सुरक्षित संकेतशब्द कसा तयार करावा, त्यांना तयार करताना कोणती तत्त्वे पाळली पाहिजेत, संकेतशब्द कसे संचयित करावे आणि आपल्या माहिती आणि खात्यांमध्ये प्रवेश करणार्या घुसखोरांची शक्यता कमी करावी यावर हा लेख चर्चा करेल.
ही सामग्री "आपला संकेतशब्द कशा प्रकारे हॅक केला जाऊ शकतो" या लेखाची सुरूवात आहे आणि याचा अर्थ असा आहे की आपण तेथे सादर केलेल्या सामग्रीशी परिचित आहात आणि त्याशिवाय, आपल्याला सर्व मूलभूत मार्ग माहित आहेत ज्यामध्ये संकेतशब्दांशी तडजोड केली जाऊ शकते.
संकेतशब्द तयार करा
आज, इंटरनेट खाते नोंदणी करताना, पासवर्ड तयार करताना, आपण सामान्यतः संकेतशब्द सामर्थ्य सूचक पहा. जवळजवळ सर्वत्र ते खालील दोन घटकांचे मूल्यांकन केल्यावर कार्य करते: संकेतशब्दांची लांबी; पासवर्डमधील विशेष अक्षरे, कॅपिटल अक्षरे आणि संख्या यांची उपस्थिती.
बलवान बलाने क्रॅक करण्यासाठी संकेतशब्द प्रतिरोधनाचे हे खरोखर महत्त्वाचे मापदंड असूनही, जो संकेतशब्द मजबूत असल्याचे दिसते ते नेहमीच नसते. उदाहरणार्थ, "Pa $$ w0rd" (आणि येथे विशेष वर्ण आणि संख्या आहेत) सारखे पासवर्ड त्वरित द्रुतगतीने क्रॅक होण्याची शक्यता आहे - या वास्तविकतेमुळे (मागील लेखात वर्णन केल्याप्रमाणे) लोक क्वचितच अद्वितीय संकेतशब्द तयार करतात (50% पेक्षा कमी संकेतशब्द अद्वितीय आहेत) आणि घुसखोर असलेल्या लीक केलेल्या डेटाबेसमध्ये हा पर्याय आधीपासून अस्तित्वात आहे.
कसे असावे संकेतशब्द जनरेटर्स (ऑनलाइन युटिलिटिजच्या स्वरूपात इंटरनेटवर उपलब्ध असलेल्या, तसेच बर्याच संगणक संकेतशब्द व्यवस्थापकांमधील उपलब्ध) वापरण्याचा सर्वोत्तम पर्याय म्हणजे विशेष वर्ण वापरून लांब यादृच्छिक संकेतशब्द तयार करणे. बर्याच प्रकरणांमध्ये, 10 किंवा त्यापेक्षा अधिक वर्णांचे संकेतशब्द हॅकर (अर्थात, त्यांचे सॉफ्टवेअर अशा पर्यायांची निवड करण्यासाठी कॉन्फिगर केले जाणार नाही) फक्त व्याजदर नसतील कारण वेळेची किंमत मोजली जात नाही. अलीकडेच, Google Chrome ब्राउझरमध्ये अंगभूत संकेतशब्द जनरेटर दिसून आले आहे.
या पद्धतीमध्ये मुख्य त्रुटी म्हणजे असे संकेतशब्द लक्षात ठेवणे कठिण आहे. आपल्या डोक्यावर पासवर्ड ठेवण्याची गरज असल्यास, आणखी एक पर्याय आहे ज्याच्या आधारावर 10 अक्षरे असलेले संकेतशब्द, कॅपिटल अक्षरे आणि विशेष अक्षरे असलेले हजारो किंवा त्याहून अधिक बळकट शक्ती (विशिष्ट संख्या परवानगी असलेल्या वर्ण संचावर अवलंबून असते) क्रॅक केली जाते, 20 वर्णांच्या संकेतशब्दापेक्षा, फक्त लोअरकेस लॅटिन वर्ण असतात (जरी आक्रमणकर्त्यास याबद्दल माहित असेल तरीही).
