Lösenord: Hur man gör dem rätt: 10 steg

2024 Författare: John Day | [email protected]. Senast ändrad: 2024-01-30 12:46

Tidigare i år förlorade min fru tillgång till några av hennes konton. Hennes lösenord togs från en kränkt webbplats, sedan användes den för att komma in på andra konton. Det var inte förrän webbplatser började meddela henne om misslyckade inloggningsförsök som hon insåg att något var på gång.

Jag har också pratat med ett antal personer som säger att de använder samma lösenord för varje webbplats. Dessa två saker har varit tillräckligt för att få mig att skriva denna instruerbara.

Lösenordsskydd är en mycket liten del av onlinesäkerheten som helhet. Nästan varje konto kräver någon form av inloggning för att ge åtkomst till allt det skyddar. Den enda strängen är ofta allt som står mellan en angripare och din personliga information, pengar, personliga bilder eller de resepunkter du har samlat i åratal.

Denna instruerbara syftar till att täcka några bästa metoder för att skapa lösenord. Om du är någon som har samma lösenord för varje webbplats, vilka lösenord är ett mönster på tangentbordet, eller om du har ordet "lösenord" i ditt lösenord, är detta instruerbart för dig.

varning

Jag är ingen säkerhetsexpert. Denna information har lärt sig och undersökts över tid och är bara en rekommendation och sammanfattning av ett mycket komplext ämne. Denna handledning skrevs i början av 2018 och kan vara föråldrad när du läser den.

TL; DR

Om du inte bryr dig om alla mina resonemang och förklaringar bakom lösenord och bara vill ha ett enkelt sätt att skapa säkra lösenord, hoppa till det sista steget.

Steg 1: Gör det långt

Längd är en mycket viktig komponent för lösenordsäkerhet. Med datornas hastighet växer allt snabbare kan lösenord prövas med fantastiska hastigheter. Detta kallas "brute-force" lösenordsprickning. Det knyter ihop alla möjliga kombinationer av tecken tills du hittar den som matchar.

I teorin gör detta lösenord sprickbart, med tillräckligt med tid. Lyckligtvis, ju längre lösenordet är, desto längre tid skulle det ta denna attacktyp. Varje karaktär du lägger till längden gör svårigheten mycket mycket svårare. Om det är tillräckligt länge kan det ta decennier att hitta det på det här sättet, vilket gör det inte värt det för en angripare.

Exempel

Låt oss säga att du har ett lösenord som bara är versaler. Det här är inte en bra idé, men detta är endast för illustration. Varje gång du lägger till ett annat tecken i lösenordet multiplicerar det antalet möjliga lösenord med 26. Om du hade ett lösenord med 1 tecken skulle det ha 26 möjliga lösenord, 2 tecken skulle ha 676 möjliga lösenord etc. Detta börjar snöboll snabbt.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Som du kan se gör varje bokstav du lägger till denna attack mycket svårare och praktiskt taget omöjlig med tillräckligt många tecken. Kom ihåg att detta bara är med stora bokstäver. När de blir mer komplexa förstärks denna effekt.

Steg 2: Gör det komplext

Komplexitet är en annan stor faktor för lösenordsäkerhet. Om en webbplats någonsin blir kränkt är det troligt att användarnamn och lösenord kommer att dras ut. Som en grundläggande säkerhetsnivå har förhoppningsvis webbplatsen lösenord hashade (liknande kryptering) innan de lagras. Det betyder att de är förvrängda innan de går in i databasen, och det finns inget sätt att vända denna förvrängning.

