Password security

דער אַרטיקל וועט דיסקוטירן ווי צו שאַפֿן אַ זיכער שפּריכוואָרט, וואָס פּרינסאַפּאַלז זאָל זיין נאכגעגאנגען ווען זיי מאַכן, ווי צו קראָם פּאַסווערדז און מינאַמייז די געלעגנהייַט פון ינטרודערז צוטריט דיין אינפֿאָרמאַציע און אַקאַונץ.

דעם מאַטעריאַל איז אַ פאָרשטעלונג פון דעם אַרטיקל "ווי דיין פּאַראָל קענען זיין כאַקט" און ימפּלייז אַז איר זענט באַקאַנט מיט דעם מאַטעריאַל דערלאנגט דאָרט, און אָן אַז, איר וויסן אַלע די גרונט וועגן וואָס פּאַסווערדז קענען זיין קאַמפּראַמייזד.

שאַפֿן פּאַסווערדז

הייַנט, ווען רעדזשיסטערינג קיין אינטערנעט חשבון, שאַפֿן אַ פּאַראָל, איר יוזשאַוואַלי זען די פּאַראָל שטאַרקייַט גראדן. כּמעט אומעטום עס אַרבעט אויף די יקער פון אַן אַסעסמאַנט פון די פאלגענדע צוויי סיבות: די לענג פון די פּאַראָל; די בייַזייַן פון ספּעציעל אותיות, הויפּט אותיות און נומערן אין די פּאַראָל.

טראָץ דעם פאַקט אַז דאָס איז טאַקע וויכטיק פּאַראַמעטערס פון פּאַראָל קעגנשטעל צו קראַקינג דורך ברוט קראַפט, אַ פּאַראָל וואָס מיינט צו זיין שטאַרק איז ניט שטענדיק דעם פאַל. פֿאַר בייַשפּיל, אַ פּאַראָל ווי "פּאַ $$ וו0rd" (און דאָ עס זענען ספּעציעל אותיות און נומערן) איז מסתּמא צו זיין קראַקט זייער געשווינד - רעכט צו דעם פאַקט אַז (ווי דיסקרייבד אין דעם פריערדיקן אַרטיקל) מענטשן ראַרעלי שאַפֿן יינציק פּאַסווערדז (ווייניקער ווי 50% פון פּאַסווערדז זענען יינציק) און דעם אָפּציע איז מסתּמא שוין שוין עקסיסטירט אין די ליקט דאַטאַבייסיז אַז ינטרודערז האָבן.

ווי צו זיין? דער בעסטער אָפּציע איז צו נוצן פּאַראָל גענעראַטאָרס (בנימצא אין דער אינטערנעץ אין דער פאָרעם פון אָנליין יוטילאַטיז, ווי געזונט ווי אין רובֿ קאָמפּיוטער פּאַראָל מאַנאַדזשערז), שאַפֿן לאַנג טראַפ פּאַסיז מיט ספּעציעל אותיות. אין רובֿ פאלן, אַ פּאַראָל פון 10 אָדער מער אַזאַ אותיות וועט נישט זיין אינטערעסירט צו די העקער (דעריבער, זייַן ווייכווארג וועט נישט זיין קאַנפיגיערד צו אויסקלייַבן אַזאַ אָפּציעס) ווייַל פון די צייַט אַז קאָס טאָן ניט צאָלן אַוועק. לעצטנס, אַ געבויט-אין פּאַראָל גענעראַטאָר איז ארויס אין די Google קראָום בלעטערער.

אין דעם אופֿן, דער הויפּט שטערונג איז אַז אַזאַ פּאַסווערדז זענען שווער צו געדענקען. אויב עס איז אַ נויט צו האַלטן אַ פּאַראָל אין דיין קאָפּ, עס איז אן אנדער אָפּציע, באזירט אויף אַ קאַפּ פון אותיות פון 10 אותיות מיט הויפּט אותיות און ספעציעלע אותיות, קראַקט דורך אַ ברוטע קראַפט פון טויזנטער אָדער מער (ספּעציפיש נומערן אָפענגען אויף די ערלויבט כאַראַקטער שטעלן) ווי אַ שפּריכוואָרט פון 20 אותיות, וואָס בלויז ליטוויש אותיות (אַפֿילו אויב די אַטאַקער ווייסט וועגן דעם).

