Οδηγός ασφαλείας

Πρέπει να χρησιμοποιείτε σύμβολα στους κωδικούς πρόσβασης;

Μάθετε πότε τα σύμβολα βοηθούν, πότε προκαλούν προβλήματα συμβατότητας και γιατί το μήκος και η τυχαιότητα είναι πιο σημαντικά από την οπτική πολυπλοκότητα.

Σύνοψη

Τα σύμβολα μπορούν να βοηθήσουν επειδή αυξάνουν τον αριθμό των πιθανών χαρακτήρων. Δεν είναι μαγικά. Ένας σύντομος κωδικός με ένα προβλέψιμο σύμβολο παραμένει αδύναμος, ενώ ένας μεγαλύτερος τυχαίος κωδικός χωρίς σύμβολα μπορεί να είναι ισχυρός.

Δοκιμάστε τις προεπιλογές με σύμβολα και χωρίς σύμβολα.

Πότε βοηθούν τα σύμβολα

Τα σύμβολα βοηθούν όταν μια γεννήτρια τα επιλέγει τυχαία και η υπηρεσία τα αποδέχεται. Μπορούν να ικανοποιήσουν κανόνες πολιτικής κωδικών και να αυξήσουν τον θεωρητικό χώρο αναζήτησης.

Πότε τα σύμβολα βλάπτουν τη χρηστικότητα

Τα σύμβολα μπορούν να προκαλέσουν προβλήματα σε παλιές φόρμες, πληκτρολόγια κινητών, συμβολοσειρές σύνδεσης, κελύφη, αρχεία διαμόρφωσης και χειροκίνητη μεταγραφή. Αν ένα σύμβολο πρέπει να διαφύγει ή είναι εύκολο να παρερμηνευτεί, μπορεί να δημιουργήσει λειτουργικό κίνδυνο.

Πρακτικές συστάσεις

• Συμπεριλάβετε σύμβολα όταν γίνονται αποδεκτά.
• Χρησιμοποιήστε προεπιλογές χωρίς σύμβολα για συμβατότητα.
• Αυξήστε το μήκος όταν το αλφάβητο είναι περιορισμένο.
• Αποφύγετε τη χειροκίνητη επεξεργασία ενός παραγόμενου κωδικού.
• Χρησιμοποιήστε προεπιλογές χωρίς διφορούμενους χαρακτήρες για εκτυπωμένους ή υπαγορευμένους κωδικούς.

Λεπτομερής καθοδήγηση

Αυτός ο οδηγός επικεντρώνεται στο αν τα σύμβολα βοηθούν ή βλάπτουν μια πολιτική κωδικών πρόσβασης. Είναι γραμμένος για άτομα που εργάζονται με υπηρεσίες που απαιτούν ή απορρίπτουν ειδικούς χαρακτήρες, οπότε ο πρακτικός στόχος δεν είναι να δημιουργηθεί ένας δραματικός ισχυρισμός ασφαλείας. Ο στόχος είναι να επιλεγεί μια συνήθεια κωδικού που μπορεί να επιβιώσει στην καθημερινή χρήση: φόρμες σύνδεσης, διαχειριστές κωδικών, πληκτρολόγια κινητών, ανάκτηση λογαριασμού, κοινόχρηστες συσκευές και η περιστασιακή υπηρεσία με περίεργους κανόνες επικύρωσης. Μια ασφαλής σύσταση είναι χρήσιμη μόνο αν ένα πραγματικό άτομο μπορεί να την ακολουθήσει με συνέπεια.

Το ασφαλέστερο σημείο εκκίνησης είναι η τυχαιότητα συν η μοναδικότητα. Τυχαιότητα σημαίνει ότι η τιμή επιλέγεται από έναν μεγάλο χώρο από μια κρυπτογραφικά κατάλληλη τυχαία πηγή, όχι επινοημένη από μια γέννηση, ένα όνομα κατοικίδιου, ένα μοτίβο πληκτρολογίου ή μια αγαπημένη φράση. Μοναδικότητα σημαίνει ότι ο ίδιος κωδικός δεν χρησιμοποιείται πουθενά αλλού. Ένας κωδικός που είναι μακρύς αλλά επαναχρησιμοποιείται μπορεί να αποτύχει γρήγορα μετά από μια άσχετη παραβίαση, ενώ ένας μοναδικός τυχαίος κωδικός περιορίζει τη ζημιά στον μοναδικό λογαριασμό όπου χρησιμοποιήθηκε.

Για αυτό το θέμα, μια πρακτική προεπιλογή είναι τα σύμβολα ενεργοποιημένα όταν ο προορισμός τα αποδέχεται, με μεγαλύτερο μήκος όταν απορρίπτονται. Μπορείτε να εφαρμόσετε αυτήν την προεπιλογή με τη γεννήτρια κωδικών με σύμβολα και στη συνέχεια να αποθηκεύσετε την τελική τιμή σε έναν αξιόπιστο διαχειριστή κωδικών. Το PwdGen δημιουργεί τιμές τοπικά στο πρόγραμμα περιήγησης με το Web Crypto. Ο παραγόμενος κωδικός δεν αποστέλλεται σε διακομιστή του PwdGen. Αυτός ο τοπικός σχεδιασμός μειώνει την έκθεση στην πλευρά του διακομιστή, αλλά δεν προστατεύει από κάθε απειλή. Μια κακόβουλη επέκταση προγράμματος περιήγησης, μια παραβιασμένη συσκευή, μια σελίδα phishing ή μη ασφαλής διαχείριση του πρόχειρου μπορεί να εκθέσει ένα μυστικό μετά τη δημιουργία του.

Τα πιο συνηθισμένα προβλήματα που πρέπει να αποφύγετε είναι η υπερεκτίμηση ενός συμβόλου σε έναν σύντομο κωδικό, προβλήματα διαφυγής στο κέλυφος, σφάλματα επικύρωσης φόρμας και λάθη χειροκίνητης πληκτρολόγησης. Αυτά τα προβλήματα έχουν σημασία επειδή οι επιτιθέμενοι σπάνια χρειάζεται να δοκιμάσουν όλους τους πιθανούς κωδικούς όταν οι ανθρώπινες συνήθειες τους δίνουν μια συντόμευση. Το credential stuffing, το phishing, οι λίστες διερρηγμένων κωδικών και η κατάχρηση ανάκτησης λογαριασμού είναι συχνά πιο ρεαλιστικά από μια καθαρά μαθηματική αναζήτηση. Γι’ αυτό η καλύτερη συμβουλή συνδυάζει την ποιότητα του κωδικού με ελέγχους σε επίπεδο λογαριασμού, όπως MFA, κλειδιά πρόσβασης, αποθήκευση κωδικών ανάκτησης και τακτικό έλεγχο των ρυθμίσεων email ή τηλεφώνου ανάκτησης.

Χρησιμοποιήστε αυτήν τη λίστα ελέγχου όταν εφαρμόζετε τη σύσταση:

• Χρησιμοποιήστε σύμβολα όταν γίνονται αποδεκτά.
• Μην βασίζεστε σε ένα μόνο σύμβολο για να διορθώσετε έναν αδύναμο κωδικό.
• Χρησιμοποιήστε προεπιλογές χωρίς σύμβολα για αυστηρά συστήματα.
• Αυξήστε το μήκος όταν τα σύμβολα είναι απενεργοποιημένα.

