Panduan keselamatan

Cara Membuat Kata Laluan yang Kuat

Panduan praktikal untuk mencipta kata laluan yang kuat dan unik dengan penjanaan setempat, pengurus kata laluan, MFA, dan tabiat pemulihan yang selamat.

Ringkasan

Kata laluan yang kuat bukan sekadar rentetan yang “kelihatan rumit.” Ia cukup panjang untuk kes penggunaan, dijana secara rawak, unik untuk satu akaun, dan disimpan dengan selamat. Aliran kerja harian yang paling boleh dipercayai adalah mudah: jana nilai rawak unik, simpan dalam pengurus kata laluan, dan aktifkan MFA atau passtor apabila perkhidmatan menyokongnya.

Gunakan penjana kata laluan rawak percuma atau penjana kata laluan 16 aksara apabila anda memerlukan kata laluan akaun baharu.

Apa yang menjadikan kata laluan kuat

Kata laluan praktikal yang paling kuat dipilih melalui proses rawak, bukan dicipta oleh manusia. Kata laluan ciptaan manusia sering mengandungi nama, tarikh, laluan papan kekunci, jenama, lirik, atau penggantian biasa. Penyerang tahu corak tersebut dan mencubanya lebih awal.

Penjanaan rawak mengubah keadaan. Kata laluan yang dijana seperti nilai 16, 20, atau 32 aksara tidak mempunyai cerita peribadi, tiada tarikh kalendar, dan tiada struktur kamus yang mudah. Ia masih berguna hanya jika ia kekal unik dan peribadi.

Cadangan praktikal

1. Jana kata laluan baharu untuk setiap akaun.
2. Utamakan sekurang-kurangnya 15–16 aksara rawak untuk akaun biasa.
3. Gunakan 20 aksara atau lebih untuk e-mel, perbankan, kerja, dan akses pentadbiran jika diterima.
4. Sertakan simbol apabila destinasi menerimanya.
5. Simpan kata laluan dalam pengurus kata laluan yang dipercayai.
6. Aktifkan MFA atau passtor.
7. Semak tetapan pemulihan akaun, kerana penyerang sering menyasarkan laluan pemulihan.

Apa yang penjanaan setempat lakukan dan tidak selesaikan

PwdGen menjana nilai secara setempat dengan Web Crypto dan tidak memuat naik kata laluan yang dijana. Ini melindungi daripada laman web yang sengaja mengumpul nilai yang dijana. Ia tidak melindungi daripada sambungan penyemak imbas yang terjejas, pengurus papan klip yang tidak selamat, perisian hasad, halaman pancingan data, atau perkhidmatan yang salah mengendalikan penyimpanan kata laluan.

Panduan terperinci

Panduan ini memberi tumpuan kepada mencipta kata laluan yang kuat dari awal. Ia ditulis untuk orang yang menggantikan kata laluan akaun yang lemah atau digunakan semula, jadi matlamat praktikal bukan untuk membuat tuntutan keselamatan yang dramatik. Matlamatnya adalah untuk memilih tabiat kata laluan yang dapat bertahan dalam penggunaan harian: borang log masuk, pengurus kata laluan, papan kekunci mudah alih, pemulihan akaun, peranti kongsi, dan perkhidmatan sekali-sekala dengan peraturan pengesahan yang pelik. Cadangan yang selamat hanya berguna jika orang sebenar boleh mengikutinya secara konsisten.

Titik permulaan paling selamat adalah rawak ditambah keunikan. Rawak bermaksud nilai dipilih daripada ruang yang besar oleh sumber rawak yang sesuai secara kriptografi, bukan dicipta daripada hari lahir, nama haiwan peliharaan, corak papan kekunci, atau petikan kegemaran. Keunikan bermaksud kata laluan yang sama tidak digunakan di tempat lain. Kata laluan yang panjang tetapi digunakan semula boleh gagal dengan cepat selepas satu pelanggaran yang tidak berkaitan, manakala kata laluan rawak unik mengehadkan kerosakan kepada satu akaun sahaja.

