Sobre a seguridade do contrasinal

Pin
Send
Share
Send

Este artigo tratará sobre como crear un contrasinal seguro, que principios se deben seguir á hora de crealos, como almacenar contrasinais e minimizar a probabilidade de que os usuarios maliciosos acceden á súa información e contas.

Este material é a continuación do artigo "Como se pode romper o seu contrasinal" e implica que está familiarizado co material presentado alí ou xa coñece todas as formas principais de contraseña.

Crea contrasinais

Hoxe, ao rexistrar unha conta de Internet, crear un contrasinal, normalmente ve un indicador de fortaleza do contrasinal. Case en todas partes funciona baseándose nunha valoración dos seguintes factores: lonxitude de contrasinal; a presenza de caracteres especiais, maiúsculas e números no contrasinal.

A pesar de que estes son parámetros realmente importantes da resistencia ao contrasinal ao piratería por forza bruta, un contrasinal que parece fiable para o sistema non sempre é tal. Por exemplo, un contrasinal como "Pa $$ w0rd" (e hai caracteres e números especiais aquí) será moi rachado moi rápido - debido a que (como se describe no artigo anterior) raramente as persoas crean contrasinais únicos. (menos do 50% dos contrasinais son únicos) e a opción indicada é moi probable nas bases de datos filtradas dispoñibles para os atacantes.

Como ser A mellor opción é empregar xeradores de contrasinal (dispoñibles en Internet en forma de utilidades en liña, así como na maioría dos xestores de contrasinais para ordenadores), creando contrasinais longos ao chou con caracteres especiais. Na maioría dos casos, un contrasinal de 10 ou máis destes caracteres simplemente non será de interese para o cracker (é dicir, o seu software non estará configurado para seleccionar estas opcións) debido a que o tempo empregado non será rendible. Recentemente, apareceu no xerador de Google Chrome un xerador de contrasinal incorporado.

Neste método, a principal desvantaxe é que eses contrasinais son difíciles de lembrar. Se hai que ter presente o contrasinal, hai outra opción baseada en que un contrasinal de 10 caracteres que contén letras maiúsculas e caracteres especiais está rachado por unha enumeración de miles ou máis (números específicos dependen dun conxunto de caracteres válidos) veces máis fácil. que un contrasinal de 20 caracteres que conteña só caracteres latinos en minúsculas (aínda que o cracker o saiba).

Así, un contrasinal composto por 3-5 palabras sinxelas en inglés aleatorias será fácil de lembrar e case imposible de crack. E despois de escribir cada palabra con maiúscula, elevamos o número de opcións ao segundo grao. Se serán 3-5 palabras rusas (de novo aleatorias, máis que nomes e datas) escritas no esquema inglés, tamén se eliminará a hipotética posibilidade de sofisticados métodos de usar dicionarios para a selección de contrasinais.

Quizais non exista un enfoque definitivamente correcto para crear contrasinais: hai vantaxes e inconvenientes en varios métodos (asociados coa capacidade de recordalo, a fiabilidade e outros parámetros), pero os principios básicos son os seguintes:

  • O contrasinal debe constar dun número significativo de caracteres. A limitación máis común na actualidade é de 8 caracteres. E isto non é suficiente se precisa un contrasinal seguro.
  • Se é posible, deberán incluírse no contrasinal caracteres especiais, maiúsculas e minúsculas.
  • Nunca inclúa datos persoais no contrasinal, nin sequera rexistrados por métodos aparentemente "complicados". Sen datas, nomes e apelidos. Por exemplo, romper un contrasinal que represente calquera data do calendario xulián moderno desde o ano 0 ata a actualidade (do tipo 18 de xullo de 2015 ou 18072015, etc.) tardará en segundos en horas (e aínda así, o reloxo só será por mor de atrasos. entre intentos dalgúns casos).

Podes comprobar como é forte o teu contrasinal no sitio (aínda que introducir contrasinais nalgúns sitios, especialmente sen https non é a práctica máis segura) //rumkin.com/tools/password/passchk.php. Se non queres verificar o teu contrasinal real, introduce un similar (do mesmo número de caracteres e co mesmo conxunto de caracteres) para ter unha idea da súa forza.

No proceso de introdución de caracteres, o servizo calcula a entropía (condicionalmente, o número de opcións para entropía é de 10 bits; o número de opcións é de 2 a décima potencia) para un contrasinal dado e axuda na fiabilidade de varios valores. Os contrasinais cunha entropía superior a 60 son case imposibles de frear incluso durante a selección dirixida.

Non use os mesmos contrasinais para contas diferentes

Se tes un contrasinal xenial e complexo, pero o usas sempre que poidas, automáticamente vólvese completamente pouco fiable. En canto os piratas informáticos rompan nalgún dos sitios onde emprega tal contrasinal e acceda a el, asegúrese de que se probará inmediatamente (automaticamente, usando software especial) en todos os demais correo electrónico, xogos, servizos sociais e talvez incluso bancos en liña (As formas de ver se o teu contrasinal xa se filtrou indícanse ao final do artigo anterior).

O contrasinal único para cada conta é difícil, é inconveniente, pero é necesario que estas contas sexan polo menos importantes para vostede. Aínda que, para algúns rexistros que non teñen ningún valor para vostede (é dicir, estás preparado para perdelos e non se preocupe) e non conteñen información persoal, non podes colar con contrasinais únicos.

Autenticación de dous factores

Incluso os contrasinais fortes non garanten que ninguén poida iniciar sesión na súa conta. O contrasinal pódese roubar dun xeito ou outro (phishing, por exemplo, como a opción máis común) ou obter de vostede.

