Dësen Artikel wäert diskutéieren wéi een e séchert Passwuert erstallt, wéi eng Prinzipien solle verfollegt ginn wann se erstallt ginn, wéi een Passwierder späichert an d'Méiglechkeeten miniméiere fir béisaarteg Benotzer Zougang zu Äre Informatioun a Konten ze kréien.
Dëst Material ass eng Fortsetzung vum Artikel "Wéi kann Äert Passwuert gehackt ginn" an implizéiert datt Dir vertraut sidd mat dem Material dat do presentéiert gëtt oder scho wësst all d'Haapt Weeër wéi Passwierder kënne kompromittéiert ginn.
Passwuert erstellen
Haut, wann Dir en Internet Kont registréiert, e Passwuert erstellt, gesitt Dir normalerweis e Indikator fir d'Passwuertstäerkt. Bal iwwerall funktionnéiert et op Basis vun enger Bewäertung vun den folgenden zwee Faktoren: Passwuertlängt; d'Präsenz vu speziellen Zeechen, grousse Buschtawen an Zuelen am Passwuert.
Trotz der Tatsaach, datt dës wierklech wichteg Parameteren vu Passwuertresistenz fir Hacking duerch Brute Force sinn, e Passwuert dat fir de System zouverléisseg schéngt ass net ëmmer sou. Zum Beispill e Passwuert wéi "Pa $$ w0rd" (an et gi speziellen Zeechen an Zuelen hei) wäerten héchstwäert ganz séier gekrackt ginn - wéinst dem Fakt datt (wéi am virdrun Artikel beschriwwen) Leit selten eenzegaarteg Passwierder erstellen (manner wéi 50% vun de Passwierder sinn eenzegaarteg) an déi gezeechent Optioun ass héchstwahrscheinlech scho an de gepeckte Datenbanken verfügbar fir den Ugräifer.
Wéi et ass Déi bescht Optioun ass Passwuert Generatoren ze benotzen (verfügbar am Internet a Form vun Online Utilitys, wéi och an de meeschte Passwuertmanager fir Computeren), a schaaft laang zoufälleg Passwierder mat speziellen Zeechen. In de meeschte Fäll ass e Passwuert vun 10 oder méi vun dësen Zeechen einfach net interesséiert fir den Cracker (dh. Seng Software gëtt net konfiguréiert fir sou Optiounen ze wielen) wéinst der Tatsaach datt d'Zäit déi net ausbezuelt gëtt. Viru kuerzem ass en agebaute Passwuertgenerator am Google Chrome Browser erschien.
An dëser Method ass den Haapt Nodeel datt sou Passwierder schwéier ze erenneren. Wann et néideg ass d'Passwuert am Kapp ze halen, ass et eng aner Optioun baséiert op der Tatsaach datt e 10-Zeechneets Passwuert dat grouss Buschstécker a Spezial Zeechen enthält ass gekrackt andeems Dir duerch Tausende oder méi duerchsicht (spezifesch Zuelen hänkt vun der gëlteg Zeecheset of), d'Zäit ass méi einfach, wéi e Passwuert mat 20 Zeeche mat nëmme laténgesch Zeechen (och wann de Cracker dovun weess).
Sou ass e Passwuert, dat aus 3-5 einfach zoufälleg Englesch Wierder besteet, einfach ze erënneren a bal onméiglech ze knacken. A wann ech all Wuert mat engem grousse Buschtaf geschriwwen hunn, erhéije mir d'Zuel vun den Optiounen op den zweete Grad. Wann et 3-5 russesch Wierder sinn (erëm zoufälleg, anstatt Nimm an Datumen), déi am englesche Layout geschriwwe sinn, gëtt déi hypothetesch Méiglechkeet vu raffinéierte Methoden fir Dictionnairen fir Passwuertauswiel ze benotzen.
Vläicht ass et keng definitiv korrekt Approche fir Passwierder ze kreéieren: et ginn Virdeeler an Nodeeler a verschidde Methoden (verbonne mat der Fäegkeet fir et z'erënneren, Zouverlässegkeet an aner Parameteren), awer d'Basisprinzipien sinn wéi follegt:
- D'Passwuert muss aus eng bedeitend Unzuel vun Zeechen bestoen. Déi heefegst Begrenzung haut ass 8 Charaktere. An dëst ass net genuch wann Dir e séchert Passwuert braucht.
- Wa méiglech, speziell Zeechen, grouss a kleng Buschstawen, Zuelen sollten am Passwuert enthale sinn.
- Ni perséinlech Date an d'Passwuert enthalen, och net op anscheinend "tricky" Methoden opgeholl. Keng Datumen, Nimm a Familljenummen. Zum Beispill, e Passwuert ze briechen, deen all Datum vum modernen Julian Kalenner representéiert vum 0th Joer bis zum heitegen Dag (vum Typ 18. Juli 2015 oder 18072015, etc.) dauert vu Sekonnen op Stonnen (an och dann ass d'Auer nëmmen aus wéinst Verspéidungen aus! tëscht Versuche fir e puer Fäll).
