[Информационная безопасность, Криптография, Хранение данных] Пароль как крестраж: ещё один способ защитить свои учётные данные (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями.
Прежде чем мы расскажем о крестражах как об элементе безопасности, давайте вспомним наиболее важные правила безопасности в интернете. Если этот раздел вам неинтересен, можете пролистнуть страницу до крестражей.Правила интернет-безопасности
- Длинный пароль лучше короткого. Если длина пароля составляет 16 символов, его почти невозможно подобрать. => cutesamantha15101995 > cutesamantha
- Случайные пароли лучше, чем пароли, позволяющие идентифицировать владельца пароля.=> process-cancel-stingy-garnet > cutesamantha15101995
Примечание: технически кодовая фраза process-cancel-stingy-garnet отлично может использоваться в качестве пароля. Она длинная и легко запоминается. В отличие от, скажем, B6fSpxMj&f6DU@5^k — длинного сложного пароля из случайных символов. 3. Иметь принципиально разные пароли для разных учётных записей.Один и тот же пароль для разных учётных записей — это всё равно, что один и тот же ключ для разных замков. Ведь вся суть нескольких замков в том, что они _разные_! Кроме того, если использовать несколько паролей, отличающихся одним словом, которое легко угадать (например, ниже), то вы сильно рискуете. Пароли должны отличаться. Например:
bounce-unfold-stunning-chute process-cancel-stingy-facebook
symptom-untouched-unpaid-arena > process-cancel-stingy-twitter
sediment-tweak-annually-koala process-cancel-stingy-gmail
4. По возможности используйте двухфакторную / многофакторную аутентификацию.Google, Facebook и многие другие сайты предлагают функцию двухфакторной аутентификации, когда второй фактор требуется только при входе в систему с нового устройства или из нового местоположения. Каждый раз вводить проверочный код не требуется. Это редкое сочетание удобства и безопасности! Примечание: рекомендую использовать andOTP (или любые другие приложения на основе TOTP), поскольку его нельзя подделать или подсмотреть на заблокированном экране, как SMS OTP, и для него не требуется мобильная сеть или подключение к интернету. Вы также можете использовать биометрию (отпечаток пальца или распознавание лица).Ух. Насколько реально вообще использовать длинный пароль для несметного количества сайтов, чтобы все они существенно отличались друг от друга, и при этом помнить каждый? Безопасность способна обеспечить серьёзную головную боль![Enter] Менеджер паролейМенеджер паролей помогает вам управлять всеми вашими паролями из одного окна, будь то расширение браузера, мобильное приложение или веб-сайт. Хорошие менеджеры паролей предложат расширение для браузера и мобильное приложение с функцией автоматического заполнения страницы входа в систему по одному клику мыши, избавляя от необходимости копировать, вставлять или вводить данные для входа. Некоторые из них способны распознавать фишинговые страницы и предупреждают вас, не показывая данные для авторизации на них.Они с легкостью включают все вышеперечисленные меры для надежной онлайн-безопасности. Я согласен, чтобы настроить менеджер паролей впервые, потребуются определённые усилия. Но после этого он вы просто бездумно пользуетесь им.Например, генератор паролей BitWarden позволяет создать случайный пароль с разными характеристиками.
Ура, я в безопасности! Вы аккуратно храните все свои пароли в надёжном менеджере паролей. Получается, что, вы можете расслабиться, зная, что ваша цифровая жизнь действительно защищена. Или нет?Что, если:
- Ваш главный пароль (пароль к вашему менеджеру паролей) скомпрометирован из-за нарушения безопасности или вы оставили его в виде открытого текста письме, заметках или другом приложении?
- Кто-то на время получил доступ к вашей разблокированной системе (компьютеру или телефону), когда вы отошли, а ваш менеджер паролей был запущен, и его содержимое можно было посмотреть?
Ответ: ты облажался.Когда кладёшь все яйца в одну корзину, то рискуешь, что все они могут уйти в небытие одним махом. И что тогда делать?Пароли как крестражНесмотря на все злодеяния, Волан-де-Морт сделал одно хорошее дело для нас, маглов. Он рассказал всему миру про концепцию крестража. Для непосвящённых: крестраж — это любой объект, в котором вы храните частичку своей души, складывая пресловутые яйца своей души в разные корзины, чтобы получить квази-бессмертие.Основная идея: вы разделяете свой пароль на 2 части. Одна хранится в менеджере паролей, а другая — в вашей голове (которую можно назвать крестраж).По сути, в любой момент времени вы и ваш менеджер паролей знаете только часть пароля. Это и есть двойной скрытый пароль. Фактически, как и Сами-Знаете-Кто, вы разбиваете свой пароль (душу) на части и храните их в разных местах.До:
#Как хранится в диспетчере паролей
Логин: rick
Пароль: rollthepeople1732
#Фактически выглядит
Логин: rick
Пароль: rollthepeople1732
Теперь:
#Как хранится в диспетчере паролей
Логин: rick
password: roll-the-people-venus
#Как хранится в вашей голове
Крестраж: papel
#Фактически выглядит
Логин: rick
Пароль: roll-the-people-venuspapel
Крестраж добавляет дополнительный уровень безопасности, разблокировать который можете только вы. Это своего рода двухфакторная аутентификация. Опять же, чем длиннее крестраж, тем лучше. Но простое слово тоже подойдет, если крестраж известен только вам.Если это кажется слишком сложным, используйте крестраж только для наиболее важных учётных записей: ваших социальных сетей, банковских счетов и т.д.Последний моментБезопасность никогда не бывает абсолютной. Можно попытаться защитить систему настолько, насколько это в принципе возможно. Но не стоит говорить, что она полностью безопасна (если вы видите, что кто-то утверждает обратное, то это обычно означает, что он пускает пыль в глаза). Если мы не можем сделать систему полностью безопасной, лучше всего сделать её как можно более безопасными. И хороший способ добиться этого: Глубокая защита. Убедитесь, что даже если один уровень безопасности будет нарушен, существуют другие. Создание многослойной защиты для смягчения возможного ущерба - это то, чего пытаются добиться многие специалисты по информационной безопасности.Резюмируем
- Используйте хороший менеджер паролей.
