Aquest article parlarà de com crear una contrasenya segura, quins principis s’hauran de seguir en crear-los, com emmagatzemar contrasenyes i minimitzar la possibilitat que els intrusos accedeixin a la vostra informació i comptes.
Aquest material és una continuació de l'article "Com es pot hackear la contrasenya" i implica que esteu familiaritzats amb el material presentat allà i, sense això, coneixeu totes les maneres bàsiques en què es poden comprovar les contrasenyes.
Creeu contrasenyes
Avui, quan registreu qualsevol compte d’Internet, creant una contrasenya, normalment veieu l’indicador de resistència de la contrasenya. Gairebé a tot arreu es treballa a partir d’una valoració dels dos factors següents: la durada de la contrasenya; la presència de caràcters especials, lletres majúscules i números a la contrasenya.
Tot i que aquests són paràmetres realment importants de la resistència a la contrasenya a les esquerdes per la força bruta, la contrasenya que sembla forta no és sempre el cas. Per exemple, una contrasenya com "Pa $$ w0rd" (i aquí hi ha caràcters i números especials) és probable que es trenqui molt ràpidament, ja que (tal com es descriu a l'article anterior) la gent poques vegades crea contrasenyes úniques (menys del 50% de les contrasenyes són úniques) i és probable que aquesta opció existeixi a les bases de dades filtrades que els intrusos tenen.
Com ser? La millor opció és utilitzar generadors de contrasenyes (disponibles a Internet en forma d’utilitats en línia, així com en la majoria de gestors de contrasenyes d’ordinador), creant contrasenyes aleatòries llargues amb caràcters especials. En la majoria dels casos, una contrasenya de 10 o més d’aquests caràcters simplement no serà d’interès per al pirata informàtic (és a dir, el seu programari no estarà configurat per seleccionar aquestes opcions) a causa del fet que els costos de temps no donen els seus fruits. Recentment, ha aparegut un generador de contrasenyes integrat al navegador Google Chrome.
En aquest mètode, el principal inconvenient és que aquestes contrasenyes són difícils de recordar. Si necessiteu mantenir una contrasenya al cap, hi ha una altra opció, basada en el fet que una contrasenya de 10 caràcters, que conté lletres majúscules i caràcters especials, està trencada per una força bruta de milers o més (els nombres específics depenen del joc de caràcters permès), que una contrasenya de 20 caràcters, que conté només caràcters llatins de minúscula (fins i tot si l’atacant ho sap).
Per tant, una contrasenya que consta de 3-5 paraules en anglès aleatòries simples serà fàcil de recordar i gairebé impossible de trencar. I després d’escriure cada paraula amb majúscula, elevem el nombre d’opcions al segon grau. Si es tracta de 3-5 paraules russes (de nou, aleatòries, però no de noms i dates) escrites en el format anglès, també es elimina la possibilitat hipotètica de mètodes sofisticats per utilitzar diccionaris per seleccionar una contrasenya.
Definitivament no hi ha cap enfocament correcte per crear contrasenyes: hi ha avantatges i desavantatges de diverses maneres (relacionats amb la capacitat de recordar-lo, fiabilitat i altres paràmetres), però els principis bàsics són els següents:
- La contrasenya ha de consistir en un nombre significatiu de caràcters. La restricció més comú avui és de 8 caràcters. I això no és suficient si necessiteu una contrasenya segura.
- Si és possible, inclogui caràcters especials, lletres majúscules i minúscules, números de la contrasenya.
- No inclogueu mai dades personals a la vostra contrasenya, encara que estiguin escrites de manera aparentment intel·ligent. No hi ha dates, noms i cognoms. Per exemple, trencar una contrasenya que representi qualsevol data del calendari juliol modern des del 0 al dia actual (com 18/07/2015 o 18072015, etc.) trigarà de segons a hores (i el rellotge només s'obtindrà a causa de retards entre intents per a alguns casos).
