Эгер сиз толук эки себеп текшерүү кантип түшүнө албай жатса, мен аны (ушул берененин гана майда-чүйдөсүнө чейин көрсөтмөлөрдү Мен камтыйт албай калат) ишке ашырылып, сайттарга өздөрү боюнча чара тема же сүрөттөмөсүн жана усулдук арналган интернет жөнүндө макаланы окуп сунуштайбыз.

сырсөздөрдү сактоо

Ар бир сайттын татаал уникалдуу сырсөздөр - мыкты, бирок аларды кантип сактоого болот? Бул сырсөздөр бардык эстен чыгарбашыбыз мүмкүн деген күмөн. браузерде сакталган сырсөздөрдү сактоо - коптуу: алар уруксатсыз кирүү алдында алсыз болуп калган эмес, ал жөн гана системасы кырсыктарына учурунда жоголгон жана мезгилдештирүү майып болгондо болушу мүмкүн.

оптималдуу чечим болуп эсептелет сырсөз жетекчилери, жалпы алганда, бир кожоюн сөздү колдонуу менен (милдеттүү эмес, эки-себеп аныктыгын текшерүү боюнча кайрыла алат) кирсе болот ИП коопсуз сактоо боюнча программа бардык сезимтал маалыматтарды сактаган (сырткары жана интернет сыяктуу) болуп саналат. Ошондой эле, бул программалардын көбү аспаптар пайда жана пароль күч баа менен жабдылган.

эки-үч жыл мурун мен мыкты сырсөз менеджерлери жөнүндө өзүнчө макала жазган (бул жазылып, бирок, бул, анткени макалада кандай программалар популярдуу эмне тууралуу түшүнүк алуу керек). Кээ бир аппараттын бардык сырсөздөрдү сактоо, жөнөкөй чечүү режиминде мындай KeePass же 1Password эле, артык, башка - дагы иш пайдалуу, ошондой эле мезгилдештирүү мүмкүнчүлүктөрүн өкүлү (LastPass, Dashlane).

Белгилүү жетекчилери аларга сактоо сырсөздөрү өтө коопсуз жана ишенимдүү ыкма болуп эсептелет. Бирок, майда-бир эске алуу зарыл:

• Эгер бир эле кожоюн сөздү билишибиз керек сактап кирүү үчүн.
• он-лайн аныктоосу хакерлик учурда бардык сактап өзгөртүү керек (бир ай мурун, дүйнөдөгү абдан популярдуу сырсөз башкаруу кызматын LastPass майдаланган).

Кантип дагы сиз маанилүү сырсөздөрдү сактап кала алат? Бул жерде тандоо бир жубайлар:

• кагаз, коопсуз болуп, сизге жана сиздин үй-бүлө мүчөлөрү (сиз көп колдонгон сырсөздөрү үчүн жарактуу эмес) турган мүмкүнчүлүк.
• Offline базасы жашыруун маалыматтарды (мис, KeePass), маалыматтын узак сактоо сакталган жана жоголгон учурда каалаган кайталанды.

баарынан мурда төмөнкү ыкма менен менин көз карашымда оптималдуу айкалышы: маанилүү тыллар (негизги электрондук почта, сен башка эсептерди калыбына келтирүү мүмкүн болгон, банк ж.б.) коопсуз жерге башчысы жана (же) кагаз сакталат. Анча маанилүү эмес, ошол эле учурда, көп колдонулган программалардын жүктөлүшү керек - Сырсөз менеджери.

кошумча маалымат

Балким, кимдир бирөө эки макалалардын айкалышы сиз ойлогон коопсуздук кээ бир аспектилерине буруу жардам сырсөздөрүн. Албетте, мүмкүн болгон бардык параметрлери, мен түшүнөм, бирок жөнөкөй логика жана өзүн-өзү жардам кээ бир эрежелери түшүнүү, ал кайсы бир учурда эмне кылып жатканын коопсуз эмес экенин, туура же чечим кабыл алган эмес. Дагы бир жолу, кээ бир нече кошумча пункттарды айтылган:

• ар кайсы аймактарында ар турдуу паролдорду колдонуу.
• Сырсөздөр күчтүү өсүшү кыйынчылык, комплекстүү болушу керек, сырсөз узактыгын көбөйтүү аркылуу алышат.
• Эгер калыбына келтирүү үчүн, ага, тест суроо-сөздү өзү байланышы түзүп жатканда жеке маалыматты (табууга болот) колдонууга болбойт.
• Ал мүмкүн болгон жерде, эки кадам аныктыкты колдонуу.
• өздөрү үчүн мыкты тандоо коопсуз сырсөздөрдү сактоо жолун табуу.
• көргөзүү сак жана шпион (сайттын дареги, үч эсе болушу текшерүү). сырсөз киргизгени сурап коюшса, сиз так каалаган сайтка аны терип, жокпу, текшерип көр. ЭЭМ үчүн зыяндуу эмес экенин аныктап били¾из.
• Мүмкүн болсо, башка адамдардын эсептөө сырсөздөрдү (эгер зарыл болсо, аны "режимден" браузерде, ал тургай, жакшы клавиатура экран-терүү эмне), коомдук ачык Wi-Fi тармактарында, өзгөчө эсе HTTPS жок сайтына кошулууда колдонгон эмес, .
• Балким, ЭЭМ же онлайн сырсөздөр наркын абдан маанилүү, чынында эле, маанилүү өкүлү сактоо үчүн зарыл болгон эмес.

Ошол сыяктуу эле нерсе. Мен кийлигишип даражасы мен көтөрүп алышкан деп ойлойм. Мен ага көп ыңгайсыз сүрөттөлгөн турганын түшүнүп, окшош ойлор болушу мүмкүн ", ошондой эле, мен аны кыйгап өтөт бир нерсе бар", ал эми жашыруун маалыматты сактоо үчүн жөнөкөй коопсуздук эрежелерин аткаруу жолу менен жалкоолук гана шылтоо, анын мааниси жана даяр гана жок болушу мүмкүн, ал үчүнчү жактардын менчиги болуп калат деп.