איך אתה מאזן בין הצורך של סיסמאות מאובטחות במיוחד עם השירות של אחזור כולן בקלות? הסיסמה המאובטחת היחידה היא כזו שאינך יכול לזכור, אך ישנם מקרים שבהם אינך יכול להשתמש במנהל סיסמאות וצריך להסתמך על הזיכרון שלך.
פוסט זה הופיע במקור ב-בלוג Buffer.
זו שאלה שאני מתלבט בכל פעם שמתרחשת פרצת אבטחה. כאשר התגלתה פגיעות Heartbleed באביב האחרון, המנדט היה לכולם לשנות את כל הסיסמאות שלהם מיד. זה עדיין ברשימת המטלות שלי. אני מתכווץ מהמחשבה להיפרץ, ואני גם מתכווץ מהמחשבה לקחת את הזמן והאנרגיה הנפשית לעשות שיפוץ מוחלט של הסיסמאות האהובות עלי.
זה נשמע כמוך?
אם במקרה יש לך מערכת לניהול הסיסמאות הייחודיות, האקראיות והבלתי ניתנות לשבירה שלך, אז הכובע שלי מוריד בפניך.לפי כמה הערכות, אתה בין 8 אחוזים מוגנים היטב מהמשתמשים שאינם עושים שימוש חוזר בסיסמאות.
כולנו עדיין מחפשים פתרון. אנו יודעים שיצירת סיסמה בטוחה היא חשיבות עליונה, אבל איך בעצם אפשר ליצור ולהיזכר בכל אותן סיסמאות אקראיות חיוניות שאנו צריכים? נדרשה כתיבת הפוסט הזה כדי להביא אותי לדרך הישר והצרה עם הסיסמאות שלי. הנה מה שלמדתי על איך ליצור סיסמה מאובטחת שתוכל לזכור.
האנטומיה של סיסמה בלתי שבירה
ככל שהסיסמה ארוכה יותר, כך קשה יותר לפצח אותה.שקול סיסמה של 12 תווים או יותר.
הימנע משמות, מקומות ומילים במילון.
מערבבים את זה.השתמש בווריאציות של אותיות רישיות, איות, מספרים וסימני פיסוק.
שלושת הכללים הללו מקשים באופן אקספוננציאלי על האקרים לפצח את הסיסמה שלך. האסטרטגיות שבהן משתמשים מפצחי סיסמאות התקדמו לרמה יעילה להפליא, ולכן הכרחי להיות יוצא דופן עם הסיסמאות שאתה יוצר. הנהדוגמה של מומחה האבטחה ברוס שניירעל כמה רחוק הגיעו מפצחי הסיסמאות:
קרקרים משתמשים במילונים שונים: מילים באנגלית, שמות, מילים לועזיות, תבניות פונטיות וכן הלאה עבור שורשים; שתי ספרות, תאריכים, סמלים בודדים וכן הלאה עבור נספחים. הם מריצים את המילונים עם אותיות רישיות שונות והחלפות נפוצות: "$" עבור "s", "@" עבור "a", "1" עבור "l" וכן הלאה. אסטרטגיית ניחוש זו שוברת במהירות כשני שליש מכל הסיסמאות .
פרצות סיסמאות אחרונות באתרים כמו Adobeהראו כמה הרבה מהסיסמאות שלנו לא בטוחות. להלן רשימה של הסיסמאות הנפוצות ביותר שהופיעו בהפרת Adobe. זה כנראה מובן מאליו: הימנע משימוש בסיסמאות אלו.
123456
123456789
סִיסמָה
אדמין
12345678
qwerty
1234567
111111
פוטושופ
123123
1234567890
000000
abc123
1234
adobe1
מאקרומדיה
azerty
אני אוהב אותך
aaaaa
654321
אם אתה סקרן אם הסיסמה שבחרת מאובטחת או לא, אתה יכול להפעיל אותה דרך בודק סיסמאות מקוון כמו זה בכתובתOnlineDomainTools. כדי להדגיש את החשיבות של סיסמה ארוכה, אקראית וייחודית, לבודק המקוון יש שדות ספציפיים המציגים את וריאציה של הסיסמה שלך בתווים, את הופעתה במילונים ואת הזמן שייקח להתקפת כוח אכזרי לפצח אותה.