Podeu comprovar la fortalesa de la vostra contrasenya al lloc (encara que introduir contrasenyes en alguns llocs, especialment sense https, no és la pràctica més segura) //rumkin.com/tools/password/passchk.php. Si no voleu comprovar la vostra contrasenya real, introduïu-ne un similar (amb el mateix nombre de caràcters i amb el mateix conjunt de caràcters) per tenir una idea de la seva fiabilitat.
En el curs de la introducció de caràcters, el servei calcula l'entropia (condicionalment, el nombre d’opcions, per a l'entropia és de 10 bits, el nombre d’opcions és de 2 a la desena potència) per a una contrasenya donada i proporciona informació sobre la fiabilitat de diversos valors. Les contrasenyes amb una entropia de més de 60 són gairebé impossibles d’esclatar fins i tot durant la selecció dirigida.
No utilitzeu les mateixes contrasenyes per a diferents comptes.
Si teniu una gran contrasenya complexa, però la feu servir sempre que sigui possible, automàticament esdevindrà completament poc fiable. Quan els pirates informàtics entrin en qualsevol dels llocs on utilitzeu aquesta contrasenya i tingueu accés a ella, podeu estar segurs que serà provat immediatament (de manera automàtica, amb programari especial) a tots els altres correus electrònics, jocs, serveis socials i potser fins i tot bancs en línia (maneres de veure si la vostra contrasenya ja ha estat filtrada s'enumeren al final de l'article anterior).
Una contrasenya única per a cada compte és difícil, no és convenient, però és necessari que aquests comptes tinguin una importància important per a vosaltres. Tot i que, per a algunes inscripcions que no tinguin cap valor per a vosaltres (és a dir, que estigueu a punt per perdre-les i no us preocupeu) i no continguin informació personal, és possible que no us penseu amb contrasenyes úniques.
Autenticació de dos factors
Fins i tot les contrasenyes fortes no garanteixen que ningú no pugui entrar al vostre compte. Podeu robar una contrasenya d’una manera o altra (phishing, per exemple, com l’opció més freqüent) o obtenir-la.
Gairebé totes les empreses en línia greus, com ara Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam i altres, han afegit recentment la possibilitat d’habilitar l’autenticació de dos factors (o dos passos) en els seus comptes. I, si la seguretat és important per a vostè, recomano la seva inclusió.
La implementació de l'autenticació de dos factors és lleugerament diferent per als diferents serveis, però el principi bàsic és el següent:
- En entrar al compte des d'un dispositiu desconegut, després d’introduir la contrasenya correcta, se us demanarà que realitzeu proves addicionals.
- La verificació es fa amb l'ajuda d'un codi SMS, una aplicació especial en un telèfon intel·ligent, mitjançant codis impresos prèviament preparats, un missatge de correu electrònic, una clau de maquinari (la darrera opció apareix a Google, aquesta empresa és generalment la millor en termes d'autenticació de dos factors).
Per tant, fins i tot si l’atacant ha après la vostra contrasenya, no podrà iniciar sessió al vostre compte sense tenir accés als vostres dispositius, telèfon o correu electrònic.
Si no enteneu completament com funciona l'autenticació de dos factors, recomano la lectura d’articles a Internet dedicats a aquest tema o descripcions i pautes d’acció sobre els llocs on s’implementa (no podré incloure instruccions detallades en aquest article).
Emmagatzematge de contrasenyes
Contrasenyes úniques difícils per a cada lloc - genial, però com emmagatzemar-les? És poc probable que es puguin tenir en compte totes aquestes contrasenyes. L’emmagatzematge de contrasenyes al navegador és una empresa arriscada: no només es tornen més vulnerables a l’accés no autoritzat, sinó que només es poden perdre en cas d’un bloqueig del sistema i quan la sincronització està desactivada.
Es considera que la millor solució és gestor de contrasenyes, que generalment representa programes que emmagatzemen totes les vostres dades secretes en un dipòsit segur xifrat (tant fora de línia com en línia), al qual s'accedeix mitjançant una contrasenya mestra (també podeu habilitar l’autenticació de dos factors). A més, la majoria d’aquests programes estan equipats amb eines per generar i avaluar la fiabilitat de les contrasenyes.
