Twoje hasła są straszne i nadszedł czas, aby coś z tym zrobić
Nowy rok jest już nad nami, a miliony z nas wciąż używają absolutnie okropnych haseł. To nie musi tak być. Będziesz w tym roku rokiem doskonałych haseł, a my pokażemy ci jak.
Jak wiesz, że moje hasła są okropne?
Czy wiemy, że osobiście masz straszne hasła? Nie. Możesz być jednym z niewielu ludzi, którzy rozumieją znaczenie dobrej higieny haseł i faktycznie wdrażają system, aby osiągnąć ten cel (dobry dla ciebie). Czy wiemy, że ogólna populacja ludzi używa w sumie okropnych haseł? Tak, tak, robimy.
Skąd to wiemy? Ponieważ istnieją firmy, które zbierają wszystkie zrzuty haseł od wszystkich naruszeń danych, które (raczej niestety) występują każdego roku i analizują hasła. Te zrzuty haseł zawierają zwykle od setek tysięcy do milionów haseł i naprawdę łatwo jest uzyskać ogólny obraz haseł używanych przez użytkowników (i jak poważnie, czy nie, biorą zabezpieczenia hasłem).
Jedna konkretna firma, SplashData (twórcy osobistego menedżera haseł SplashData i systemu zarządzania hasłami w przedsiębiorstwie TeamID), opracowuje i publikuje listy najpopularniejszych haseł używanych od 2011 roku. Oto listy z 2011, 2012, 2013, 2014 , i 2015. Mimo że możesz sam przejrzeć wszystkie listy, możemy skorzystać z możliwości umieszczenia pierwszej dziesiątki z każdego roku obok siebie:
Zgadza się: najpopularniejszymi hasłami z ostatnich pięciu lat są "hasło" i "123456". Żadne z wpisów na tej liście nie są równe próbowanie przy dobrych hasłach są po prostu czystym lenistwem. Co gorsza, z biegiem czasu zmienia się bardzo niewiele. (Chociaż interesujące jest to, że smoki wyprzedziły małpy w ciągu pięciu lat).
Biorąc pod uwagę, jak wiele poważnych naruszeń danych nastąpiło od 2011 r., Można by pomyśleć, że co najmniej marginalny pełzanie w kierunku lepszych haseł. Ale wyraźnie miliony ludzi wciąż używa haseł tak trywialnych, że nie trzeba nawet używać zaawansowanych narzędzi do ich łamania; możesz ich po prostu odgadnąć, jakbyś był zbyt sprytnym hackerem w źle napisanym telewizyjnym programie z lat 90.
Być może patrzysz na listy i klepiesz się po plecach, ponieważ nie używasz tak absurdalnie prostych haseł, ale czy twoje hasła są naprawdę lepsze? Przyjrzyjmy się, co stanowi dobre hasło, zanim ktokolwiek zacznie gratulować sobie zbyt serdecznie.
Co stanowi dobre hasło?
Zasady dotyczące dobrej higieny haseł nie są skomplikowane i nie zmieniają się z upływem czasu. Niemniej jednak bardzo niewielu ludzi faktycznie wiernie ich przestrzega. Oto, co tworzy dobre hasło:
Długość. Dobre hasła są długie. Zasadą jest, że im dłuższe jest hasło, tym trudniej jest je złamać za pomocą metody brute force i słownikowej (a na pewno trudniej zgadnąć). Zawsze należy dążyć do przekroczenia minimalnej długości hasła. Jeśli witryna wymaga hasła składającego się z co najmniej sześciu znaków, przedłuż ją.
Złożoność. Zasadniczo powinieneś unikać prostych słów. Unikaj słów słowników, nazw miejsc i odpowiednich rzeczowników. Twoje drugie imię, imię psa, nazwa stanu, popularny muzyk to okropne składniki haseł, ponieważ prawdopodobnie są już w tabelach i będą używane pliki crackerów. Jeśli ty robić używaj w haśle słów takich jak "pies", "dom" lub "niebieski", powinieneś użyć przynajmniej czterech z nich w tym samym haśle, a także w sposób, który zmniejsza szanse na brutalną atak, np. "MyDog $ House! S Blue ".
Wyjątkowość. To jest wielki i ten, o którym większość ludzi się potknęła. Ważniejsze niż posiadanie dobrego hasła jest posiadanie inne hasło dla każdej odwiedzanej witryny. Możesz mieć najlepsze hasło na świecie, hasło tak fantastyczne, że jego złamanie zajmie całą dekadę komputerowi, ale jeśli cały system firmy zostanie zaatakowany i hakerzy go odkryją, oni o tym wiedzą i mają dostęp do dowolnego konta używasz go.
Nie możemy wystarczająco podkreślić tej części. Jeśli używasz tego samego hasła w wielu witrynach i jeden z tych stron jest zagrożona, a ne'er-do-well może się zalogować każdy tych stron jak ty. Jeśli używasz tego samego hasła w wielu witrynach i to hasło jest również hasłem, którego używasz dla swojego adresu e-mail, jesteś w świecie cierpienia. Możesz nie tylko (i najprawdopodobniej będzie) naruszyć twoją osobistą pocztę e-mail, ale napastnik będzie mógł zresetować hasło na każde twoje konto. W tym momencie prawie dałeś napastnikom przysłowiowe klucze do twojego domu.