अशा प्रकारे, 3-5 सोप्या यादृच्छिक इंग्रजी शब्दांचा संकेतशब्द लक्षात ठेवणे सोपे जाईल आणि क्रॅक करणे जवळजवळ अशक्य आहे. आणि प्रत्येक शब्द भांडवल अक्षराने लिहून ठेवल्यास, आम्ही दुसऱ्या पदवी पर्यायांची संख्या वाढवतो. इंग्रजी लेआउटमध्ये लिहिलेले हे 3-5 रशियन शब्द (पुन्हा, यादृच्छिक परंतु नाम आणि तारखे नाहीत), संकेतशब्द निवडण्यासाठी शब्दकोष वापरण्याची अत्याधुनिक पद्धतींची कल्पनाशास्त्र शक्यता देखील काढून टाकली जाते.
संकेतशब्द तयार करण्याचे नक्कीच योग्य मार्ग नाही: विविध मार्गांनी फायदे आणि तोटे आहेत (ते लक्षात ठेवण्याची क्षमता, विश्वसनीयता आणि इतर पॅरामीटर्सची क्षमता संबंधित) परंतु मूलभूत तत्त्वे खालीलप्रमाणे आहेत:
- संकेतशब्दामध्ये अक्षरे मोठी संख्या असणे आवश्यक आहे. आज सर्वात सामान्य प्रतिबंध 8 वर्ण आहेत. आणि आपल्याला सुरक्षित संकेतशब्द आवश्यक असल्यास हे पुरेसे नाही.
- शक्य असल्यास, विशिष्ट वर्ण, अप्पर आणि लोअर केस अक्षरे, पासवर्डमधील क्रमांक समाविष्ट करा.
- आपल्या पासवर्डमध्ये वैयक्तिक डेटा कधीही अंतर्भूत करू नका, जरी ते अगदी हुशार मार्गांनी लिहिले गेले असले तरीही. कोणतीही तारीख, प्रथम नावे आणि टोपणनाव नाहीत. उदाहरणार्थ, 0-वषापासून ते आजच्या दिवसात (जसे की 07/18/2015 किंवा 18072015, इत्यादी) आधुनिक ज्युलियन कॅलेंडरची तारीख दर्शविणारा संकेतशब्द ब्रेक करणे सेकंदांपासून तासांमध्ये (आणि घड्याळ विलंब झाल्यामुळेच प्राप्त होईल काही प्रकरणांसाठी प्रयत्न दरम्यान).
साइटवर आपला संकेतशब्द किती मजबूत आहे हे आपण तपासू शकता (काही साइटवर संकेतशब्द प्रविष्ट करणे, विशेषतः https शिवाय, हे सर्वात सुरक्षित प्रथा नाही) //rumkin.com/tools/password/passchk.php. आपण आपला वास्तविक संकेतशब्द तपासू इच्छित नसल्यास, त्याच्या विश्वासार्हतेचा विचार घेण्यासाठी समान वर्ण (वर्णांच्या समान संख्येसह आणि समान संचासह) प्रविष्ट करा.
दिलेल्या वर्णनासाठी सेवा दिलेल्या दिलेल्या पासवर्डसाठी एंट्रॉपीची गणना करते (सद्यस्थितीत, एन्ट्रॉपीसाठी पर्यायांची संख्या, 10 बिट्ससाठी, पर्यायांची संख्या 10 ची उंचीवर असते) आणि विविध मूल्यांच्या विश्वासार्हतेविषयी माहिती प्रदान करते. 60 पेक्षा अधिक एंट्रॉपी असलेले संकेतशब्द अगदी लक्ष्यित निवडीदरम्यान क्रॅक करणे जवळपास अशक्य आहेत.
भिन्न खात्यांसाठी समान संकेतशब्द वापरू नका.