Allt låter bra. Det spelar ingen roll vad ditt lösenord är för det är förvrängt, eller hur? Så är inte fallet om ditt lösenord inte är komplext. Det finns standard hash -algoritmer som används (SHA1, MD5, SHA512, etc) och de kommer alltid att ha samma sak på samma sätt. Om du till exempel använder SHA1 och ditt lösenord var "lösenord", kommer det alltid att lagras i databasen som "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Att skapa hascher tar tid och datorhastighet, och att beräkna alla möjliga hash för alla möjliga lösenord är praktiskt taget omöjligt. Vad folk har gjort är att göra "ordböcker" med vanliga lösenord. Saker som "lösenord" eller "qwerty" kommer naturligtvis att finnas där, liksom mindre vanliga. Det kommer att finnas miljontals lösenord i dessa ordböcker och det tar bara några sekunder att gå igenom varje post och jämföra den kända hashen med hash av ditt lösenord. Detta kallas en "ordbok attack". Om din är en av dem som redan har beräknats, skyddar förvirringen inte ditt lösenord, och det kan användas på andra webbplatser.

Att ändra bokstäver till siffror lägger inte heller till komplexitet. Det kan tyckas mer komplext att ändra E till 3 eller I till 1, men det är så vanligt att det inte tillför mer säkerhet. Sprickprogram har ett alternativ som automatiskt försöker dessa variationer.

Steg 3: Gör det unikt

Att komma ihåg lösenord är svårt. Eftersom våra liv blir alltmer online är det inte ovanligt att varje person har 50+ onlinekonton, var och en med sin egen inloggning. Detta kan vara väldigt svårt att hålla reda på.

Det vanligaste sättet att hantera detta är genom att välja ett "bra" lösenord och använda det på en massa olika webbplatser. Det här är en hemsk idé. Allt som krävs är för ett säkerhetsöverträdelse eller en nätfiskewebbplats för att få ditt användarnamn och lösenord för att starta bollen. Angripare kan prova det användarnamnet och lösenordet på hundratals webbplatser inom några sekunder. Detta skulle automatiskt få dem till varje webbplats med samma användarnamn som den komprometterade.

Jag vet att ha ett annat lösenord för varje webbplats verkar som en skrämmande uppgift, men vi kommer att behandla hur man hanterar detta senare.

Steg 4: Inget personligt

Din information är inte så privat som du tror. En snabb sökning online kan enkelt hitta ditt födelsedatum eller din adress. Om ett annat konto har brutits kan ännu mer information enkelt fås. Om det finns en angripare som försöker komma in på dina konton skulle det vara uppenbara lösenord att försöka. Det lämnar också inträde öppet för familjemedlemmar, vänner eller till och med bekanta.

Steg 5: Behandla alla lösenord med samma omsorg

När du hanterar webbplatser bör du behandla säkerheten för dem alla med samma omsorg. Om du till exempel har en inloggning till din favoritkattwebbplats, bör du vidta samma försiktighetsåtgärder som din bankinloggning. Det kanske inte verkar så mycket att förlora tillgången till alla de förtjusande morrhåren, men det kan bara vara en språngbräda för en angripare. Att bryta mot den "oviktiga" webbplatsen kan ge en angripare mer information om dig, till exempel ett annat användarnamn du har använt, ett annat e -postmeddelande som du använde för att logga in, eller faktisk information som kan användas för att låsa upp andra webbplatser.

Om det är en oviktig webbplats är det också en större chans att de inte kommer att följa korrekta säkerhetsrutiner, vilket innebär att om ditt lösenord är långt och komplext, men inte unikt, och lösenorden inte har hashats ordentligt när de lagras, det lösenordet kan enkelt användas på andra webbplatser. Återigen, bara för att webbplatsen är "oviktig", betyder det inte att din säkerhet är det.

Steg 6: Håll det dolt

Bra - Offline lagring

Offline lagring kan vara ett bra alternativ om du är en glömsk person. Att ha ett USB -minne som du håller låst med dina lösenord på skyddar mot de flesta attacker, med undantag för familj och vänner. Om du förlorar den här pinnen på något sätt, se till att lösenordsfilen eller hela enheten är krypterad och att pinnen är säkerhetskopierad någonstans väldigt säkert.

Denna metod har mycket säkerhet, men på bekostnad av bekvämlighet.

Anledningen till att den ska vara offline förklaras mer detaljerat nedan. Tänk på att många enheter automatiskt säkerhetskopieras till molnet nu, även om du inte menade det. Om du någonsin ansluter den här stickan till en enhet som har ett virus eller är komprometterad kan data enkelt kopieras bort.