אזוי, אַ פּאַראָל קאַנסיסטינג פון 3-5 פּשוט טראַפ - ענגליש ווערטער וועט זיין גרינג צו געדענקען און כּמעט אוממעגלעך צו פּלאַצן. און יעדער געשריבן מיט אַ קאַפּיטאַל בריוו, מיר כאַפּן די נומער פון אָפּציעס צו די צווייט גראַד. אויב דאָס איז 3-5 רוסיש ווערטער (ווידער, טראַפ, אָבער ניט נעמען און דאַטעס) געשריבן אין די ענגליש אויסלייג, די כייפּאַטעטיקאַל מעגלעכקייט פון סאַפיסטיקייטאַד מעטהאָדס פון ניצן די ווערטערבוך פֿאַר סעלינג אַ פּאַראָל איז אויך אַוועקגענומען.

עס איז באשטימט ניט ריכטיק צו דערגרייכן פּאַסווערדז: עס זענען אַדוואַנטידזשיז און דיסאַדוואַנטידזשיז אין פארשיידענע וועגן (פארבונדן צו די פיייקייַט צו געדענקען עס, רילייאַבילאַטי און אנדערע פּאַראַמעטערס), אָבער די גרונט פּרינציפּן זענען ווי גייט:

  • דער פּאַראָל מוזן צונויפשטעלנ זיך פון אַ באַטייַטיק נומער פון אותיות. די מערסט פּראָסט ריסטריקשאַן הייַנט איז 8 אותיות. און דעם איז נישט גענוג אויב איר דאַרפֿן אַ זיכער פּאַראָל.
  • אויב מעגלעך, אַרייַן ספּעציעלע אותיות, אויבערשטער און נידעריקער פאַל בריוו, נומערן אין די פּאַראָל.
  • קיינמאָל אַרייַננעמען פּערזענלעך דאַטן אין דיין פּאַראָל, אַפֿילו אויב עס איז געשריבן אין אַ פּאָנעם קלוג וועג. קיין דאַטעס, ערשטער נעמען און נאָמען. למשל, ברייקינג אַ פּאַראָל רעפּריזענינג קיין טאָג פון די מאָדערן דזשוליאַן קאַלענדאַר פון 0-טה יאָר צו די פאָרשטעלן טאָג (ווי 07/18/2015 אָדער 18072015, אאז"וו) וועט נעמען פון סעקונדעס צו שעה (און די זייגער וועט זיין באקומען בלויז ווייַל פון דילייז צווישן פרווון פֿאַר עטלעכע פאלן).

איר קענען קאָנטראָלירן ווי שטאַרק דיין פּאַראָל איז אויף דעם פּלאַץ (כאָטש קומט פּאַסווערדז אויף עטלעכע זייטלעך, ספּעציעל אָן הטטפּס, איז ניט די זיכערע פיר) //rumkin.com/tools/password/passchk.php. אויב איר טאָן ניט ווילן צו קאָנטראָלירן דיין פאַקטיש פּאַראָל, אַרייַן אַ ענלעך איינער (פון די זעלבע נומער פון אותיות און מיט די זעלבע שטעלן פון אותיות) צו באַקומען אַ געדאַנק פון זייַן רילייאַבילאַטי.

אין דעם קורס פון ינקריפּט אותיות, די דינסט קאַלקיאַלייץ די ענטראָפּי (קאַנדאַקטיוואַלי, די נומער פון אָפּציעס, פֿאַר ענטראָפּי איז 10 ביטן, די נומער פון אָפּציעס איז 2 צו די צענט מאַכט) פֿאַר אַ געגעבן פּאַראָל און גיט אינפֿאָרמאַציע אויף די רילייאַבילאַטי פון פאַרשידן וואַלועס. פּאַסווערדז מיט אַן ענטראָפּי פון מער ווי 60 זענען כּמעט אוממעגלעך צו פּלאַצן אַפֿילו בעשאַס טאַרגעטעד סעלעקציע.

דו זאלסט נישט נוצן די זעלבע פּאַסווערדז פֿאַר פאַרשידענע אַקאַונץ.