ארבע שיטות לבחירת סיסמה בלתי שבירה
הבעיה היחידה בהמצאת סיסמה אקראית ובלתי שבירה היא שקשה לזכור סיסמאות אקראיות. אם אתה מקליד אך ורק דמויות ללא חרוז או סיבה - אופנה אקראית באמת - אז סביר להניח שיהיה לך קשה לזכור את זה כמו שמישהו יפצח את זה.
אז הגיוני ללכת עם סיסמה אקראית לכאורה, כזו שכמעט בלתי אפשרי לזהות תוכנת פיצוח אבל יש לה משמעות או היכרות עבורך. להלן ארבע שיטות לנסות.
השיטה של ברוס שנייר
מומחה האבטחה ברוס שנייר הציג שיטת סיסמה עוד ב-2008הוא עדיין ממליץ היום. זה עובד ככה:קח משפט והפוך אותו לסיסמה.
המשפט יכול להיות כל דבר אישי ובלתי נשכח עבורך. קח את המילים מהמשפט, לאחר מכן קצר ושלב אותן בדרכים ייחודיות ליצירת סיסמה. הנה ארבעה משפטים לדוגמה שהרכבתי.
WOO!TPwontSB = וואו! הפאקרס זכו בסופרבול!
PPupmoarT@O@tgs = נא לאסוף עוד Toasty O's במכולת.
1tubuupshhh…imj = אני תוחב חולצות מכופתרות לתוך הג'ינס שלי.
W?ow?imp::ohth3r = איפה הו איפה האגס שלי? אה, שם.
שיטת אלקטרום
ניהול ארנק ביטקוין דורש רמת אבטחה גבוהה ותלות עצומה בסיסמאות בטוחות. היכנסו לאלקטרום.ארנק Electrum מציע סיד בן 12 מיליםשמאפשר לך לגשת לכל כתובות הביטקוין שלך. הזרע משמש כסיסמת אב עבור הביטקוינים שלך.
סוג סיסמה זה נקרא גם ביטוי סיסמה, והוא מייצג דרך חשיבה חדשה במקצת על אבטחה. במקום מחרוזת תווים שקשה לזכור, אתה יכול ליצור ביטוי ארוך במקום. (פֶּתֶק:ברוס שנייר מזהירשמפצחי סיסמאות מחברים כעת מילים נפוצות במילון בניחושים שלהם, אז אם תנסה את שיטת ביטוי הסיסמה, שמור אותה כמה שיותר זמן.)
הרעיון לביטויי מעבר נתפס די יפה בקומיקס הזה מxkcd:
איך אתה יכול ליצור זרע של 12 מילים משלך? זה פשוט כמו שזה נשמע.תמציא 12 מילים אקראיות.
אפשר להתחיל במשפט כמו "אפילו בחורף, הכלבים חוגגים עם מטאטאים והשכנה קיט קאטס". רק תוודא שכןלא ביטוי פשוט או ביטוי שנלקח מספרות קיימת. אתה יכול לתפוס 12 מילים אקראיות, גם: "מזווה ברווז כותנה רקמה כדורי רקמה מטוס נחרת משוט חג המולד שלולית יומן כריזמה."
כאשר מכניסים אותו לבודק סיסמאות, ביטוי המעבר בן 12 המילים לעיל מראה שייקח 238,378,158,171,207 ארבע-אינטיליון שנים עד שהתקפת כוח אכזרי תיסדק.
שיטת PAO
טכניקות שינון ומכשירי שינון עשויים לעזור לך לזכור סיסמה בלתי שבירה. לפחות, זההתיאוריה שהועלתה על ידי מדעני המחשב של אוניברסיטת קרנגי מלוןשמציעים להשתמש בשיטת Person-Action-Object (PAO) כדי ליצור ולאחסן את הסיסמאות הבלתי ניתנות לשבירה שלך.