Bättre - Kom ihåg allt

Kom ihåg alla dina lösenord. Om du är otroligt begåvad kan detta vara ett alternativ. Det finns inget sätt för någon att hitta dem, och du har dem alltid med dig. Några nackdelar är att de flesta av oss inte är fantastiska på att komma ihåg komplexa saker och tenderar att prata lite för mycket efter en drink eller två. Speciellt med dussintals lösenord att komma ihåg, är detta troligen inte ens ett alternativ för lekmännen.

Bäst - ingen lagring

Det bästa fallet är att du inte ska lagra dem alls. Antingen kommer du på något sätt ihåg alla dina unika, långa, komplexa lösenord, eller så kan du återskapa dem direkt. Om du känner till ingredienserna som behövs för att återskapa dem, finns det inget sätt att en angripare kan "hitta" dem eftersom de inte finns förrän det behövs. Det här kan låta komplicerat, men det är det verkligen inte. Mer om detta senare.

Betydelsen av offline

Webbplatser hanteras av människor. För de flesta webbplatser är det förmodligen säkert att anta att dessa människor i allmänhet har goda avsikter, men även de bästa människorna kan göra misstag. Bara förra året fanns det ett antal enorma webbplatsbrott mot stora, generellt säkra företag som Linked-In, Yahoo, Equifax, Apple och Uber, för att bara nämna några. Det här är stora företag med säkerhetsavdelningar och de kränktes.

Molnlagring låter snyggt, och det erbjuder bekvämlighet, men vad ett "moln" är i verkligheten är någon annans dator som du använder för att lagra dina filer. Som jag sa ovan kan människor göra misstag. Om det händer kan dina lösenord vara tillgängliga för världen. Molnsajter är ett jättemål för angripare på grund av mängden data de har. Bryt molnplatsen, få tillgång till all information som potentiellt miljoner människor har lagrat.

Jag är säker på att en del av detta är paranoia, men med en stor bit av ditt liv gömd bakom dessa lösenord, skydda dem som sådana.

Steg 7: Min rekommendation

Detta har varit en mycket lång ingress för att förklara huvudpelarna i lösenordsäkerhet. Om du följer dessa 6 riktlinjer bör du ha minimala säkerhetsproblem online, och om något händer ska det stanna vid källan och inte spridas till resten av ditt online -liv.

Det finns många olika sätt att lösa dessa utmaningar. Vissa är bättre än andra och ger olika fördelar. Min favoritlösning är SuperGenPass (SGP). Jag är inte ansluten på något sätt, jag är bara ett fan.

Enkel att använda

SGP har en app för din telefon och en knapp som du kan lägga till i din webbläsare. När du går till en webbplats och den ber dig om din inloggning, klicka på knappen. Ett litet fönster dyker upp. Ange ditt huvudlösenord. SGP genererar ett lösenord för denna webbplats och anger det i lösenordsrutan för dig!

Lång

Du kan välja längden på lösenordet som skapas. Detta genererar lösenord upp till 24 tecken, vilket är ganska säkert, men du kan välja kortare om vissa webbplatser begränsar längden på ditt lösenord.

Komplex

Versaler, gemener och siffror används, vilket är ganska säkert. De följer inget igenkänt mönster utan ord eller fraser. Inget av din URL eller huvudlösenord finns i den här strängen.

Unik

Varje webbplats kommer att ha ett helt unikt lösenord. Lösenorden till exempel1.com och exempel2.com är helt olika, även om det bara finns ett tecken annorlunda i de första "ingredienserna". Som du kan se i exemplet nedan finns det inget samband mellan "ingredienserna" och det resulterande lösenordet och de skiljer sig MYCKET från varandra.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Lagring

Den lagrar och överför ingen data. Det kan köras helt offline om du är orolig och det finns inget sätt för någon att hitta eller stjäla dem.

Steg 8: SGP: Inställning

Att ställa in SGP är superenkelt. Först vill du förmodligen lägga till det i bokmärkesfältet. För att göra detta, gå till:

chriszarate.github.io/supergenpass/

Det kommer att finnas 2 knappar att välja mellan. Om du vill installera en dator som du brukar dra drar du vänster knapp till bokmärkesfältet. Detta ger dig en ny knapp att använda.

