Najbolje prakse za kreiranje sigurnih lozinki

Informatec Digital » Resursi » Najbolje prakse za kreiranje sigurnih lozinki

U našem trenutnom digitalnom životu, svaki online račun koji otvorimo Pohranjuje potencijalno vrlo osjetljive informacije: lične podatke, razgovore, fotografije, videozapise, bankovne podatke ili poslovne dokumente. Zaštita svega toga uveliko ovisi o nečemu naizgled jednostavnom kao što je lozinka; učenje kako stvoriti jake lozinke Neophodno je, ali njegovo nepravilno kreiranje može otvoriti vrata prevari, krađi identiteta ili čak narušiti naš ugled ako neko koristi naše račune da se predstavlja kao mi.

Osim toga, mnogi naši računi su međusobno povezaniČesto koristimo istu email adresu za registraciju na društvenim mrežama, online trgovinama, bankama ili cloud servisima. Ako napadač uspije pristupiti samo jednom računu, a vi ponovo koristite istu lozinku negdje drugdje, šteta se može višestruko povećati. Zato je važno ozbiljno shvatiti kreiranje i korištenje jakih lozinki, čak i ako je to ponekad pomalo nezgodno.

Zašto su lozinke vaša prva linija odbrane

Jaka lozinka je prvi zaštitni zid između vaših podataka i bilo koga ko pokuša provaliti u vaše račune. Razmislite o svemu što pohranjujete: e-poruke s fakturama, povjerljivi dokumenti, privatne fotografije, podaci o vašim klijentima ili vašoj kompaniji... Ako neko dobije neovlašteni pristup, može ga iskoristiti za počinjenje prevare, ucjene ili krađe identiteta.

Također treba napomenuti da, kada je račun ukradenŠteta nije ograničena samo na finansijski aspekt. Uljez bi mogao slati poruke u vaše ime, objavljivati ​​uvredljiv sadržaj na vašim društvenim mrežama ili tražiti novac od vaših kontakata dok se predstavlja kao vi. Popravak štete nakon toga može biti vrlo dugotrajan i zahtijevati značajan trud.

Lozinke, kada se pravilno koriste, oni ti pomažu Zaštita ličnih podataka na Internetu Pod kontrolom: samo vi odlučujete ko će čemu pristupiti, odakle i kada. Ali da bi to bilo istina, moraju biti teški za pogoditi, nepovezani s vama i upravljani uz minimalnu digitalnu higijenu.

Još jedan ključni aspekt je da mnogi napadi više nisu ručni, već automatizirani. Cyber ​​kriminalci koriste programi koji testiraju milione kombinacija Ovi napadi koriste riječi, brojeve i uzorke na tastaturi ili ponovo koriste podatke procurele sa drugih web stranica (tzv. napadi "credential stuffing"). Ako je vaša lozinka jednostavna ili se ponavlja, laka ste meta.

Kakva bi trebala biti zaista sigurna lozinka?

Da bi se lozinka smatrala jakom, Nije dovoljno samo staviti nekoliko brojeva na krajGlavne sigurnosne agencije preporučuju minimalnu dužinu od 12 znakova, iako je 14 ili više još bolje ako usluga to dozvoljava.

Ključno je da ih kombinujete nasumično. velika, mala slova, brojevi i simboliNiz znakova poput „6MonkeysRLooking^“ ili „B1gOte_289!“ dobro ilustruje ideju: dovoljno znakova, mješavina tipova i ne riječ iz rječnika sama po sebi. Izbjegavajte da to bude očigledna fraza ili lako izvodljiv obrazac.

Podjednako važna je i lozinka ne sadrže lične podatkeNi vaše ime, ni imena vašeg partnera, djece ili kućnih ljubimaca, ni datumi rođenja, brojevi telefona, brojevi registarskih tablica, brojevi ličnih karata, poštanski brojevi, horoskopski znakovi ili očigledni hobiji. Sve je to prva stvar koju će napadač koji je prikupio informacije o vama pokušati.

