Hogyan válasszunk bejelentkezési nevet és jelszót

Gyors navigáció az oldalon:

Ahogy elnevezed a hajót, úgy fog hajózni, vagy mi választunk nevet
Válassz jelszót
Nincsenek titkos kérdések

Ma délelőtt egy másik szolgáltatásba bejelentkeztem, és azon gondolkodtam, hogyan tudok bejelentkezést és jelszót létrehozni úgy, hogy azok eltérjenek a fő bejelentkezési neveimtől és jelszavaimtól, ugyanakkor egyrészt biztonságosak, másrészt kényelmesek. Mire vezettek a gondolataim – olvass tovább.

Ahogy elnevezed a hajót, úgy fog hajózni, vagy mi választunk nevet

A bejelentkezés kiválasztása szubjektív dolog, amely elsősorban a személyes preferenciáktól függ. Itt csak két fő pontot emelnék ki:

Anonimitás vs. felismerhetőség

A bejelentkezés kiválasztásakor gondoljon arra, hogy mit szeretne elérni: a teljes egyediséget és az elismerést, vagy éppen ellenkezőleg, az anonimitást?

Az első esetben olyan bejelentkezést kell végrehajtania, amelyet sehol máshol nem ismételnek meg - ha ezen a néven lesz jelen a különböző platformokon (blogokon, fórumokon stb.), akkor azonosítható lesz.

Ha éppen ellenkező céljai vannak, akkor éppen ellenkezőleg, vegye fel a leggyakoribb neveket és beceneveket.

Biztonság

Alapvetően ez a pont akkor releváns, ha kiválaszt egy bejelentkezést az adminisztrációs panelhez a webhelyén vagy valamilyen blogon/fórumon/szolgáltatásban, ahol minden felhasználónak ugyanaz a neve (például Masha Petrova), és Ön egyszerre jelentkezik be. mint masha_petrova.

Ismeretes, hogy sok WordPress és más CMS-blog rendszeresen megpróbálja feltörni a jelszavak felsorolását. Sajnos ez párszor megtörtént velem – könnyű ötjegyű jelszavam volt. Ennek eredményeként a támadó belépett az adminisztrátorba, és vírust töltött fel az oldalra.

Ez nem történt volna meg, ha a biztonságra gondoltam volna a bejelentkezés kiválasztásakor. Ugyanis volt admin bejelentkezésem, és ennyia legtöbb nyers erővel – jelszófelsorolással – foglalkozó szkriptet kiszámolták.

Elég lenne más bejelentkezést választani, és a jelszavak közötti válogatás sem lenne ijesztő.

Ebben a tekintetben nem lehet olyan neveket választani, mint például adminisztrátor vagy olyan nevek, amelyek egybeesnek a webhely nevével vagy domainjével.

Szintén nem érdemes még egyszer felvillantani a postafiókját, főleg ha bejelentkezést is tartalmaz – ezért nem javaslom a mailto tag használatát az oldalakon.

Válassz jelszót

Mint ismeretes, az adatbázisokban a felhasználói jelszavakat titkosított formában tárolják (általában az MD5 algoritmust és annak módosításait használják). Ez azt jelenti, hogy ha valaki hozzáfér az adatbázishoz, akkor nem az Ön jelszavát fogja megkapni, hanem egy karaktersorozatot – például 1a1dc91c907325c69271ddf0c944bc72 (a megadott példa a „pass” szó md-5 hash-je).

Ebből a karaktersorozatból a támadó nem tudja visszaállítani az Ön jelszavát (az algoritmus nem teszi lehetővé), de képes lesz szoftverrel (amely nagy számban létezik nyilvánosan) jelszóellenőrzést futtatni - a program készít belőlük egy md5 hash-t, és addig összehasonlítja a meglévő hash-sel, amíg meg nem találja a megfelelő opciót.

Így például kiválaszthat jelszót a legtöbb wordpress blog adminisztrátorának (hash-sel, és ha magában a blogban nem használnak további védelmi módszereket, ami szinte soha nem történik meg).

A jelszó helyreállítása idő és a számítógép teljesítményének kérdése. Ezért minél hosszabb a jelszó, annál tovább tart megtalálni. Ugyanebből a célból nagy- és nagybetűket, számokat és speciális karaktereket adnak hozzá a jelszóhoz. karakterek - akkor a karakterkombinációk száma, amelyeken a programnak át kell mennie, milliárdszorosára nő, és lehetővé válik a jelszó áthaladásacsak elméletben, de a gyakorlatban - irreális, hiszen évekbe telhet.

Ebből az következik, hogy a jelszónak a lehető leghosszabbnak kell lennie, és tartalmaznia kell a karakterek összes lehetséges kombinációját. Általános szabály, hogy az ajánlott hosszúság 12 karaktertől van, de itt nincs egyértelmű szabály - senki sem tiltja, hogy 11 vagy 20 karaktert vegyen fel - össze kell hasonlítani a jelszó jelentőségét, hányszor kell begépelni napon, a hackelési kísérlet valószínűsége.

Ha te is szeretnél egy megjegyezhető jelszót, akkor nem javasolt közvetlenül benne szóösszetételeket használni, érdemesebb speciális karakterekkel, számokkal stb.

Nincsenek titkos kérdések

A titkos kérdések egyike azon sebezhetőségeknek, amelyeket a támadók gyakran használnak fel fiókok feltörésekor. Előfordul, hogy egy személy összetett bejelentkezést, még összetettebb jelszót választott, de egy titkos kérdésre adott válaszként feltüntette az anya valódi leánykori nevét, amely gyakran szerepel Oroszország 20 legnépszerűbb vezetéknevében. Az eredmény az, hogy a fiókot feltörték.

Az ilyen helyzetek elkerülése érdekében igyekszem soha nem jelezni a postai és egyéb szolgáltatásokban a válogatás útján feltárható, vagy még inkább harmadik fél számára könnyen megismerhető titkos kérdésekre a választ.