Bir şifre ipuçları listesi yazmam istendi. Kısa bir liste.
Tamam, benim için bir söz tutmanın zamanı geldi.
Ekim 2022’de, Parolalar hakkında size anlattığımız (neredeyse) her şeyin neden yanlış olduğu başlıklı bir makale yazmıştım. Makale, yıllar boyunca şifreler hakkında size söylenenlerin çoğunun ya yanlış (şifrelerinizi iç çamaşırınız kadar sık değiştirin), yanlış yönlendirilmiş (uzun, karmaşık şifreler seçin) ya da verimsiz (şifreleri tekrar kullanmayın) özetliyor. .
Hepsinden önemlisi, bu tavsiyeyi vermek için on yıllardır harcanan büyük çaba, insanların parola seçimlerinde fark edilebilir çok az gelişme sağladı. Tamamen boşa giden bir çaba olmadıysa, kesinlikle kaynakların galaktik olarak verimsiz kullanımını temsil etmiştir.
Bu tavsiyenin, gerçek dünyada şifre güvenliğinde gerçekte neyin fark yarattığını ve neyin yaratmadığını keşfetmeyi kendilerine iş edinen Microsoft Research gibi cesur araştırmacılar sayesinde olması gereken şey olmadığını biliyoruz. T.
Size söylenen tüm şifre tavsiyelerinin neden parçalarının toplamından çok daha az biriktiğinin tam, üç çeşit yemek versiyonunu istiyorsanız, orijinal makaleyi okuyabilirsiniz. İşte atıştırmalık versiyonu:
Parolanızın ne kadar güçlü, uzun ve karmaşık olduğu gerçek dünyada neredeyse hiçbir zaman önemli değildir. En yaygın parola saldırısı türü, veri ihlallerinde çalınan parolaları kullanan kimlik bilgisi doldurmadır. İşe yarıyor çünkü insanların aynı parolayı iki yerde tekrar kullanması çok yaygın ve parola gücünden tamamen etkilenmez. Bir sonraki en yaygın saldırı, suçluların olabildiğince çok bilgisayarda çok basit parolalardan oluşan kısa listeler kullandığı parola püskürtmedir. Her iki durumda da, gülünç derecede basit ama benzersiz bir parola, saldırıyı yenmek için yeterince iyidir.
Güçlü bir parolanın yardımcı olabileceği çevrimdışı parola tahmin etme gibi nadir saldırı türleri vardır, ancak ödünleşim, güçlü parolaların insanların hatırlaması için çok daha zor olmasıdır, bu da onların her şey için aynı parolayı kullanmalarına yol açar, bu da onları çok daha fazla yapar. kimlik bilgisi doldurmaya karşı daha savunmasız. Not defterleri, parolanın yeniden kullanılması sorununa gerçekten iyi ve basit bir çözümdür, ancak yıllarca insanlar onları kullandıkları için alay konusu oldu. Parola yöneticileri de iyi bir çözümdür, ancak bunları kullanmak not defterlerinden çok daha zordur ve insanların çoğu, yıllarca süren olumlu basın ve savunuculuğa rağmen bunları kullanmaz ve onlara güvenmez.
Tamam, bahsettiğim söze geri dönelim.
Bu tür bir tavsiye vermekle üzerine düşeni yapmış biri olarak, yazımı sonlandırdım. Parolalar hakkında size söylediğimiz (neredeyse) her şey neden yanlıştı? bir söz şeklinde mea culpa içeren makale. Bir daha asla şifrenize yapmanız gereken şeylerin çamaşır listelerini dağıtmayacağım. Bunun yerine enerjimi, iki faktörlü kimlik doğrulama (2FA) kullanan parola güvenliğinizi gerçekten değiştirebilecek bir şey yapmanıza odaklayacağım:
O yüzden bundan sonra parola tavsiyem şudur: Eğer ayıracak zamanınız ve enerjiniz varsa, 2FA kullanmadığınız bir yer bulun ve kurun. Bunu yaparsanız, parolalarınızın ne kadar zayıf olduğu veya onları bir daha ne sıklıkta kullandığınız konusunda sizi asla rahatsız etmeyeceğime söz veriyorum.