Teraz prawdopodobnie wyśmiewasz pomysł, że możesz nadążyć za nawet podstawowymi wymaganiami, które opisaliśmy powyżej. Długie, złożone i niepowtarzalne hasła dla każdy odwiedzana witryna? Ale jest tak wiele stron! Jak mógłbyś uporządkować 100 różnych haseł? To prowadzi nas do następnego kroku w poprawie higieny haseł: za pomocą menedżera haseł.
Potrzebujesz Menedżera haseł
Dawno, dawno temu, mogłeś mieć kilka haseł do żonglowania w swoim mózgu. Śledziłeś swój komputer logowania w domu i pracy, być może Amazon i eBay podczas wczesnego robienia zakupów online i oczywiście twój login do banku. Mając mniej niż garść haseł, aby zapamiętać, dość łatwo jest zapamiętać niektóre silne.
Te dni jednak już dawno minęły. Rozprzestrzenianie się usług online, począwszy od płacenia rachunków, przez zakupy, po rejestrację produktów i aktualizacje oprogramowania, sprawiło, że nawet przypadkowi użytkownicy mają dziesiątki dziesiątek loginów i haseł, aby trzymać się prosto. W niektórych przypadkach nawet liczby w setkach (mam obecnie ponad 300 loginów / haseł w mojej osobistej kolekcji). Nie ma mowy, aby ktokolwiek mógł śledzić setki unikalnych haseł. Heck, znam kilka osób, które mają tylko parę, i od czasu do czasu je zapominają. ("Zobaczmy, czy to było małpa!
lub monkey1
? A może był kapitalny M w małpy? Ugh, zresetuję to jeszcze raz. ")
W dzisiejszych czasach dobry menedżer haseł jest niezbędny. Menedżerowie haseł wykonują krótką pracę nad wszystkimi problemami, które nękają nowoczesne hasła. Korzystanie z menedżera haseł, takiego jak LastPass, zapewnia łatwe tworzenie, używanie i przywoływanie długich, silnych i unikatowych haseł każdy usługa, z której korzystasz. W rzeczywistości dobry menedżer haseł będzie działał na twoim komputerze i telefonie i automatycznie zaloguje cię do wszystkiego bez podnoszenia palca - nigdy więcej nie będziesz musiał wpisywać hasła. To wygodne i bezpieczne.
Biorąc pod uwagę liczbę logowań, które wszyscy musimy śledzić, częstotliwość brokerów danych i ilość problemów, które powstają w wyniku ponownego użycia tych samych haseł (szczególnie w przypadku wrażliwych witryn), nie ma po prostu usprawiedliwienia dla nie używania menedżera haseł do generowanie i przechowywanie bezpiecznych haseł. Jeśli nie znasz pojęcia menedżerów haseł lub masz obawy dotyczące korzystania z całkowicie opartych na chmurze systemów, zapoznaj się z poradnikiem Dlaczego warto używać menedżera haseł i jak zacząć.
Potrzebujesz uwierzytelnienia dwuetapowego
Zainstalowałeś więc menedżera haseł i wygenerowałeś unikatowe, złożone hasła do każdej witryny, z której korzystasz. Jesteś gwiazdą rocka. Ale jest ostatni element zagadki bezpieczeństwa hasła, który należy uczynić priorytetem w nowym roku: uwierzytelnianie dwuskładnikowe.
Uwierzytelnianie dwuskładnikowe jest proste: oznacza jedynie, że do logowania do witryny potrzebne są dwa różne rodzaje uwierzytelniania. Konto z hasłem ma jednoetapowe uwierzytelnienie: do uzyskania dostępu potrzebne jest jedynie hasło. Konto z uwierzytelnianiem dwuetapowym wymaga dwóch rzeczy: hasła, i wprowadź 6-cyfrowy kod PIN, który firma wysyła do Twojego telefonu. Utrudnia to ludziom włamywanie się na konto. Nawet jeśli Twoje hasło zostało naruszone, nie będą mogły zalogować się na Twoje konto, ponieważ nie mają Twojego telefonu.
Uwierzytelnianie dwuskładnikowe staje się powszechne w witrynach bankowych, dużych sprzedawcach detalicznych (takich jak Amazon) i oczywiście w witrynach i usługach zorientowanych na bezpieczeństwo, takich jak LastPass. Jeśli używana usługa oferuje uwierzytelnianie dwuskładnikowe, zwykle nie ma powodu, aby jej nie wykorzystywać. W minimalnym stopniu musisz korzystać z uwierzytelniania dwuskładnikowego dla każdej usługi, której kompromis (taki jak Twój bank lub menedżer haseł) może spowodować poważne trudności lub ryzyko kradzieży tożsamości. Sprawdź nasz przewodnik po uwierzytelnianiu dwuskładnikowym, aby uzyskać więcej informacji na temat konfiguracji. Jest to jedna z najlepszych rzeczy, które możesz zrobić, aby chronić swoje konta.
Dobre praktyki dotyczące haseł nie są ekscytujące, ale są bardzo potrzebne. Nie pozwól, by minął kolejny rok, w którym znajdziesz wpisujące dokładnie to samo hasło zarówno do konta e-mailowego, jak i do banku, myśląc: "Człowieku, naprawdę powinienem przestać używać tego samego hasła do wszystkiego." W przyszłym roku, kiedy kolejna runda Naruszenie danych daje kolejną listę najgorszych haseł, nie powinieneś nawet odczuwać ukłucia niepokoju. Ponieważ wszystkie twoje hasła będą kwadratowe: długie, złożone i niepowtarzalne.
Zdjęcie: Automobile Italia.