Про пароли... (19 Апреля 2010)
- 30.08.13, 13:23
от вспомнила благодаря Kiss,что сохраняла для себя статью из ЖЖ.Наверняка не одной мне полезно будет:)
Итак, что нужно делать, чтобы ваш аккаунт в ЖЖ не взломали.
1) случайный пароль на ЖЖ не менее 12 символов
Что такое хороший пароль?
Это не 11111111 и не qwerty
Это не ваш юзернейм + дата рождения, не кличка вашей собаки, не номер телефона, в т.ч. бывшего, и не девичья фамилия жены, в т.ч. бывшей
Это не русское слово и не пара слов, записанное английскими буквами или наоборот
Даже если там пару букв заменено цифрами
Хороший пароль - это истинно случайная последовательность букв и цифр, полученная из надёжного источника, такого как своя программа или скрипт. Ну или хотя-бы из www.random.org/strings/
Подбор пароля, состоящего из 3 истинно случайных цифр, требует в среднем 500 попыток.
Подбор пароля, являющего русским или английским словом, требует 50,000 попыток, видоизменённым словом - 400,000 попыток.
Подбор истинно случайного пароля, составленного из 12 больших/малых букв и цифр, требует в среднем (1/2)*(10+26*2)12 = 1,613,133,381,198,949,910,528 попыток. Вряд-ли хватит времени до следующего Большого Взрыва Вселенной.
2) случайный пароль на почту не менее 12 символов
Те же рекомендации по подбору пароля.
3) сложный контрольный вопрос по "вспоминанию" пароля на почту
Обычно этот вопрос - одно из самых слабых мест в защите.
Самый лучший с т.з. безопасности вопрос такого рода - "введите код восстановления доступа", а код восстановления доступа - 12-символьный истинно случайный пароль. Да, ещё один пароль, второго уровня.
4) никогда не используйте ваш пароль к ЖЖ или почте для доступа к другим сайтам
Очевидно, почему - владельцы этих ресурсов знают ваш пароль и могут попытаться залогиниться в ваш ЖЖ или в вашу почту. Не всегда вход на такие ресурсы защищён https, так что широка и необъятна аудитория, знакомая с вашими секретами.
5) логин на почту и юзернейм в ЖЖ не должны совпадать
По очевидным причинам - если подберут пароль к почте, то затем быстро взломают и ЖЖ. Первым делом хакеры пробуют подобрать пароль к почте вида ваш_логин_в_ЖЖ@mail.ru и ваш_логин_в_ЖЖ@gmail.com
6) рекомендуется держать почту на сложно угадываемом домене
По тем же причинам. Самый шик - свой домен. Также полезно для усложнения перлюстрации почты заинтересованными частными лицами. ( Домен - это часть e-mail адреса после @ )
7) логинимся в ЖЖ и в почту только через https
Если вы читаете почту через браузер - знайте, что обычный трафик (передаваемый по протоколу http) может быть перехвачен. Если там введенные данные форм - ваши пароли например - то они тоже перехватываются всеми кому не лень. При вводе пароля куда-либо, смотрим, чтобы адресная строка начиналась с https://, а внизу отображался замок.
Вообще, чтение почты через web - это неправославно, из-за угрозы XSS-атак.
8) скачиваем и отправляем почту только через SSL/TLS.
Этот пункт для вас, если вы читаете почту не в браузере, а в отдельной программе - почтовом клиенте - например, Microsoft Outlook (Express), The Bat, Mozilla Thunderbird и т.п.
Почта может приниматься и отправляться из интернета в вашу программу и обратно двумя способами - без шифрования и с шифрованием. Если она передаётся без шифрования, её могут перехватывать без вашего ведома. Например, можно перехватить ссылку, которую ЖЖ вам отправляет на почту при сбросе пароля, пройти по ней раньше вас и забрать (увести) ваш аккаунт.
Чтобы почта передавалась безопасно между вашим компьютером и почтовым сервером типа mail.ru и gmail.com, должен быть включён режим известный как "SSL/TLS". В разных почтовых программах он по-разному называется и настраивается, но вот способ быстро определить, защищены ли вы: правильно настроенная почта (с шифрованием) передаётся/принимается через порты 465/995. Неправильно настроенная почта (без шифрования) передаётся/принимается через порты 25/110. Не всегда шифрование поддерживается со стороны почтового сервера. В этом случае советую переезжать на другой почтовый сервер.
9) никогда не логинимся в ЖЖ или в почту через публичный WiFi или в интернет-клубах, то же самое для Tor или анонимных прокси.
Там существует практически стопроцентная гарантия, что трафик перехватывается и анализируется. Just for lulz. Даже если у вас https + SSL/TLS, рисковать не следует.
10) следим за состоянием вирусья на компьютере
Вирусы и троянцы часто собирают и передают своим владельцам или другим лицам логи клавиатуры, сохранённые в браузере пароли, куки и LSO, введённые данные форм, меняют файл etc/hosts и делают другие обычные для вирусов и троянов вещи, ради которых всё и создавалось.
11) все виды тулбаров выжигаем калёным железом
Речь идёт о Яндекс.Баре, Google Toolbar, Yahoo Bar'е и тому подобных.
Они специально созданы для сбора информации о ваших перемещениях по интернету, а также возможно другой информации из п.10.
12) никогда не храните файл с паролями в компьютере
По тем же причинам - уязвимость для вирусов, троянов и тулбаров.
