Nowy rok jest już nad nami, a miliony z nas wciąż używają absolutnie okropnych haseł. To nie musi tak być. Będziesz w tym roku rokiem doskonałych haseł, a my pokażemy ci jak.
Czy wiemy, że osobiście masz straszne hasła? Nie. Możesz być jednym z niewielu ludzi, którzy rozumieją znaczenie dobrej higieny haseł i faktycznie wdrażają system, aby osiągnąć ten cel (dobry dla ciebie). Czy wiemy, że ogólna populacja ludzi w sumie używa strasznych haseł? Tak, tak, robimy.
Skąd to wiemy? Ponieważ istnieją firmy, które zbierają wszystkie zrzuty haseł od wszystkich naruszeń danych, które (raczej niestety) występują każdego roku i analizują hasła. Te zrzuty haseł zawierają zwykle od setek tysięcy do milionów haseł i bardzo łatwo uzyskać szeroki obraz haseł, z których korzystają osoby (i jak poważnie, czy nie, zabiorą zabezpieczenia hasłem).
Jedna konkretna firma, SplashData (twórcy osobistego menedżera haseł SplashData i system zarządzania hasłami w przedsiębiorstwie TeamID), opracowuje i publikuje listy najpopularniejszych haseł używanych od 2011 roku. Oto listy z 2011, 2012, 2013, 2014 , i 2015. Chociaż możesz przeglądać wszystkie listy samodzielnie, możemy skorzystać z możliwości umieszczenia pierwszej dziesiątki z każdego roku obok siebie:
Zgadza się: najpopularniejszymi hasłami z ostatnich pięciu lat są "hasło" i "123456". Żadne z wpisów na tej liście nie są równe próbowanie przy dobrych hasłach są po prostu czystym lenistwem. Co gorsza, z biegiem czasu zmienia się bardzo niewiele. (Chociaż interesujące jest to, że smoki wyprzedziły małpy w ciągu pięciu lat).
Biorąc pod uwagę, że od 2011 r. Liczba naruszeń danych na wysokim poziomie jest duża, można by pomyśleć, że przynajmniej jednamarginalny pełzanie w kierunku lepszych haseł. Ale wyraźnie miliony ludzi wciąż używa haseł tak trywialnych, że nie trzeba nawet używać zaawansowanych narzędzi do ich łamania; możesz po prostu zgadnąć, że jesteś zbyt sprytnym hackerem w źle napisanym telewizyjnym programie z lat 90.
Być może patrzysz na listy i klepiesz się po plecach, ponieważ nie używasz tak absurdalnie prostych haseł, ale czy twoje hasła są naprawdę lepsze? Przyjrzyjmy się, co stanowi dobre hasło, zanim ktokolwiek zacznie gratulować sobie zbyt serdecznie.
Zasady dobrej higieny haseł nie są skomplikowane i nie zmieniają się z upływem czasu. Mimo to bardzo niewielu ludzi faktycznie podąża za nimi wiernie. Oto, co tworzy dobre hasło:
Długość. Dobre hasła są długie. Zasadą jest, że im dłuższe jest hasło, tym trudniej jest je złamać za pomocą metody brute force i słownikowej (a na pewno trudniej zgadnąć). Zawsze należy dążyć do przekroczenia minimalnej długości hasła. Jeśli witryna wymaga hasła składającego się z co najmniej sześciu znaków, wydłuż ją.
Złożoność. Zasadniczo powinieneś unikać prostych słów. Unikaj słów słowników, nazw miejsc i odpowiednich rzeczowników. Twoje drugie imię, imię psa, nazwa stanu, popularny muzyk to okropne składniki haseł, które prawdopodobnie znajdują się już w tabelach i używają plików crackerów. Jeśli tyrobić w swoim haśle używaj takich słów jak "pies", "dom" lub "niebieski", powinieneś użyć co najmniej czterech z nich w tym samym haśle, a także w sposób, który zmniejsza szanse, że zostanie zaatakowany brutalnie, np. "MyDog $ House! S Blue ".
Wyjątkowość. To jest wielki i ten, o którym większość ludzi się potknęła. Ważniejsze niż posiadanie dobrego hasła jest posiadanieinne hasło dla każdej odwiedzanej witryny. Możesz mieć najlepsze hasło na świecie, hasło tak fantastyczne, że jego złamanie zajmie całą dekadę komputerowi, ale jeśli cały system firmy zostanie przejęty i hakerzy go odkryją, oni to wiedzą i mają dostęp do dowolnego konta używasz go.
Nie możemy wystarczająco podkreślić tej części. Jeśli używasz tego samego hasła w wielu witrynach i jeden tych stron jest zagrożona, ne'er-do-do-well może zalogować się do każdy z tych stron jak ty. Jeśli używasz tego samego hasła w wielu witrynachi to hasło jest również hasłem, którego używasz dla swojego adresu e-mail, jesteś w świecie cierpienia. Istnieje możliwość nie tylko (i najprawdopodobniej zostanie) zainfekowania osobistej poczty e-mail, ale także osoby atakujące mogą zresetować hasło na dowolne konto. W tym momencie prawie dałeś napastnikom przysłowiowe klucze do twojego domu.
