Seguridade de contrasinal

Este artigo analizará como crear un contrasinal seguro, que principios deben seguir cando se crean, como almacenar contrasinais e minimizar a posibilidade de que os intrusos accedan á súa información e contas.

Este material é unha continuación do artigo "Como se pode piratear o seu contrasinal" e implica que está familiarizado co material presentado e, sen iso, coñece todas as formas básicas nas que se poden comprometer as contraseñas.

Crear contrasinais

Hoxe, ao rexistrar calquera conta en Internet, creando un contrasinal, adoita ver o indicador de forza de contrasinal. Case en todas partes traballa en base a unha avaliación dos seguintes dous factores: a lonxitude do contrasinal; a presenza de caracteres especiais, letras maiúsculas e números no contrasinal.

A pesar de que estes son parámetros realmente importantes para a resistencia ao contrasinal ao agrietamento por forza bruta, o contrasinal que parece ser forte non sempre é así. Por exemplo, un contrasinal como "Pa $$ w0rd" (e aquí hai caracteres e números especiais) é probable que se rompa moi rapidamente - debido a que (como se describe no artigo anterior) a xente raramente crea contrasinais únicos (menos do 50% das contraseñas son únicas) e é probable que esta opción xa exista nas bases de datos filtradas que os intrusos teñen.

Como ser? A mellor opción é usar xeradores de contrasinal (dispoñibles en Internet en forma de utilidades en liña, así como na maioría dos xestores de contrasinais de ordenador), creando longos contrasinais aleatorios con caracteres especiais. Na maioría dos casos, un contrasinal de dez ou máis caracteres semellantes non será de interese para o hacker (é dicir, o seu software non estará configurado para seleccionar tales opcións) debido a que os custos do tempo non pagan. Recentemente, un xerador de contrasinal incorporado apareceu no navegador de Google Chrome.

Neste método, a desvantaxe principal é que estes contrasinais son difíciles de recordar. Se hai que manter unha contraseña na súa cabeza, hai outra opción, baseada no feito de que un contrasinal de 10 caracteres, que contén letras maiúsculas e caracteres especiais, está resquebrajado por unha forza bruta de miles ou máis (os números específicos dependen do conxunto de caracteres permitido), que un contrasinal de 20 caracteres, que contén só caracteres latinos en minúsculas (aínda que o atacante sabe diso).

Deste xeito, un contrasinal consistente en 3-5 palabras simples aleatorias en inglés será fácil de recordar e case imposible de romper. E despois de escribir cada palabra cunha letra maiúscula, elevamos o número de opcións ao segundo grao. Se se trata de 3-5 palabras rusas (de novo, aleatorias, pero non nomes e datas) escritas no esquema en inglés, tamén se elimina a hipotética posibilidade de métodos sofisticados para usar dicionarios para seleccionar unha contrasinal.

Definitivamente non hai un enfoque correcto para crear contrasinais: hai vantaxes e desvantaxes de diversas formas (relacionadas coa capacidade de recordalo, fiabilidade e outros parámetros), pero os principios básicos son os seguintes:

  • O contrasinal debe consistir nun número significativo de caracteres. A restricción máis común hoxe é de 8 caracteres. E isto non é suficiente se necesitas un contrasinal seguro.
  • Se é posible, inclúa caracteres especiais, letras maiúsculas e minúsculas, números no contrasinal.
  • Nunca inclúa datos persoais no seu contrasinal, aínda que estea escrito de forma aparentemente intelixente. Non hai datas, nome e apelidos. Por exemplo, romper un contrasinal que represente calquera data do calendario Julian moderno desde o ano ata o día actual (como 18/07/2015 ou 18072015, etc.) tardará de segundos en horas (e o reloxo obterase só por mor dos atrasos) entre intentos para algúns casos).

Podes comprobar o forte que o teu contrasinal está no sitio (aínda que introducir contrasinais nalgúns sitios, especialmente sen https, non é a práctica máis segura) //rumkin.com/tools/password/passchk.php. Se non quere verificar o seu contrasinal real, introduza un similar (do mesmo número de caracteres e co mesmo conxunto de caracteres) para ter unha idea da súa fiabilidade.

Ao transcorrer a introdución de caracteres, o servizo calcula a entropía (condicional, o número de opcións, para a entropía é de 10 bits, o número de opcións é 2 ata a décima potencia) para un contrasinal dado e proporciona información sobre a fiabilidade de varios valores. Os contrasinais con entropía de máis de 60 son case imposibles de romper incluso durante a selección dirixida.

Non use os mesmos contrasinais para contas diferentes.

Se tes un gran contrasinal complexo, pero úsao sempre que sexa posible, automáticamente tórnase completamente fiable. En canto os hackers inciden en calquera dos sitios onde usa este contrasinal e acceden a ela, pode estar seguro de que será probado inmediatamente (automaticamente, usando un software especial) en todos os outros correos electrónicos populares, xogos, servizos sociais e quizais ata bancos en liña (xeitos de ver se xa se filtrou o seu contrasinal están listados ao final do artigo anterior).

Un contrasinal único para cada conta é difícil, é inconveniente, pero é necesario se estas contas son de importancia para vostede. Aínda que, para algúns rexistros que non teñan ningún valor para ti (é dicir, estás listo para perdelos e non te preocupes) e non conteñen información persoal, non poderás estreitarte con contrasinais únicos.

Autenticación de dous factores

Mesmo os contrasinais fortes non garanten que ninguén poida entrar na túa conta. Pode roubar un contrasinal dun xeito ou outro (phishing, por exemplo, como a opción máis frecuente) ou obtelo.