Također je preporučljivo izbjegavati riječi koje se pojavljuju u rječnicima iz bilo kojeg jezika, čak i ako ih pišete unatrag ili s malom varijacijom. Programi za napad rječnikom testiraju ogromne liste uobičajenih riječi, uvreda, tehničkih termina i tipičnih kombinacija poput "password", "password123" ili slično.

Konačno, nikada ne koristite korisničko ime kao lozinka I nemojte koristiti lozinku koja je toliko slična da se može pogoditi na prvi pogled. Ako sumnjate da je vaša lozinka procurila ili da ju je neko vidio, odmah je promijenite bez oklijevanja.

Praktične metode za generiranje jakih i pamtljivih lozinki

Jedna od velikih dilema je da vrlo složene lozinke Lozinke je često teško zapamtiti. Ako ih morate zapisivati ​​na nezaštićenom papiru ili ih stalno resetirati, gubite dio sigurnosti koju ste stekli. Srećom, postoje vrlo jednostavne tehnike za kreiranje jakih lozinki koje vaše pamćenje može podnijeti bez naprezanja.

1. Kreirajte lozinke od fraze

Vrlo koristan trik je započeti s fraza koja ti zvuči poznato I značajno, ali ne i očigledno povezano s vama ili poznatom izrekom. To može biti stih iz pjesme, stih iz poeme, stih iz filma ili nešto što ste izmislili.

Na primjer, ako pomislite na "U Juanovom baru uvijek poslužuju velike tapase za 3 eura", možete se usredotočiti na prvo slovo svake riječi i zadržite brojeve: „EebdJspTga3€“. Zatim možete prilagoditi simbole ako neka usluga ne podržava znak eura, mijenjajući ga u neki drugi dozvoljeni specijalni znak.

Druga mogućnost je korištenje naslova ili fraza koje samo vi povezujete s temom, kao što je vaša omiljena pjesma, anegdota podijeljena s prijateljima ili uobičajeni, ali malo izmijenjeni komentar. Važno je da osnovna fraza bude... lako se pamti za vas i da konačni rezultat uključuje razne likove.

2. Zamijenite ili uklonite samoglasnike

Uobičajeni dodatak je pretvaranje nekih slova u brojeve ili simbole. Na primjer, možete odlučiti da a = 4, e = 3, i = 1, o = 0 i zamijeniti samo neke samoglasnike kako bi se dodatno zakomplicirala lozinka: „Seguridad“ bi postalo „53gur1d4d“. Ova shema je poznata napadačima, ali kada se kombinuje s drugim metodama, njena težina se i dalje povećava.

Druga varijanta je direktno ukloni sve samoglasnike (ili gotovo cijelu) izmišljenu riječ ili frazu. Ako počnete s nečim "čudnim" što samo vi razumijete i uklonite samoglasnike, rezultat će imati malo sličnosti sa stvarnim riječima, što će otežati napade rječnikom. Samo ne zaboravite naknadno dodati brojeve i simbole kako biste ga učinili robusnijim.

3. Pomiješajte riječ i broj prateći obrazac

Neki ljudi preferiraju nešto mehaničkije sheme, kao što su isprepliti slova riječi sa ciframa broja, uvijek istim redoslijedom. Zamislite da odaberete riječ "Brkovi" i broj "28921" i naizmjenično koristite: slovo, broj obrnutim redoslijedom i tako dalje. Rezultat bi mogao biti nešto poput "B1i2g9o8t2e".

Ova metoda kreiranja lozinki vas prisiljava da igrate malu mentalnu igru, koji pojačava pamćenje I izbjegava linearne nizove poput "mustache28921" koji bi se mnogo lakše razbili. Opet, jednostavno dodajte simbol i, ako želite, neka dodatna velika slova kako biste dodatno zakomplicirali jednačinu.

4. Kockice, Sudoku i druge "geekovske" tehnike

Ako želite ići korak dalje, postoje metode kao što su KockiceZasnovan je na bacanju kockica i korištenju lista riječi za generiranje potpuno nasumičnih kombinacija. Svako bacanje cilja na drugu riječ, a povezivanjem nekoliko riječi zajedno dobija se vrlo robustan niz fraza.