Untuk topik ini, pratetap praktikal adalah 20 aksara, huruf besar, huruf kecil, nombor, dan simbol jika diterima. Anda boleh menggunakan pratetap itu dengan penjana kata laluan 20 aksara dan kemudian simpan nilai akhir dalam pengurus kata laluan yang dipercayai. PwdGen menjana nilai secara setempat dalam penyemak imbas dengan Web Crypto; kata laluan yang dijana tidak dihantar ke pelayan PwdGen. Reka bentuk setempat itu mengurangkan pendedahan sebelah pelayan, tetapi ia tidak melindungi daripada setiap ancaman. Sambungan penyemak imbas yang berniat jahat, peranti yang terjejas, halaman pancingan data, atau pengendalian papan klip yang tidak selamat masih boleh mendedahkan rahsia selepas ia dijana.

Masalah paling biasa yang perlu dielakkan ialah nama peribadi, hari lahir, laluan papan kekunci, pengakhiran yang digunakan semula, dan penggantian yang boleh diramal seperti menggantikan a dengan @. Masalah ini penting kerana penyerang jarang perlu memaksa semua kata laluan yang mungkin apabila tabiat manusia memberi mereka jalan pintas. Serangan isian kelayakan, pancingan data, senarai kata laluan bocor, dan penyalahgunaan pemulihan akaun selalunya lebih realistik daripada carian matematik tulen. Itulah sebabnya nasihat terbaik menggabungkan kualiti kata laluan dengan kawalan peringkat akaun seperti MFA, passtor, penyimpanan kod pemulihan, dan semakan tetap e-mel atau tetapan telefon pemulihan.

Gunakan senarai semak ini apabila menggunakan cadangan:

• Gunakan nilai yang berbeza untuk setiap akaun.
• Utamakan penjanaan rawak berbanding corak peribadi.
• Simpan hasil dalam pengurus kata laluan.
• Aktifkan MFA atau passtor apabila tersedia.

Jika laman web menolak tetapan ideal, jangan paksa kata laluan ke dalam corak yang lebih lemah secara manual. Laraskan satu pembolehubah pada satu masa. Jika simbol ditolak, pastikan huruf besar, huruf kecil, dan nombor diaktifkan dan tambah panjang. Jika panjang maksimum rendah, gunakan panjang maksimum yang diterima dan pastikan nilai itu unik. Jika kata laluan perlu dibaca dengan kuat, dicetak, atau ditaip pada skrin televisyen atau penghala, pertimbangkan untuk mengecualikan aksara yang mengelirukan dan tambah panjang untuk mengimbangi abjad yang lebih kecil.

Akhir sekali, ingat batasan nasihat kata laluan. Kata laluan yang kuat adalah satu lapisan pertahanan, bukan jaminan. Ia tidak boleh menjadikan halaman pancingan data selamat, membetulkan perisian hasad, atau mengimbangi perkhidmatan yang menyimpan kelayakan dengan buruk. Tabiat yang berguna adalah membosankan tetapi tahan lama: jana nilai unik, simpan dengan selamat, lindungi laluan pemulihan, dan gantikannya dengan cepat jika anda mengesyaki pendedahan.

Soalan lazim

Apakah peraturan kata laluan kuat yang paling mudah?

Gunakan kata laluan yang panjang, rawak, dan unik untuk setiap akaun dan simpan dalam pengurus kata laluan yang dipercayai.

Adakah kata laluan pendek yang kompleks lebih baik daripada yang panjang rawak?

Biasanya tidak. Panjang dan ketidakramalan lebih penting daripada penggantian biasa seperti menggantikan huruf dengan simbol.

Perlukah saya menggunakan MFA dengan kata laluan yang kuat?

Ya. MFA atau passtor menambah perlindungan apabila kata laluan dipancing, digunakan semula di tempat lain, atau terdedah oleh pelanggaran perkhidmatan.