Salasanat: Kuinka tehdä ne oikein: 10 vaihetta

2025 Kirjoittaja: John Day | [email protected]. Viimeksi muokattu: 2025-01-13 06:57

Aiemmin tänä vuonna vaimoni menetti pääsyn joillekin tileilleen. Hänen salasanansa otettiin murtuneelta sivustolta, ja sitä käytettiin muille tileille. Vasta kun sivustot alkoivat ilmoittaa hänelle epäonnistuneista kirjautumisyrityksistä, hän ymmärsi, että jotain oli meneillään.

Olen myös puhunut useiden ihmisten kanssa, jotka sanovat käyttävänsä samaa salasanaa kaikilla sivustoilla. Nämä kaksi asiaa ovat riittäneet kannustamaan minua kirjoittamaan tämän ohjeen.

Salasanasuojaus on hyvin pieni osa verkkoturvaa kokonaisuudessaan. Lähes jokainen tili vaatii jonkinlaisen kirjautumisen, jotta se voi käyttää mitä tahansa suojattavaa. Tämä yksittäinen merkkijono on usein kaikki hyökkääjän ja henkilökohtaisten tietojesi, rahan, henkilökohtaisten kuvien tai vuosien ajan keräämiesi matkapisteiden välissä.

Tämän ohjeen tarkoituksena on kattaa joitakin parhaita käytäntöjä salasanojen luomisessa. Jos olet joku, jolla on sama salasana jokaiselle verkkosivustolle ja jonka salasanat ovat kuvio näppäimistöllä, tai jos salasanassa on sana "salasana", tämä ohje on sinua varten.

Vastuuvapauslauseke

En ole turvallisuusasiantuntija. Tämä tieto on opittu ja tutkittu ajan myötä, ja se on vain suositus ja yhteenveto hyvin monimutkaisesta aiheesta. Tämä opetusohjelma on kirjoitettu vuoden 2018 alussa, ja se saattaa olla vanhentunut lukemisajankohtana.

TL; DR

Jos et välitä kaikista ajatuksistani ja selityksistäni salasanojen takana ja haluat vain helpon tavan tehdä suojatut salasanat, siirry viimeiseen vaiheeseen.

Vaihe 1: Tee siitä pitkä

Pituus on yksi erittäin tärkeä osa salasanan turvallisuutta. Tietokoneiden nopeuden kasvaessa yhä nopeammin salasanoja voidaan kokeilla hämmästyttävällä nopeudella. Tätä kutsutaan "raa'an voiman" salasanan murtamiseksi. Se sitoo kaikki mahdolliset merkkiyhdistelmät, kunnes löydät sopivan.

Teoriassa tämä tekee minkä tahansa salasanan murtautuvaksi, kun sille on riittävästi aikaa. Onneksi mitä pidempi salasana on, sitä kauemmin se kestää tämän hyökkäystyypin. Jokainen merkki, jonka lisäät pituuteen, tekee vaikeudesta paljon vaikeampaa. Jos se on tarpeeksi pitkä, voi kestää vuosikymmeniä löytää se tällä tavalla, joten hyökkääjä ei ole sen arvoinen.

Esimerkki

Oletetaan, että sinulla on salasana, joka koostuu vain isoista kirjaimista. Tämä ei ole hyvä idea, mutta tämä on vain havainnollistamista varten. Aina kun lisäät salasanan toisen merkin, se kertoo mahdollisten salasanojen määrän 26: lla. Jos sinulla olisi 1 merkin salasana, siinä olisi 26 mahdollista salasanaa, 2 merkkiä 676 mahdollista salasanaa jne. Tämä alkaa lumipalloa nopeasti.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Kuten näet, jokainen lisäämäsi kirjain tekee tämän hyökkäyksen paljon vaikeammaksi ja käytännössä mahdottomaksi tarpeeksi merkkejä. Muista, että tämä on vain isoilla kirjaimilla. Kun niistä tulee monimutkaisempia, tämä vaikutus suurenee.