Još jedna kreativna ideja je nacrtati Mreža tipa Sudoku (Na primjer, 6x6), popunite ga nasumičnim brojevima, a zatim prstom nacrtajte uzorak, baš kao kada otključavate telefon. Cifre preko kojih prelazite prstom činit će osnovu vaše lozinke, kojoj zatim možete dodavati slova i simbole prema sistemu koji samo vi znate.

Prednost ovih pristupa je u tome što, ako promijenite brojeve mreže ili koristite prethodno riješen Sudoku, isti obrazac generira nove lozinkeSamo trebate zapamtiti mentalni crtež i pravila koja primjenjujete za transformaciju brojeva u slova i simbole.

Dobre i loše prakse pri odabiru lozinki

Osim načina na koji ih generirate, postoje određene karakteristike koje definirajte dobru lozinkuMeđu njima je da sadrži mješavinu velikih i malih slova, brojeva i simbola; da nije zasnovan na očiglednim riječima ili datumima; da je dovoljne dužine (bolje 12-15 znakova nego 8); i da ga je razumno lako zapamtiti bez potrebe da ga zapisujete na papir.

Na suprotnoj strani nalazimo primjere "Opasne" lozinke i izuzetno lako pogoditi. Ovo uključuje sva vlastita imena (vaša, članova porodice, partnera, prijatelja, kućnih ljubimaca), nazive kompanija ili domena, jednostavne riječi iz rječnika, nizove poput "aaaaaa" ili "123456", brojeve telefona, registarske tablice, PIN-ove kartica ili nizove znakova na tastaturi poput "qwertyui" ili "asdf1234".

Također je dobra ideja izbjegavati termine koji se odnose na vaše ukusi ili lični podaci koje obično objavljujete: omiljeni fudbalski tim, hobiji koji su vrlo vidljivi na društvenim mrežama, grad rođenja, nadimak po kojem ste poznati itd. Napadači mogu prikupiti sve ove informacije putem društvenog inženjeringa i testirati očigledne kombinacije na osnovu njih.

S druge strane, nije dobra ideja da vaša lozinka bude identičan ili vrlo sličan korisnikuAko je vaša email adresa „juan.perez@example.com“, korištenje nečega poput „juanperez2024“ je poklon svakome ko vas pokuša napasti. Što veću konceptualnu distancu postavite između svog javnog identiteta i svoje lozinke, to bolje.

U nekim uslugama postoje i ograničenja karakteraNa primjer, prihvataju samo ASCII znakove i ne dozvoljavaju akcente, ñ ili određene neobične simbole. U tim slučajevima, morat ćete prilagoditi svoju metodu (na primjer, izbjegavati znak eura ako ga sistem ne podržava) bez žrtvovanja složenosti.

Higijena lozinki: kako ih upravljati na dnevnoj bazi

Sigurnost lozinki nije ograničena samo na kreiranje dobrih lozinki; ona također uključuje kako ih koristite i skladištite svakodnevno. Ovaj skup navika se često naziva "higijena lozinki" i uključuje sve, od nedijeljenja lozinki do periodične provjere njihovog statusa.

Prvo, svaki važan račun treba imati jedan individualna lozinkaPonovna upotreba iste lozinke na više servisa jedna je od najčešćih grešaka: ako web stranica pretrpi kršenje podataka i vaša lozinka procuri, napadači će je pokušati koristiti u bankama, e-pošti, društvenim mrežama ili platformama za kupovinu. Ova vrsta automatiziranog napada poznata je kao "credential stuffing" (nakupljanje akreditiva).

Također se preporučuje promjena lozinki kada postoje indikacije rizikaAko vas servis upozori na sumnjiv pristup, ako primijetite neobičnu aktivnost ili ako kompanija potvrdi kršenje sigurnosti podataka, trebali biste ažurirati svoju lozinku. Neke starije politike zahtijevale su promjenu lozinki svaka tri mjeseca, ali danas je uobičajenije ažurirati ih kada postoje dokazi o kompromitaciji ili ako otkrijete slabu lozinku.

Neophodno ih je odmah zamijeniti. unaprijed definirane lozinke Ovi ključevi dolaze unaprijed instalirani na ruterima, kontrolnim panelima, IoT uređajima ili novokreiranim računima (na primjer, ako vam je poslan privremeni broj ugovora). Ovi ključevi su obično javni, kratki ili ih je vrlo lako pogoditi.

