Энэ нийтлэл нь аюулгүй нууц үгийг хэрхэн үүсгэх, тэдгээрийг үүсгэх, нууц үгээ хэрхэн хадгалах, хэрхэн мэдээлэл, бүртгэлд нэвтэрч буй халдлагыг багасгах талаар хэлэлцэх болно.
Энэ материал нь "Таны нууц үг хэрхэн хакердаж болох" гэсэн өгүүллийн үргэлжлэл бөгөөд та тэнд танилцуулсан материалыг мэддэг бөгөөд үүнийг хийхгүйгээр бүх нууц үг нь эвдэгдсэн бүх аргыг мэддэг болно гэсэн үг юм.
Нууц үг үүсгэх
Өнөөдөр, ямар ч Интернет данс бүртгүүлэхдээ, нууц үг үүсгэх үед та нууц үгийн хүч заагчийг ихэвчлэн хардаг. Хаана бараг л энэ нь дараах хоёр хүчин зүйлийг үнэлэх үндсэн дээр ажилладаг: нууц үгийн урт; тусгай тэмдэгтүүд, нууц үгэнд том үсэг, тоо ордог.
Хэдийгээр эдгээр нь нууц үгний нууц үгийн маш чухал үзүүлэлт юм. Гэхдээ хүчирхэг нууц үг нь үргэлж тийм биш юм. Жишээ нь: "Pa $$ w0rd" (мөн тусгай тэмдэгтүүд болон тоо байдаг) нууц үг маш хурдан хагарах магадлалтай - учир нь (өмнөх нийтлэлд тайлбарласан) хүмүүст ховор нууц үг үүсгэдэг (нууц үгсийн 50-иас бага хувь нь өвөрмөц байдаг) бөгөөд энэ сонголт нь халдлагад өртсөн мэдээллийн баазуудад аль хэдийн орсон байх магадлалтай.
Хэрхэн байх вэ? Хамгийн сайн сонголт бол нууц үгээ үүсгэгч (Интернетэд байдаг интернет дээр, түүнчлэн ихэнх компьютерийн нууц үгийн зохицуулагчид ашиглах боломжтой), тусгай тэмдэгтүүдийг ашиглан урт санамсаргүй нууц үгээ үүсгэх явдал юм. Ихэнх тохиолдолд 10 буюу түүнээс дээш тооны ийм нууц үгүүдийн нууц үг нь хакерын сонирхолыг татахгүй байх болно (жишээ нь, түүний програм хангамж ийм сонголтыг хийхээр тохируулагдахгүй) цаг хугацаа нь төлбөр төлдөггүй болохыг харуулж байна. Саяхан нууц үг үүсгэгч Google Chrome-ийн хөтөч дээр гарч ирсэн.
Энэ аргын хувьд гол сул тал нь ийм нууц үг санахад хэцүү байдаг. Хэрэв таны толгой дээрх нууц үгийг хадгалах шаардлагатай бол 10 тэмдэгт бүхий нууц үг, том үсгүүд, тусгай тэмдэгтүүд агуулсан нууц үгээ мартсан бол мянгас эсвэл түүнээс илүү (хэдэн тоо нь зөвшөөрөгдсөн тэмдэгтээс хамаарна) зөвхөн жижиг тэмдэгт латин үсгийг агуулсан 20 тэмдэгтийн нууц үгээс (хэдийгээр халдагч үүнийг мэддэг байсан ч).
Тиймээс 3-5 энгийн санамсаргүй англи үгсээс нууц үг санахад хялбар бөгөөд хагарах боломжгүй юм. Мөн үг бүрийг том үсгээр бичсэний дараа бид хоёрдугаар зэргийн хувилбаруудын тоог өсгөнө. Хэрэв эдгээр нь англи хэл дээр бичигдсэн 3-5 үгтэй (санамсаргүй, санамсаргүй гэхдээ нэр, огноог оруулаагүй) бол нууц үг сонгохын тулд толь бичгүүдийг ашиглах нарийн аргуудын таамаглалыг мөн устгаж болно.