Vaihe 2: Tee siitä monimutkainen

Monimutkaisuus on toinen suuri tekijä salasanan suojauksessa. Jos verkkosivustoa rikotaan, käyttäjätunnukset ja salasanat poistetaan todennäköisesti. Perusturvallisuustasona toivottavasti verkkosivustolla on salasanat tiivistetty (samanlainen kuin salaus) ennen tallennusta. Tämä tarkoittaa sitä, että ne on sekoitettu ennen kuin ne menevät tietokantaan, eikä tätä vääristelyä voi mitenkään kääntää.

Tämä kaikki kuulostaa hyvältä. Ei ole väliä mikä salasanasi on, koska se on sekava, eikö? Näin ei ole, jos salasanasi ei ole monimutkainen. Käytössä on vakiohajautusalgoritmeja (SHA1, MD5, SHA512 jne.), Ja ne tiivistävät aina saman asian samalla tavalla. Jos esimerkiksi käytät SHA1: tä ja salasanasi oli "salasana", se tallennetaan tietokantaan aina nimellä "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", aina.

Hajautusten luominen vie aikaa ja tietokoneen oomph, ja kaikkien mahdollisten hajautusten laskeminen kaikille mahdollisille salasanoille on käytännössä mahdotonta. Ihmiset ovat tehneet "sanakirjoja" yleisistä salasanoista. Sellaisia asioita, kuten "salasana" tai "qwerty", on tietysti mukana, samoin kuin harvinaisempia. Näissä sanakirjoissa on miljoonia salasanoja, ja kuluu vain sekunteja jokaisen merkinnän läpikäymiseen ja tunnetun tiivisteen vertaamiseen salasanasi hajautukseen. Tätä kutsutaan "sanakirjahyökkäykseksi". Jos omasi on yksi niistä, jotka on jo laskettu, garbling ei suojaa salasanaasi ja sitä voidaan käyttää muilla sivustoilla.

Myös kirjainten muuttaminen numeroiksi ei lisää monimutkaisuutta. Se voi tuntua monimutkaisemmalta muuttaa E arvoksi 3 tai I arvoon 1, mutta se on niin yleinen käytäntö, että se ei lisää turvallisuutta. Halkeiluohjelmilla on vaihtoehto, joka yrittää automaattisesti näitä muunnelmia.

Vaihe 3: Tee siitä ainutlaatuinen

Salasanojen muistaminen on vaikeaa. Kun elämämme muuttuu yhä enemmän verkossa, ei ole harvinaista, että jokaisella henkilöllä on yli 50 verkkotiliä, joista jokaisella on oma kirjautumistunnus. Tätä voi olla erittäin vaikea seurata.

Yleisin tapa käsitellä tätä on valita yksi "hyvä" salasana ja käyttää sitä useilla eri verkkosivustoilla. Tämä on kauhea ajatus. Tarvitaan vain yksi tietomurto tai yksi tietojenkalastelusivusto, jotta käyttäjätunnuksesi ja salasanasi voidaan aloittaa. Hyökkääjät voivat kokeilla tätä käyttäjätunnusta ja salasanaa satoilla verkkosivustoilla muutamassa sekunnissa. Tämä saisi heidät automaattisesti jokaiselle verkkosivustolle, jolla on sama käyttäjätunnus kuin vaarantunut.

Tiedän, että eri salasanojen saaminen kullekin sivustolle vaikuttaa pelottavalta tehtävältä, mutta kerromme, miten käsitellä tätä myöhemmin.

Vaihe 4: Ei mitään henkilökohtaista

Tietosi eivät ole niin yksityisiä kuin luulet. Pikahaku verkossa voi helposti löytää syntymäaikasi tai osoitteesi. Jos toista tiliä on rikottu, saat helposti lisää tietoa. Jos joku hyökkääjä yrittää päästä tilillesi, nämä ovat ilmeisiä salasanoja. Se jättää myös pääsyn avoinna perheenjäsenille, ystäville tai jopa tuttaville.

