Adakah Kata Laluan Anda Benar-Benar Selamat? Kesilapan Yang Ramai Orang Buat
Mari kita mulakan dengan soalan yang tidak selesa: berapa banyak akaun dalam talian anda yang berkongsi kata laluan yang sama?
Jika jawapannya lebih daripada satu, anda tidak bersendirian. Kajian secara konsisten menunjukkan bahawa orang biasa menggunakan semula kata laluan merentas sekurang-kurangnya lima akaun. Ramai orang menggunakan kata laluan yang sama, atau variasinya, merentas berpuluh-puluh perkhidmatan. Ini adalah salah satu risiko keselamatan terbesar yang dihadapi kebanyakan orang dalam talian, dan ia boleh dielakkan sepenuhnya.
Bahaya Sebenar: Pelanggaran Data dan Credential Stuffing
Kebanyakan orang menganggap penggodaman sebagai seseorang yang mensasarkan mereka secara khusus, meneka kata laluan mereka, atau memaksa akaun mereka. Hakikatnya sangat berbeza.
Majoriti besar kompromi akaun berlaku melalui pelanggaran data. Sebuah syarikat tempat anda mempunyai akaun digodam. Pangkalan data nama pengguna dan kata laluan mereka dicuri dan diterbitkan dalam talian atau dijual di web gelap. Ini berlaku kepada syarikat besar dengan kekerapan yang membimbangkan.
Di sinilah penggunaan semula kata laluan menjadi bencana. Penyerang mengambil gabungan e-mel dan kata laluan yang bocor dan secara automatik mencubanya pada ratusan perkhidmatan lain: Gmail, Amazon, laman perbankan, media sosial. Ini dipanggil credential stuffing, dan ia berkesan kerana ramai orang menggunakan kata laluan yang sama di mana-mana.
Amaran Jika anda menggunakan kata laluan yang sama untuk forum dalam talian kecil yang telah dilanggari dan untuk akaun e-mel utama anda, penyerang yang mendapat pangkalan data forum kini mempunyai akses kepada e-mel anda. Dari e-mel anda, mereka boleh menetapkan semula kata laluan pada hampir setiap akaun lain yang anda miliki.
Kesilapan Kata Laluan Yang Paling Biasa
1. Menggunakan Semula Kata Laluan
Ini adalah dosa utama keselamatan kata laluan. Apabila anda menggunakan semula kata laluan, pelanggaran pada satu perkhidmatan menjejaskan setiap perkhidmatan di mana anda menggunakan kata laluan itu.
2. Menggunakan Kata Laluan Lemah
Walaupun selepas bertahun-tahun kempen kesedaran, kata laluan yang paling biasa kekal mengejutkan mudah. "123456," "password," "qwerty," dan "admin" secara konsisten menduduki tangga teratas. Ini boleh dipecahkan dalam masa kurang daripada sesaat.
3. Corak Yang Boleh Dijangka
Ramai orang fikir mereka bijak dengan corak seperti:
- Menambah "1" atau "!" di hujung perkataan biasa
- Menggunakan huruf besar hanya pada huruf pertama
- Menggunakan kata laluan asas dengan nama laman web ditambah (cth., "KataLaluan-facebook")
- Menggantikan huruf dengan nombor ("p@ssw0rd")
Penyerang mengetahui semua corak ini. Alat mereka direka khusus untuk mencuba variasi ini. Kata laluan yang kelihatan kompleks kepada manusia boleh menjadi remeh bagi alat pemecahan automatik.
4. Menggunakan Maklumat Peribadi
Nama haiwan peliharaan, tarikh lahir, ulang tahun, nama anak-anak, pasukan sukan kegemaran. Semua maklumat ini selalunya tersedia secara umum di media sosial. Jika kata laluan anda ialah "fluffy2019" dan Instagram anda penuh dengan foto kucing dengan #FluffyTheCat, anda tidak seselamat yang anda fikir.
5. Tidak Pernah Menukar Kata Laluan Yang Terkompromi
Walaupun setelah diberitahu tentang pelanggaran, ramai orang tidak menukar kata laluan mereka. Ini memberi penyerang tempoh yang panjang untuk mengeksploitasi kelayakan yang bocor.
Tahukah anda? Pelanggaran data terbesar yang diketahui mendedahkan lebih daripada 3.2 bilion gabungan e-mel dan kata laluan dalam satu kebocoran. Terdapat kemungkinan besar bahawa sekurang-kurangnya satu kata laluan anda telah terdedah dalam pelanggaran masa lalu, walaupun anda tidak pernah diberitahu.
Apa Yang Menjadikan Kata Laluan Kuat?
Kata laluan yang kuat mempunyai tiga sifat utama:
- Panjang. Ini adalah faktor terpenting. Kata laluan 16 aksara jauh lebih sukar dipecahkan daripada kata laluan 8 aksara, tanpa mengira kerumitan.
- Rawak. Ia tidak sepatutnya mengandungi perkataan kamus, nama, tarikh, atau corak yang boleh dikenali.
- Unik. Ia mesti digunakan untuk satu akaun sahaja.
