כיצד ליצור סיסמה חזקה

ממשלת ארה"ב לאחרונהשיפץ את המלצות הסיסמאות שלו, נטוש את התמיכה בבחירת ביטוי מועדף והחלפת כמה דמויות בסמלים, כמו c4tlo^eR. הסיסמאות הקצרות והקשות לקריאה נראות מסובכות לבני אדם אבל מאוד מאוד פשוטות למחשבים.

במקום זאת, אתה רוצה מחרוזות ארוכות ומשונות שלא מחשבים ולא אנשים יכולים לנחש. בני אדם גרועים בלמציא את אלה - כולנו בוחרים את אותן מילים "אקראיות", ואנחנו גרועים בלזכור מחרוזות אקראיות למעשה. עקוב אחר המדריך הזה כדי ליצור סיסמאות טובות, או יותר טוב, תן לאפליקציה ליצור ולזכור אותן עבורך.

הפוך את הסיסמאות שלך ארוכות מאוד

האויב שלך הוא לא איזה בחור במסכת סקי שמנסה לנחש את הסיסמה שלך ניסיון בכל פעם. זוהי תוכנית שפועלת באופן אוטומטי דרך מסדי נתונים מסיביים של סיסמאות נפוצות או שילובים אקראיים של תווים.

התשובה הטובה ביותר לכך היא מחרוזת ארוכה מאוד של מילים. כפי שציין ה-webcomic xkcd,חבורה של מילים פשוטות זה די טוב. אבל כפי שרבים מהאקרים משתמשים ב"התקפות מילון" כדי לנחש מילים רגילות, עדיף להוסיף כמה אותיות גדולות, תווים מיוחדים או מספרים.

אל תשתמש בביטוי נפוץ

אבל אל תשתמש באותה חבורה של מילים פשוטות כמו כולם. אם הסיסמה שלך מורכבת מכל הסקריפט שלכְּפָר קָטָן, זה עדיין יהיה לא בטוח אם לכל השאר תהיה אותה סיסמה. "כאשר במהלך אירועים אנושיים" היא סיסמה מחורבן. כך גם שורת קולנוע מפורסמת, או פסוק בתנ"ך, או אפילו ראשי תיבות של פסוק בתנ"ך.

ואל תתחכם עם סיסמאות נושאיות או בעלות משמעות אישית. לפעמים בני אדםלַעֲשׂוֹתנסה לפצח סיסמאות, אז אל תעזור להן באמצעות יום ההולדת של בנך או הביטוי המודפס על ספל הקפה האהוב עליך.

בדוק את הסיסמה שלך

אם אתה משתמש במנהל סיסמאות, הוא יבדוק את הסיסמה שלך בזמן אמת, על בטיחות המחשב שלך. האתריםעד כמה הסיסמה שלי מאובטחת?,כמה גדולה הסיסמה שלך?, וכמה חזקה הסיסמה שלך?בדוק אם הסיסמה שלך ארוכה מספיק. אבל הם לא יזהירו אותך מפני ביטויים נפוצים שניתן לנחש, כמו פסוקי התנ"ך האלה.

כמובן שהקלדת הסיסמאות שלך באתרים לא מוכרים היא הרגל רע. אתרים אלה בטוחים, מכיוון שכולם מנוהלים בפומבי על ידי מפתחים מהימנים שמבטיחים שהטקסט שהוזנת לעולם לא יוצא מהמחשב שלך. ובכל זאת, ליתר ביטחון, פשוט השתמש באתרים אלה כדי לקבל את התמצית לפני שתיצור את הסיסמה האמיתית שלך.

אל תשתמש שוב בסיסמה שלך

כאשר הסיסמה שלך בשירות אינטרנט כלשהו נפרצה (וזה יהיה), מוטב שתקווה שלא השתמשת באותה סיסמה בשלושה שירותים אחרים. אל תשתמש בסיסמה חלשה לשירותים ש"לא חשובים", כי יום אחד אתה עלול לתת לאחד מהשירותים את פרטי כרטיס האשראי שלך, או להשתמש בו כדי לאשר שירותים חשובים יותר, ולא תחשוב לשפר הסיסמה שלך.

השתמש במנהל סיסמאות

עד שתעשה זאת, לא משנה כמה תנסה את כל הכללים שלמעלה, תמשיך לבחור סיסמאות גרועות. כך:

• מחרוזת המילים ה"אקראית" שלך תהיה משהו כמו "נסיכת בייסבול דרקון קוף",ארבע מילות סיסמה נפוצות ביותר, ומחשב ינחש זאת.
  

