Contrasenyes: Com fer-les bé: 10 passos

2024 Autora: John Day | [email protected]. Última modificació: 2024-01-30 08:15

A principis d’aquest any, la meva dona va perdre l’accés a alguns dels seus comptes. La seva contrasenya va ser extreta d'un lloc incomplert, que després es va utilitzar per accedir a altres comptes. No va ser fins que els llocs van començar a notificar-li els intents d’inici de sessió fallits que es va adonar que passava alguna cosa.

També he parlat amb diverses persones que diuen que utilitzen la mateixa contrasenya per a cada lloc. Aquestes dues coses han estat suficients per animar-me a escriure aquest Instructable.

La seguretat de contrasenyes és una part molt petita de la seguretat en línia en el seu conjunt. Gairebé tots els comptes requereixen algun tipus d’inici de sessió per permetre l’accés a tot allò que protegeixi. Aquesta única cadena sol ser tot el que hi ha entre un atacant i la vostra informació personal, diners, imatges personals o aquells punts de viatge que heu estat recopilant durant anys.

Aquesta instrucció té com a objectiu cobrir algunes pràctiques recomanades per crear contrasenyes. Si sou algú que té la mateixa contrasenya per a tots els llocs web, les contrasenyes són un patró del teclat o teniu la paraula "contrasenya" a la vostra contrasenya, és útil per a vosaltres.

Exempció de responsabilitat

No sóc expert en seguretat. Aquesta informació s’ha après i investigat al llarg del temps i només és una recomanació i un resum d’un tema molt complex. Aquest tutorial es va escriure a principis del 2018 i és possible que estigui obsolet en el moment en què el llegiu.

TL; DR

Si no us preocupa tot el meu raonament i explicació que hi ha darrere de les contrasenyes i només voleu una manera fàcil de crear contrasenyes segures, aneu al darrer pas.

Pas 1: feu-lo llarg

La longitud és un component molt important per a la seguretat de contrasenyes. Amb la velocitat dels ordinadors cada vegada més ràpida, les contrasenyes es poden provar a velocitats sorprenents. Això s'anomena trencament de contrasenya de "força bruta". Va lligant totes les combinacions possibles de caràcters fins que trobeu el que coincideix.

En teoria, això fa que qualsevol contrasenya es pugui trencar amb un temps suficient. Per sort, com més llarga sigui la contrasenya, més tardaria aquest tipus d’atac. Cada personatge que afegiu a la longitud fa que la dificultat sigui molt més dura. Si és prou llarg, podrien trigar dècades a trobar-la d’aquesta manera, cosa que fa que no valgui la pena per a un atacant.

Exemple

Suposem que teniu una contrasenya que només és majúscula. No és una bona idea, però només a títol il·lustratiu. Cada vegada que afegiu un altre caràcter a la contrasenya, multiplica el nombre de contrasenyes possibles per 26. Si teniu una contrasenya d’1 caràcter, tindria 26 contrasenyes possibles, 2 caràcters tindrien 676 contrasenyes possibles, etc..

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Com podeu veure, cada lletra que afegiu fa que aquest atac sigui molt més difícil i pràcticament impossible amb prou caràcters. Recordeu, això només passa amb majúscules. Un cop es tornen més complexos, aquest efecte s’amplia.

Pas 2: feu que sigui complex

La complexitat és un altre factor important en la seguretat de les contrasenyes. Si alguna vegada es infringeix un lloc web, és probable que s’extreguin els noms d’usuari i les contrasenyes. Com a nivell bàsic de seguretat, és d'esperar que el lloc web tingui les contrasenyes desglossades (similars al xifratge) abans d'emmagatzemar-les. Això vol dir que es barallen abans d’entrar a la base de dades i que no hi ha manera d’invertir-los.

Tot això sona bé. No importa quina sigui la vostra contrasenya perquè està confusa, oi? Aquest no és el cas si la vostra contrasenya no és complexa. S’utilitzen algoritmes de hash estàndard (SHA1, MD5, SHA512, etc.) i sempre tindran el mateix hash de la mateixa manera. Per exemple, si utilitzeu SHA1 i la vostra contrasenya era "contrasenya", sempre s'emmagatzemaria a la base de dades com a "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Crear els hashs requereix temps i ordinador, i és pràcticament impossible calcular tots els hash possibles per a totes les contrasenyes possibles. El que ha fet la gent és fer "diccionaris" de contrasenyes habituals. Per descomptat, hi haurà coses com ara "contrasenya" o "qwerty", així com d'altres menys habituals. Hi haurà milions de contrasenyes en aquests diccionaris i només trigaran uns quants segons a passar per cada entrada i comparar el hash conegut amb el hash de la vostra contrasenya. Això s'anomena "atac de diccionari". Si la vostra és una de les que ja s'han calculat, el garbling no protegirà la vostra contrasenya i es podrà utilitzar en altres llocs.

