ІТ-безпека Сім порад щодо безпечного пароля - цифрового

Актуальні новини в Süddeutsche Zeitung

щодо

Панель приладів

економіка

Мюнхен

Культура

суспільство

Знання

ІТ-безпека: так працюють захищені паролі

Відкрити малюнок на новій сторінці

Використовуйте якомога більше спеціальних символів, регулярно міняйте паролі - деякі міфи зберігаються.

(Фото: Алессандра Шелнеггер)

  • Користувачі повинні перевірити, наскільки корисними та безпечними є їхні облікові записи та паролі.
  • Ці сім рекомендацій допоможуть вам призначити хороші паролі та краще захистити облікові записи.

Більшість користувачів Інтернету все ще використовують занадто прості паролі навіть для важливих служб. Однак для тих, хто вже використовує довгі та складні паролі, застосовується таке: Не дуже добре змінювати дані для входу занадто часто. Багато ІТ-відділів компаній та консультанти регулярно просять користувачів придумати щось нове. Звичайно, користувачі повинні змінити свої паролі, якщо стане відомо, що певна служба, до якої вони ввійшли, зламана. Інакше ваші дані загрожують. Але якщо такої нагоди немає, то нічого не можна сказати про регулярні зміни.

Навіть Білл Берр це визнає. Раніше він працював у Національний інститут стандартів і технологій (NIST), американське агентство, відповідальне за технологічні стандарти. Там він писав рекомендації щодо безпечних паролів, багато людей та компаній орієнтувались на них. Сюди також входила порада призначати новий пароль кожні 90 днів. Восени минулого року Берр сказав: "Я дуже шкодую про те, що зробив". З його порадами він тоді був "на неправильному човні".

Мало хто піклується про ІТ-безпеку

Лише невелика кількість користувачів сприймає близько до серця основні правила ІТ-безпеки. Багато міфів про нібито безпечні паролі існують роками. Досі занадто мало людей, які використовують менеджери паролів і намагаються запам’ятати їх дані для входу.

Якщо ви належите до цієї групи, то вам слід турбуватися про свої паролі. Наступні поради можуть допомогти. Вони базуються, серед іншого, на рекомендаціях NIST. Агентство хоче забути погані поради Білла Берра і минулого року видало нові вказівки щодо безпеки паролів. Вимоги стосуються державних установ США. Але громадяни також можуть багато чому навчитися:

Спеціальні персонажі приносять порівняно мало

Для людей випадкові комбінації багатьох спеціальних символів здаються загадковими і, отже, безпечними. Насправді хакери можуть відносно легко зламати такі паролі за допомогою так званих атак грубої сили. Зазвичай програмне забезпечення спочатку перевіряє довгий список загальних фраз, таких як "пароль" або "123456". Далі слідують терміни зі словників, а потім алгоритми також випробовують спеціальні символи.

NIST радить операторам сайтів уникати складних специфікацій. Паролі більше не повинні містити великої літери та двох різних спеціальних символів. Користувачі, стверджує NIST, інакше лише змінювали свій стандартний шифр: "Пароль" стає "Pa $$ w0rt1 !" - варіація, яку алгоритми легко вгадують. Краще використовувати менше спеціальних символів, але за основу взяти різні фрази.

Багато спеціальних символів і змінюються якомога частіше, тоді пароль безпечний. О справді?

Марвін Стратманн

Це залежить від довжини

Довжина важливіша за складність. Навіть сучасним комп’ютерам іноді потрібні роки, щоб зламати пароль із 20 і більше символів. Принаймні, якщо користувачі не використовують такі популярні фрази, як "DuKommstNichtVorbei". На думку експертів NIST, паролі повинні складатися щонайменше з восьми символів. Це число є абсолютним мінімумом, дванадцять символів значно підвищують безпеку, 16 навіть краще.

Крім того, провайдери повинні надавати пробіли, щоб користувачі могли придумувати не просто окремі слова, а цілі фрази передачі. NIST радить зняти або принаймні масово збільшити обмеження довжини паролів. Корисно до 64 символів, щоб довше передані фрази можна було використовувати для захисту важливих облікових записів.

Не використовуйте паролі двічі

Нікому і в голову не спадало б використовувати лише один ключ для вхідних дверей, дверей квартири, сейфа та велосипедного замка. Здається, аналогова обережність недоречна в цифровому житті: багато людей використовують однакові паролі для кількох облікових записів. Це фатально: коли хакери викрадають дані доступу, вони майже завжди намагаються ввійти з ними на інші сайти.