I naravno, Ne birajte opciju "zapamti lozinku" na preglednicima ili uređajima koje ne kontrolirate (dijeljeni računari, internet kafići, poslovni računari otvoreni za više ljudi). Pohranjivanje vjerodajnica u nesigurnim okruženjima poziva bilo koga da pristupi vašem identitetu.

Gdje i kako pohraniti lozinke bez greške

Mnogi ljudi na kraju zapišu svoje lozinke na komad papira zalijepljen za ekran, u bilježnicu na stolu ili u datoteku pod nazivom "passwords.xlsx" na radnoj površini. Ova rješenja su vrlo praktična, ali užasno u pogledu sigurnostiSvako ko ima fizički ili udaljeni pristup uređaju može preuzeti sve vaše račune.

Ako odlučite da ih zapišete negdje fizički, pokušajte da to bude neko mjesto sigurno i suptilnodaleko od računara koji štite. Uprkos tome, to nije najbolja opcija za poslovna okruženja ili za posebno osjetljive račune (bankarstvo, administracija sistema, kontrolne table kupaca itd.).

Moderna i sigurnija alternativa je korištenje menadžer lozinkiOve aplikacije pohranjuju vaše šifrirane ključeve, generiraju vrlo složene kombinacije i automatski ih popunjavaju kada vam zatrebaju. Potrebno je samo da zapamtite jaku glavnu lozinku i, u mnogim slučajevima, omogućite višefaktorsku autentifikaciju za pristup samom upravitelju.

Ugledni upravitelji lozinki ažuriraju vaše lozinke, upozoravaju vas ako su neke slabe ili kompromitirane i čuvaju ih sigurnima čak i ako vam neko ukrade uređaj. Kombinacija jake enkripcije i dvofaktorske autentifikacije (2FA) izuzetno otežava trećoj strani pristup vašem trezoru lozinki.

Ako i dalje ne želite koristiti menadžera, možete se odlučiti za mnemotehnička pravila Kao što je već spomenuto (fraze, obrasci, transformacije), primjena malih varijacija ovisno o web stranici. Na primjer, umetanje naziva usluge na određeno mjesto u ključu, promjena određenog slova ovisno o vrsti računa itd. Važno je da vam sistem odgovara i da vas ne navodi na preveliko pojednostavljivanje.

Zaštitite svoje lozinke od phishinga i socijalnog inženjeringa

U mnogim slučajevima, napadači se ne trude tehnički probiti lozinku, već umjesto toga pokušavaju da te prevari da mu to dašTo se dešava sa phishingom i drugim tehnikama socijalnog inženjeringa: e-porukama, SMS porukama ili pozivima koji se lažno predstavljaju kao vaša banka, poznata online prodavnica ili čak pouzdani kontakt.

Ako primite e-poruku koja se predstavlja kao da je od poznate kompanije i od vas se traži Potvrdite svoju lozinkuUnos vaših podataka u sumnjivi link ili slanje osjetljivih podataka "radi sigurnosti" trebalo bi odmah izazvati sumnju. Isto važi i ako primite telefonski poziv navodno iz vaše banke ili platne platforme u kojem se traži vaša lozinka radi "potvrde" vašeg identiteta.

Ove prevare često oponašaju izgled legitimnih web stranica, kopirajući logotipe, boje i tekst kako bi izgledali autentično. Zato je važno uvijek pristupati uslugama samo putem legitimnih kanala. od markera povjerenja ili tako što ćete sami upisati adresu u preglednik, umjesto da slijedite linkove koji se nalaze u neočekivanim e-porukama ili porukama.

Ako imate bilo kakvih nedoumica, posjetite službenu web stranicu banke, trgovine ili servisa upisivanjem URL-a koji već znate ili pozovite broj telefona naveden na njihovoj službenoj stranici. Nikada ne dijelite svoju lozinku putem e-pošte, poruka ili telefona, čak i ako se čini da je traži neko kome vjerujete ili serviser.