Dir kënnt kontrolléieren wéi staark Äert Passwuert um Site ass (wann och Passwierder op e puer Site aginn, besonnesch ouni https ass net déi sécherste Praxis) //rumkin.com/tools/password/passchk.php. Wann Dir Äert richtegt Passwuert net verifizéiere wëllt, gitt e ähnlecht (vun der selwechter Unzuel u Personnagen a mat demselwechten Satz Zeechen) fir eng Iddi vu senger Kraaft ze kréien.
Am Prozess vu Personnagen anzeginn, berechent de Service d'Entropie (bedingt, d'Zuel vun Optiounen fir Entropie ass 10 Stéck, d'Zuel vun Optiounen ass 2 op déi zéngte Kraaft) fir e bestëmmt Passwuert a gitt Informatiounen iwwer d'Zouverlässegkeet vu verschiddene Wäerter. Passwierder mat enger Entropie vu méi wéi 60 si bal net méiglech ze knacken, och während der gezielter Auswiel.
Benotzt net déiselwecht Passwierder fir verschidde Konten
Wann Dir e grousst, komplext Passwuert hutt, awer Dir benotzt et wou Dir kënnt, gëtt et automatesch komplett onverlässlech. Soubal d'Hacker op ee vun de Säiten briechen, wou Dir sou e Passwuert benotzt an Zougang zu et kritt, gitt sécher datt et direkt getest gëtt (automatesch, mat spezieller Software benotzt) op all aner populär E-Mail, Gaming, Sozial Servicer, a vläicht souguer online Banken (Weeër fir ze gesinn, ob Äert Passwuert scho gelaf ass, ginn um Enn vum Artikel virdrun).
Dat eenzegaarteg Passwuert fir all Kont ass schwéier, et ass onbequem, awer et ass néideg wann dës Konten op d'mannst e bësse Bedeitung fir Iech sinn. Och fir e puer Registratiounen déi kee Wäert fir Iech hunn (dat heescht, Dir sidd prett se ze verléieren a gitt Iech keng Suergen) an enthalen keng perséinlech Informatioun, Dir kënnt net mat eenzegaartege Passwierder strapazéieren.
Zwee-Faktor Authentifikatioun
Och staark Passwierder garantéieren net datt keen op Äre Kont kann aloggen. De Passwuert kann op déi eng oder aner Manéier geklaut ginn (Phishing, zum Beispill, als déi meescht üblech Optioun) oder vun Iech kritt.
Bal all gréisser Online Firmen dorënner Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam an anerer hunn d'Fäegkeet bäigefüügt fir zwee-Faktor (oder Zwee-Stuf) Authentifikatioun a Konten zënter relativ kuerzem z'erméiglechen. A wann d'Sécherheet fir Iech wichteg ass, ech recommandéieren et wierklech unzeschalten.
D'Ëmsetzung vun zweefaktor Authentifikatioun funktionnéiert e bëssen anescht fir verschidde Servicer, awer de Basisprinzip ass wéi follegt:
- Wann Dir vun engem onbekannten Apparat op Ärem Kont aloggt, nodeems Dir dat richtegt Passwuert aginn hutt, gëtt Iech gefrot iwwer eng zousätzlech Iwwerpréiwung ze goen.
- De Scheck fënnt mam SMS Code un, eng speziell Uwendung um Smartphone, mat pre-virbereet gedréckte Coden, eng E-Mail Message, e Hardwareschlëssel (déi lescht Optioun koum vu Google, dës Firma ass meeschtens e Leader am Sënn vun zweefaktor Authentifikatioun).
Also, och wann en Ugräifer Äert Passwuert erausfonnt huet, da konnt hien net an Ärem Kont aloggen ouni Zougang zu Ären Apparater, Telefon, E-Mail.
Wann Dir net ganz verstan wéi zwee-Faktor Authentifikatioun funktionnéiert, da recommandéieren ech Artikelen um Internet iwwer dëst Thema oder Beschreiwungen a Richtlinnen fir Handlung op de Site selwer, wou se implementéiert sinn (ech wäert einfach net fäeg detailléiert Instruktiounen an dësem Artikel enthalen).
Passwuert Späicheren
Raffinéiert eenzeg Passwierder fir all Site si super, awer wéi späicheren ech se? Et ass onwahrscheinlech datt all dës Passwierder am Kapp behale kënne ginn. Späichert Passwierder an engem Browser späicheren ass eng geféierlech Entscheedung: se ginn net nëmme méi vulnérabel fir onerlaabten Zougang, mais kënnen einfach verluer ginn am Fall vun engem System Crash a wann d'Synchroniséierung ausgeschalt ass.