• אתה תבחר משהו בלתי נשכח, שיגביל את האפשרויות שלך, ומחשב ינחש זאת.

• אתה תצליח להפוך סיסמה שמחשב לא יכול לנחש, ותשכח אותה, ותצטרך להחליף אותה בסיסמה חלשה יותר, ומחשב ינחש אותה.

• אתה תבחר משהו שניתן לזהות לכל מי שעוקב אחריך בטוויטר או בפייסבוק - כמו שם הכלב שלך - ובן אדם ינחש זאת.

במקום זאת, בקש מהמחשב ליצור ולזכור את הסיסמאות שלך עבורך. זוהי הדרך האמינה אך הנוחה היחידה לנהל את הכמות העצומה של סיסמאות שהחיים המודרניים דורשים.

הטוב ביותר בכיתה הנוכחי הוא1 סיסמה. אם לא אכפת לך מההבדלים המפורטים בין מנהלים, פשוט קח את זה ופעל לפי מדריך ההגדרה של Lifehacker.

יש עוד כמהמנהלי סיסמאות פנטסטיים עם כל התכונותעבור Windows ו-OS X, האהובים על צוות Lifehacker והקוראים. כל האפליקציות הללו ייצרו ויזכרו את הסיסמאות שלך. וכולם אומרים לך עד כמה כל אחת מהסיסמאות שלך מאובטחות. חלקם אפילו מתריעים כאשר השירותים שבהם אתם משתמשים נפרצים, בין אם נחשפתם באופן אישי ובין אם לאו.

מבין הבחירות המובילות הללו, המובהק ביותר הוא הקוד הפתוחKeePass. הוא מתמקד באחסון מקומי ולא בפתרונות ענן, והוא אפילו מאפשר לך להשתמש בקובץ כדי לפתוח אותו, כך שתוכל להפוך כונן אצבע פיזי ל"סיסמה" שלך.

שירותים מבוססי ענן כמו 1Password ו-LastPass פגיעים יותר להתקפות מרחוק. אבל בגלל שהם מצפינים בכבדות את הנתונים שלך ואל תשמור את סיסמת האב שלך, אתה עדיין בטוח גם אם שירותים אלה נפרצו - כל עוד סיסמת האב שלך קשה מדי לפיצוח. (תוכל גם לסנכרן את קובץ הסיסמה המוצפנת שלך עם Dropbox או Google Drive; האקר עדיין יזדקק לסיסמת הראשית שלך כדי לפתוח אותה.)

אתה רק צריך לזכור סיסמה אחת: זו שנועלת את מנהל הסיסמאות שלך. עקוב אחר כל הכללים שלמעלה כדי ליצור סיסמת אב חזקה, במיוחד אם אתה מסנכרן את הנתונים שלך. אחרת, אם שירות הסיסמאות שלך ייפרוץ אי פעם, ההאקרים גם ינחשו את סיסמת האב החלשה שלך, והם ישחו בכל החשבונות שלך כמו בממגורה של כסף של Scrooge McDuck.

עכשיו, אם אתה רק צריך לכתוב את סיסמת האב, עשה זאת על הנייר, ושמור אותה במקום בטוח כמו הארנק שלך. אל תכתוב עליו "בסיסמא מאסטר". קרע אותו ברגע ששיננת אותו בעל פה (מה שייקח רק יום או יומיים, הודות לזיכרון השרירי של הקלדת אותו בכל פעם שאתה נכנס למשהו).

אל תשכח את סיסמת המאסטר שלך, אחרת אתה עלול להיות דפוק לחלוטין.

אל תשמור סיסמאות בדפדפן שלך

גם אלה עלולים להיפרץ. חלק מהסיסמאות השמורות של Operaנפרצו חלקית בשנה שעברה.אפילו חשבונות גוגלפגיעים. האקר לא צריך להביס את האבטחה של גוגל - הוא פשוט צריך להעריםאַתָה, והרבה יותר קל להאקרים להתחזות לגוגל ולבקש את הכניסה שלך מאשר להעמיד פנים שהם אפליקציית ניהול הסיסמאות שבחרת. אם חשבון Google שלך ​​נפרץ, אתה תהיה בצרות מספיק מבלי לדאוג גם לגבי כל הסיסמאות השמורות שלך.

