תוכן עניינים:
ייעצנו לך שוב ושוב שהדרך הבטוחה היחידה לאחסן ולהשתמש בסיסמאות היא להסתמך על מנהל סיסמאות, אך חלקכם לא מקשיבים. בסקר PCMag בנושא סיסמאות, רק 24 אחוזים מכם דיווחו על שימוש במנהל סיסמאות. מה שארכם עושים? משתמש בסיסמאות פשוטות כמו סיסמה או 12345678? לשנן סיסמה מורכבת אחת ולהשתמש בה בכל מקום? שמע, דאגה לאבטחת סיסמאות אינה עניין של מה בכך, אך בהתחשב בהיקף העצום של הסיכון - כפי שמודגם בפרצה מספר 1 של האוסף האחרון, שחשף 773 מיליון כתובות דוא"ל פרוצות - אתה צריך לעשות כל מה שאתה יכול כדי לשמור על הסיסמאות שלך. בטוח.
אפילו אם אתה משתמש במנהל הסיסמאות הטוב ביותר, הוא לא מבטיח את בטיחות חשבונותיך - לא אם אתה משתמש במנהל הסיסמאות כדי לזכור את אותן סיסמאות ישנות ועייפות. אתה צריך לרדת בתעלות ולחלוק את הסיסמאות הרעות עבור חדשות וחזקות יותר.
סקר זה שהוזכר לעיל גילה כי 35 אחוז מקוראי PCMag לעולם לא משנים את הסיסמאות שלהם, אלא אם נאלצים לעשות זאת על ידי הפרה. באופן כללי, זה לא דבר רע. המכון הלאומי לתקנים וטכנולוגיה כבר לא ממליץ לשנות סיסמאות כל 90 יום. חברת NIST ממליצה כעת להשתמש בביטויים ארוכים כמו "סיכות-סוס-סדוק-מצרך" ולשנות אותם רק במידת הצורך. אבל אם אתה משתמש בסיסמאות נוראיות, "כשצריך" פירושו כרגע .
מה בדיוק עושה סיסמא גרועה? אנו נסתכל על כמה מהתכונות של סיסמאות איומות ואז ניתן לך כמה עצות כיצד לעשות סיסמאות בדרך הנכונה.
הישאר מחוץ למילון
כל כמה חודשים פורסם בחדשות חדשות כזו או אחרת רשימה של הסיסמאות הגרועות ביותר. אנו רואים הרבה אפשרויות קלות לסוג, כמו 123456 ו- 12345678 ו- Qwerty. קל עבורך? בטוח. אבל גם קל להאקרים לפצח. סיסמאות נפוצות אחרות (ועניות) מורכבות ממילים מילוניות פשוטות. ראינו בייסבול, קוף וכוכבי כוכבים ברשימת הסיסמאות הגרועות ביותר. גם אלה קל לפיצוח.
כמה אתרים מאובטחים ננעלים לאחר מספר מוגדר של ניסיונות סיסמא שגויים, אך רבים אינם עושים זאת. לאלה ללא נעילה של ניחוש רע, האקרים יכולים לחצות רשימה של כתובות דוא"ל עם רשימה של סיסמאות פופולריות ולהקים תהליך אוטומטי כדי להמשיך לנסות שילובים עד שהם ייכנסו.
אתר מאובטח כראוי לא שומר את הסיסמה שלך בשום מקום. במקום זאת, הוא מפעיל את הסיסמה באמצעות אלגוריתם hashing, סוג של הצפנה חד כיוונית. אותה קלט מייצרת תמיד את אותו פלט, אך אין דרך לחזור לסיסמה המקורית מה- hash שנוצר. אם הסיסמה שאתה מקליד נרתמת לאותו ערך שאוחסן, תקבל גישה. גם אם האקרים לוכדים את נתוני המשתמש באתר, הם לא מקבלים סיסמאות, אלא חפצים.
אולם האקרים חכמים יכולים לפצח סיסמאות חלשות גם כאשר הם חיפשו, אם הם יודעים באיזו פונקציית hashing השתמש האתר. הם מתחילים בהפעלת מילון ענק של סיסמאות נפוצות באמצעות פונקציית ה- hashing. לאחר מכן הם מחפשים את החיפזון שנוצר בנתונים שנלכדו. כל משחק הוא סיסמה מפוצצת. אתרים עם האבטחה הטובה ביותר משפרים את פונקציית ה- hash בטכניקה המכונה המלחה, מה שהופך את הפיצוח מסוג זה על השולחן לבלתי אפשרי, אך מדוע לקחת סיכון? פשוט תישאר מחוץ למילון.
תחשוב אחרת
חברה אמרה לי פעם את הסיסמה המושלמת שלה: 1qaz2wsx3edc4rfv. היא יכולה "להקליד" את זה פשוט על ידי החלקה של אצבע ארבע עמודות מלוכסנות במקלדת. זה היה כל כך מושלם, היא השתמשה בזה בכל מקום. וזו הייתה טעות גדולה.
כמעט לא עובר שבוע בלי חדשות על פריצה באיזו חברה או אתר אינטרנט, וחושף אלפי או מיליוני שמות משתמשים וסיסמאות. קורבנות חכמים משנים את הסיסמאות שלהם מייד. מי שמתעלם מהבעיה עשוי למצוא את עצמו נעול מחשבונותיו לאחר שהאקרים יאפסו את הסיסמה.