PAO צברה פופולריות בספר רב המכר של ג'ושוע פורטיול ירח עם איינשטיין.השיטה הולכת כך:
בחר תמונה של מקום מעניין (הר ראשמור). בחר תמונה של אדם מוכר או מפורסם (ביונסה). דמיינו איזו פעולה אקראית יחד עם חפץ אקראי (ביונסה נוהגת בתבנית ג'לו בהר ראשמור).
לשיטת השינון של PAO יש יתרונות קוגניטיביים; המוח שלנו זוכר טוב יותר עם רמזים חזותיים, משותפים ועם תרחישים מוזרים ויוצאי דופן. לאחר שתיצור ותשנן מספר סיפורי PAO, תוכל להשתמש בסיפורים כדי ליצור סיסמאות.
לדוגמה, אתה יכול לקחת את שלוש האותיות הראשונות מ-"נהיגה" ו-"Jello" כדי ליצור "driJel". עשה את אותו הדבר עבור שלושה סיפורים אחרים, שלב את המילים המומצאות שלך יחד, ותהיה לך סיסמה בת 18 תווים שתיראה אקראית לחלוטין לאחרים שעדיין מוכרים לך.
זיכרון שרירים פונטי
פיתחתי מעט חיבה למערכת סיסמאות אישית שלי שבה השתמשתי כדי ליצור כמה סיסמאות מוזרות, יוצאות דופן ואקראיות לאורך זמן. השיטה שלי מסתמכת על כמה התקני זכירה מועילים: פונטיקה וזיכרון שרירים. כך זה עובד:
לך אל אאתר מחולל סיסמאות אקראי.
צור 20 סיסמאות חדשות באורך של לפחות 10 תווים וכוללות מספרים ואותיות גדולות (וסימני פיסוק אם אתה מרגיש אמיץ).
סרוק את הסיסמאות, מחפש מבנה פונטי - נסה בעצם למצוא סיסמאות שתוכל להשמיע בראשך. לדוגמה: drEnaba5Et (דוקטור enaba 5 ET) או BragUtheV5 (התרברבו ב-V5).
הקלד את הסיסמאות הפונטיות בקובץ טקסט, שים לב כמה קל להקליד אותן וכמה מהר אתה יכול להקליד אותן. הסיסמאות הקלות להקלדה נוטות להיתקע בזיכרון השרירי שלי מהר יותר.
שמור את הסיסמאות הפונטיות, זיכרון השריר. לזרוק את השאר. הדפס את קובץ הטקסט שלך עם שומרי סיסמאות.
אחד בכל פעם, שנה את הסיסמאות שלך באתרי האינטרנט הנפוצים ביותר שלך. זה ייקח זמן או שניים של הקלדת הסיסמאות החדשות האלה לפני שתשנן אותן במלואן בזיכרון החדש, אבל הקלדתן מספיק אמורה לחזק אותה במוח שלך. אני עדיין זוכר סיסמאות מלפני שנים המבוססות על השיטה הזו.
השלב החשוב הבא לסיסמה מאובטחת
לאחר יצירת הסיסמה הסופר-מאבטחת שלך, עדיין נותר שלב אחד ענק וחשוב:לעולם אל תשתמש שוב באותה סיסמה.
אוף. אני מתאר לעצמי שהרבה אנשים נתקעו בחלק הזה. יצירה וזכירה של סיסמה ייחודית היא מאתגרת בפני עצמה, ועוד פחות מכך לעשות אותה מספר פעמים. נראה שאני נרשם לאתר או שירות חדש פעם ביום. זה 30 סיסמאות חדשות בחודש, ואני חושש שהמוח שלי לא יכול להחזיק את כל זה.
איך מצליחים ליצור סיסמאות ייחודיות, לעולם לא לעשות שימוש חוזר באף אחת, ועדיין להיכנס במהירות וביעילות (וללא ללחוץ על הקישור "שכחתי סיסמה")?
