- Як корабель називешь, так він і попливе, або вибираємо ім'я
- Анонімність проти впізнаваності
- Безпека
- вибираємо пароль
- Немає секретним питань
Швидка навігація по цій сторінці:
Сьогодні вранці реєструвався в черговому сервісі і задумався про те, як створити логін і пароль таким чином, щоб вони відрізнялися від моїх основних логінів і паролів, але при цьому були безпечними з одного боку і зручними з іншого. До чого мене привели роздуми - читайте далі.
Як корабель називешь, так він і попливе, або вибираємо ім'я
Вибір логіна - суб'єктивна річ, яка залежить в першу чергу від особистих переваг. Я б тут зазначив лише два основних моменти:
Анонімність проти впізнаваності
Вибираючи собі логін, подумайте над тим, чого б ви хотіли б домогтися - повної унікальність і впізнаваності, або, навпаки, анонімності?
У першому випадку потрібно брати логін, який більш ніде не повторюється - якщо Ви будете присутні під цим ім'ям на різних майданчиках (блоги, форуми і т.д.), то вас можна буде ідентифікувати.
Якщо ж у вас прямо протилежні цілі, то потрібно, навпаки, брати найпоширеніші імена і нікнейми.
Безпека
В основному, цей пункт актуальний, якщо ви вибираєте собі логін для адмін-панелі на своєму сайті або на якомусь блозі / форумі / сервісі, де всім користувачам показується одне ім'я (наприклад, Маша Петрова), а логін ви при цьому як masha_petrova .
Відомо, що багато блоги вордпресс та інших CMS регулярно намагаються зламати через перебір пароля. На жаль, і в мене таке пару раз було - стояв легкий пароль з п'яти цифр. В результаті зловмисник зайшов в адмінку і залив на сайт вірус.
Цього не сталося б, якби я задумався про безпеку при виборі логіна. А саме, у мене стояв логін admin, і саме на нього розраховано більшість скриптів, що займаються брутфорсом - перебором паролів.
Досить було б вибрати інший логін - і перебір паролів вже був би не страшний.
У зв'язку з цим, для адмінок не можна вибирати такі імена, як admin, administrator або імена, що збігаються з назвою або доменом сайту.
Також не варто зайвий раз світити свою поштову скриньку, особливо якщо в нього входить логін - з цієї причини я не особливо рекомендую використовувати на сторінках сайту.
вибираємо пароль
Як відомо, паролі користувачів в базах даних зберігаються в зашифрованому вигляді (зазвичай використовується алгоритм MD5 і його модифікації). Це означає, що якщо хтось отримає доступ до бази даних, то у нього не буде вашого пароля, а буде послідовність символів - щось на зразок 1a1dc91c907325c69271ddf0c944bc72 (наведений приклад - md-5 хеш від слова «pass»).
З цієї послідовності символів зловмисник не зможе відновити ваш пароль (алгоритм не дозволяє), однак він зможе за допомогою софта (який існує у великій кількості у відкритому доступі) запустити перебір паролів - програма буде створювати їх md5 хеш і порівнювати з наявними хешем до тих пір , поки не знайде вірний варіант.
Таким чином, наприклад, можна підібрати пароль до адмінки більшості блогів wordpress (маючи хеш і якщо в самому блозі не використовувати додаткових методів захисту, чого практично ніколи не буває).
Перебір пароля - це питання часу і потужності комп'ютера. Тому чим довше пароль, тим більше потрібно часу для того, щоб підібрати його. Для цієї ж мети в пароль додаються прописні і заголовні букви, цифри, а також спец. символи - тоді кількість комбінацій символів, які доведеться перебирати програмі, збільшується в мільярди разів, і перебір пароля стає можливим тільки в теорії, а на практиці - нереальним, так як на нього можуть піти роки.
Висновок, який випливає з цього - пароль повинен бути якомога довше і включати в себе всі можливі варіанти символів. Як правило, рекомендована довжина - від 12 символів, але тут чіткого правила не існує - ніхто не забороняє взяти 11 символів або 20 символів - потрібно співвідносити значимість пароля, кількість разів, яке вам доведеться набирати його в день, ймовірність спроби його злому.
Якщо Ви хотіли б мати при цьому ще і запам'ятовується пароль, то в ньому не рекомендується використовувати безпосередньо зв'язки слів, краще розбавляти їх спецсимволами, цифрами і т.д.
Немає секретним питань
Секретні питання - це одна з вразливостей, яку часто використовують зловмисники при зломі акаунтів. Буває, що людина вибрала складний логін, ще більш складний пароль, але в якості відповіді на секретне питання вказав реальну дівоче прізвище матері, яка часто до того ж входить в топ-20 найпопулярніших прізвищ Росії. Результат - аккаунт зламаний.
Щоб уникнути таких ситуацій, я намагаюся ніколи не вказувати відповіді на секретні питання в поштових та інших сервісах, які можуть бути розкриті методом перебору або, тим більше, що можуть бути легко стати відомі третім особам.