A més, canviar lletres per números no afegeix complexitat. Pot semblar més complex canviar E a 3 o I a 1, però és una pràctica tan habitual que no aporta més seguretat. Els programes de cracking tenen una opció que provarà automàticament aquestes variacions.

Pas 3: feu-lo únic

Recordar les contrasenyes és difícil. Amb la nostra vida cada vegada més en línia, no és estrany que cada persona tingui més de 50 comptes en línia, cadascun amb el seu propi inici de sessió. Això pot ser molt difícil de fer un seguiment.

La manera més habitual de fer-ho és triar una contrasenya "bona" i utilitzar-la en un munt de llocs web diferents. Aquesta és una idea terrible. Tot el que es necessita és que un incompliment de seguretat o un lloc web de pesca obtingui el vostre nom d’usuari i contrasenya per iniciar la pilota. Els atacants podrien provar aquest nom d’usuari i contrasenya en centenars de llocs web en qüestió de segons. Això els portaria automàticament a tots els llocs web amb el mateix nom d'usuari que el compromès.

Sé que tenir una contrasenya diferent per a cada lloc sembla una tasca descoratjadora, però explicarem com gestionar-ho més endavant.

Pas 4: res personal

La vostra informació no és tan privada com creieu. Si feu una cerca ràpida en línia, podreu trobar fàcilment la vostra data o adreça de naixement. Si s'ha incomplert un altre compte, es pot obtenir encara més informació. Si hi ha un atacant que intenta accedir als vostres comptes, aquestes serien contrasenyes òbvies de provar. També deixa l’entrada oberta a familiars, amics o fins i tot coneguts.

Pas 5: tractar totes les contrasenyes amb la mateixa cura

En tractar amb llocs web, haureu de tractar la seguretat de tots ells amb el mateix nivell de cura. Per exemple, si teniu un inici de sessió al vostre lloc web preferit de gats, heu de prendre les mateixes precaucions que el vostre inici de sessió bancari. Pot ser que no sembli molt perdre l'accés a tots aquests adorables bigotis, però això podria ser només un pas per a un atacant. Si infringiu aquest lloc web "sense importància", podríeu proporcionar a un atacant més informació vostra, com ara un altre nom d'usuari que hàgiu utilitzat, un altre correu electrònic que hàgiu utilitzat per iniciar la sessió o informació real que es podria utilitzar per desbloquejar altres llocs web.

A més, si es tracta d’un lloc web sense importància, hi ha més possibilitats que no segueixin les pràctiques de seguretat adequades, cosa que significa que si la vostra contrasenya és llarga i complexa, però no única, i les contrasenyes no s’han resumit correctament quan s’emmagatzemen, aquesta contrasenya es pot utilitzar fàcilment en altres llocs web. Una vegada més, el fet que el lloc no sigui "important", no vol dir que sigui la vostra seguretat.

Pas 6: manteniu-lo amagat

Bé: emmagatzematge fora de línia

L’emmagatzematge fora de línia pot ser una bona opció si sou una persona que oblida. Tenir una memòria USB que mantingueu bloquejada amb les vostres contrasenyes protegeix contra la majoria dels atacs, a excepció de la família i els amics. En cas que perdeu aquesta memòria d'alguna manera, assegureu-vos que el fitxer de contrasenya o tota la unitat està xifrat i que la memòria està protegida en algun lloc molt segur.

Aquest mètode té molta seguretat, però a costa de la comoditat.

A continuació s’explica amb més detall el motiu pel qual hauria d’estar fora de línia. Tingueu en compte que ara es fan còpies de seguretat automàtiques al núvol de molts dispositius, encara que no ho vulgueu fer. A més, si alguna vegada connecteu aquest dispositiu a un dispositiu que tingui un virus o estigui compromès, les dades es podrien copiar fàcilment.