Нууц үгээ үүсгэх зөв арга барилтай байдаггүй: давуу болон сул талууд нь янз бүрийн аргууд (үүнийг санах чадвар, найдвартай байдал, бусад үзүүлэлтүүдтэй холбоотой) боловч үндсэн зарчмууд нь дараах байдалтай байна:
- Нууц үг нь олон тооны тэмдэгтээс бүрдэх ёстой. Өнөөдөр хамгийн түгээмэл хязгаарлалт нь 8 тэмдэгт байна. Хэрэв та аюулгүй нууц үг хэрэгтэй бол энэ нь хангалтгүй юм.
- Боломжтой бол тусгай тэмдэгтүүд, дээд ба доод үсгийн үсгүүд, нууц үгээр оруул.
- Нууц үгээрээ хувийн мэдээллийг хэзээ ч бүү оруулаарай. Огноо, анхны нэр, овог нэр алга. Жишээ нь, 0-р он хүртэлх орчин үеийн Julian хуанлийн аль ч өдрийг хүртэлх хугацааг харуулсан нууц үгээ дарах (07/18/2015 эсвэл 18072015 гэх мэт) -ийг хэдэн секундээс цаг авах болно (цаг хугацаа нь зөвхөн сааталуудаас зарим тохиолдлуудын оролдлогын хооронд).
Та сайт дээр нууц үг хэр хүчтэй байгааг шалгах боломжтой (зарим сайтын нууц үг оруулах, ялангуяа http-уудгүйгээр нууц үг оруулах нь хамгийн аюулгүй арга биш юм) //rumkin.com/tools/password/passchk.php. Хэрэв та өөрийн жинхэнэ нууц үгийг шалгахыг хүсэхгүй байгаа бол яг ижил тооны тэмдэгт (ижил тооны тэмдэгтүүдээс ижил тэмдэгтүүдээс) оруулаарай.
Тэмдэгтүүдийг оруулах явцад энтропи (энтропи нь 10 битийн хувьд сонголтуудын тоо, аравтын хүчээр аравтын хүчээр 2 сонголттой байдаг), өгөгдсөн нууц үгийн хувьд сонголтуудын тоо, төрөл бүрийн утгын найдвартай байдлын талаархи мэдээллийг өгдөг. 60-аас дээш энтроп бүхий нууц үгүүд нь зорилтот сонголтонд ч гэсэн хагарах боломжгүй юм.
Өөр өөр акаунтуудад ижил нууц үг хэрэггүй.
Хэрэв та маш нарийн төвөгтэй нууц үгтэй байгаа бол та үүнийг аль болох ашиглах боломжтой бол автоматаар бүрэн найдваргүй болдог. Хакерууд таныг ийм нууц үг хэрэглэж байгаа сайтуудаа нэн даруй нэвтрэх эрхтэй болмогцоо бусад бүх алдартай имэйл, тоглоом, нийгмийн үйлчилгээ, тэр ч байтугай тэр дор нь туршиж болно (автоматаар, тусгай программ хангамж ашиглана) онлайн банкууд (Өмнөх нийтлэлийн төгсгөлд таны нууц үгийг аль хэдийн нэвтэрч орсон эсэхийг харах арга).
Бүртгэл бүрийн хувьд нэг нууц үг маш хэцүү, гэхдээ энэ нь тийм ч төвөгтэй биш юм. Гэхдээ эдгээр бүртгэлүүд танд чухал ач холбогдолтой юм. Хэдийгээр таны хувьд үнэ цэнэгүй зарим бүртгэлүүдийн хувьд (тэдгээр нь алдагдахад бэлэн, санаа зовох зүйлгүй), хувийн мэдээллүүд агуулаагүй ч та нууц үгсээр өөрийгөө гажуудуулж болохгүй.
Хоёр хүчин зүйлийн баталгаажуулалт
Хүчтэй нууц үг ч гэсэн хэн ч таны дансанд нэвтрэх боломжгүй гэдгийг баталж чадахгүй. Та нууц үгээ хулгайнаас хулгайлж болно (жишээ нь, хамгийн олон давтамжтай фишинг), эсвэл танаас авах боломжтой.
Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam болон бусад бүх онлайн ноцтой компаниуд өөрсдийн акаунтад хоёр хүчин зүйл (эсвэл хоёр шаттай) баталгаажуулалтыг идэвхжүүлэх боломжтой болсон. Хэрэв аюулгүй байдал таны хувьд чухал бол түүний оруулахыг маш ихээр зөвлөж байна.
Хоёр хүчин зүйлийн баталгаажуулалтыг хэрэгжүүлэх нь өөр өөр үйлчилгээнд арай өөр байдаг боловч үндсэн зарчим нь дараах байдалтай байна:
- Үл мэдэгдэх төхөөрөмжөөс бүртгэлд нэвтрэх үед зөв нууц үгээ оруулсны дараа танд нэмэлт туршилт хийлгэхийг шаарддаг.
- Баталгаажуулалт нь SMS код, гар утсан дээр тусгай аппликэйшн, урьд нь бэлтгэсэн хэвлэсэн код, И-мэйл зурвас, тоног төхөөрөмжийн түлхүүрээр (сүүлийн хоёр сонголт нь Google-д гарч ирсэн, энэ компани нь ерөнхийдөө хоёр хүчин зүйлийн баталгаажуулалтаар хамгийн сайн нь).
Тиймээс, халдагч таны нууц үгийг мэдсэн ч тэр таны төхөөрөмж, утас, и-мэйл рүү нэвтрэх эрхгүйгээр нэвтрэх эрхгүй болно.
Хэрэв та хоёр хүчин зүйлийн баталгаажуулалтыг хэрхэн бүрэн дүүрэн ойлгож чадахгүй байгаа бол энэ сэдэвт зориулж интернет дээрх өгүүлэл, түүнийг хэрэгжүүлэх газруудын үйл ажиллагааны заавар, удирдамжийг уншихыг зөвлөж байна (би энэ нийтлэлийн дэлгэрэнгүй зааврыг оруулах боломжгүй болно).
Нууц үг хадгалах
Сайт болгоны хувьд хэцүү өвөрмөц нууц үгүүд нь агуу, гэхдээ тэдгээрийг хэрхэн хадгалах вэ? Эдгээр нууц үгийг бүгдийг нь санаж магадгүй юм. Хөтөчид хадгалагдсан нууц үгээ хадгалах нь эрсдэлтэй үйлдэл бөгөөд тэд зүгээр зөвшөөрөлгүй хандалтанд илүү эмзэг болохоос гадна системийн сүйрэл, синхрончлол идэвхгүй болох үед л алдагдах боломжтой.
Хамгийн сайн шийдэл нь нууц үгийн менежерүүд гэж тооцогддог бөгөөд ерөнхийдөө нууц кодын менежерүүдэд (таны офлайн болон онлайн) аль хэдийн мастер нууц үгээр хандаж байгаа (та хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлж болно) бүх нууц мэдээллийг хадгалж байдаг. Мөн эдгээр програмуудын ихэнх нь нууц үгийн найдвартай байдлыг үнэлэх, үнэлэх хэрэгслүүдээр тоноглогдсон байдаг.
Хэдэн жилийн өмнө би хамгийн сайн нууц үгийн менежерүүдийн талаар тусгай өгүүлэл бичсэн (энэ нь дахин бичсэн байх ёстой, гэхдээ энэ нь юу болох, ямар хөтөлбөрүүд нийтлэлээс алдартай болохыг олж авч болно). Зарим нь энгийн офлайн шийдлүүдийг ашиглахыг хүсдэг. Жишээ нь: KeePass эсвэл 1Password гэх мэт бусад бүх нууц үгүүдийг таны төхөөрөмж дээр хадгалж байдаг бусад хэрэгслүүд - LastPass, Dashlane гэсэн нэмэлт боломжуудыг агуулсан функциональ хэрэгслүүд.
Илүү нууц үгтэй менежерүүд нь тэдгээрийг хадгалах маш найдвартай, найдвартай арга гэж үздэг. Гэсэн хэдий ч, зарим талаар дэлгэрэнгүй авч үзэх нь зүйтэй юм:
- Таны бүх нууц үгийг ашиглахын тулд та зөвхөн ганцхан нууц үгийг мэдэх шаардлагатай.