Déi bescht Léisung gëtt als Passwuertmanager ugesinn, déi allgemeng Programmer si Programmer déi all Är geheim Daten an engem verschlësselte séchere Store späicheren (souwuel offline wéi online), zougänglech mat engem eenzege Master Passwuert (Dir kënnt och zwee-Faktor Authentifikatioun aktivéieren). Déi meescht vun dëse Programmer sinn och mat Tools ausgestatt fir d'Passwuertkraaft ze generéieren an ze bewäerten.
E puer Joer hat ech en eenzelnen Artikel iwwer Best Password Managers geschriwwen (et ass et wäert ze iwwerschreiwen, awer Dir kënnt eng Iddi kréien wat et ass a wéi eng Programmer populär aus dem Artikel sinn). E puer léiwer einfach Offline Léisungen, wéi KeePass oder 1Password, déi all Passwierder op Ärem Apparat späicheren, anerer léiwer méi funktionell Utilitys déi och Synchroniséierungsfäegkeeten (LastPass, Dashlane) ubidden.
Bekannt Passwuertmanager ginn allgemeng als e ganz sécheren an zouverléissege Wee fir se ze späicheren. Wéi och ëmmer, et ass e puer Detailer ze berücksichtegen:
- Fir Zougang zu all Är Passwierder ze kréien, musst Dir nëmmen een Masterpasswuert wëssen.
- Am Fall vum Online Storage (wuertwiertlech e Mount, de populärste LastPass Passwuert Management Service an der Welt gouf gehackt), musst Dir all Är Passwierder änneren.
Wéi soss kann ech meng wichteg Passwierder späicheren? Hei sinn e puer Optiounen:
- Op Pabeier an engem Safe datt Dir an Är Familljememberen Zougang hunn (net passend fir Passwierder déi dacks benotzt musse ginn).
- Eng offline Passwuert Datebank (zum Beispill KeePass) huet op engem laangfristege Späicherapparat gespäichert an iergendwou verduebelt am Fall vu Verloscht.
Déi optimal Kombinatioun vun uewendriwwer, menger Meenung no, ass déi folgend Approche: déi wichtegst Passwierder (den Haapt E-Mail, mat deem Dir aner Konten, Bank, etc. restauréiere kënnt) ginn am Kapp gelagert an (oder) op Pabeier op enger sécherer Plaz. Manner wichteg an, zur selwechter Zäit, dacks benotzte sollen op Passwuertmanager Programmer zougewisen ginn.
Zousätzlech Informatiounen
Ech hoffen, datt eng Kombinatioun vun zwee Artikelen iwwer d'Thema vu Passwierder e puer vun Iech gehollef huet op e puer Aspekter vu Sécherheet opmierksam ze maachen, op déi Dir net geduecht hutt. Natierlech hunn ech net all méiglech Optiounen berücksichtegt, awer eng einfach Logik an e bësse Verständnis vun de Prinzipien hëllefen mech ze entscheeden wéi sécher wat Dir maacht an engem bestëmmte Moment. Eng Kéier, e puer ernimmt an e puer zousätzlech Punkten:
- Benotzt verschidde Passwierder fir verschidde Site.
- Passwierder solle komplex sinn, an Dir kënnt d'Komplexitéit am meeschte erhéijen andeems d'Längt vum Passwuert eropgeet.
- Benotzt keng perséinlech Daten (déi erausfonnt kënne ginn) beim Erstelle vum Passwuert selwer, Hiweiser dofir, Sécherheetsfroen fir Erhuelung.
- Benotzt 2-Schrëtt Verifizéierung wou méiglech.
- Fannt de beschte Wee fir Iech sécher Passwierder ze späicheren.
- Sidd virsiichteg géint Phishing (préift Websäit Adressen, Verschlësselung) a Spyware. Iwwerall wou Dir gefrot gëtt e Passwuert anzeginn, kuckt ob Dir et wierklech op der rietser Säit agitt. Haalt Äre Computer fräi vu Malware.
- Wa méiglech, benotzt Är Passwierder net op Computeren vun anere Leit (wann néideg, maacht et am "incognito" Modus vum Browser, an nach besser vum Typ op der Leinwand Keyboard), an ëffentlech oppe Wi-Fi Netzwierker, besonnesch wann et keng https Verschlësselung ass wann Dir op de Site verbënnt An.
- Vläicht sollt Dir déi wichtegst Passwierder net op engem Computer oder online späicheren, déi wierklech wäertvoll sinn.
Eppes wéi dat. Ech denken, datt ech et fäerdeg bruecht de Grad vu Paranoia z'erhéijen. Ech verstinn datt vill vun deem wat beschriwwe gëtt onbequem schéngt, Gedanken wéi "gutt, et wäert mech ëmginn" kann entstoen, awer déi eenzeg Excuse fir Faulkeet wann Dir ganz einfach Sécherheetsregele follegt wann Dir vertraulech Informatioune späichert, kann nëmmen de Mangel u Wichtegkeet an Är Bereetschaft sinn datt et de Besëtz vun Drëtten gëtt.