Om du använder någon annans dator i framtiden kan du välja knappen till höger. Detta låter dig använda SGP utan att ändra något i deras webbläsare. Det är också ett alternativ för en mobil webbläsare.

När den har lagts till i bokmärkesfältet klickar du på knappen. Det öppnar ett litet fönster i hörnet av din webbsida. Om du klickar på den lilla växeln öppnas inställningarna.

Längd

Siffran till vänster är längden på lösenordet som det kommer att generera. Jag rekommenderar att du tittar igenom de webbplatser du använder mest och ställer in det till det högsta antalet som dessa webbplatser tillåter. Över 12 rekommenderas, men ju längre desto bättre, särskilt eftersom du inte behöver komma ihåg det.

Hashtyp

Det finns två alternativ för vilken typ av hash som används, MD5 och SHA. Båda genererar lösenord med versaler, små bokstäver och siffror. Att ändra detta är ett enkelt sätt att ändra alla dina lösenord samtidigt som du behåller samma huvudlösenord.

Hemligt lösenord

Den hemliga lösenordsdelen är ett extra sätt att se till att allt är säkert. När appleten startar, om du har ett hemligt lösenord, kommer det att visa en liten bild i lösenordsrutan. Det här lösenordet ska ALLTID vara detsamma när det startar. Om den startar och den här bilden inte är vad den brukar vara, finns det en chans att någon försöker få ditt huvudlösenord.

Huvudlösenord

Detta är inte nödvändigt under installationen, men det är mycket viktigt. Se till att välja ett starkt lösenord. Detta är ett enda lösenord som du alltid anger på varje webbplats. Se till att det är något du kan komma ihåg, men är komplext, långt och icke-personligt.

Sparande

När du har valt alla dina inställningar klickar du på spara -ikonen och kugghjulsikonen igen för att stänga inställningarna

Steg 9: Använd SGP

För att använda SGP, bläddra till en webbplats som du normalt skulle. När du behöver ange ditt lösenord klickar du på SGP -knappen som du lade till i bokmärkesfältet. Om du använde ett hemligt lösenord när du konfigurerade SGP, se till att bilden som visas i lösenordsrutan matchar vad den var när du konfigurerade den.

Skriv in ditt huvudlösenord och tryck på Enter. Detta beräknar ditt unika lösenord för denna webbplats och fyller i det för dig! När du skriver ditt huvudlösenord uppdateras ikonen. Om bilden inte matchar den ikon du brukar ha antingen har du skrivit in ditt huvudlösenord fel eller så försöker någon få ditt lösenord.

Beroende på hur webbplatsen är skriven kanske SGP inte kan ange lösenordet för dig, eller så inser webbplatsen kanske inte att den har angetts. Om så är fallet kan du klicka på kopieringsikonen bredvid den genererade lösenordsrutan och klistra in den manuellt.

När ditt lösenord är in, klicka på Logga in och du är där!

Steg 10: Sista tankarna

SGP kanske inte fungerar för alla, och det är OK. Det är inte den perfekta lösningen eftersom det inte finns något sådant. Om du har en annan tjänst eller metod som du gillar att använda för lösenord, kom ihåg de 6 stegen för ett säkert lösenord. Om din nuvarande metod misslyckas inom ett par av dessa områden kan det vara dags att leta efter en annan lösning. Ja, det kan ta en halv dag att ändra alla dina konton, men det skulle troligtvis vara mindre huvudvärk än att ha brutit dina konton.

En kommentar om onlinelagring: Om tjänsten lagrar dina lösenord online/i "molnet", kontrollera deras säkerhetsrutiner för att se till att de är bra. Webbplatsen kommer sannolikt att berätta vad de gör för att skydda dina lösenord om de gör det på rätt sätt. Om du inte är säker, skicka ett mail till dem och fråga. Om de inte kan ge dig ett bra/koncist/korrekt svar, var försiktig när du använder den tjänsten.