עקבו אחר הכללים בכל פעם

כמובן, הבנק שלך, הפורטל של הרופא שלך והספרייה שלך עדיין עוקבים אחר המלצות האבטחה המיושנות, כך שהם עדיין יאלצו אותך לפעול לפי כללים ספציפיים בצורה מוזרה ליצירת סיסמה, כמו להתחיל באות או לכלול סמל אחד. (למרבה האירוניה, על ידי הפחתת מספר הסיסמאות האפשריות, הכללים הללו מקלים לפיצוח אותן.)

תחילה צור סיסמה אקראית ומאובטחת עם מנהל הסיסמאות שלך. לאחר מכן שנה את הסיסמה בצורה מינימלית ככל האפשר כדי לעמוד בכללים הספציפיים של השירות. ערוך את הסיסמה שלך בתוך מנהל הסיסמאות שלך, כך שהוא יוכל להתריע אם אתה הופך סיסמה חזקה לחלשה.

כיסינוכיצד ליצור סיסמה בלתי נשכחתאם אתה בהחלט חייב. אבל מכיוון שכל מנהלי הסיסמאות המומלצים שלנו מציעים אפליקציות לנייד (KeePass ממליץיציאות מסוימות לנייד של צד שלישי), תוכל לשמור את הסיסמה שלך בכל מקום שתלך. פשוט אין סיבה להמציא סיסמה משלך.

השתמש באימות דו-גורמי

למרות שהוא אינו חסין תקלות, דו-גורמי מספק שכבת אבטחה עבור אובדן מינימלי בלבד של נוחות. אבל לא כל שני הגורמים בטוחים באותה מידה. אפליקציות אימות ייעודיות הן הרבה יותר בטוחות מסתם קבלת קוד באמצעות SMS. אבל שניהם בטוחים יותר מסיסמה בלבד.

אל תהרוס את כל זה באמצעות שאלות אבטחה

שאלות אבטחה? יותר כמו שאלות חוסר ביטחון! כיף לי במסיבות. הנקודה היא שהמושג של שאלות אבטחה היה הגיוני כשהיובשימוש בשנת 1906וענו פנים אל פנים, אבל הם מגוחכים עכשיו שכל אחד יכול לחפש בגוגל את שם הנעורים של אמך, איפה למדת בתיכון, אוטעם גלידה אהוב, אזהתקשר לתמיכה הטכנית של אמזוןולהתחזות כמוך.

התייחס לשאלות אבטחה בעצם באותו אופן שאתה מתייחס לסיסמאות שלך: המציא תשובות מזויפות ושמור אותן במנהל הסיסמאות שלך. שאלות אבטחה מיועדות לדבר עם בני אדם, לא למחשבים, כך שאינך צריך להוסיף תווים מוזרים לתשובות שלך. במקום זאת, אתה רוצה לבחור תשובות שגויות ולא שכיחות. באיזה תיכון למדת? סקוברט דוברט גבוה. מה שם הנעורים של אמך? בלמפגורף. זה המקום שבו אתה יכול להכניס את כל האנרגיה החכמה הזו שאסור לך להכניס בסיסמאות שלך. (זו גם אסטרטגיה הגונה לבחירת סיסמת אב אחת שאתה צריך לשנן.)

זכרו, הכל שבור

סיסמאות הן רעות ומטופשות.אבל כך גם כל השאר. ניתן לגנוב טביעות אצבע, ניתן לנתב מחדש טקסטים דו-גורמיים, ניתן להעתיק מפתחות. כפי שניסח זאת כתב הטכנולוגיה קווין נורטון,הכל שבור, וכפי שניסח זאת הכותב/מתכנת דן נגוין,הכל שבור (אפילו יותר).. טכנולוגיית אבטחה היא מרוץ בין הטובים לרעים, וזה פשוט בלתי אפשרי לקבל טכנולוגיה מאובטחת לחלוטין מבלי להקריב הרבה מהיתרונות של הטכנולוגיה הזו.

אז לאחר שהגדרת את מנהל הסיסמאות שלך, החלפת את כל הסיסמאות שלך והפעלת אימות דו-שלבי, אל תחשוב שהעבודה שלך הושלמה. יום אחד הכל יעבור למערכת אבטחה חדשה, ואתה תצטרך להסתגל. זה המחיר שאנו משלמים על פרסום חיינו באינטרנט.