Бул макалада коопсуз сырсөздү кантип түзүү керек, аны түзүүдө кандай принциптерди сактоо керек, сырсөздөрдү кантип сактоо керек жана зыяндуу колдонуучулардын маалымат жана каттоо эсептериңизге кирүү ыктымалдыгын минималдаштыруу.
Бул материал "Сырсөзүңүздү кантип бузса болот" деген макаланын уландысы жана сиз ал жерде берилген материал менен таанышкандыгыңыз же сырсөздөрдү бузуунун бардык негизги жолдорун билишиңизди билдирет.
Сырсөздөрдү түзүңүз
Бүгүнкү күндө, Интернет-каттоо эсебин каттоодо, паролду түзүүдө, сиз, адатта, сырсөздүн күчүнүн көрсөткүчүн көрөсүз. Дээрлик бардык жерде ал төмөнкү эки факторду баалоонун негизинде иштейт: сырсөздүн узактыгы; парольдо атайын белгилердин, чоң тамгалардын жана сандардын болушу.
Бул чындыгында парольдун атактуу күч менен хакерликке каршы турушунун маанилүү параметрлерине карабастан, тутумга ишенимдүү көрүнгөн пароль ар дайым эле боло бербейт. Мисалы, "Pa $$ w0rd" сыяктуу пароль (жана бул жерде атайын белгилер жана сандар бар) тез эле жарака кетиши мүмкүн - анткени (мурунку макалада айтылгандай) адамдар уникалдуу сырсөздөрдү сейрек жаратышат. (паролдордун 50% дан азы уникалдуу) жана көрсөтүлгөн опция, сыягы, кол салгандар үчүн ачыкка чыккан маалымат базаларында бар.
Кандай болуш керек Эң жакшы вариант - атайын белгилерди колдонуп, узак убакытка созулган сырсөздөрдү түзүп, пароль генераторлорун (Интернетте онлайн утилиталары катары, ошондой эле компьютерлердин көпчүлүк сырсөз башкаргычтарында бар) колдонуу. Көпчүлүк учурда, ушул белгилердин 10 же андан ашык сырсөзү боорсокту кызыктырбайт (б.а. анын программасы мындай опцияларды тандоого конфигурацияланбайт), анткени өткөрүлгөн убакыт акы төлөп бербейт. Жакында Google Chrome браузеринде орнотулган пароль генератору пайда болду.
Бул ыкмада, кемчилик, мындай сырсөздөрдү эстеп калуу кыйынга турат. Эгер паролду эсиңизде сактап калуу керек болсо, анда чоң тамгалардан жана атайын белгилерден турган 10 белгиден турган сырсөздү миңдеген же андан көп издегенде жарака кетишине негизделген (конкреттүү сандар жарактуу белгилер топтомуна жараша болот), убакыттар оңой, кичинекей латын тамгаларын камтыган 20 белгиден турган паролго караганда (боорсок бул жөнүндө билген күндө дагы).
Ошентип, 3-5 жөнөкөй англис тилиндеги сөздөрдөн турган паролду эстеп калуу оңой жана жарака кетиши мүмкүн. Ар бир сөздү баш тамга менен жазгандан кийин, биз варианттардын санын экинчи даражага көтөрөбүз. Эгерде бул англис тилинде жазылган 3-5 орусча сөздөр болсо (аттар жана даталар эмес, кокустук), сөздү тандоодо сөздүктөрдү колдонуунун татаал ыкмаларынын гипотетикалык мүмкүнчүлүгү да жок болот.
Сырсөздөрдү түзүүдө эч кандай туура мамиле жок: ар кандай ыкмалардын артыкчылыктары жана кемчиликтери бар (аны эстөө жөндөмү, ишенимдүүлүк жана башка параметрлер менен байланышкан), бирок негизги принциптер төмөнкүлөр:
- Сырсөз бир топ белгиден турушу керек. Бүгүнкү күндө эң көп кездешүүчү чектөө - 8 белгиден турат. Эгер сизге коопсуз пароль керек болсо, бул жетишсиз.
- Мүмкүн болсо, парольго атайын белгилер, чоң жана кичине тамгалар, сандар киргизилиши керек.
- Эч качан жеке маалыматты парольго киргизбеңиз, ал тургай "татаал" ыкмалар менен жазылат. Күнү, аты жана фамилиясы жок. Мисалы, азыркы Хулиан календарынын кайсы бир датасын чагылдырган паролду 0-жылдан баштап ушул күнгө чейин (2015-жылдын 18-июлу же 18072015 ж.б.) бир нече секундан саатка чейин созулат (ошондо дагы саат кечигип калгандыктан гана) айрым учурларда).
Сырсөзүңүздү сайтта канчалык деңгээлде бекем экендигин текшерип көрсөңүз болот (кээ бир сайттарда, айрыкча, https жок парольдорду киргизүү коопсуз иш эмес) //rumkin.com/tools/password/passchk.php. Эгерде сиз чыныгы сырсөзүңүздү текшергиңиз келбесе, анын күчтүүлүгү жөнүндө билүү үчүн, окшош кодду (бирдей сандагы жана бир эле белгинин топтомунан) киргизиңиз.