Millor: recordeu-ho tot

Recordeu totes les vostres contrasenyes. Si teniu un talent increïble, aquesta pot ser una opció. No hi ha manera que algú els trobi i sempre els teniu amb vosaltres. Alguns aspectes negatius són que la majoria de nosaltres no som increïbles en recordar coses complexes i solem parlar una mica massa després d’una copa o dues. Especialment amb dotzenes de contrasenyes per recordar, és probable que ni tan sols sigui una opció per als laics.

Millor: sense emmagatzematge

El millor dels casos és que no els guardeu en absolut. Recordeu d’alguna manera totes les vostres contrasenyes úniques, llargues i complexes o teniu una manera de recrear-les sobre la marxa. Si coneixeu els ingredients necessaris per recrear-los, no hi ha cap manera que un atacant els pugui "trobar" perquè no existeixen fins que no calgui. Pot semblar complicat, però realment no ho és. Més informació sobre això més endavant.

La importància del desconnectat

Els llocs web són gestionats per persones. Per a la majoria de llocs web, probablement és segur assumir que aquestes persones solen tenir bones intencions, però fins i tot les millors persones poden cometre errors. Només l'any passat, hi va haver una sèrie de grans incompliments de seguretat de llocs web de grans empreses generalment segures com Linked-In, Yahoo, Equifax, Apple i Uber, per citar només algunes. Es tracta de grans empreses amb departaments de seguretat i que es van incomplir.

L’emmagatzematge al núvol sembla fantàstic i ofereix comoditat, però el que és un "núvol" en realitat és l’ordinador d’una altra persona que utilitzeu per emmagatzemar els vostres fitxers. Com he dit més amunt, la gent pot cometre errors. Si això passa, les vostres contrasenyes podrien estar disponibles per al món. Els llocs en núvol són un objectiu gegant per als atacants a causa de la quantitat de dades que tenen. Trencar el lloc del núvol i accedir a tota la informació que potencialment milions de persones han emmagatzemat.

Estic segur que alguna cosa d'això és paranoia, però amb un gran tros de la vostra vida amagat darrere d'aquestes contrasenyes, protegiu-les com a tals.

Pas 7: la meva recomanació

Aquest ha estat un llarg preàmbul per explicar els pilars principals de la seguretat de contrasenyes. Si seguiu aquestes 6 directrius, hauríeu de tenir problemes mínims de seguretat en línia i, si passa alguna cosa, hauria d’aturar-se a la font i no estendre’s a la resta de la vostra vida en línia.

Hi ha moltes maneres diferents de resoldre aquests reptes. Alguns són millors que d’altres i aporten diferents avantatges. La meva solució preferida és SuperGenPass (SGP). No estic afiliat de cap manera, només sóc fan.

Fàcil d'utilitzar

SGP té una aplicació per al telèfon i un botó que podeu afegir al navegador. Quan aneu a un lloc web i us demani el vostre inici de sessió, feu clic al botó. Apareixerà una finestra petita. Introduïu la vostra contrasenya mestra. SGP generarà una contrasenya per a aquest lloc i l’introduirà al quadre de contrasenya.

Llarg

Podeu triar la longitud de la contrasenya que es crea. Això generarà contrasenyes de fins a 24 caràcters, la qual cosa és bastant segur, però podeu triar més curt si alguns llocs web limiten la longitud de la vostra contrasenya.

Complex

S'utilitzen majúscules, minúscules i números, cosa que és bastant segura. No segueixen cap patró reconeixible sense paraules ni frases. No hi ha res de la vostra URL o contrasenya mestra en aquesta cadena.

Únic

Cada lloc web tindrà una contrasenya totalment única. Les contrasenyes per example1.com i example2.com són completament diferents, tot i que només hi ha un caràcter diferent als "ingredients" inicials. Com podeu veure a l'exemple següent, no hi ha cap connexió entre els "ingredients" i la contrasenya resultant i són MOLT diferents entre si.

contrasenya principal: exemple1.com -> zVNqyKdf7F contrasenya principal: exemple2.com -> eYPtU3mfVw

Emmagatzematge

Emmagatzema i no transmet dades. Es pot executar completament fora de línia si us preocupa i no hi ha manera que algú els pugui trobar o robar.

Pas 8: SGP: configuració

Configurar SGP és molt senzill. En primer lloc, probablement voldreu afegir-lo a la barra de marcadors. Per fer-ho, aneu a:

chriszarate.github.io/supergenpass/

Hi haurà 2 botons per triar. Per configurar un ordinador que normalment utilitzeu, arrossegueu el botó esquerre a la barra d'adreces d'interès. Això us donarà un nou botó per utilitzar-lo.