Višefaktorska autentifikacija i dodatni koraci zaštite

Čak i uz sve navedeno, uvijek postoji mogućnost da neko dođe do vaše lozinke. Zato se toplo preporučuje aktiviranje Višefaktorska autentifikacija (MFA ili 2FA) pod uslovom da je dostupna. Ovaj sistem zahtijeva više od same lozinke: na primjer, privremeni kod poslan SMS-om ili generiran aplikacijom, fizički ključ ili biometrijski sistem prepoznavanja.

Ideja je jednostavna: čak i ako napadač uspije doći do vaše lozinke, Nećete se moći prijaviti. Ako nedostaje taj drugi faktor. Mnoge velike platforme (Google, Microsoft, društvene mreže, banke itd.) već nude ovaj sistem, a u poslovnim okruženjima on postaje neizostavan standard.

Još jedan koristan poticaj je održavanje vašeg informacije o oporavku: alternativna e-mail adresa i rezervni broj telefona (pogledajte kako oporaviti moj Gmail računOve informacije vam omogućavaju da otkrijete anomalan pristup, oporavite svoj račun ako zaboravite lozinku ili ako je neko pokuša promijeniti i primate upozorenja u slučaju sumnjivih aktivnosti.

Međutim, s ovim podacima postupajte pažljivo: periodično provjeravajte da li su još uvijek ažurni (mobilni telefon koji više ne koristite je od male koristi) i izbjegavajte njihovo nepažljivo dijeljenje na nepouzdanim obrascima ili društvenim mrežama.

Ako sumnjate da je neki od vaših računa kompromitovan, brzo reagirajte: promijenite pogođenu lozinkuZatvorite otvorene sesije na drugim uređajima i pregledajte nedavne aktivnosti. Za kritične usluge (primarni e-mail, bankarstvo, korporativni alati), možda bi bilo pametno promijeniti i druge povezane lozinke.

Specifične preporuke u ličnom i poslovnom okruženju

Na ličnom nivou, cilj je jednostavan: zaštititi vaše privatne podatke i spriječiti korištenje vaših računa u zlonamjerne svrhe. Da biste to učinili, jednostavno slijedite najbolje prakse navedene iznad: duge i jedinstvene lozinkeKoristite snažan upravitelj lozinki ili mnemoničke alate, 2FA kad god je to moguće i izbjegavajte dijeljenje lozinki s prijateljima ili porodicom; ako je neophodno, naučite sigurno dijeliti lozinke "Jer se, na kraju krajeva, ništa ne dešava."

U poslovnom okruženju, lozinke postaju još važnije, jer Oni mogu omogućiti pristup korporativnim informacijamaOvo uključuje radne alate, baze podataka o kupcima i kritične sisteme. Bitno je da svaki zaposlenik ima vlastite pristupne podatke, da se generički korisnički računi ne dijele i da su datoteke ili sistemi u kojima se pohranjuju lozinke posebno zaštićeni.

Organizacije bi trebale definirati jasne politike lozinkiminimalna dužina, potrebna složenost, korištenje korporativnih menadžera, obaveza aktiviranja MFA na kritičnim računima, zabrana pisanja ključeva na samoljepljivim papirićima ili nešifriranim dokumentima i promjena procedura kada se neko pridruži ili ode.

Osim toga, preporučljivo je ojačati obuka u osnovna kibernetička sigurnost Za sve zaposlenike: prepoznajte phishing e-poruke, pažljivo provjerite web adrese prije unosa podataka za prijavu, odmah prijavite sve izgubljene ili ukradene uređaje s pristupom računu itd. Najbolja lozinka na svijetu je beskorisna ako je korisnik nenamjerno da prevarantu.

Ukratko, lozinke su poput digitalne četkice za zube: Oni se ne dijele, o njima se brine i obnavljaju. Kada dođe vrijeme. Kombiniranjem dugih, jedinstvenih i dobro konstruiranih lozinki, dobrih navika upravljanja, upravitelja lozinki kada je to potrebno i višefaktorske autentifikacije na najvažnijim servisima, možete znatno otežati život napadačima i upravljati svojim online životom s mnogo većim mirom.