ИТ сигурност Седем съвета за сигурна парола - цифрова

Актуални новини в Süddeutsche Zeitung

сигурна

Табло

икономика

Мюнхен

Култура

общество

Знание

ИТ сигурност: така работят защитените пароли

Отваряне на снимката в нова страница

Използвайте възможно най-много специални знаци, редовно сменяйте паролите - някои митове продължават.

(Снимка: Алесандра Шелнегер)

  • Потребителите трябва да проверят колко полезни и защитени са техните акаунти и пароли.
  • Тези седем препоръки ще ви помогнат да зададете добри пароли и да защитите по-добре акаунтите.

По-голямата част от интернет потребителите все още използват твърде прости пароли, дори за важни услуги. За тези, които вече използват дълги и сложни пароли, обаче се прилага следното: Не е добра идея да променяте твърде често данните за вход. Много ИТ отдели в компании и съветници редовно молят потребителите да измислят нещо ново. Разбира се, потребителите трябва да сменят паролите си, когато стане известно, че дадена услуга, в която са влезли, е била хакната. В противен случай данните ви са в опасност. Но ако няма такъв повод, няма какво да се каже за редовни промени.

Дори Бил Бър признава това. Преди работеше в Национален институт за стандарти и технологии (NIST), американска агенция, отговорна за технологичните стандарти. Там той пише препоръки за сигурни пароли, много хора и компании се ориентират върху тях. Това включваше и съвет за присвояване на нова парола на всеки 90 дни. През есента на миналата година Бър каза: "Съжалявам за много от направеното." Със своите съвети по това време той беше „на грешната лодка“.

Малко хора се грижат за ИТ сигурността

Само малък брой потребители приемат присърце основните правила на ИТ сигурността. Много митове за предполагаемо защитени пароли съществуват от години. Все още има твърде малко хора, които използват мениджъри на пароли и вместо това се опитват да запомнят техните данни за вход.

Ако принадлежите към тази група, трябва да се грижите за паролите си. Следните съвети могат да ви помогнат. Те се основават, наред с други неща, на препоръки от NIST. Агенцията иска да забрави лошите съвети на Бил Бър и миналата година издаде нови насоки за сигурността на паролите. Изискванията се отнасят за публични институции в САЩ. Но гражданите могат също да научат много от него:

Специалните знаци носят сравнително малко

За хората случайните комбинации от много специални знаци изглеждат загадъчни и следователно сигурни. Всъщност хакерите могат да разбиват подобни пароли относително лесно с така наречените атаки с груба сила. Софтуерът обикновено първо тества дълъг списък с често срещани фрази, като „парола“ или „123456“. Това е последвано от термини от речници и след това алгоритмите също изпробват специални символи.

NIST съветва операторите на сайтове да избягват сложни спецификации. Паролите вече не трябва да съдържат главна буква и два различни специални знака. Потребителите, твърди NIST, иначе само варираха стандартния си шифър: „Парола“ става „Pa $$ w0rt1 !“ - вариация, която алгоритмите могат лесно да познаят. По-добре е да използвате по-малко специални знаци, но като основа да използвате различни фрази.

Много специални знаци и се променят възможно най-често, след което паролата е безопасна. наистина ли?

От Марвин Стратман

Зависи от дължината

Дължината е по-важна от сложността. Дори съвременните компютри могат да отнемат години, за да разбият парола с 20 или повече знака. Поне, освен ако потребителите не използват популярни фрази като "DuKommstNichtVorbei". Според експертите от NIST паролите следователно трябва да се състоят от поне осем знака. Това число е абсолютният минимум, дванадесет знака значително увеличават сигурността, 16 е дори по-добре.

В допълнение, доставчиците трябва да позволят интервали, така че потребителите да могат да измислят не само отделни думи, но и цели фрази за преминаване. NIST съветва да премахнете или поне масово да увеличите ограниченията за дължината на паролите. Полезни са до 64 знака, за да могат да се използват по-дълги фрази за защита на важни акаунти.

Не използвайте пароли два пъти

На никого не би му хрумнало да използва само един ключ за входната врата, вратата на апартамента, сейфа и ключалката на велосипеда. Изглежда, че аналоговото внимание не е на място в дигиталния живот: много хора използват едни и същи пароли за множество акаунти. Това е фатално: когато хакерите откраднат данните за достъп, те почти винаги се опитват да влязат в други сайтове с тях.