Pekala, bugün Dünya Şifre Günü ve bu sözü yerine getirme zamanı. Bir parola ipuçları listesi yazmam istendi, işte buradalar:
Neden 2FA’ya tamamen katıldığımı açıklamak için, Microsoft’tan Alex Weinert’in 2019 tarihli makalesinden alıntı yapmaktan daha iyisini yapamam: Senin Pa$$sözün önemli değil. (Buna MFA diyor ama aynı şeyi kastediyor, nedenini aşağıdan açıklayacağım).
Çalışmalarımıza göre, MFA kullanıyorsanız hesabınızın tehlikeye girme olasılığı %99,9’dan daha fazladır.
Evet, %99.9 yazdı ve abartmıyordu. 2FA, kimlik bilgileri doldurmayı, parola püskürtmeyi, VE parola yeniden kullanımını VE bir dizi başka saldırıyı yener.
2FA’nın ne olduğunu bilmeseniz bile muhtemelen kullanmışsınızdır. Şimdiye kadar bir e-postadan, kısa mesajdan veya bir uygulamadan şifrenizin yanına bir kod yazdıysanız, 2FA kullanmışsınız demektir.
Gerçek dünyada 2FA, “oturum açtığınızda siz olduğunuzu kanıtlamak için iki farklı şey yapın” anlamına gelir. Bunlardan biri neredeyse her zaman bir şifre yazmaktır. Diğer şey, genellikle telefonunuzdan aldığınız altı haneli bir kodu yazmaktır, ancak telefonunuzdaki bir bildirime yanıt vermek veya bir donanım anahtarını (bir USB bağlantı noktasına takılan ve bazı şeyler yapan küçük bir plastik dongle) takmak da olabilir. perde arkasında sizi kanıtlayan kriptografik).
2FA çok geniş çapta desteklenir ve kullandığınız herhangi bir popüler web sitesi veya uygulama muhtemelen onu sunar. İdeal bir dünyada, bu siteler ve uygulamalar güvenliğinizin sorumluluğunu üstlenir ve 2FA’yı hesap kurulum sürecinin zorunlu bir parçası haline getirir. Ne yazık ki ideal bir dünyada yaşamıyoruz ve 2FA’nın sizi ne kadar koruyabileceğini herkesten daha iyi bilen teknoloji devleri, buna ihtiyacınız olup olmadığına karar vermeyi size bıraktı.
Hayatınızı biraz daha zorlaştırmak için farklı isimler de veriyorlar. Google, WhatsApp, Dropbox, Microsoft ve diğerleri kendi 2FA sürümlerini biraz değiştirilmiş bir adla markalarken, çok faktörlü kimlik doğrulama anlamına gelen MFA ile zaten tanıştınız: iki adımlı doğrulama (2SV).
Bir seçeneğiniz varsa, 2FA’nın en iyi biçimi bir parola ve donanım anahtarıdır, ancak bir donanım anahtarı satın almanız gerekir. Küçük bir yatırıma değer ve göründükleri kadar korkutucu değiller.
Buna hazır değilseniz, 2FA’nın bir sonraki en iyi biçimi, telefonunuzda bir bildirimle sizi uyaran bir uygulama kullanır. Bundan sonraki en iyisi, telefonunuzdaki bir uygulamadan gelen bir kodu kullanan 2FA’dır ve 2FA’nın en az iyi sürümü, SMS yoluyla gönderilen bir kodu kullanır.
Ancak, kimsenin size herhangi bir 2FA formunun “kötü” olduğunu söylemesine izin vermeyin. Hepsi göreceli. Bunlardan herhangi birini benimseyin ve muhtemelen zaten göz ardı ettiğiniz şifre tavsiyesinin geri kalanını güvenle göz ardı edebilirsiniz.
Başlamanıza yardımcı olmak için, burada en çok ziyaret edilen beş web sitesine ilişkin 2FA kurulum talimatlarına bağlantılar verilmiştir:
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE