'12345' Är verkligen dåligt: ​​din ultimata guide till lösenordssäkerhet

Vi har rekommenderat dig om och om igen att det enda säkra sättet att lagra och använda lösenord är att lita på en lösenordshanterare, men några av er lyssnar inte. I en PCMag-undersökning om lösenord rapporterade endast 24 procent av dig med ett lösenordshanterare. Vad gör du resten? Använder du enkla lösenord som lösenord eller 12345678? Memorera ett komplext lösenord och använda det överallt? Lyssna, att ta hand om lösenordssäkerhet är inte så liten sak, men med tanke på den enorma omfattningen av risken - som illustreras i det senaste samlingen # 1-brottet, som avslöjade 773 miljoner hackade e-postadresser - måste du göra allt du kan för att behålla dina lösenord säker.

Även om du använder den bästa lösenordshanteraren garanterar det inte säkerheten för dina konton - inte om du använder lösenordshanteraren för att komma ihåg samma gamla, trötta lösenord. Du måste komma ner i skytten och stänga av de dåliga lösenorden för nya, starkare.

Den undersökningen som nämnts ovan avslöjade att 35 procent av PCMag-läsarna aldrig ändrar sina lösenord, såvida de inte tvingas göra det genom ett brott. I allmänhet är det inte så dåligt. National Institute of Standards and Technology rekommenderar inte längre att byta lösenord var 90: e dag. NIST rekommenderar nu att använda långa lösenfraser som "Correct-Horse-Battery-Staple" och ändra dem endast vid behov. Men om du använder fruktansvärda lösenord betyder "när det behövs" just nu .

Vad gör ett dåligt lösenord? Vi tittar på några av attributen till fruktansvärda lösenord, och sedan ger vi dig några tips om hur du gör lösenord på rätt sätt.

Håll dig borta från ordboken

Varje några månader publicerar ett eller flera nyheter en lista över de värsta lösenorden. Vi ser många lättillgängliga alternativ, som 123456 och 12345678 och qwerty. Lätt för dig? Säker. Men också lätt för hackare att knäcka. Andra vanliga (och dåliga) lösenord består av enkla ordböcker. Vi har sett baseball, apa och starwars i listan över värsta lösenord. Dessa är också lätta att spricka.

Vissa säkra webbplatser stängs av efter ett visst antal felaktiga lösenordsförsök, men många gör det inte. För dem som inte har någon gissning-låsning kan hackare korsa en lista över e-postadresser med en lista med populära lösenord och skapa en automatiserad process för att fortsätta försöka kombinationer tills de kommer in.

En korrekt skyddad webbplats lagrar inte ditt lösenord någonstans. Istället kör det lösenordet genom en hashningsalgoritm, en slags envägskryptering. Samma ingång ger alltid samma utgång, men det finns inget sätt att komma tillbaka till det ursprungliga lösenordet från den resulterande hash. Om lösenordet du skriver hasker till samma värde som lagras får du åtkomst. Även om hackare fångar webbplatsens användardata får de inte lösenord, utan haskar.

Men smarta hackare kan knäcka svaga lösenord även om de är hashade, om de vet vilken hashingfunktion webbplatsen använde. De börjar med att köra en enorm ordlista med vanliga lösenord genom hashing-funktionen. Sedan letar de efter de resulterande hasherna i de fångade uppgifterna. Varje match är ett knäckt lösenord. Webbplatser med den bästa säkerheten förbättrar hashfunktionen med en teknik som kallas saltning, vilket gör denna typ av tabellbaserad sprickning omöjlig, men varför ta risken? Håll dig bara utanför ordboken.

Tänk annorlunda

En vän berättade en gång för sitt perfekta lösenord: 1qaz2wsx3edc4rfv. Hon kunde "skriva" det genom att bara skjuta ett finger ned fyra lutande kolumner på tangentbordet. Det var så perfekt, hon använde det överallt. Och det var ett stort misstag.

Knappast en vecka går utan nyheter om ett brott på något företag eller webbplats, där man exponerar tusentals eller miljoner användarnamn och lösenord. Smarta offer ändrar sina lösenord omedelbart. De som ignorerar problemet kan komma att vara inlåsta från sina egna konton efter att hackarna återställer lösenordet.