आपल्याकडे जरा गुंतागुंत संकेतशब्द असल्यास, परंतु आपण जिथेही शक्य असेल तेथे त्याचा वापर कराल, ते स्वयंचलितरित्या पूर्णपणे अविश्वसनीय होईल. जसे की आपण अशा संकेतशब्दाचा वापर करता त्या साइटवर हॅकर्स ब्रेक होतात आणि त्यात प्रवेश मिळवताच आपण इतर सर्व लोकप्रिय ईमेल, गेमिंग, सोशल सर्व्हिसेसवर आणि अगदी अगदी सहजपणे ते (विशेष सॉफ्टवेअर वापरुन स्वयंचलितपणे) चाचणी केली जाईल याची खात्री करुन घेऊ शकता. ऑनलाइन बँक (आपला संकेतशब्द आधीपासूनच लीक झाला आहे की नाही हे पाहण्यासाठी मागील लेखाच्या शेवटी सूचीबद्ध केलेले मार्ग).
प्रत्येक खात्यासाठी एक अद्वितीय संकेतशब्द अवघड आहे, ते गैरसोयीचे आहे, परंतु हे खाते आपल्यासाठी महत्त्वपूर्ण असल्यास आवश्यक आहे. तथापि, आपल्यासाठी कोणतेही मूल्य नसलेल्या काही नोंदणींसाठी (म्हणजेच, आपण त्यांना गमावण्यास तयार आहात आणि काळजी करणार नाही) आणि वैयक्तिक माहिती नसल्यास, आपण स्वत: ला अद्वितीय संकेतशब्दांद्वारे अडथळा आणू शकत नाही.
दोन-घटक प्रमाणीकरण
अगदी मजबूत संकेतशब्द हमी देत नाहीत की कोणीही आपले खाते प्रविष्ट करू शकत नाही. आपण एक किंवा दुसर्या प्रकारे संकेतशब्द चोरू शकता (फिशिंग, उदाहरणार्थ, सर्वाधिक वारंवार पर्याय म्हणून) किंवा ते आपल्याकडून मिळवू शकता.
Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, स्टीम आणि इतर सह जवळजवळ सर्व गंभीर ऑनलाइन कंपन्या अलीकडेच त्यांच्या खात्यात दोन-घटक (किंवा दोन-चरण) प्रमाणीकरण सक्षम करण्याची क्षमता जोडली आहेत. आणि, जर आपल्यासाठी सुरक्षितता महत्त्वपूर्ण असेल तर मी त्यात समाविष्ट करण्याची शिफारस करतो.
दोन-घटक प्रमाणीकरण अंमलबजावणी वेगवेगळ्या सेवांसाठी थोडी वेगळी आहे, परंतु मूलभूत तत्त्व खालील प्रमाणे आहे:
- अज्ञात डिव्हाइसवरून खाते प्रविष्ट करताना, योग्य संकेतशब्द प्रविष्ट केल्यानंतर, आपल्याला अतिरिक्त चाचणी घेण्यास सांगितले जाते.
- यापूर्वी सत्यापन केलेले कोड, ई-मेल संदेश, हार्डवेअर की (Google वर अंतिम पर्याय दिसला, या कंपनीला द्वि-घटक प्रमाणीकरणाच्या दृष्टीने सामान्यतः सर्वोत्तम) द्वारे एसएमएस कोडच्या सहाय्याने, स्मार्टफोनवरील विशेष अनुप्रयोगाद्वारे सत्यापन केले जाते.
अशा प्रकारे, जरी आक्रमणकर्त्याने आपला संकेतशब्द शिकला असेल तरीही तो आपल्या डिव्हाइसेस, टेलिफोन किंवा ई-मेलवर प्रवेश न घेता आपल्या खात्यात लॉग इन करण्यास सक्षम असणार नाही.