Експертите от NIST препоръчват на операторите на сайтове да защитят безразсъдните потребители от себе си: Те трябва автоматично да сравняват паролите с други данни, например с информация за вход, известна от предишни хакове или дупки в сигурността. Те се събират в бази данни като Haveibeenpwned.com, където потребителите също могат сами да проверят дали техният имейл адрес е регистриран в услуги, които вече са били успешно атакувани от престъпници.

Автоматичното сравнение трябва да включва и други бази данни, например записи от речници или прости последователности като "aaaaaa", "1234abcd" или "qwertz". Ако алгоритъмът намери съвпадения, потребителите ще трябва да изберат нова фраза за сигурност. Това важи и ако използвате модификации на потребителски имена или други данни, които сте предоставили при регистрацията, като например дати на раждане или телефонни номера. Пример: Ако някой иска да влезе с потребителското име "SZ-четец", паролата не трябва да бъде "SZ-reader1".

Няма редовни промени

„Вашата парола е изтекла, моля, изберете нова.“ Служителите знаят такива имейли от своя ИТ отдел. Много малко се радват да бъдат помолени да променят паролата си - и то с право. NIST се е поучил от грешката на Бил Бър и не препоръчва промяна на идентификационните данни и паролите за вход на всеки няколко седмици. Тъй като потребителите са склонни да използват несигурни шифри, които лесно могат да запомнят. Има едно изключение: веднага щом операторът заподозре, че хакерите са откраднали данни, всички потребители трябва да бъдат предупредени незабавно и спрени за превключване.

Проблемите със сигурността носят малко сигурност

Чувството на червата казва: сменяйте паролите на всеки няколко месеца. Науката казва: не работи. Други методи предпазват много по-добре.

От Саймън Хърц

„Как се казваше първият ти домашен любимец?“, „Какво е моминското име на майка ти?“, „Кой е любимият ти цвят?“ Някои уебсайтове разчитат на такива проблеми със сигурността. По принцип това не е лоша идея, тъй като престъпниците се нуждаят от повече информация за жертвата, отколкото само от паролата. Такива данни обаче често могат лесно да бъдат намерени в Интернет.

Следователно NIST настоятелно препоръчва да не се изисква този метод като единственото удостоверяване за нулиране на паролата. Нападателите биха могли да отгатнат отговора на защитния въпрос или да го съберат от публична информация като профили в социалните мрежи. Ако успеят, те могат да зададат нова парола и да получат достъп до целия акаунт.

И обратно, за потребителите това означава: Ако имате избор между няколко въпроса за безопасност, тогава не бива да питате за любимото си животно или марката на колата си, когато публикувате снимки на котки и снимки от лятната си ваканция с автобус на VW едновременно във Facebook. Друг вариант: Никой не ви принуждава да отговаряте честно на въпросите за сигурността. Ако използвате любимия си цвят като моминско име на майка си, това ще направи много по-трудно атакуването. Само внимавайте да не се объркате.

Използвайте мениджъри на пароли

Паметта ви е най-лошото място за пароли. Писалката и хартията са само малко по-добри - ако загубите бележката или я нямате при себе си, заключвате се. Вместо това трябва да поверите данните си за вход на мениджър на пароли. Вие управлявате цялата информация за вход и я синхронизирате на множество устройства. Тогава потребителите трябва само да запомнят централна главна парола, за да имат достъп до всички входни данни. В допълнение, повечето мениджъри на пароли могат да генерират произволни пароли, които са по-сигурни от самоизработените фрази.

Въпреки че тези услуги също могат да бъдат хакнати, повечето доставчици криптират потребителските данни със защитени криптографски методи. Тогава цифровите нападатели получават само объркани низове, с които нямат много значение. Stiftung Warentest тества девет мениджъра на пароли и оцени четири от тях като „препоръчителни“.

Двуфакторно удостоверяване за важни акаунти

За акаунти с важни и чувствителни данни, като Facebook, Amazon или вашия имейл акаунт, уникалните и наистина сигурни пароли са задължителни. Можете обаче значително да подобрите защитата, ако използвате така нареченото двуфакторно удостоверяване (2FA).

След това, освен паролата, се изисква още един запис за влизане. Обикновено това е код, който получавате на вашия смартфон. Това означава, че хакерите се нуждаят не само от вашата парола, но и от физически достъп до мобилния ви телефон, ако искате да поемете вашия акаунт.

Тук можете да разберете кои услуги предлага 2FA, как активирате опцията и какво друго трябва да имате предвид.

Само парола не е достатъчна. Ако искате да защитите по-добре акаунтите си, трябва да използвате двуфакторно удостоверяване. Какво представлява и какво трябва да имат предвид потребителите.