Ev Görüşler John dvorak şifreler hakkında tamamen yanlıştır | Neil J. rubenking

John dvorak şifreler hakkında tamamen yanlıştır | Neil J. rubenking

Video: Семинар: "Вводим режим коммерческой тайны. Пошаговый алгоритм" (Kasım 2024)

Video: Семинар: "Вводим режим коммерческой тайны. Пошаговый алгоритм" (Kasım 2024)
Anonim

Geçen ay, uzun süredir PCMag'in köşe yazarı ve kendi ilan ettiği "huysuz inek" John Dvorak, şifre sıfırlama işlemi hakkında bir açıklama yazdı. San Francisco’daki RSA Konferansı’nı işgal etmekle meşgul oldum, bu yüzden fazla dikkat etmedim. Şimdi baktım, John'un pozisyonunun tamamen ve tamamen yanlış olduğunu söyleyebilirim. " Game of Thrones " dan bir cümle ödünç almak için hiçbir şey bilmiyorsun, John Dvorak!

Dvorak, "Sıfırlama bağlantısı yerine birisine şifre gönderme fikrine ne oldu? Eski şifreyi beğendim." Dedi. Bunun yerine bir sıfırlama bağlantısının kullanılmaya başlamasına devam etti, "Bunların hiçbiri beni veya başka birini hiçbir şeyden koruyamaz. Bu bir charade. Bu bir şeyi nasıl koruyor?" John, sana söyleyeceğim.

Onlar yok

Güvenli bir web sitesinin size unutulan bir şifre göndermemesinin en büyük nedeni çok basittir: Sahip değiller. Hiçbir yerde saklamazlar. Ve bu iyi bir şey. Parolanızı saklamazlarsa, parola bilgisayar korsanları tarafından çalınamaz veya hoşnutsuz bir çalışan tarafından Pastebin'de yayınlanamaz. Gerçekten de doğru, şifrenizi gerçekten saklayan bir web sitesi gizliliğinizi tehlikeye atıyor.

Eğer şifrenizi saklamazlarsa, doğru şifreyi girdiğinizi nasıl bilebilirler? Cevap karma olarak adlandırılan bir kavrama uzanır. Hashing şifrelemeye çok benzer, ancak bu tek yönlü bir işlemdir. Bir karma algoritmaya aynı girdi her zaman aynı çıktıyı verir, ancak bu çıktıyı almanın ve orijinali yeniden keşfetmenin bir yolu yoktur.

Diyelim ki "şifreniz" olan favori şifrenizi kullanarak yeni bir çevrimiçi hesaba kaydolun. Site bir karma algoritma ile girdiklerinizi koyar ve sakladığı 991CEFz & Nw36 gibi bazı saçma sapan şeyleri geri alır. Giriş yaptığınızda, site girdiğiniz şifreyi aynı algoritma ile çalıştırır. Sonuç eşleşirse, yerdesiniz.

Göndermemeliler

Güvenli bir site gerçek şifrenizi saklamış olsa bile, e-postayla size göndermemelidir. E-posta doğal olarak güvensizdir. İletileriniz gelen kutunuza giderken sunucudan sunucuya sıçramaktadır. Bir tür e-posta şifrelemesi kullanmıyorsanız, şifreniz seyahatleri sırasında güvenli değildir.

Dvorak, bir şifre sıfırlama bağlantısının bu kadar savunmasız olduğunu savunuyor. O yanlış. Birincisi, sıfırlama bağlantıları genellikle kısa ömürlüdür. Bağlantı istedikten kısa bir süre sonra geçersiz olur. Bağlantıyı kullandığınızda, tekrar geçersiz hale gelir. Ayrıca, bağlantıyı kullanmak, tarayıcınızla sitenin sunucuları arasında güvenli bir SSL bağlantısı kurar. Yeni şifrenizi girersiniz, site ona bağlanır ve sonucu saklar ve işe geri dönersiniz.

Ama hatırlayamıyorum!

Dvorak, yılda sadece birkaç kez kullandığı Dropbox hesabının problemini gündeme getiriyor. Doğal olarak kullanmak zorunda kaldığında şifreyi hatırlayamıyor. Aslında, kolayca hatırlayabileceğiniz bir şifre, başka birinin tahmin edebileceği bir şifredir. Gerçekten yapması gereken, bir şifre yöneticisi kullanmaya başlamak ve mevcut tüm şifrelerini yeni, güçlü ve benzersiz olanlarla değiştirmek.

  • Insanely güvenli şifreler nasıl yapılır Insanely güvenli şifreler nasıl yapılır
  • 2019 İçin En İyi Şifre Yöneticileri 2019 İçin En İyi Şifre Yöneticileri
  • Şifre Sıfırlama İkilemi Şifre Sıfırlama İkilemi

Evet, güçlü şifrelere geçiş yapmak için belirli bir miktar iş var, ancak bu çabaya değer. Kendi Jill Duffy, beş haftalık bir süre boyunca nasıl yaptığını açıklıyor. Ve pahalı olması gerekmez. Mevcut ücretsiz şifre yöneticilerinden bazıları mükemmel bir iş çıkarıyor.

“Ama yine de o güçlü ana şifreyi hatırlamam gerekiyor” diyor John'un neredeyse söylediğini duyabiliyorum. Gerçekten de öyle. Ama bu sadece bir şifre ve onu unutulmaz kılmanın yolları var. Ayrıca, yılda bir kez değil, her gün kullanıyor olacaksınız. Demek John, bunu uyandırma çağrın olarak kabul et; modern dünyaya katılmanın ve bir şifre yöneticisi edinmenin zamanı geldi.

John dvorak şifreler hakkında tamamen yanlıştır | Neil J. rubenking