זה המקום שבו השאלה של אבטחה מול שימושיות באמת מכה עבורי. למרבה המזל, ישנן מספר גישות שונות שתוכל לנקוט כדי לפתור את החידה הזו.
הירשם לכלי לניהול סיסמאות
ההימור הטוב ביותר שלך עם אבטחת סיסמאות הוא להירשם לכלי כמוLastPassאוֹ1 סיסמה. כלים אלה יאחסנו עבורך את הסיסמאות שלך (ואפילו יספקו סיסמאות חדשות אקראיות בעת הצורך). כל מה שאתה צריך לעשות הוא לזכור סיסמת אב אחת המעניקה לך גישה לנתונים המאוחסנים. הזן את סיסמת האב שלך פעם אחת, וכלי ניהול הסיסמאות יעשה את השאר.
חלק מאלהכלים לניהול סיסמאותלהשתלב יפה בדפדפן שלך או אפילו במכשיר נייד. הנתונים המוצפנים מאוחסנים בבטחה (הכלים בטוחים ככל שתוכלו להיכנס לאינטרנט) והסיסמאות נשמרות בקלות. כמעט בכל מקרה, מנהל סיסמאות הוא הדרך הטובה ביותר ללכת, וייתכן שתבחין באי נוחות רק כאשר אתה מתחבר ממכשיר זר או מנקודה שבה אינך יכול לגשת לשירות (מקרים נדירים באמת).
שמור סיסמאות מקוריות עבור הכלים, האפליקציות והאתרים החשובים ביותר שלך
אסטרטגיה נוספת שנתקלתי בה היא למקסם את הזיכרון שלך על ידי אחסון כמה שיותר סיסמאות בראש שלך. השתמש באתרים מקוריים עבור אתרים חשובים כמו דואר אלקטרוני, פייסבוק, טוויטר ובנקים. השתמש בסיסמה נפוצה (אך קשה לפיצוח) עבור כל הנקודות הפחות חשובות.
הסיכון כאן, כמובן, הוא שאם אחד מהמקומות הפחות חשובים שלך ייפגע, כולם יהיו בסיכון. חשבונות הדוא"ל, החברתיים והכסף החשובים ביותר שלך יהיו בטוחים, וזה נהדר. יכול להיות שחשבון Disqus הפרוץ שלך מפרסם כמה אתה אוהב פירות אסאי, וזה לא כל כך נהדר.
שיטה היברידית: ניהול סיסמאות פלוס שינון
מה אם ערבבת את שתי השיטות? שנן סיסמאות עבור הכלים החשובים והנפוצים ביותר שלך והשתמש ב- LastPass או 1Password לכל השאר.
אתה יכול אפילו לפצל אותו בצורה כזו שתשנן סיסמאות שאתה משתמש בהן לרוב במקומות שבהם LastPass ו-1Password הכי פחות נגישות - אפליקציות ניידות שאתה נכנס אליהן כל הזמן, למשל.
בסופו של יום חשוב לזכור שאפילוסיסמאות מורכבות עלולות להיפגע, ולעולם אל תחשוב שאתה בטוח לחלוטין רק בגלל שהסיסמה שלך ארוכה יותר מ-Ulysses. נדרשת שכל ושכל ישר כדי להימנע מהונאות דיוג וטכניקות נפוצות אחרות שעלולות לסכן את החשבונות שלך - ועליך תמיד לאפשר אימות דו-גורמי כאשר הוא זמין.
כיצד ליצור סיסמה מאובטחת שתוכל לזכור מאוחר יותר: 4 שיטות מפתח| Buffer Blog
קוון ליהוא יוצר תוכן בבַּלָם, דרך חכמה יותר לשתף בטוויטר ובפייסבוק.
תמונה מותאמת מדווארג(Shutterstock) ומַה(Pixabay). איור מאתxkcd. תמונות מאתDanielSTL(פליקר),ז'אן אטיין מין-דואי פוירייה(פליקר), וג'יי ברו(פליקר).
רוצה לראות את העבודה שלך על Lifehacker? אֶלֶקטרוֹנִיאנדי.