दोन-घटक प्रमाणीकरण कसे कार्य करते हे आपण पूर्णपणे समजू शकत नसल्यास, मी या विषयावर समर्पित केलेल्या इंटरनेटवरील लेख वाचण्याची किंवा जेथे अंमलबजावणी केली गेली आहे तेथे कारवाईसाठी मार्गदर्शकतत्त्वे वाचण्याची शिफारस करतो (मी या लेखातील तपशीलवार सूचना समाविष्ट करू शकणार नाही).
पासवर्ड स्टोरेज
प्रत्येक साइटसाठी कठीण अद्वितीय संकेतशब्द - छान, परंतु ते कसे संचयित करायचे? हे सर्व संकेतशब्द लक्षात ठेवले जाऊ शकत नाही अशी शक्यता नाही. ब्राउझरमध्ये संचयित संकेतशब्द संग्रहित करणे धोकादायक उपक्रम आहे: ते अनधिकृत प्रवेशासाठी केवळ अधिक असुरक्षित बनतात, परंतु सिस्टीम क्रॅश झाल्यास आणि सिंक्रोनाइझेशन अक्षम केले गेल्यास ते गमावले जाऊ शकते.
सर्वोत्तम उपाय म्हणजे पासवर्ड व्यवस्थापक असे मानले जाते, जे सर्व आपला गुप्त डेटा एन्क्रिप्टेड सुरक्षित भांडारामध्ये (ऑफलाइन आणि ऑनलाइन दोन्ही) संग्रहित करतात, जे एका मास्टर पासवर्डचा वापर करून प्रवेश केला जातो (आपण दोन-घटक प्रमाणीकरण देखील सक्षम करू शकता). तसेच, यापैकी बहुतांश प्रोग्राम संकेतशब्दांच्या विश्वासार्हतेचे उत्पादन आणि मूल्यांकन करण्यासाठी साधने सज्ज आहेत.
दोन वर्षापूर्वी मी सर्वोत्कृष्ट पासवर्ड व्यवस्थापकांविषयी एक स्वतंत्र लेख लिहिले (हे पुनर्लेखन योग्य आहे, परंतु आपण ते काय आहे आणि लेखातील कोणते प्रोग्राम लोकप्रिय आहेत याची कल्पना करू शकता). काही कीफ पॅस किंवा 1 संकेतशब्द यासारख्या साध्या ऑफलाइन समाधानास प्राधान्य देतात जे आपल्या डिव्हाइसवर सर्व संकेतशब्द संचयित करतात, इतर - अधिक कार्यक्षम कार्यक्षमता जे सिंक्रोनाइझेशन क्षमता (LastPass, Dashlane) देखील प्रस्तुत करतात.
सुप्रसिद्ध संकेतशब्द व्यवस्थापकांना सामान्यतः त्यांना संग्रहित करण्यासाठी एक अतिशय सुरक्षित आणि विश्वासार्ह मार्ग मानला जातो. तथापि, काही तपशील विचारात घेण्यासारखे आहे:
- आपल्या सर्व संकेतशब्दांवर प्रवेश करण्यासाठी आपल्याला केवळ एक मास्टर संकेतशब्द माहित असणे आवश्यक आहे.
- ऑनलाइन स्टोरेज हॅकिंगच्या बाबतीत (अक्षरशः एक महिन्यापूर्वी, जगातील सर्वात लोकप्रिय संकेतशब्द व्यवस्थापन सेवा, लास्टपास हॅक करण्यात आली), आपल्याला आपले सर्व संकेतशब्द बदलणे आवश्यक आहे.
आपण आपले महत्वाचे संकेतशब्द कसे जतन करू शकता? येथे दोन पर्याय आहेत:
- कागदावर सुरक्षित, आपण आणि आपल्या कुटूंबाच्या सदस्यांना प्रवेश असेल (आपण वापरण्यासाठी आवश्यक असलेल्या संकेतशब्दांसाठी योग्य नाही).
- ऑफलाइन संकेतशब्द डेटाबेस (उदाहरणार्थ, केपस) टिकाऊ डेटा स्टोरेज डिव्हाइसवर संग्रहित केला जातो आणि तोटा झाल्यास कोठेही डुप्लीकेट केला जातो.