Berikut adalah cara panjang kata laluan mempengaruhi masa pemecahan untuk kata laluan rawak:
| Panjang | Huruf Kecil Sahaja | Campuran + Nombor + Simbol |
|---|---|---|
| 6 aksara | Serta-merta | ~5 saat |
| 8 aksara | ~2 minit | ~8 jam |
| 12 aksara | ~200 tahun | ~34,000 tahun |
| 16 aksara | ~3 juta tahun | Secara praktis tidak boleh dipecahkan |
Kesimpulannya jelas: panjang mengalahkan kerumitan. Kata laluan rawak 16 aksara dengan hanya huruf kecil jauh lebih kuat daripada kata laluan 8 aksara dengan huruf besar, nombor, dan simbol.
Penyelesaian: Pengurus Kata Laluan dan Kata Laluan Unik
Cara paling praktikal untuk menggunakan kata laluan yang kuat dan unik untuk setiap akaun adalah menggunakan pengurus kata laluan. Pengurus kata laluan menyimpan semua kata laluan anda dalam peti besi yang disulitkan, dilindungi oleh satu kata laluan induk. Anda hanya perlu mengingati satu kata laluan; pengurus menguruskan selebihnya.
Pengurus kata laluan popular termasuk Bitwarden (percuma dan sumber terbuka), 1Password, dan KeePass. Kebanyakan pelayar juga mempunyai pengurus kata laluan terbina dalam yang berfungsi dengan agak baik.
Cara Pengurus Kata Laluan Berfungsi
- Apabila anda membuat akaun atau menukar kata laluan, pengurus menjana kata laluan yang panjang dan rawak.
- Kata laluan disimpan dalam peti besi yang disulitkan.
- Apabila anda melawat laman web, pengurus mengisi kelayakan secara automatik.
- Anda tidak perlu mengingati, menaip, atau bahkan melihat kata laluan individu.
Ambil Tindakan Hari Ini: Dua Langkah Yang Boleh Anda Lakukan Sekarang
Anda tidak perlu mengubah seluruh kehidupan digital anda dalam satu sesi. Mulakan dengan dua tindakan konkret ini.
Langkah 1: Semak Sama Ada Kata Laluan Anda Telah Bocor
Sebelum apa-apa lagi, ketahui sama ada kata laluan sedia ada anda telah terdedah dalam pelanggaran data yang diketahui. Ini memberitahu anda akaun mana yang berisiko segera.
Petua Anda boleh menyemak sama ada kata laluan anda muncul dalam pangkalan data pelanggaran yang diketahui sekarang, secara percuma: Semak Sama Ada Kata Laluan Anda Telah Bocor. Semakan dilakukan dengan selamat β kata laluan penuh anda tidak pernah dihantar ke mana-mana.
Langkah 2: Jana Kata Laluan Kuat untuk Akaun Paling Penting Anda
Mulakan dengan akaun yang paling penting: e-mel utama anda, bank anda, dan mana-mana akaun yang menyimpan maklumat pembayaran. Gantikan kata laluan tersebut dengan kata laluan yang kuat dan dijana secara rawak.
Petua Gunakan penjana kata laluan percuma kami untuk mencipta kata laluan yang kuat dan unik dengan serta-merta: Jana Kata Laluan Selamat. Anda boleh menyesuaikan panjang dan jenis aksara untuk memenuhi keperluan mana-mana laman web.
Lebih Daripada Kata Laluan: Aktifkan Pengesahan Dua Faktor
Walaupun kata laluan yang paling kuat tidak mencukupi jika perkhidmatan yang menyimpannya dilanggari. Pengesahan dua faktor (2FA) menambah lapisan perlindungan kedua: selepas memasukkan kata laluan anda, anda juga mesti memberikan kod dari telefon anda, aplikasi pengesah, atau kunci keselamatan fizikal.
Dengan 2FA diaktifkan, kata laluan yang bocor sahaja tidak mencukupi bagi penyerang untuk mengakses akaun anda. Aktifkannya pada setiap akaun yang menawarkannya, terutamanya e-mel, perbankan, dan media sosial.
Amaran 2FA berasaskan SMS (kod dihantar melalui mesej teks) lebih baik daripada tiada tetapi terdedah kepada serangan SIM-swapping. Aplikasi pengesah (Google Authenticator, Authy) atau kunci perkakasan (YubiKey) jauh lebih selamat.
Membina Tabiat Yang Lebih Baik
Keselamatan kata laluan bukan penyelesaian sekali sahaja. Ia adalah amalan berterusan:
- Gunakan pengurus kata laluan untuk semua akaun.
- Jana kata laluan unik untuk setiap akaun baru.
- Aktifkan 2FA di mana sahaja ia tersedia.
- Semak kebocoran secara berkala, sekurang-kurangnya sekali atau dua kali setahun.
- Tukar kata laluan yang terkompromi dengan segera apabila diberitahu tentang pelanggaran.
Mula melindungi akaun anda hari ini:
Kedua-dua alat adalah percuma, berjalan dalam pelayar anda, dan tidak pernah menghantar data anda ke mana-mana.