ההאקרים האלה יודעים שכל יותר מדי אנשים ממחזרים את הסיסמאות שלהם. ברגע שהם מוצאים צמד שם משתמש וסיסמא עובדים, הם מנסים את אותם תעודות באתרים אחרים. אתה אולי לא מודאג כל כך מאובדן הגישה לחשבון המועדון פינגווין שלך, אבל אם השתמשת באותו כניסה באתר הבנק שלך, יש לך בעיות גדולות.
זה מחמיר. אם מישהו אחר מקבל שליטה על חשבון הדוא"ל שלך, הוא יכול תחילה לנעול אותך על ידי שינוי הסיסמה. אז הם יכולים לפרוץ לחשבונות האחרים שלך על ידי שליחת קישור לאיפוס סיסמה לחשבון זה. מודאגת עדיין?
אל תהיה אישי
השימוש במידע אישי כבסיס לסיסמאות שלך מפתה נורא, אבל זה רעיון רע. רוב הסיכויים ששמו של הכלב שלך מופיע במילונים שהאקרים משתמשים בהם לתקיפות בכוח. אפשרויות אחרות, כגון ראשי תיבות ותאריך לידה של בן משפחה, ככל הנראה לא יפלו למתקפה של כוח סוער, אך אם מישהו רוצה לפרוץ את חשבונך באופן ספציפי, נתונים אישיים אלו יכולים לתדוף פיגוע ניחוש של ניסוי וטעייה.
אל תחשוב לרגע שהפרטים האישיים שלך הם פרטיים. ישנם עשרות אתרים שאנשים יכולים להשתמש בהם כדי למצוא פרטים על כל אחד: כתובת, תאריך לידה, מצב משפחתי ועוד. פרסומי המדיה החברתית שלך יכולים להוות מקור נוסף למידע אישי, במיוחד אם לא איבטחת את חשבונותיך כראוי. האקר נחוש (או שכנה חטטנית) יכול לנחש כל סיסמא שתבנה על סמך הנתונים שלך.
סגור את הדלת האחורית
אם אינך משתמש במנהל סיסמאות, בוודאי חווית ששכחת את הסיסמה לאתר. זה נפוץ מדי, וזו הסיבה שלמעשה כל דף כניסה כולל "שכחת את הסיסמה שלך?" קישור. אתרים מסוימים שולחים קישור לאיפוס לכתובת הדוא"ל שלך, בעוד שאחרים מאפשרים לך לאפס את הסיסמה לאחר תשובה לשאלות האבטחה שלך. וזה פותח דלת אחורית לכל מי שרוצה לפרוץ את חשבונך.
רוב האתרים מציעים אפשרויות תהומות לשאלות אבטחה. מה שם הנעורים של אמא שלך? איפה למדת בתיכון? מה הייתה העבודה הראשונה שלך? כאמור, חייך האישיים הם ספר פתוח לכל מי שיש לו כישורי חיפוש באינטרנט. במידת האפשר, התעלם מהשאלות המוגדרות מראש. צור שאלה משלך, עם תשובה ייחודית שתמיד תזכור, אך שאיש אחר לא יכול היה לנחש.
זה קשה יותר כאשר האתר לא מאפשר לך להגדיר שאלות משלך. במקרה כזה, הדבר הטוב ביותר הוא להשתמש בתשובה בלתי נשכחת שהיא שקר מוחלט. שמה של אמי הוא אובמה. למדתי לבית הספר ב"הילדים הקדושים קומוניסטיים ". בעבודתי הראשונה הייתי מאמר אריות. ישנו מרכיב של סיכון, מכיוון שאתה עלול לשכוח איזה שקר בחרת. הייתי מציע לאחסן את התשובות המוזרות הללו כהערות מאובטחות במנהל הסיסמאות שלך… אבל אם היית משתמש במנהל סיסמאות זה היה זוכר את הסיסמה עבורך.
מה לעשות עכשיו שאכפת לך
אני מקווה ששכנעתי אותך ששימוש בסיסמאות נפוצות הוא רעיון רקוב, כבניית סיסמאות ממידע אישי. ואפילו הסיסמה החזקה והאקראית הטובה ביותר הופכת לחבות אם אתה משתמש בה בכל מקום. אם אתה מוכן לנקוט בפעולה, הנה כמה נקודות התחלה:
- השתמש במנהל סיסמאות.
- עבור למנהל סיסמאות טוב יותר.
- זכור סיסמת אב מאובטחת בטירוף עבור מנהל הסיסמאות שלך.
- נצל גנרטור סיסמאות אקראי כדי לשדרג את הסיסמאות הישנות והרעות שלך.
- אתה יכול אפילו ליצור מחולל סיסמאות אקראי משלך ב- Excel.
- אפשר אימות דו-גורמי בכל מקום שזמין.
אם אתר מאובטח אינו דואג לאבטחה, אתה עדיין יכול לאבד את אישורי האתר להפרת נתונים, אך על ידי הפיכת כל הסיסמאות שלך לארוכות, חזקות וייחודיות, עשית את כל מה שאתה יכול כדי להגן על חשבונותיך המקוונים.
והיי! עכשיו כשאתה בתפקיד, מבחינה אבטחתית, שקול להוסיף רשת פרטית וירטואלית, או VPN. שימוש בסיסמאות חזקות לאתרים מאובטחים פירושו שאחרים לא יכולים לפרוץ לחשבונות שלך; הוספת VPN פירושה שאין סיכוי שמישהו יוכל ליירט את החיבור שלך לאתרים מאובטחים אלה.