Белгилерди киргизүү учурунда, кызмат энтропияны эсептейт (шарттуу түрдө, энтропиянын варианттарынын саны 10 бит, опциялардын саны ондон экинчи күчкө чейин), берилген паролду жана ар кандай баалуулуктардын ишенимдүүлүгү жөнүндө маалымат берет. 60тан ашык энтропиясы бар сырсөздөр максаттуу тандоо учурунда да жарактан чыгышы мүмкүн эмес.
Бир эле сырсөздү ар башка каттоо эсептеринде колдонбоңуз
Эгер сизде чоң, татаал сырсөз болсо, бирок сиз аны каалаган жерде колдонсоңуз, ал автоматтык түрдө толугу менен ишенимсиз болуп калат. Хакерлер сиз ушундай сырсөздү колдонуп жаткан сайттардын бирине кирип, ага кире баштаганда, ал дароо эле башка популярдуу электрондук почта, оюн, социалдык кызматтарда жана автоматтык түрдө сыналгандыгын текшериңиз (автоматтык түрдө, атайын программаны колдонуп). онлайн банктар (мурунку макаланын аягында паролуңуздун мурунтан эле жайылып кеткендигин билүү жолдору келтирилген).
Ар бир эсеп үчүн уникалдуу сырсөз кыйын, ыңгайсыз, бирок эгерде бул эсептер сиз үчүн кандайдыр бир мааниге ээ болсо, зарыл. Сиз үчүн эч кандай мааниси жок кээ бир каттоолор үчүн (башкача айтканда, сиз аларды жоготконго даярсыз жана эч нерсеге кабатыр болбойсуз) жана жеке маалыматты камтыбасаңыз дагы, уникалдуу сырсөздөр менен толтура албайсыз.
Эки факторлуу аныктык
Күчтүү сырсөздөр дагы, эч ким сиздин эсебиңизге кире албайт деп кепилдик бербейт. Сырсөздү кандайдыр бир жол менен уурдап кетүү мүмкүн (фишинг, мисалы, эң көп таралган ыкма катары) же сизден алса болот.
Дээрлик бардык ири онлайн компаниялары, анын ичинде Google, Яндекс, Mail.ru, Facebook, ВКонтакте, Microsoft, Dropbox, LastPass, Steam жана башкалар салыштырмалуу жакында эле эсептерде эки фактордук (же эки баскычтуу) аныктыкты текшерүү мүмкүнчүлүгүн кошушту. Эгер коопсуздук сиз үчүн маанилүү болсо, мен аны күйгүзүп коюңуз.
Эки факторлуу тастыктоону киргизүү ар кандай кызматтар үчүн бир аз айырмаланат, бирок негизги принцип төмөнкүлөр:
- Белгисиз түзмөктөн каттоо эсебиңизге киргенде, туура паролду киргизгенден кийин, сизден кошумча текшерүүдөн өтүү талап кылынат.
- Текшерүү SMS-кодду, смартфондогу атайын тиркеме, алдын-ала даярдалган басылган коддор, электрондук почта билдирүүсү, аппараттык ачкычты колдонуу менен жүргүзүлөт (акыркы опция Google компаниясынан келген, бул компания жалпысынан эки фактордук аныктык жагынан лидер).
Ошентип, кол салган адам сиздин сырсөзүңүздү тапса дагы, түзмөктөрүңүзгө, телефонуңузга, электрондук почтаңызга кирбестен каттоо эсебиңизге кире албай калат.
Эгер эки факторлуу аныктыкты аныктоо кандайча иштээрин толук түшүнбөсөңүз, анда Интернетте ушул темадагы макалаларды же сайттардагы өз алдынча иш-аракеттердин сүрөттөмөлөрүн жана көрсөтмөлөрүн окуп чыгууну сунуш кылам (бул макалада деталдуу көрсөтмөлөрдү киргизе албайм).
Сырсөз сактоо
Ар бир сайт үчүн татаал уникалдуу сырсөздөр жакшы, бирок мен аларды кантип сактайм? Ушул сырсөздөрдүн бардыгын эстен чыгарбоо мүмкүн эмес. Сакталган сырсөздөрдү браузерде сактоо кооптуу иш болуп саналат: алар уруксатсыз кирүүдөн коргоп калбастан, тутум бузулуп калса жана синхрондоштурулбаса, жоголуп кетиши мүмкүн.
Эң жакшы чечим, сырдуу маалыматтарды шифрленген дүкөндө (оффлайнда жана онлайн режиминде) сакталуучу, бир гана башкы сыр сөздү колдонуп (эки факторлуу аныктыкты текшере аласыз), сырсөздөрдү башкаруучулар деп эсептелет. Бул программалардын көпчүлүгү, ошондой эле, паролду түзүү жана баалоо куралдары менен жабдылган.