Vaihe 5: Käsittele kaikkia salasanoja samalla varovaisuudella

Kun käsittelet verkkosivustoja, sinun tulee kohdella kaikkien niiden turvallisuutta samalla huolellisuudella. Jos sinulla on esimerkiksi kirjautuminen kissasi suosikkisivustollesi, sinun on noudatettava samoja varotoimia kuin kirjautumalla pankkiisi. Ei ehkä tunnu paljolta menettää pääsyä kaikkiin näihin ihastuttaviin viiksiin, mutta se voi olla vain hyökkäyksen hyökkääjä. Tämän "merkityksettömän" verkkosivuston rikkominen voi antaa hyökkääjälle lisätietoja sinusta, kuten toisen käyttäjänimesi, jota olet käyttänyt, toisen sähköpostiosoitteen, jota käytit kirjautumiseen, tai todellisia tietoja, joita voitaisiin käyttää muiden verkkosivustojen lukituksen avaamiseen.

Lisäksi jos se on merkityksetön verkkosivusto, on todennäköisempää, että ne eivät noudata asianmukaisia suojakäytäntöjä, mikä tarkoittaa, että jos salasanasi on pitkä ja monimutkainen, mutta ei ainutlaatuinen ja salasanoja ei ole tiivistetty oikein tallennettaessa, että salasanaa voidaan käyttää helposti muilla sivustoilla. Jälleen kerran, vain siksi, että sivusto on "merkityksetön", ei tarkoita turvallisuuttasi.

Vaihe 6: Pidä se piilossa

Hyvä - offline -tallennustila

Offline -tallennus voi olla hyvä vaihtoehto, jos olet unohtava henkilö. USB -tikku, jonka pidät lukittuna salasanojen kanssa, suojaa useimmilta hyökkäyksiltä, lukuun ottamatta perhettä ja ystäviä. Jos menetät tämän tikun jollakin tavalla, varmista, että salasanatiedosto tai koko asema on salattu ja että tikku on varmuuskopioitu johonkin erittäin turvalliseen paikkaan.

Tällä menetelmällä on paljon turvallisuutta, mutta mukavuuden kustannuksella.

Syy, miksi sen pitäisi olla offline -tilassa, selitetään tarkemmin alla. Muista, että monet laitteet varmuuskopioidaan automaattisesti pilveen nyt, vaikka et haluakaan. Lisäksi, jos liität tämän tikun laitteeseen, jossa on virus tai joka on vaarantunut, tiedot voidaan helposti kopioida.

Parempi - Muista kaikki

Muista kaikki salasanasi. Jos olet uskomattoman lahjakas, tämä voi olla vaihtoehto. Kukaan ei voi löytää niitä, ja sinulla on ne aina mukanasi. Jotkut huonot puolet ovat, että useimmat meistä eivät ole hämmästyttäviä muistamaan monimutkaisia asioita, ja heillä on taipumus puhua hieman liikaa juoman tai kahden jälkeen. Varsinkin kun kymmeniä salasanoja on muistettava, tämä ei todennäköisesti ole edes maallikon vaihtoehto.

Paras - Ei tallennustilaa

Paras skenaario on, ettet tallenna niitä ollenkaan. Joko jotenkin muistaa kaikki ainutlaatuiset, pitkät, monimutkaiset salasanasi tai voit luoda ne uudelleen lennossa. Jos tiedät niiden luomiseen tarvittavat ainesosat, hyökkääjä ei voi mitenkään "löytää" niitä, koska niitä ei ole olemassa ennen kuin niitä tarvitaan. Tämä saattaa kuulostaa monimutkaiselta, mutta se ei todellakaan ole sitä. Tästä lisää myöhemmin.

Offline -yhteyden merkitys

Verkkosivuja hallinnoivat ihmiset. Useimmilla sivustoilla on luultavasti turvallista olettaa, että näillä ihmisillä on yleensä hyvät aikomukset, mutta jopa parhaat ihmiset voivat tehdä virheitä. Pelkästään viime vuonna suurissa, yleensä turvallisissa yrityksissä, kuten Linked-In, Yahoo, Equifax, Apple ja Uber, tapahtui useita valtavia verkkosivujen tietoturvarikkomuksia. Nämä ovat suuria yrityksiä, joilla on turvallisuusosastoja, ja niitä rikottiin.