אויב איר האָבן אַ גרויס קאָמפּליצירט פּאַראָל, אָבער איר נוצן עס ווו מעגלעך, עס איז אויטאָמאַטיש ווערן גאָר אַנרילייאַבאַל. ווי באַלד ווי כאַקערז ברעכן אין קיין פון די זייטלעך ווו איר נוצן אַזאַ אַ פּאַראָל און איר באַקומען צוטריט צו עס, איר קענען זיין זיכער אַז עס וועט זיין מיד טעסטעד (אויטאָמאַטיש, ניצן ספּעציעל ווייכווארג) אויף אַלע אנדערע פאָלקס email, גאַמינג, געזעלשאַפטלעך באַדינונגען, אָנליין באַנקס (וועגן צו זען אויב דיין פּאַראָל איז שוין ליקט שוין ליסטעד אין די סוף פון די פריערדיקע אַרטיקל).

א יינציק פּאַראָל פֿאַר יעדער חשבון איז שווער, עס איז ומבאַקוועם, אָבער עס איז נייטיק אויב די אַקאַונץ זענען פון איר וויכטיק. כאָטש, פֿאַר עטלעכע רעדזשיסטריישאַנז וואָס האָבן קיין ווערט פֿאַר איר (אַז איז, איר זענט גרייט צו פאַרלירן זיי און וועט נישט זאָרג) און טאָן ניט אַנטהאַלטן פּערזענלעך אינפֿאָרמאַציע, איר קען נישט שטרענג זיך מיט יינציק פּאַסווערדז.

צוויי-פאַקטאָר אָטענטאַקיישאַן

אפילו שטאַרק פּאַסווערדז טאָן ניט גאַראַנטירן אַז קיין איינער קענען אַרייַן דיין חשבון. איר קענען גאַנווענען אַ פּאַראָל אין איין וועג אָדער אנדערן (פישינג, פֿאַר בייַשפּיל, ווי די מערסט אָפט אָפּציע) אָדער באַקומען עס פון איר.

כּמעט אַלע ערנסט אָנליין קאָמפּאַניעס אַרייַנגערעכנט Google, יאַנדעקס, Mail.ru, פאַסעבאָאָק, ווקאָנטאַקטע, מייקראָסאָפֿט, דראָפּבאָקס, לאַסטפּאַסס, פּאַרע און אנדערע האָבן לעצטנס צוגעגעבן די פיייקייַט צו געבן צוויי-פאַסטער (אָדער צוויי-שריט) אָטענטאַקיישאַן אין זייער אַקאַונץ. און, אויב זיכערקייַט איז וויכטיק צו איר, איך העכסט רעקאָמענדירן זייַן ינקלוזשאַן.

די ימפּלאַמענטיישאַן פון צוויי-פאַקטאָר אָטענטאַקיישאַן איז אַ ביסל אַנדערש פֿאַר פאַרשידענע באַדינונגען, אָבער די גרונט פּרינציפּ איז ווי גייט:

  1. ווען איר אַרייַן די חשבון פון אַן אומבאַקאַנט מיטל, נאָך אַרייַן די ריכטיק שפּריכוואָרט, איר זענט פארלאנגט צו פאָרזעצן נאָך טעסטינג.
  2. די וועראַפאַקיישאַן קומט מיט די הילף פון אַ SMS קאָד, אַ ספּעציעל אַפּלאַקיישאַן אויף אַ סמאַרטפאָנע, דורך אַ פריערדיקן צוגעגרייט געדרוקט קאָודז, אַ E- פּאָסט אָנזאָג, אַ ייַזנוואַרג שליסל (די לעצטע אָפּציע איז געווען בייַ Google, דאָס איז בכלל דער בעסטער אין צוויי-פאַקטאָר אָטענטאַקיישאַן).

אזוי, אַפֿילו אויב דער אַטאַקער געלערנט דיין פּאַראָל, ער קען נישט אַרייַנמישנ זיך אין דיין חשבון אָן צוטריט צו דיין דעוויסעס, טעלעפאָן אָדער E- פּאָסט.