Case todas as principais compañías en liña, incluíndo Google, Yandex, Mail.ru, Facebook, VKontakte, Microsoft, Dropbox, LastPass, Steam e outras persoas engadiron a posibilidade de habilitar a autenticación en dous factores (ou en dous pasos) en contas desde hai relativamente pouco tempo. E, se a seguridade é importante para ti, recoméndovos encendelo.

A aplicación da autenticación de dous factores funciona lixeiramente diferente para diferentes servizos, pero o principio básico é o seguinte:

  1. Cando inicie sesión na súa conta desde un dispositivo descoñecido, despois de introducir o contrasinal correcto, solicítase que realice unha comprobación adicional.
  2. A verificación realízase mediante o código SMS, unha aplicación especial no teléfono intelixente, empregando códigos impresos pre-preparados, unha mensaxe de correo electrónico, unha clave de hardware (a última opción veu de Google, esta empresa normalmente é líder en termos de autenticación de dous factores).

Así, aínda que un atacante descubrise o seu contrasinal, non poderá iniciar sesión na súa conta sen acceso aos seus dispositivos, teléfono, correo electrónico.

Se non entendes completamente como funciona a autenticación de dous factores, recomendo ler artigos en Internet sobre este tema ou descricións e directrices para a actuación nos propios sitios onde se implementa (non podo incluír instrucións detalladas neste artigo).

Almacenamento de contrasinal

Os contrasinais exclusivos sofisticados para cada sitio son excelentes, pero como podo almacenalos? É improbable que se teñan en conta todos estes contrasinais. Almacenar contrasinais gardados nun navegador é unha empresa de risco: non só se fan máis vulnerables ao acceso non autorizado, senón que poden perderse no caso de fallos no sistema e cando a sincronización estea desactivada.

A mellor solución considéranse xestores de contrasinais, que en termos xerais son programas que almacenan todos os teus datos secretos nun almacenamento seguro cifrado (tanto fóra de liña como en liña), ao que se accede cun contrasinal mestre (tamén podes habilitar a autenticación de dous factores). A maioría destes programas tamén están equipados con ferramentas para xerar e avaliar a contrasinal.

Hai un par de anos escribín un artigo separado sobre Mellores xestores de contrasinais (paga a pena reescribilo, pero podes ter unha idea de que é e que programas son populares neste artigo). Algúns prefiren solucións sen fíos sinxelas, como KeePass ou 1Password, que almacenan todos os contrasinais do seu dispositivo, outros prefiren utilidades máis funcionais que tamén proporcionan funcións de sincronización (LastPass, Dashlane).

Os coñecidos xestores de contrasinais son xeralmente considerados como un xeito moi seguro e fiable de almacenalos. Non obstante, paga a pena considerar algúns detalles:

  • Para acceder a todos os teus contrasinais só debes coñecer un contrasinal principal.
  • No caso de piratear o almacenamento en liña (hai só un mes, pirateouse o servizo de xestión de contrasinais LastPass máis popular do mundo), terás que cambiar todos os teus contrasinais.

Como se pode gardar os meus importantes contrasinais? Aquí tes un par de opcións:

  • No papel nun cofre ao que vostede e os seus familiares terán acceso (non é adecuado para contrasinais que necesitan usarse a miúdo).
  • Unha base de datos de contrasinais fóra de liña (por exemplo, KeePass) almacenada nun dispositivo de almacenamento a longo prazo e duplicada nalgún lugar en caso de perda.

Na miña opinión, a combinación óptima de todo o anterior é o seguinte enfoque: os contrasinais máis importantes (o correo electrónico principal, co que pode restaurar outras contas, bancos, etc.) gárdanse na cabeza e (ou) no papel nun lugar seguro. Menos importantes e, ao mesmo tempo, frecuentemente usados ​​deberían asignarse a programas de xestor de contrasinais.

Información adicional

Espero que unha combinación de dous artigos sobre o tema dos contrasinais lle axudase a algúns a prestar atención a algúns aspectos de seguridade que non pensabas. Por suposto, non tiven en conta todas as opcións posibles, pero unha simple lóxica e algunha comprensión dos principios axudaranme a decidir o seguro que estás a facer nun momento determinado. Unha vez máis, algúns mencionados e algúns puntos adicionais:

  • Use diferentes contrasinais para distintos sitios.
  • Os contrasinais deben ser complexos e pode aumentar a complexidade aumentando a lonxitude do contrasinal.
  • Non use datos persoais (que se poden descubrir) ao crear o contrasinal en si mesmo, consellos para iso, cuestións de seguridade para a súa recuperación.
  • Use a verificación en dous pasos cando sexa posible.
  • Atopa o mellor xeito de almacenar contrasinais con seguridade.
  • Teña coidado co phishing (comprobar enderezos do sitio web, cifrado) e spyware. Onde queira que solicite que introduza un contrasinal, comprobe se realmente o introduce no sitio correcto. Mantén o ordenador libre de malware.
  • Se é posible, non use os seus contrasinais nos ordenadores doutras persoas (se é necesario, faino no modo "incógnito" do navegador e, aínda mellor, escriba desde o teclado en pantalla), nas redes wifi abertas públicas, especialmente se non hai cifrado https ao conectarse ao sitio. .
  • Quizais non debería almacenar os contrasinais máis importantes nun ordenador ou en liña que sexan realmente valiosos.

Algo así. Creo que conseguín elevar o grao de paranoia. Entendo que gran parte do que se describe parece incómodo, pensamentos como "ben, isto me esquivará", pero a única escusa para a preguiza ao seguir normas simples de seguridade ao almacenar información confidencial só pode ser a falta da súa importancia e a súa prontitude para que pasará a ser propiedade de terceiros.

Pin
Send
Share
Send

Publicacións Populares

https://eifeg.com 2024