Pilvitallennustila kuulostaa hienolta ja tarjoaa mukavuutta, mutta mikä "pilvi" todellisuudessa on jonkun toisen tietokone, jota käytät tiedostojen tallentamiseen. Kuten edellä sanoin, ihmiset voivat tehdä virheitä. Jos näin tapahtuu, salasanasi voivat olla koko maailman saatavilla. Pilvisivustot ovat hyökkääjille valtava kohde niiden hallussa olevan datamäärän vuoksi. Riko pilvisivusto, pääset käsiksi kaikkiin tietoihin, joita miljoonat ihmiset ovat tallentaneet.

Olen varma, että osa tästä on vainoharhaisuutta, mutta kun valtava pala elämästäsi on piilotettu näiden salasanojen taakse, suojaa ne sellaisina.

Vaihe 7: Suositukseni

Tämä on ollut hyvin pitkä johdanto selittääkseen salasanasuojauksen pääpilarit. Jos noudatat näitä kuutta ohjetta, sinulla pitäisi olla minimaalisia tietoturvaongelmia verkossa, ja jos jotain tapahtuu, sen pitäisi pysähtyä lähteessä, ei levitä koko online -elämääsi.

Voit ratkaista nämä haasteet monella eri tavalla. Jotkut ovat parempia kuin toiset ja tarjoavat erilaisia etuja. Suosikkiratkaisuni on SuperGenPass (SGP). En ole missään yhteydessä, olen vain fani.

Yksinkertainen käyttää

SGP: llä on sovellus puhelimeesi ja painike, jonka voit lisätä selaimeesi. Kun siirryt verkkosivustolle ja se pyytää sinulta kirjautumista, napsauta painiketta. Pieni ikkuna avautuu. Anna pääsalasanasi. SGP luo salasanan tälle sivustolle ja kirjoittaa sen salasanaruutuun!

Pitkä

Voit valita luotavan salasanan pituuden. Tämä luo enintään 24 merkin salasanat, mikä on melko turvallista, mutta voit valita lyhyemmän, jos jotkin sivustot rajoittavat salasanasi pituutta.

Monimutkainen

Käytetään isoja, pieniä ja numeroita, mikä on melko turvallista. He eivät seuraa mitään tunnistettavaa mallia ilman sanoja tai lauseita. Mikään URL -osoitteestasi tai pääsalasanastasi ei ole tässä merkkijonossa.

Ainutlaatuinen

Jokaisella verkkosivustolla on täysin ainutlaatuinen salasana. Salasanat esimerkiksi1.com ja esimerkki2.com ovat täysin erilaisia, vaikka alkuperäisissä "ainesosissa" on vain yksi merkki. Kuten alla olevasta esimerkistä näet, "ainesosien" ja tuloksena olevan salasanan välillä ei ole yhteyttä ja ne eroavat toisistaan TODELLA.

masterpassword: example1.com -> zVNqyKdf7Fmasterpassword: example2.com -> eYPtU3mfVw

Varastointi

Se ei tallenna eikä lähetä tietoja. Se voidaan ajaa täysin offline -tilassa, jos olet huolissasi, eikä kukaan voi löytää tai varastaa niitä.

Vaihe 8: SGP: Asennus

SGP: n määrittäminen on erittäin yksinkertaista. Ensinnäkin haluat todennäköisesti lisätä sen kirjanmerkkipalkkiisi. Voit tehdä tämän siirtymällä osoitteeseen:

chriszarate.github.io/supergenpass/

Valittavana on 2 painiketta. Määritä tavallisesti käyttämäsi tietokone vetämällä vasen painike kirjanmerkkipalkkiin. Tämä antaa sinulle uuden painikkeen käytettäväksi.

Jos käytät jonkun toisen tietokonetta tulevaisuudessa, voit valita oikealla olevan painikkeen. Tämän avulla voit käyttää SGP: tä muuttamatta mitään heidän selaimessaan. Se on myös vaihtoehto mobiiliselaimelle.

Kun se on lisätty kirjanmerkkipalkkiin, napsauta painiketta. Se avaa pienen ikkunan verkkosivusi kulmaan. Pienen vaihteen napsauttaminen avaa asetukset.