Αν ένας ιστότοπος απορρίπτει την ιδανική ρύθμιση, μην αναγκάσετε τον κωδικό σε ένα πιο αδύναμο μοτίβο χειροκίνητα. Προσαρμόστε μία μεταβλητή κάθε φορά. Αν τα σύμβολα απορρίπτονται, κρατήστε κεφαλαία, πεζά και αριθμούς ενεργοποιημένα και αυξήστε το μήκος. Αν το μέγιστο μήκος είναι μικρό, χρησιμοποιήστε το μεγαλύτερο αποδεκτό μήκος και βεβαιωθείτε ότι η τιμή είναι μοναδική. Αν ένας κωδικός πρέπει να διαβαστεί δυνατά, να εκτυπωθεί ή να πληκτρολογηθεί σε οθόνη τηλεόρασης ή δρομολογητή, σκεφτείτε να εξαιρέσετε διφορούμενους χαρακτήρες και να αυξήσετε το μήκος για να αντισταθμίσετε το μικρότερο αλφάβητο.

Τέλος, θυμηθείτε τα όρια της συμβουλής για κωδικούς. Ένας ισχυρός κωδικός είναι ένα επίπεδο άμυνας, όχι εγγύηση. Δεν μπορεί να κάνει μια σελίδα phishing ασφαλή, να διορθώσει κακόβουλο λογισμικό ή να αντισταθμίσει μια υπηρεσία που αποθηκεύει διαπιστευτήρια με κακό τρόπο. Η χρήσιμη συνήθεια είναι βαρετή αλλά ανθεκτική: δημιουργήστε μια μοναδική τιμή, αποθηκεύστε την με ασφάλεια, προστατέψτε τη διαδρομή ανάκτησης και αντικαταστήστε την γρήγορα αν υποψιάζεστε έκθεση.

Ένα ασφαλές επόμενο βήμα

Αφού διαβάσετε αυτόν τον οδηγό, κάντε έναν μικρό έλεγχο λογαριασμού αντί να προσπαθήσετε να διορθώσετε τα πάντα ταυτόχρονα. Επιλέξτε τον λογαριασμό που θα προκαλούσε τα περισσότερα προβλήματα αν καταλαμβανόταν, επιβεβαιώστε ότι ο κωδικός του είναι μοναδικός και ελέγξτε το email ανάκτησης, το τηλέφωνο ανάκτησης, τη μέθοδο MFA και την αποθήκευση εφεδρικών κωδικών. Αν κάποιο μέρος αυτής της αλυσίδας είναι αδύναμο, βελτιώστε αυτό το μέρος πριν προχωρήσετε σε λογαριασμούς χαμηλότερου κινδύνου. Αυτή η σειρά διατηρεί τη δουλειά διαχειρίσιμη και προστατεύει τους λογαριασμούς που οι επιτιθέμενοι είναι πιθανότερο να χρησιμοποιήσουν ως εφαλτήριο. Για το “πρέπει να χρησιμοποιείτε σύμβολα στους κωδικούς πρόσβασης;”, το καλύτερο αποτέλεσμα είναι μια επαναλαμβανόμενη συνήθεια: δημιουργήστε τοπικά, αποθηκεύστε προσεκτικά και αποφύγετε την επαναχρησιμοποίηση.

Συχνές ερωτήσεις

Τα σύμβολα κάνουν τους κωδικούς πιο ισχυρούς;

Τα σύμβολα μπορούν να αυξήσουν το μέγεθος του αλφαβήτου όταν επιλέγονται τυχαία, αλλά το μήκος και η μοναδικότητα είναι ακόμα πιο σημαντικά από την οπτική πολυπλοκότητα.

Τι γίνεται αν ένας ιστότοπος απορρίπτει τα σύμβολα;

Χρησιμοποιήστε έναν μεγαλύτερο κωδικό χωρίς σύμβολα και κρατήστε κεφαλαία, πεζά και αριθμούς ενεργοποιημένα αν γίνονται αποδεκτά.

Είναι πρόβλημα τα διφορούμενα σύμβολα;

Μπορεί να είναι, ειδικά για εκτυπωμένους, υπαγορευμένους ή χειροκίνητα πληκτρολογημένους κωδικούς. Η εξαίρεσή τους βελτιώνει τη χρηστικότητα αλλά μειώνει το μέγεθος του αλφαβήτου.