माझ्या मते, वर वर्णन केलेल्या प्रत्येक गोष्टीचे उत्कृष्ट संयोजन ही खालील पद्धती आहे: सर्वात महत्वाचे संकेतशब्द (मुख्य ई-मेल, ज्याद्वारे आपण इतर खाती पुनर्प्राप्त करू शकता, बँक, इत्यादी) हे डोकेमध्ये आणि (किंवा) कागदावर एका सुरक्षित ठिकाणी संग्रहित केले जातात. कमी महत्वाचे आणि त्याच वेळी वारंवार वापरले जाणारे संकेतशब्द पासवर्ड व्यवस्थापकांना असावेत.
अतिरिक्त माहिती
मला आशा आहे की आपल्यापैकी काहीांना संकेतशब्दांवरील दोन लेखांचे संयोजन सुरक्षेच्या काही पैलूंकडे लक्ष देण्यात मदत करेल ज्याबद्दल आपण विचार केला नाही. अर्थात, मी सर्व संभाव्य पर्यायांचा आढावा घेतला नाही, परंतु साधे तर्क आणि तत्त्वांचे काही समजून घेण्यामुळे मी एका क्षणी आपण काय करत आहे हे किती सुरक्षित आहे हे ठरविण्यात मदत करू. पुन्हा एकदा, काही उल्लेख आणि काही अतिरिक्त मुद्दे:
- वेगवेगळ्या साइट्ससाठी भिन्न पासवर्ड वापरा.
- संकेतशब्द जटिल असणे आवश्यक आहे, संकेतशब्द लांबी वाढवून गुंतागुंत वाढवणे सर्वात कठीण आहे.
- संकेतशब्द तयार करताना, त्याचे संकेत, पुनर्प्राप्तीसाठी चाचणी प्रश्न तयार करताना वैयक्तिक डेटा (आपण शोधू शकता) वापरू नका.
- जेथे शक्य असेल तेथे द्वि-चरण प्रमाणीकरण वापरा.
- आपले संकेतशब्द सुरक्षित ठेवण्याचा सर्वोत्तम मार्ग शोधा.
- फिशिंगपासून सावध रहा (साइटचे पत्ते तपासा, एनक्रिप्शनची उपस्थिती पहा) आणि स्पायवेअर. जिथे त्यांना संकेतशब्द प्रविष्ट करण्यास सांगितले जाते, आपण खरोखर त्यास योग्य ठिकाणी प्रविष्ट करत आहात किंवा नाही ते तपासा. संगणकावर मालवेयर नाही याची खात्री करा.
- शक्य असल्यास, एखाद्या अन्य संगणकाच्या संगणकावर आपले संकेतशब्द वापरू नका (आवश्यक असल्यास, ब्राउझरच्या गुप्त मोडमध्ये किंवा तेही चांगले, ऑन-स्क्रीन कीबोर्ड वापरा) सार्वजनिक सार्वजनिक वाय-फाय नेटवर्कवर, विशेषतः जर आपल्याकडे साइटशी कनेक्ट करताना https एन्क्रिप्शन नसेल तर .
- कदाचित आपण संगणकावर किंवा ऑनलाइनवर सर्वात महत्वाचे, खरोखर मौल्यवान संकेतशब्द जतन करू नये.
काहीतरी असे. मला वाटते की मी परागण पदवी वाढवण्यास मदत केली. मी समजतो की वरीलपैकी बरेचसे गैरसोयीचे वाटते, "ठीक आहे, ते माझ्यापासून दूर जातील" असे विचार उद्भवू शकतात, परंतु गोपनीय माहिती संचयित करण्यासाठी साध्या सुरक्षिततेच्या नियमांचे पालन करताना आळशी राहण्याचे एकमेव माफ हे केवळ महत्वाचे अभाव आणि आपली तयारी असू शकते. ती तृतीय पक्षांची मालमत्ता बनेल.