- Используйте TOTP/биометрию вместо OTP на основе SMS.
- Используйте крестраж для наиболее важных учёток.
P.S. Имейте в виду, что крестражирование работает нормально только до тех пор, пока вы не подключите свой мозг к NeuraLink и случайно не загрузите свои мысли в интернет, где все смогут их увидеть ;).Что ещё интересного есть в блоге Cloud4Y→ В Китае создали настольный квантовый компьютер стоимостью $5000→ Тим Бернерс-Ли предлагает хранить персональные данные в подах→ Виртуальные машины и тест Гилева→ Создание группы доступности AlwaysON на основе кластера Failover→ Как настроить SSH-Jump ServerПодписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
===========
Источник:
habr.com
===========
===========
Автор оригинала: Phani Karan
===========Похожие новости:
- [Информационная безопасность] В «Шереметьево» и «Домодедово» будут распознавать лица пассажиров вместо проверки паспорта
- [Информационная безопасность, Разработка игр, Игры и игровые приставки, IT-компании] Украденные данные CD Projekt Red проданы вне рамок аукциона
- [Хостинг, Хранение данных, Service Desk, Хранилища данных] Аренда сервера: как не потерять данные
- [Хранение данных, Накопители] От витражей к терабайтам: разгадываем тайны HAMR
- [Apache, Big Data, Хранение данных, Микросервисы] Импорт ЕГРЮЛ ФНС средствами Apache NiFi. Шаг 3 — преобразование JSON с помощью JOLT
- [Информационная безопасность, Здоровье] Причина взлома очистных сооружений в США — один пароль TeamViewer на всех и отсутствие брандмауэра
- [Высокая производительность, Информационная безопасность, IT-инфраструктура, Серверное администрирование] АМА-сессия «Service mesh 2021» 17 февраля
- [Информационная безопасность] Наглядно о фишинге в 2020 году на примере зоны RU
- [Информационная безопасность, Разработка веб-сайтов, Исследования и прогнозы в IT, IT-компании] Основываясь на статистике: неофициальное предложение Топ-10 OWASP 2021
- [Информационная безопасность] Привет из прошлого: кто, что и зачем пишет в журнале учета СКЗИ
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_hranenie_dannyh (Хранение данных), #_paroli (пароли), #_bezopasnost (безопасность), #_krestrazh (крестраж), #_autentifikatsija (аутентификация), #_blog_kompanii_cloud4y (
Блог компании Cloud4Y
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
), #_hranenie_dannyh (
Хранение данных
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:01
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями. Прежде чем мы расскажем о крестражах как об элементе безопасности, давайте вспомним наиболее важные правила безопасности в интернете. Если этот раздел вам неинтересен, можете пролистнуть страницу до крестражей.Правила интернет-безопасности
bounce-unfold-stunning-chute process-cancel-stingy-facebook
symptom-untouched-unpaid-arena > process-cancel-stingy-twitter sediment-tweak-annually-koala process-cancel-stingy-gmail Ура, я в безопасности! Вы аккуратно храните все свои пароли в надёжном менеджере паролей. Получается, что, вы можете расслабиться, зная, что ваша цифровая жизнь действительно защищена. Или нет?Что, если:
#Как хранится в диспетчере паролей
Логин: rick Пароль: rollthepeople1732 #Фактически выглядит Логин: rick Пароль: rollthepeople1732 #Как хранится в диспетчере паролей
Логин: rick password: roll-the-people-venus #Как хранится в вашей голове Крестраж: papel #Фактически выглядит Логин: rick Пароль: roll-the-people-venuspapel
=========== Источник: habr.com =========== =========== Автор оригинала: Phani Karan ===========Похожие новости:
Блог компании Cloud4Y ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_kriptografija ( Криптография ), #_hranenie_dannyh ( Хранение данных ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 06:01
Часовой пояс: UTC + 5