Бир-эки жыл мурун мен мыкты парол менеджерлери жөнүндө өзүнчө макала жазгам (бул нерсени кайра жаздырыш керек, бирок сиз ал эмне экендиги жана макаладан кайсы программалар популярдуу экендиги жөнүндө түшүнүк алсаңыз болот). Кээ бирлери жөнөкөй оффлайн чечимдерди, мисалы KeePass же 1Password, бардык сырсөздөрдү сиздин түзмөгүңүздө сактайт, башкалар болсо шайкештештирүү мүмкүнчүлүктөрүн камсыз кылган функционалдык утилиталарды (LastPass, Dashlane) колдонушат.
Жалпыга белгилүү сырсөз менеджерлери аларды сактоонун эң коопсуз жана ишенимдүү жолу деп эсептешет. Бирок, кээ бир деталдарды карап чыгуу керек:
- Бардык сырсөздөргө жетүү үчүн бир гана башкы сырсөздү билүү керек.
- Онлайн сактагычты хакерлик кылган учурда (бир ай мурун, дүйнөдөгү эң популярдуу LastPass сырсөздү башкаруу кызматы бузулду), сиз бардык сырсөздөрүңүздү өзгөртүүгө туура келет.
Маанилүү сырсөздөрдү дагы кантип сактай алам? Бул жерде эки вариант бар:
- Сиз жана сиздин үй-бүлө мүчөлөрүңүз кире турган сейфте (көп колдонула турган сырсөздөргө ылайыктуу эмес).
- Оффлайн сырсөз базасы (мисалы, KeePass) узак мөөнөттүү сактоочу түзмөктө сакталат жана жоголгон учурда кайсыл жерде кайталанат.
Жогоруда айтылгандардын оптималдуу айкалышы, менимче, төмөнкү ыкма: эң маанилүү сырсөздөр (негизги электрондук почта, сиз башка эсептерди калыбына келтире аласыз, банк ж.б.), башта жана (же) кагазда коопсуз жерде сакталат. Сырсөздү башкаруучу программаларга анчалык деле маанилүү эмес жана көп учурда колдонулуучу нерселер жүктөлүшү керек.
Кошумча маалымат
Сырсөздөр темасындагы эки макаланын айкалышы айрымдарыңызга коопсуздук жөнүндө ойлонбогон аспектилерге көңүл бурууга жардам берди деп үмүттөнөм. Албетте, мен мүмкүн болгон варианттардын бардыгын эске алган жокмун, бирок жөнөкөй логика жана принциптерди бир аз түшүнүү кандайдыр бир учурда эмне кылып жатканыңызды канчалык деңгээлде коопсуз деп аныктоого жардам берет. Дагы бир жолу, айрымдары жана бир нече кошумча ойлор:
- Ар кандай сайттар үчүн ар кандай сырсөздөрдү колдонуңуз.
- Сырсөздөр татаал болушу керек, сырсөздүн узундугун көбөйтүп, татаалдыгын көбөйтсө болот.
- Сырсөздү түзүүдө жеке маалыматтарды колдонбоңуз (аны табууга болот), ал үчүн кеңештер, калыбына келтирүү үчүн коопсуздук суроолору.
- Мүмкүн болсо, 2 кадамдык текшерүүнү колдонуңуз.
- Сырсөздөрдү коопсуз сактоонун мыкты ыкмасын табыңыз.
- Фишингден сак болуңуз (вебсайттын даректерин, шифрлөөнү текшериңиз) жана шпион программалары. Сырсөздү кайсы жерге киргизсеңиз да, аны туура сайтка киргизгениңизди текшериңиз. Компьютериңизди зыяндуу программалардан сактаңыз.
- Мүмкүн болсо, сырсөздөрүңүздү башкалардын компьютерлеринде колдонбоңуз (зарыл болсо, аны браузердин “жашыруун” режиминде жасаңыз, экрандын клавиатурасынан жакшыраак териңиз), коомдук Wi-Fi тармактарында, айрыкча сайтка туташканда https шифрлөө жок болсо .
- Балким, компьютерде же интернетте чындыгында баалуу болгон эң маанилүү сырсөздөрдү сактабашыңыз керек.
Ушул сыяктуу нерсе. Мен паранойанын даражасын көтөрүп алдым деп ойлойм. Сыпатталган нерселердин көпчүлүгү ыңгайсыз сезилерин түшүнөм, "ошондой болсо, ал менден ашып кетет" деген сыяктуу ойлор пайда болушу мүмкүн, бирок купуя маалыматты сактоодо жөнөкөй коопсуздук эрежелерин сактоодо жалкоолуктун бирден-бир себеби анын маанисинин жоктугу жана сиздин даярдыгыңыз болушу мүмкүн. ал үчүнчү жактардын менчиги болуп калат.