- Интернетийн хадгалалтын хакерын хувьд (сарын өмнө, дэлхийн хамгийн түгээмэл нууц үгийн менежментийн үйлчилгээ, LastPass, хакердсан), та бүх нууц үгийг өөрчлөх шаардлагатай болно.
Чухал нууц үгүүдийг хэрхэн хадгалах вэ? Энд хэд хэдэн сонголт байна:
- Баримт бичгийг аюулгүй, өөрийн болон гэр бүлийнхээ гишүүдтэй байх (нэвтрэхийг байнга хэрэглэгддэг нууц үгүүдэд хэрэглэхэд тохиромжгүй) ашиглах боломжтой.
- Офлайн нууц үгийн мэдээллийн сан (жишээлбэл, KeePass) нь удаан хадгалалтын төхөөрөмж дээр хадгалагдаж, алдагдлын хувьд хаана ч гэсэн давхардсан.
Миний бодлоор, дээр дурьдсан бүх зүйлд хамгийн сайн хослол бол дараахи хандалт юм: хамгийн чухал нууц үгүүд (бусад и-мэйлүүд, бусад дансууд, банкууд г.м.-ийг сэргээж чадна) нь аюулгүй, найдвартай байранд хадгалагддаг. Ихэнхдээ чухал биш бөгөөд байнга хэрэглэдэг хүмүүс нууц үгийн зохицуулагчид томилогдох ёстой.
Нэмэлт мэдээлэл
Зарим нэг нууц үгийн талаар хоёр нийтлэлийг та нарын заримд нь авч үзсэнгүй. Мэдээжийн хэрэг, би бүх боломжит хувилбаруудыг харгалзан үзээгүй боловч энгийн логик болон зарчмуудын зарим ойлголт нь тодорхой цаг мөчид та юу хийж байгаагаа аюулгүй шийдэх шийдвэр гаргахад надад тусалдаг. Дахин хэлэхэд зарим нэг болон хэд хэдэн нэмэлт оноо:
- Янз бүрийн сайтуудад өөр өөр нууц үгийг ашигла.
- Нууц үг нь төвөгтэй байх ёстой бөгөөд нууц үгийн уртыг нэмэгдүүлэх замаар нарийн төвөгтэй байдлыг нэмэгдүүлэх явдал юм.
- Нууц үгээ өөрөө үүсгэж байхдаа өөрийн хувийн мэдээллийг бүү хэрэглэ.
- Боломжтой бол хоёр шатат нэвтрэлтийг ашиглана.
- Өөрийн нууц үгийг аюулгүй байлгах хамгийн сайн арга замыг олох.
- Фишинг хулгайлж (сайтын хаяг, шифрлэлт байгаа эсэхийг шалгах) болон суухаас болгоомжлох. Нууц үгээ оруулахыг хүссэн хаана байгаагаас үл хамааран та яг зөв газартаа нэвтэрч байгаа эсэхийг шалгана уу. Компьютер дээр ямар ч үзүүлж чадахгүй байна.
- Боломжтой бол нууц үгүүдийг хэн нэгний компьютер дээр ашиглах хэрэггүй (хэрэв шаардлагатай бол browser-ийн incognito горимд эсвэл илүү дээр нь дэлгэцэн дээрх гарыг ашиглаарай) нийтийн нээлттэй Wi-Fi сүлжээн дээр, ялангуяа сайтад холбогдох үед https шифрлэлт байхгүй бол .
- Магадгүй та хамгийн чухал, жинхэнэ үнэ цэнэтэй, нууц үгийг компьютер эсвэл онлайнаар хадгалах ёсгүй.
Иймэрхүү зүйл байна. Би паранойгийн түвшинг дээшлүүлж чадсан гэж бодож байна. Дээрх зүйлсийн ихэнх нь тааламжгүй мэт санагдаж болох ч, "сайн, би үүнийг тойрч гарах болно" гэх мэт бодлууд гарч ирж болзошгүй боловч нууц мэдээллийг хадгалах аюулгүй байдлын энгийн дүрмийг дагаж залруулахад зөвхөн залхуурах нь зөвхөн чухал ач холбогдолгүй, бэлэн байдалд байх болно. Энэ нь гуравдагч этгээдийн өмч болно.
