Чаму варта клапаціцца пра бяспеку пароляў і асабістых уліковых запісаў?
Калі вы цікавіцеся гэтай тэмай, то думаю і так дакладна ведаеце, што выкарыстоўваць адзін і той жа пароль "jakrutyj1122", які вы прыдумалі 10 гадоў таму для розных уліковых запісаў гэта не вельмі правільна, бо стварае вялізарныя рызыкі кампраметацыі ўсіх вашых уліковых запісаў. Пад пагрозай могуць быць не толькі асабістыя даныя, але і сапраўдныя грошы на банкаўскіх рахунках, ці крэдытных картках. Таму прапаную вам даведацца, якім чынам арганізаваць захоўванне пароляў і кіраванне ўліковымі запісамі.
Асновы надзейнага пароля
Само-сабою моцны і надзейны пароль павінен змяшчаць разнастайныя камбінацыі сімвалаў, лічбаў і спецыяльных знакаў, але я прапаную арыентавацца не толькі на тое, як складана пароль выглядае для вас, але і на тое, як яго бачаць вылічальныя машыны. Для таго, каб зразумець надзейнасць пароля, існуе такая мера, як энтрапія.
Энтрапія пароля — мера выпадковасці і непрадказальнасці. Чым вышэй энтрапія, тым складаней пароль ўзламаць метадам брутфорсу (перабору ўсіх магчымых камбінацый). Яна вымяраецца ў бітах.
Арыентавацца на энтрапію пароля вельмі проста, чым больш бітаў — тым лепш. Пароль "qwerty" мае энтрапію ўсяго ў 2 біта, бо ён кароткі і складаецца толькі з малых літар распаўсюджанага слоўнікавага слова. Пароль "MyS3cr3tP@ssw0rd!" мае амаль 22 біта, гэта значна лепей, але зусім не дастаткова з улікам сучасных вылічальных магутнасцяў. А пароль "nYKnMQA3kiYZ$n%аUT%mq#94h" будзе мець 151 біт дзякуючы сваёй даўжыні, вялікім і малым літарам, лічбам і спец. сімвалам і будзе цалкам адпавядаць сучасным стандартам.
Згодна з меркаваннем экспертаў у галіне кібербяспекі, надзейным лічыцца пароль ад 75 біт энтрапіі, але я прапаную з улікам хуткага развіцця вылічальнай тэхнікі, каб не турбавацца, выкарыстоўваць паролі з энтрапіяй 150 біт і болей. Такі падыход дазволіць яшчэ некалькі гадоў не думаць пра надзейнасць створаных раней пароляў. Але як запомніць такую колькасць складаных пароляў для розных сэрвісаў?
Zero-Knowledge падыход у кіраванні паролямі
Zero-Knowledge (нулявое веданне) гэта канцэпцыя бяспекі, пры якой праграма (ці сэрвіс) захоўвае вашы даныя ў зашыфраваным выглядзе і ніхто не ведае і не мае доступу да іх у адкрытай форме. Гэта забяспечвае максімальную канфідэнцыяльнасць, паколькі ніхто без ведаў і спецыяльнай падрыхтоўкі не можа прачытаць вашыя паролі. У выпадку кампраметацыі базы даных вашыя зашыфраваныя даныя застануцца ў бяспецы, бо зламыснікі не валодаюць ключамі для іх расшыфроўкі. Такія праграмы шыфруюць усю вашу базу даных пароляў з дапамогай аднаго асноўнага пароля, які ведаеце толькі вы. А для надзейнасці можна дадаваць абавязковы файл-ключ, які патрэбны для разблакавання вашай базы даных.
Адна з такіх праграм, якую я прапаную разглядзець — KeePassXC. Бясплатна, аўтаномна і з вялізарнай колькасцю налад і магчымасцяў. Падрабязна яе разгледзім у асобным артыкуле.
Калі вы прыхільнік анлайн доступу, ці маеце магчымасць да ўсталявання сэрвісаў на свой асабісты сервер, можна разглядзець сістэму ад Bitwarden.
Інструменты для праверкі бяспекі пароляў і злітых даных
Пакуль вы дакладна не ўпэўнены, што выкарыстоўвалі розныя паролі для розных уліковых запісаў і не навялі парадак у сваім лічбавым жыцці важна ведаць, ці былі вашыя паролі або асабістыя даныя скампраметаваныя ў выніку несанкцыянаванага доступу трэціх асоб да даных кампаній ці інтэрнет-сэрвісаў. Для гэтага існуюць як бясплатныя сэрвісы, так і тыя хто можа даць канкрэтныя даныя з радкоў злітых баз даных за невялікае грашовае ўзнагароджанне.
Бясплатны сэрвіс які дазваляе без рэгістрацыі праверыць, ці быў ваш адрас электроннай пошты або тэлефонны нумар уключаны ў публічна вядомыя ўцечкі даных. Проста ўвядзіце свой email на сайце, каб даведацца, ці трэба вам мяняць паролі на закранутых сэрвісах
LeakCheck
Часткова платны сэрвіс які пасля рэгістрацыі дазваляе не толькі праверыць, ці былі скампраметаваныя вашыя даныя, але і атрымаць дакладныя радкі з баз даных. Дадаткова магчыма ажыццяўляць пошук па хэш-сумах ці карпаратыўных даменах
Ваша лічбавая бяспека ў вашых руках
Захаванне бяспекі як і багата чаго іншага гэта пастаянны працэс, але з сучасным падыходам і актуальнымі інструментамі вы можаце значна палепшыць узровень абароны ад махляроў і выпадковай страты доступу да асабістых даных ці кантролю сваіх банкаўскіх рахункаў. Памятайце, што ваша лічбавая бяспека знаходзіцца ў вашых руках, і актыўны падыход да яе абароны ўратуе вас ад шматлікіх праблем з "доступам да джойказіна". А мы далей будзем больш глыбока разглядаць інструменты захавання пароляў і двухфактарную абарону.