Dessa hackare vet att alltför många människor återanvänder sina lösenord. När de hittat ett fungerande användarnamn och lösenordspar försöker de samma referenser på andra webbplatser. Du kanske inte är så orolig för att tappa åtkomst till ditt Club Penguin-konto, men om du använde samma inloggning på din banks webbplats har du stora problem.

Det blir värre. Om någon annan får kontroll över ditt e-postkonto kan de först låsa dig ut genom att ändra lösenordet. Då kan de bryta sig in i dina andra konton genom att ha en länk till återställning av lösenord via e-post till detta konto Orolig ännu?

Bli inte personlig

Att använda personlig information som grund för dina lösenord är väldigt frestande, men det är en dålig idé. Chansen är bra att din hunds namn visas i de ordböcker som hackare använder för brut-force-attacker. Andra möjligheter som initialer och födelsedatum för en familjemedlem kommer förmodligen inte att drabbas av en brute-force-attack, men om någon vill hacka ditt konto specifikt kan personuppgifter driva en gissningsattack för tester och fel.

Tänk inte en stund att dina personuppgifter är privata. Det finns dussintals webbplatser som människor kan använda för att hitta information om vem som helst: adress, födelsedatum, civilstånd och mer. Dina sociala mediaposter kan vara en annan källa till personlig information, särskilt om du inte har säkrat dina konton ordentligt. En bestämd hackare (eller en nyfiken granne) kan antagligen gissa alla lösenord som du bygger baserat på dina egna data.

Stäng bakdörren

Om du inte använder en lösenordshanterare har du säkert upplevt att du har glömt lösenordet för en webbplats. Det är alltför vanligt, varför nästan alla inloggningssidor innehåller ett "Glömt ditt lösenord?" länk. Vissa webbplatser skickar en återställningslänk till din e-postadress, medan andra låter dig återställa lösenordet efter att du har svarat på dina säkerhetsfrågor. Och det öppnar en bakdörr för alla som vill hacka ditt konto.

De flesta webbplatser erbjuder avgränsade alternativ för säkerhetsfrågor. Vad är din mammas flicknamn? Var gick du på gymnasiet? Vilket var ditt första jobb? Som nämnts är ditt personliga liv en öppen bok för alla med internet-färdigheter. Om möjligt ignorera de förinställda frågorna. Skapa din egen fråga med ett unikt svar som du alltid kommer ihåg men som ingen annan kunde gissa.

Det är svårare när webbplatsen inte låter dig definiera dina egna frågor. I så fall är din bästa insats att använda ett minnesvärt svar som är en total lögn. Min mors jungfrun är Obama. Jag gick i skolan på Kommunistiska Martyrs High. För mitt första jobb var jag en lejon tamer. Det finns ett element av risk, eftersom du kanske glömmer vilken lögn du valde. Jag skulle föreslå att du lagrar dessa udda svar som säkra anteckningar i ditt lösenordshanterare… men om du använde ett lösenordshanterare skulle det komma ihåg lösenordet för dig.

Vad du ska göra nu när du bryr dig

Jag hoppas att jag har övertygat dig om att använda vanliga lösenord är en ruttet idé, som att bygga lösenord från personlig information. Och till och med det bästa starka, slumpmässiga lösenordet blir ett ansvar om du använder det överallt. Om du är redo att vidta åtgärder, här är några utgångspunkter:

• Använd en lösenordshanterare.
• Byt till en bättre lösenordshanterare.
• Kom ihåg ett vansinnigt säkert huvudlösenord för din lösenordshanterare.
• Utnyttja en slumpmässig lösenordgenerator för att uppgradera dina gamla, dåliga lösenord.
• Du kan till och med skapa din egen slumpmässiga lösenordgenerator i Excel.
• Aktivera tvåfaktorsautentisering där det är tillgängligt.

Om en säker webbplats inte tar hand om säkerhet kan du fortfarande tappa webbplatsens referenser till ett dataintrång, men genom att göra alla dina lösenord långa, starka och unika har du gjort allt du kan för att skydda dina onlinekonton.

Och hej! Nu när du är på väg, säkerhetsmässigt, kan du överväga att lägga till ett virtuellt privat nätverk eller VPN. Att använda starka lösenord för säkra webbplatser innebär att andra inte kan bryta sig in i dina konton. lägga till ett VPN betyder att det inte finns någon chans att någon kan fånga din anslutning till dessa säkra webbplatser.