אויב איר טאָן ניט גאָר פֿאַרשטיין ווי צוויי-פאַקטאָר אָטענטאַקיישאַן מעשים, איך רעקאָמענדירן לייענען אַרטיקלען אויף די אינטערנעט צו דיסקוטירן דעם טעמע אָדער דיסקריפּשאַנז און גיידליינז פֿאַר קאַמף אויף די זייטלעך ווו עס איז ימפּלאַמענאַד (איך קען נישט אַרייַננעמען דעטאַל ינסטראַקשאַנז אין דעם אַרטיקל).

Password storage

שווער יינציק פּאַסווערדז פֿאַר יעדער פּלאַץ - גרויס, אָבער ווי צו קראָם זיי? עס איז אַנלייקלי אַז אַלע די פּאַסווערדז קענען זיין געהאלטן אין גייַסט. סטאָרינג שפּאָרן פּאַסווערדז אין דעם בלעטערער איז אַ ריזיקירן אָנפירונג: זיי ניט בלויז ווערן מער שפּירעוודיק צו אַנאָטערייזד צוטריט, אָבער קענען נאָר פאַרפאַלן אין די געשעעניש פון אַ סיסטעם קראַך און ווען סינגקראַנאַזיישאַן איז פאַרקריפּלט.

דער בעסטער לייזונג איז בארעכטיגט צו זיין פּאַראָל מאַנאַדזשערז, בכלל רעפּריזענטינג מגילה אַז סטאָרד אַלע דיין סוד דאַטע אין אַ ינקריפּטיד זיכער ריפּאַזאַטאָרי (ביידע אָפפלינע און אָנליין), וואָס איז אַקסעסט מיט איין בעל פּאַראָל (איר קענען אויך געבן צוויי-פאַקטאָר אָטענטאַקיישאַן). אויך, רובֿ פון די מגילה זענען יקוויפּט מיט מכשירים פֿאַר דזשענערייטינג און אַסעסינג די רילייאַבילאַטי פון פּאַסווערדז.

א פּאָר פון יאָר צוריק, איך געשריבן אַ באַזונדער אַרטיקל וועגן דער בעסטער פּאַראָל מאַנאַגערס (עס ס 'ווערט ריפּיטינג, אָבער איר קענען באַקומען אַ געדאַנק פון וואָס עס איז און וואָס מגילה זענען פאָלקס פון דעם אַרטיקל). עטלעכע בעסער אָפפלינע אָפפלינע סאַלושאַנז, ווי קעעפּאַסס אָדער 1 פּאַסוואָרד, וואָס סטאָרז אַלע די פּאַסווערדז אויף דיין מיטל, אנדערע - מער פאַנגקשאַנאַל יוטילאַטיז וואָס אויך פאָרשטעלן סינגקראַנאַזיישאַן קייפּאַבילאַטיז (לאַסטפּאַסס, דאַשלאַנע).

געזונט-באקאנט פּאַראָל מאַנאַדזשערז זענען בכלל גערעכנט ווי אַ זייער זיכער און פאַרלאָזלעך וועג צו קראָם זיי. אָבער, עס איז ווערט באַטראַכט עטלעכע פרטים:

  • צו צוטריט אַלע דיין פּאַסווערדז איר דאַרפֿן צו וויסן בלויז איין בעל פּאַראָל.
  • אין דעם פאַל פון אָנליין סטאָרידזש כאַקינג (ממש אַ חודש צוריק, די וועלט 'ס מערסט פאָלקס פּאַראָל פאַרוואַלטונג סערוויס, לאַסטפּאַסס, איז כאַקעד), איר וועט האָבן צו טוישן אַלע דיין פּאַסווערדז.

ווי אַנדערש קענען איר ראַטעווען דיין וויכטיק פּאַסווערדז? דאָ זענען אַ פּאָר פון אָפּציעס:

  • אויף פּאַפּיר אין אַ זיכער, צוטריט צו וואָס איר און דיין משפּחה מיטגלידער וועט האָבן (נישט פּאַסיק פֿאַר פּאַסווערדז וואָס איר אָפט דאַרפֿן צו נוצן).
  • אָפפלינע פּאַראָל דאַטאַבאַסע (פֿאַר בייַשפּיל, קעעפּאַסס) סטאָרד אויף אַ דוראַבאַל סטאָרידזש מיטל און דופּליקייטיד ערגעץ אין פאַל פון אָנווער.