Case todas as compañías en liña graves como Google, Yandex, Mail.ru, Facebook, Vkontakte, Microsoft, Dropbox, LastPass, Steam e outros recentemente engadiron a posibilidade de habilitar a autenticación de dous factores (ou dous pasos) nas súas contas. E, se a seguridade é importante para ti, recomendo encarecidamente a súa inclusión.

A implementación da autenticación de dous factores é lixeiramente diferente para diferentes servizos, pero o principio básico é o seguinte:

  1. Cando ingrese a conta desde un dispositivo descoñecido, despois de introducir o contrasinal correcto, solicítaselle realizar probas adicionais.
  2. A verificación realízase coa axuda dun código SMS, unha aplicación especial nun smartphone, a través de códigos impresos previamente preparados, unha mensaxe de correo electrónico, unha chave de hardware (a última opción apareceu en Google, esta empresa é xeralmente a mellor en termos de autenticación de dous factores).

Así, mesmo se o dianteiro aprendeu o seu contrasinal, non poderá iniciar sesión na súa conta sen acceder aos seus dispositivos, teléfono ou correo electrónico.

Se non comprende completamente como funciona a autenticación de dous factores, recomendo ler artigos en Internet dedicados a este tema ou descricións e directrices para a acción nos sitios onde está implementado (non podo incluír instrucións detalladas neste artigo).

Almacenamento de contrasinal

Contrasinais únicos difíciles para cada sitio - xenial, pero como gardalos? É improbable que se teñan todos estes contrasinais en conta. Almacenar os contrasinais almacenados no navegador é unha empresa arriscada: non só se fan máis vulnerables aos accesos non autorizados, senón que só se poden perder en caso de fallo no sistema e cando a sincronización está desactivada.

Considérase que a mellor solución é o xestor de contraseñas, que xeralmente representa programas que almacenan todos os seus datos secretos nun repositorio seguro cifrado (offline e en liña), ao que se accede mediante un contrasinal mestre (tamén se pode habilitar a autenticación de dous factores). Ademais, a maioría destes programas están equipados con ferramentas para xerar e avaliar a fiabilidade dos contrasinais.

Fai un par de anos escribín un artigo separado sobre os mellores xestores de contrasinal (vale a pena reescribir, pero pode facerse unha idea do que é e que programas son populares no artigo). Algúns prefiren solucións sen conexión sen fíos, como KeePass ou 1Password, que almacena todas as claves do seu dispositivo, outras: utilidades máis funcionales que tamén representan funcións de sincronización (LastPass, Dashlane).

Os xestores de contrasinal coñecidos son xeralmente considerados como un xeito moi seguro e fiable de gardalos. Non obstante, paga a pena considerar algúns detalles:

  • Para acceder a todos os teus contrasinais só tes que saber un contrasinal mestre.
  • No caso do hacking en liña de almacenamento (literalmente hai un mes, o servizo de xestión de contrasinais máis popular do mundo, LastPass, foi hackeado), terá que cambiar todas as súas claves.

Como se pode gardar os teus contrasinais importantes? Aquí tes algunhas opcións:

  • En papel nun acceso seguro, ao que terá vostede e os membros da túa familia (non son axeitados para os contrasinais que moitas veces necesitas usar).
  • Base de datos de contrasinais sen conexión (por exemplo, KeePass) almacenada nun dispositivo de almacenamento de datos durable e duplicada en calquera lugar en caso de perda.

Na miña opinión, a mellor combinación de todo o descrito anteriormente é o seguinte enfoque: os contrasinais máis importantes (o correo electrónico principal co que pode recuperar outras contas, bancos, etc.) almacénanse na cabeza e (ou) en papel nun lugar seguro. Menos importante e, ao mesmo tempo, asignaranse frecuentemente aos xestores de contraseñas.

Información adicional

Espero que a combinación de dous artigos de contrasinal para algúns de vostedes axude a chamar a atención sobre algúns aspectos da seguridade que non pensou. Por suposto, non tiven en conta todas as opcións posibles, pero unha lóxica sinxela e unha comprensión dos principios axudaránme a decidir o seguro que está facendo nun momento determinado. Unha vez máis, algúns mencionados e algúns puntos adicionais:

  • Use diferentes contrasinais para diferentes sitios.
  • Os contrasinais deben ser complicados, o máis difícil é aumentar a complexidade aumentando a lonxitude do contrasinal.
  • Non empregue datos persoais (que pode descubrir) cando cree a propia contrasinal, as súas suxestións, proba as preguntas para a súa recuperación.
  • Use a autenticación en dous pasos sempre que sexa posible.
  • Busca o mellor xeito de manter os teus contrasinais seguros.
  • Teña coidado co phishing (comprobe os enderezos dos sitios, a presenza de cifrado) e o spyware. Onde queira que se solicite que introduza un contrasinal, comprobe se o está realmente introducindo o sitio correcto. Asegúrese de que non hai malware no ordenador.
  • Se é posible, non empregue as súas claves nas computadoras de outra persoa (se é necesario, faino no modo de incógnito do navegador, ou mellor aínda, use o teclado en pantalla), en redes Wi-Fi públicas abertas, especialmente se non ten cifrado https ao conectarse ao sitio .
  • Quizais non garde os contrasinais máis importantes, verdadeiramente valiosos nun ordenador ou en liña.

Algo así. Creo que conseguín elevar o grao de paranoia. Entendo que gran parte do anterior parece inconveniente, poden xurdir pensamentos como "ben, me ignorarán", pero a única escusa para ser preguiceiro cando se seguen regras de seguridade sinxelas para almacenar información confidencial só pode ser a súa falta de importancia e a súa dispoñibilidade que se converterá en propiedade de terceiros.

Mira o vídeo: Como DESBLOQUEAR cualquier Android sin Contraseña - Quitar PATRÓN Olvidado y Cuenta de Google (Novembro 2024).