Fa un parell d’anys, vaig escriure un article separat sobre els millors gestors de contrasenyes (val la pena reescriure-ho, però es pot fer una idea del que és i quins programes són populars a l’article). Alguns prefereixen solucions sense connexió simples, com ara KeePass o 1Password, que emmagatzema totes les contrasenyes del dispositiu, altres: utilitats més funcionals que també representen funcions de sincronització (LastPass, Dashlane).
Els gestors de contrasenyes coneguts són generalment considerats com una manera molt segura i fiable de guardar-los. No obstant això, val la pena considerar alguns detalls:
- Per accedir a totes les vostres contrasenyes, només cal que conegueu una contrasenya mestra.
- En el cas d’un hacking en línia d’emmagatzematge (literalment, fa un mes, el servei de gestió de contrasenyes més popular del món, LastPass, va ser piratejat), hauràs de canviar totes les contrasenyes.
Com podeu desar les vostres contrasenyes importants? Aquí teniu un parell d’opcions:
- En el paper, en un accés segur al que tindreu vostè i els vostres familiars (no és adequat per a contrasenyes que sovint us cal utilitzar).
- Base de dades de contrasenyes fora de línia (per exemple, KeePass) emmagatzemada en un dispositiu d’emmagatzematge de dades durador i duplicat en algun lloc en cas de pèrdua.
Al meu entendre, la millor combinació de tot allò descrit anteriorment és el següent: les contrasenyes més importants (el correu electrònic principal amb el qual podeu recuperar altres comptes, bancs, etc.) s’emmagatzemen al cap i (o) en un lloc segur. Menys importants i, alhora, els que s'utilitzen amb freqüència haurien d’assignar-se a gestors de contrasenyes.
Informació addicional
Espero que la combinació de dos articles de contrasenyes per a alguns de vosaltres hagueu ajudat a cridar l’atenció sobre alguns aspectes de la seguretat que no heu pensat. Per descomptat, no vaig tenir en compte totes les opcions possibles, però la lògica senzilla i la comprensió dels principis m'ajudaran a decidir la seguretat del que esteu fent en un moment determinat. Una vegada més, alguns esmentats i alguns punts addicionals:
- Utilitzeu contrasenyes diferents per a llocs diferents.
- Les contrasenyes han de ser complicades, el més difícil és augmentar la complexitat augmentant la longitud de la contrasenya.
- No utilitzeu dades personals (que podeu trobar) quan creeu la contrasenya mateixa, les seves pistes, proveu preguntes per a la seva recuperació.
- Utilitzeu l’autenticació en dos passos sempre que sigui possible.
- Trobeu la millor manera de mantenir les vostres contrasenyes segures.
- Aneu amb compte amb el phishing (comproveu les adreces dels llocs, la presència del xifrat) i el programari espia. Allà on se'ls demani que introdueixi una contrasenya, comproveu si realment esteu introduint-la al lloc correcte. Assegureu-vos que no hi ha programari maliciós a l’ordinador.
- Si és possible, no utilitzeu les contrasenyes en els ordinadors d’altres persones (si és necessari, feu-ho en el mode d’incògnit del navegador, o fins i tot millor, utilitzeu el teclat en pantalla), a les xarxes Wi-Fi obertes públiques, especialment si no teniu el xifratge https quan us connecteu al lloc .
- Potser no haureu d’emmagatzemar les contrasenyes més importants, realment valuoses en un ordinador o en línia.
Una cosa així. Crec que he aconseguit elevar el grau de paranoia. Entenc que moltes de les coses anteriors semblen incòmodes, pot sorgir pensaments com "bé, em passaria per alt", però l’única excusa per ser mandrós a l'hora de seguir simples normes de seguretat per emmagatzemar informació confidencial només pot ser la seva falta d’importància i la seva disposició que es convertirà en propietat de tercers.