Si utilitzeu l'ordinador d'una altra persona en el futur, podeu seleccionar el botó de la dreta. Això us permetrà utilitzar SGP sense canviar res al navegador. També és una opció per a un navegador mòbil.

Un cop s'hagi afegit a la barra d'adreces d'interès, feu clic al botó. S'obrirà una petita finestra a la cantonada de la vostra pàgina web. En fer clic a l’engranatge petit s’obriran els paràmetres.

Llargada

El número a l'esquerra és la longitud de la contrasenya que generarà. Us recomano consultar els llocs que utilitzeu més i establir-lo al nombre més alt que permetran aquests llocs. Es recomana més de 12 anys, però com més temps millor, sobretot perquè no cal recordar-ho.

Tipus de hash

Hi ha dues opcions per a quin tipus de hash s’utilitza, MD5 i SHA. Tots dos generaran contrasenyes amb majúscules, minúscules i números. Canviar això és una manera senzilla de canviar totes les contrasenyes mantenint la mateixa contrasenya mestra.

Contrasenya secreta

La secció de contrasenya secreta és una forma addicional per assegurar-vos que tot és segur. Quan s’iniciï l’applet, si teniu una contrasenya secreta, mostrarà una imatge petita al quadre de contrasenya. Aquesta contrasenya hauria de ser SEMPRE la mateixa quan s’iniciï. Si s’inicia i aquesta imatge no és la que sol ser, hi ha la possibilitat que algú intenti obtenir la vostra contrasenya mestra.

Contrasenya mestra

Això no és necessari durant la configuració, però és molt important. Assegureu-vos de triar una contrasenya segura. Es tracta d’una única contrasenya que sempre introduïu a tots els llocs. Assegureu-vos que sigui una cosa que recordeu, però que sigui complexa, llarga i no personal.

Desant

Quan hàgiu triat tots els paràmetres, torneu a fer clic a la icona de desar i a la icona d'engranatge per tancar la configuració

Pas 9: utilitzeu SGP

Per utilitzar SGP, aneu a un lloc web com ho faríeu normalment. Quan hàgiu d'introduir la contrasenya, feu clic al botó SGP que heu afegit a la barra d'adreces d'interès. Si heu utilitzat una contrasenya secreta en configurar SGP, assegureu-vos que la imatge que apareix al quadre de contrasenya coincideixi amb la que era quan la vau configurar.

Escriviu la contrasenya mestra i premeu Retorn. Això calcularà la vostra contrasenya única per a aquest lloc web i l’emplenareu per vosaltres. A mesura que escriviu la contrasenya mestra, la icona s'actualitzarà. Si la imatge no coincideix amb la icona que teniu habitualment, o bé heu escrit malament la contrasenya mestra o bé algú intenta obtenir la vostra contrasenya.

Depenent de com estigui escrit el lloc, és possible que SGP no pugui introduir la contrasenya o que el lloc no se n'adoni que s'ha introduït. Si és així, podeu fer clic a la icona de còpia situada al costat del quadre de contrasenya generat i enganxar-la manualment.

Un cop hàgiu introduït la vostra contrasenya, feu clic a Inicia sessió i ja hi sou.

Pas 10: Pensaments finals

Pot ser que el SGP no funcioni per a tothom, i això està bé. No és la solució perfecta perquè no hi ha tal cosa. Si teniu un altre servei o mètode que us agrada utilitzar per a contrasenyes, tingueu en compte els 6 passos per obtenir una contrasenya segura. Si el vostre mètode actual es queda curt en un parell d’aquestes àrees, podria ser el moment de buscar una altra solució. Sí, pot passar mig dia canviar tots els vostres comptes, però probablement això suposaria un mal de cap més que no pas tenir comptes.

Una nota sobre l'emmagatzematge en línia: si el servei emmagatzema les vostres contrasenyes en línia o al "núvol", comproveu les seves pràctiques de seguretat per assegurar-vos que siguin bones. És probable que el lloc us indiqui què fan per protegir les vostres contrasenyes si ho fan correctament. Si no esteu segur, envieu-los un correu electrònic i pregunteu-los. Si no us poden donar una resposta bona / concisa / precisa, tingueu precaució quan utilitzeu aquest servei.