Pituus

Vasemmalla oleva numero on salasanan pituus, jonka se luo. Suosittelen selaamaan eniten käyttämiäsi sivustoja ja asettamaan sen suurimman sallitun määrän. Yli 12 on suositeltavaa, mutta mitä pidempi, sitä parempi, varsinkin kun sinun ei tarvitse muistaa sitä.

Hash -tyyppi

Käytettävissä olevalla tiivisteellä on kaksi vaihtoehtoa: MD5 ja SHA. Molemmat luovat salasanat, joissa on isoja kirjaimia, pieniä kirjaimia ja numeroita. Tämän muuttaminen on yksinkertainen tapa vaihtaa kaikki salasanasi säilyttäen sama pääsalasana.

Salainen salasana

Salainen salasana -osa on lisätty tapa varmistaa, että kaikki on suojattu. Kun sovelma käynnistyy, jos sinulla on salainen salasana, se näyttää pienen kuvan salasanaruudussa. Tämän salasanan tulee AINA olla sama, kun se käynnistyy. Jos se käynnistyy ja tämä kuva ei ole se mitä se yleensä on, on mahdollista, että joku yrittää saada pääsalasanasi.

Pääsalasana

Tämä ei ole välttämätöntä asennuksen aikana, mutta se on erittäin tärkeää. Muista valita vahva salasana. Tämä on yksi salasana, jonka annat aina jokaiselle sivustolle. Varmista, että muistat sen, mutta se on monimutkaista, pitkää ja ei-henkilökohtaista.

Tallentaa

Kun olet valinnut kaikki asetukset, sulje asetukset napsauttamalla tallennuskuvaketta ja rataskuvaketta uudelleen

Vaihe 9: Käytä SGP: tä

Jos haluat käyttää SGP: tä, selaa verkkosivustoa tavalliseen tapaan. Kun sinun on annettava salasanasi, napsauta kirjanmerkkipalkkiisi lisäämääsi SGP -painiketta. Jos käytit salaista salasanaa SGP: n määrittämisessä, varmista, että salasanaruudussa näkyvä kuva vastaa sitä, joka se oli asetettaessa.

Kirjoita pääsalasanasi ja paina Enter. Tämä laskee yksilöllisen salasanasi tälle verkkosivustolle ja täyttää sen puolestasi! Kun kirjoitat pääsalasanaasi, kuvake päivittyy. Jos kuva ei vastaa tavallista kuvaketta, joko kirjoitit pääsalasanan väärin tai joku yrittää saada salasanasi.

Sivuston kirjoitustavasta riippuen SGP ei ehkä voi antaa salasanaa tai sivusto ei ehkä ymmärrä, että se on syötetty. Jos näin on, voit napsauttaa luotavan salasanan vieressä olevaa kopiointikuvaketta ja liittää sen manuaalisesti.

Kun salasanasi on syötetty, napsauta Kirjaudu ja olet siellä!

Vaihe 10: Viimeiset ajatukset

SGP ei ehkä toimi kaikille, ja se on OK. Se ei ole täydellinen ratkaisu, koska sellaista ei ole. Jos sinulla on jokin muu palvelu tai menetelmä, jota haluat käyttää salasanoissa, muista suojatun salasanan 6 vaihetta. Jos nykyinen menetelmäsi jää alle muutamalla näistä alueista, saattaa olla aika etsiä toinen ratkaisu. Kyllä, kaikkien tilien vaihtaminen voi kestää puoli päivää, mutta se olisi todennäköisesti vähemmän päänsärky kuin tilien rikkominen.

Huomautus verkkotallennuksesta: Jos palvelu tallentaa salasanasi verkossa/"pilvessä", tarkista niiden suojauskäytännöt ja varmista, että ne ovat hyviä. Sivusto kertoo todennäköisesti, mitä he tekevät salasanojen suojaamiseksi, jos he tekevät sen oikein. Jos et ole varma, lähetä heille sähköpostia ja kysy. Jos he eivät voi antaa sinulle hyvää/ytimekästä/tarkkaa vastausta, ole varovainen käyttäessäsi tätä palvelua.