Пишите их в простой бумажный блокнот - и продублируйте на случай утери, пожара или чего-то подобного.
Итак, что нужно делать, чтобы ваш аккаунт в ЖЖ не взломали.
1) случайный пароль на ЖЖ не менее 12 символов
Что такое хороший пароль?
Это не 11111111 и не qwerty
Это не ваш юзернейм + дата рождения, не кличка вашей собаки, не номер телефона, в т.ч. бывшего, и не девичья фамилия жены, в т.ч. бывшей
Это не русское слово и не пара слов, записанное английскими буквами или наоборот
Даже если там пару букв заменено цифрами
Хороший пароль - это истинно случайная последовательность букв и цифр, полученная из надёжного источника, такого как своя программа или скрипт. Ну или хотя-бы из www.random.org/strings/
Подбор пароля, состоящего из 3 истинно случайных цифр, требует в среднем 500 попыток.
Подбор пароля, являющего русским или английским словом, требует 50,000 попыток, видоизменённым словом - 400,000 попыток.
Подбор истинно случайного пароля, составленного из 12 больших/малых букв и цифр, требует в среднем (1/2)*(10+26*2)12 = 1,613,133,381,198,949,910,528 попыток. Вряд-ли хватит времени до следующего Большого Взрыва Вселенной.
2) случайный пароль на почту не менее 12 символов
Те же рекомендации по подбору пароля.
3) сложный контрольный вопрос по "вспоминанию" пароля на почту
Обычно этот вопрос - одно из самых слабых мест в защите.
Самый лучший с т.з. безопасности вопрос такого рода - "введите код восстановления доступа", а код восстановления доступа - 12-символьный истинно случайный пароль. Да, ещё один пароль, второго уровня.
4) никогда не используйте ваш пароль к ЖЖ или почте для доступа к другим сайтам
Очевидно, почему - владельцы этих ресурсов знают ваш пароль и могут попытаться залогиниться в ваш ЖЖ или в вашу почту. Не всегда вход на такие ресурсы защищён https, так что широка и необъятна аудитория, знакомая с вашими секретами.
5) логин на почту и юзернейм в ЖЖ не должны совпадать
По очевидным причинам - если подберут пароль к почте, то затем быстро взломают и ЖЖ. Первым делом хакеры пробуют подобрать пароль к почте вида ваш_логин_в_ЖЖ@mail.ru и ваш_логин_в_ЖЖ@gmail.com
6) рекомендуется держать почту на сложно угадываемом домене
По тем же причинам. Самый шик - свой домен. Также полезно для усложнения перлюстрации почты заинтересованными частными лицами. ( Домен - это часть e-mail адреса после @ )
7) логинимся в ЖЖ и в почту только через https
Если вы читаете почту через браузер - знайте, что обычный трафик (передаваемый по протоколу http) может быть перехвачен. Если там введенные данные форм - ваши пароли например - то они тоже перехватываются всеми кому не лень. При вводе пароля куда-либо, смотрим, чтобы адресная строка начиналась с https://, а внизу отображался замок.
Вообще, чтение почты через web - это неправославно, из-за угрозы XSS-атак.
8) скачиваем и отправляем почту только через SSL/TLS.
Этот пункт для вас, если вы читаете почту не в браузере, а в отдельной программе - почтовом клиенте - например, Microsoft Outlook (Express), The Bat, Mozilla Thunderbird и т.п.
Почта может приниматься и отправляться из интернета в вашу программу и обратно двумя способами - без шифрования и с шифрованием. Если она передаётся без шифрования, её могут перехватывать без вашего ведома. Например, можно перехватить ссылку, которую ЖЖ вам отправляет на почту при сбросе пароля, пройти по ней раньше вас и забрать (увести) ваш аккаунт.
Чтобы почта передавалась безопасно между вашим компьютером и почтовым сервером типа mail.ru и gmail.com, должен быть включён режим известный как "SSL/TLS". В разных почтовых программах он по-разному называется и настраивается, но вот способ быстро определить, защищены ли вы: правильно настроенная почта (с шифрованием) передаётся/принимается через порты 465/995. Неправильно настроенная почта (без шифрования) передаётся/принимается через порты 25/110. Не всегда шифрование поддерживается со стороны почтового сервера. В этом случае советую переезжать на другой почтовый сервер.
9) никогда не логинимся в ЖЖ или в почту через публичный WiFi или в интернет-клубах, то же самое для Tor или анонимных прокси.
Там существует практически стопроцентная гарантия, что трафик перехватывается и анализируется. Just for lulz. Даже если у вас https + SSL/TLS, рисковать не следует.
10) следим за состоянием вирусья на компьютере
Вирусы и троянцы часто собирают и передают своим владельцам или другим лицам логи клавиатуры, сохранённые в браузере пароли, куки и LSO, введённые данные форм, меняют файл etc/hosts и делают другие обычные для вирусов и троянов вещи, ради которых всё и создавалось.
11) все виды тулбаров выжигаем калёным железом
Речь идёт о Яндекс.Баре, Google Toolbar, Yahoo Bar'е и тому подобных.
Они специально созданы для сбора информации о ваших перемещениях по интернету, а также возможно другой информации из п.10.
12) никогда не храните файл с паролями в компьютере
По тем же причинам - уязвимость для вирусов, троянов и тулбаров.
Пишите их в простой бумажный блокнот - и продублируйте на случай утери, пожара или чего-то подобного.
0
Коментарі