Експерти NIST рекомендують операторам сайтів захищати необережних користувачів від них самих: їм слід автоматично порівнювати паролі з іншими даними, наприклад з інформацією для входу, відомою з попередніх хакерів або дір в безпеці. Вони збираються в базах даних, таких як Haveibeenpwned.com, де користувачі також можуть самостійно перевірити, чи зареєстрована їх електронна адреса в службах, які вже успішно атакувались злочинцями.

Автоматичне порівняння також має включати інші бази даних, наприклад записи зі словників або прості послідовності, такі як "aaaaaa", "1234abcd" або "qwertz". Якщо алгоритм знаходить збіги, користувачам доведеться вибрати нову фразу безпеки. Це також стосується випадків, коли ви використовуєте модифікації імен користувачів або інші дані, які ви надали під час реєстрації, наприклад, дати народження або телефонні номери. Приклад: Якщо хтось хоче увійти з іменем користувача "SZ-reader", пароль не повинен бути "SZ-reader1".

Жодних регулярних змін

"Ваш пароль закінчився, будь ласка, оберіть новий." Працівники знають такі електронні листи від ІТ-відділу. Мало хто з них радий, коли їх попросять змінити пароль - і це правильно. NIST дізнався про помилку Білла Берра і не рекомендує змінювати облікові дані та паролі для входу кожні кілька тижнів. Оскільки користувачі, як правило, використовують небезпечні шифри, які вони легко запам’ятовують. Є один виняток: як тільки оператор підозрює, що хакери викрали дані, усіх користувачів слід негайно попередити і зупинити для переключення.

Проблеми безпеки приносять мало безпеки

Почуття кишок говорить: міняйте паролі кожні кілька місяців. Наука каже: це не працює. Інші методи захищають набагато краще.

Від Саймона Гурца

"Як звали вашого першого вихованця?", "Яке дівоче прізвище матері?", "Який ваш улюблений колір?" Деякі веб-сайти покладаються на такі проблеми безпеки. Взагалі, це непогана ідея, оскільки злочинцям потрібна більше інформації про жертву, ніж просто пароль. Однак такі дані часто можна легко знайти в Інтернеті.

Тому NIST настійно не рекомендує вимагати використання цього методу як єдиної автентифікації для скидання пароля. Зловмисники могли вгадати відповідь на безпекове питання або зібрати його на основі публічної інформації, такої як профілі в соціальних мережах. У разі успіху вони можуть призначити новий пароль і отримати доступ до всього облікового запису.

І навпаки, це означає для користувачів: якщо у вас є вибір між кількома питаннями безпеки, тоді ви не повинні запитувати про свою улюблену тварину чи марку вашого автомобіля, коли одночасно публікуєте у Facebook фотографії котів та фотографії з літнього відпочинку на автобусі VW. Інший варіант: ніхто не змушує вас чесно відповідати на питання безпеки. Якщо ви використовуєте улюблений колір як дівоче прізвище матері, це значно ускладнить атаку. Тільки будьте обережні, щоб не заплутати себе.

Скористайтеся менеджерами паролів

Ваша пам’ять - найгірше місце для паролів. Ручка та папір лише трохи кращі - якщо ви загубите записку або не маєте її при собі, ви замикаєтесь. Натомість вам слід довірити свою реєстраційну інформацію менеджеру паролів. Ви керуєте всією інформацією для входу та синхронізуєте її на декількох пристроях. Тоді користувачі повинні пам’ятати лише центральний головний пароль, щоб мати доступ до всіх логінів. Крім того, більшість менеджерів паролів можуть генерувати випадкові паролі, які є більш безпечними, ніж саморобні фрази.

Хоча ці служби також можна зламати, більшість постачальників шифрують дані користувачів, використовуючи безпечні криптографічні методи. Тоді цифрові зловмисники отримують лише переплутані рядки, з якими вони мають мало значення. Stiftung Warentest протестував дев'ять менеджерів паролів і чотирьох з них оцінив як "рекомендовані".

Двофакторна автентифікація для важливих облікових записів

Для облікових записів з важливими та конфіденційними даними, таких як Facebook, Amazon або ваш обліковий запис електронної пошти, унікальні та дійсно захищені паролі є обов’язковими. Однак ви можете значно покращити захист, якщо покладаєтесь на так звану двофакторну автентифікацію (2FA).

Потім, окрім пароля, для входу потрібен ще один запис. Зазвичай це код, який ви отримуєте на свій смартфон. Це означає, що хакерам потрібен не тільки ваш пароль, а й фізичний доступ до вашого мобільного телефону, якщо ви хочете взяти свій обліковий запис.

Тут ви можете дізнатись, які послуги пропонує 2FA, як активувати опцію та що ще потрібно врахувати.

Просто пароля недостатньо. Якщо ви хочете краще захистити свої облікові записи, вам слід використовувати двофакторну автентифікацію. Що це таке і що користувачі повинні враховувати.