אין מיין מיינונג, דער בעסטער קאָמבינאַציע פון ​​אַלץ דיסקרייבד אויבן איז די פאלגענדע צוגאַנג: די מערסט וויכטיק פּאַסווערדז (די הויפּט E- פּאָסט, מיט וואָס איר קענען צוריקקריגן אנדערע אַקאַונץ, באַנק, אאז"ו ו) זענען סטאָרד אין די קאָפּ און (אָדער) אויף פּאַפּיר אין אַ זיכער פּלאַץ. ווייניקער וויכטיק און, אין דער זעלביקער צייַט, אָפט געניצט אָנעס זאָל זיין אַסיינד צו פּאַראָל מאַנאַדזשערז.

נאָך אינפֿאָרמאַציע

איך האָפֿן די קאָמבינאַציע פון ​​צוויי אַרטיקלען אויף פּאַסווערדז צו עטלעכע פון ​​איר געהאָלפֿן צו ציען ופמערקזאַמקייַט צו עטלעכע אַספּעקץ פון זיכערהייַט אַז איר האָט נישט טראַכטן וועגן. פון קורס, איך טאָן נישט נעמען אין חשבון אַלע די מעגלעך אָפּציעס, אָבער פּשוט לאָגיק און עטלעכע פארשטאנד פון די פּרינציפּן וועט העלפן זיך צו באַשליסן ווי זיכער וואָס איר טאָן אין אַ באַזונדער מאָמענט. אַמאָל ווידער, עטלעכע דערמאנט און אַ ביסל נאָך ווייזט:

  • ניצן פאַרשידענע פּאַסווערדז פֿאַר פאַרשידענע זייטלעך.
  • פּאַסווערדז זאָל זיין קאָמפּליצירט, די מערסט שווער איז צו פאַרגרעסערן די קאַמפּלעקסיטי דורך ינקריסינג די פּאַראָל לענג.
  • דו זאלסט נישט נוצן פּערזענלעך דאַטן (וואָס איר קענען געפֿינען אויס) ווען שאפן דעם פּאַראָל זיך, זייַן הינץ, פּרובירן פראגעס פֿאַר אָפּזוך.
  • ניצן צוויי-שריט אָטענטאַקיישאַן ווו מעגלעך.
  • געפינען די בעסטער וועג צו האַלטן דיין פּאַסווערדז זיכער.
  • זיין אָפּגעהיט פון פישינג (קאָנטראָלירן די אַדרעסעס פון זייטלעך, די בייַזייַן פון ענקריפּשאַן) און ספּיוואַרע. וואוהין זיי זענען געבעטן צו אַרייַן אַ פּאַראָל, קאָנטראָלירן צי איר טאַקע קומט עס אויף די רעכט פּלאַץ. פאַרזיכערן אַז עס איז קיין מאַלוואַרע אויף דעם קאָמפּיוטער.
  • אויב מעגלעך, טאָן ניט נוצן דיין פּאַסווערדז אויף אנדערע קאָמפּיוטערס (אויב נייטיק, טאָן עס אין די ינאַגאָגניטאָ מאָדע, אָדער בעסער, נוצן די קלאַוויאַטור אויף-פאַרשטעלן), אויף די עפענען ווי-פי נעטוואָרקס, ספּעציעל אויב איר טאָן ניט האָבן הטטפּס ענקריפּשאַן ווען קאַנעקטינג צו די פּלאַץ .
  • אפשר איר זאָל נישט קראָם די מערסט וויכטיק, באמת ווערטפול, פּאַסווערדז אויף אַ קאָמפּיוטער אָדער אָנליין.

עפּעס ווי דאָס. איך טראַכטן איך געראטן צו כאַפּן די גראַד פון פּאַראַנאָוז. איך פֿאַרשטיין אַז פיל פון די אויבן מיינט ומבאַקוועם, געדאנקען ווי "געזונט, עס וועט בייפּאַס מיר" קען אויפשטיין, אָבער דער בלויז אַנטשולדיקן פֿאַר זייַענדיק פויל ווען ווייַטערדיק פּשוט זיכערקייַט כּללים פֿאַר סטאָרינג קאַנפאַדענשאַל אינפֿאָרמאַציע קענען בלויז זיין פעלן אַז עס וועט זיין די פאַרמאָג פון דריט פּאַרטיעס.