Teraz prawdopodobnie wyśmiewasz pomysł, że możesz nadążyć za nawet podstawowymi wymaganiami, które opisaliśmy powyżej. Długie, złożone i niepowtarzalne hasła dlakażdy odwiedzana witryna? Ale jest tak wiele stron! Jak mógłbyś zachować wszystkie 100 różnych haseł? To prowadzi nas do następnego kroku w poprawie higieny hasła: za pomocą menedżera haseł.
Dawno, dawno temu, mogłeś mieć kilka haseł do żonglowania w swoim mózgu. Śledziłeś swoje logowanie do komputera w domu i pracy, być może Amazon i eBay podczas wczesnego robienia zakupów online, i oczywiście twój login do banku. Mając mniej niż garść haseł, aby zapamiętać, dość łatwo jest zapamiętać niektóre silne.
Te dni jednak już dawno minęły. Rozprzestrzenianie się usług online, począwszy od płacenia rachunków, przez zakupy, po rejestrację produktów i aktualizacje oprogramowania, sprawiło, że nawet zwykli użytkownicy mają dziesiątki dziesiątek loginów i haseł, aby trzymać się prosto.W niektórych przypadkach nawet w setkach (mam obecnie ponad 300 loginów / haseł w mojej osobistej kolekcji). Nie ma mowy, aby ktokolwiek mógł śledzić setki unikalnych haseł. Heck, znam kilka osób, które mają tylko parę, i od czasu do czasu je zapominają. ("Zobaczmy, czy to było małpa!
lub monkey1
? A może był kapitalny M w małpy? Ugh, zresetuję to jeszcze raz. ")
W dzisiejszych czasach dobry menedżer haseł jest niezbędny. Menedżerowie haseł wykonują krótką pracę nad wszystkimi problemami, które nękają nowoczesne hasła. Korzystanie z menedżera haseł, takiego jak LastPass, gwarantuje łatwe tworzenie, używanie i przywoływanie długich, silnych i unikatowych hasełkażdy usługa, z której korzystasz. W rzeczywistości dobry menedżer haseł będzie działał na twoim komputerze i telefonie, i automatycznie zaloguje cię do wszystkiego bez podnoszenia palca - więc nigdy więcej nie będziesz musiał wpisywać hasła. To wygodne i bezpieczne.
Biorąc pod uwagę liczbę logowań, które wszyscy musimy śledzić, częstotliwość brokerów danych i ilość problemów wynikających z ponownego użycia tych samych haseł (szczególnie w przypadku newralgicznych witryn), nie ma po prostu usprawiedliwienia dla nie używania menedżera haseł do generowanie i przechowywanie bezpiecznych haseł. Jeśli jesteś początkującym menedżerem haseł lub masz obawy dotyczące korzystania z całkowicie opartych na chmurze systemów, zapoznaj się z poradnikiem Dlaczego warto skorzystać z narzędzia do zarządzania hasłami i jak zacząć.
Zainstalowałeś więc menedżera haseł i wygenerowałeś unikatowe, złożone hasła do każdej witryny, z której korzystasz. Jesteś gwiazdą rocka. Ale jest ostatni element zagadki bezpieczeństwa hasłem, który należy uczynić priorytetem w nowym roku: uwierzytelnianie dwuskładnikowe.
Uwierzytelnianie dwuskładnikowe jest proste: oznacza tylko, że do logowania do witryny potrzebne są dwa różne rodzaje uwierzytelniania. Konto z hasłem ma jednoetapowe uwierzytelnienie: do uzyskania dostępu potrzebne jest tylko hasło. Konto z uwierzytelnianiem dwuetapowym wymaga dwóch rzeczy: hasła,i wprowadź 6-cyfrowy kod PIN, który firma wysyła do Twojego telefonu. Utrudnia to ludziom włamywanie się na Twoje konto. Nawet jeśli Twoje hasło zostało naruszone, nie będą mogły zalogować się na Twoje konto, ponieważ nie mają Twojego telefonu.
Uwierzytelnianie dwuskładnikowe staje się powszechne w przypadku witryn bankowych, dużych sprzedawców detalicznych (takich jak Amazon) oraz, oczywiście, w witrynach i usługach zorientowanych na bezpieczeństwo, takich jak LastPass. Jeśli używana usługa oferuje uwierzytelnianie dwuskładnikowe, zwykle nie ma powodu, aby jej nie wykorzystywać. Co najmniej musisz używać uwierzytelniania dwuskładnikowego dla każdej usługi, której kompromis (taki jak Twój bank lub menedżer haseł) może spowodować poważne trudności lub ryzyko kradzieży tożsamości. Sprawdź nasz przewodnik po uwierzytelnianiu dwuskładnikowym, aby uzyskać więcej informacji na temat konfiguracji. To jedna z najlepszych rzeczy, które możesz zrobić, aby chronić swoje konta.
Dobre praktyki dotyczące haseł nie są efektowne, ale są bardzo potrzebne. Nie pozwól, by minął kolejny rok, w którym znajdziesz wpisując dokładnie to samo hasło zarówno do konta e-mailowego, jak i do banku, myśląc: "Człowieku, naprawdę powinienem przestać używać tego samego hasła do wszystkiego." W przyszłym roku, kiedy kolejna runda Naruszenie danych daje kolejną listę najgorszych haseł, nie powinieneś nawet odczuwać ukłucia niepokoju. Ponieważ wszystkie twoje hasła będą kwadratowe: długie, złożone i niepowtarzalne.
Zdjęcie: Automobile Italia.