Безопасность при разработке сайта. Часть первая - пароли и логины

Вопрос обеспечения безопасности сайта, это комплексное решение включающее много факторов.

Здесь, в этой статье, я затрону только два – простейших и очевидных. Уверен, всё, что я здесь буду писать, Вам давно известно. Другое дело – пользуетесь ли Вы имеющимися у Вас знаниями, применяете ли их к реальной жизни. 

Пароли и логины.

Все вы хорошо знаете, что при регистрации на различных сайтах, нужно придумать и ввести свой логин и пароль. Уверен, Вы много раз это делали. Но все ли эти пароли Вы помните?

Собираясь создать свой сайт, Вам понадобится приобрести домен и хостинг (о том, как это сделать речь впереди). На Ваш электронный почтовый ящик придёт письмо с логинами и паролями от административной панели сервера, от базы данных и от личного кабинета на сайте хостера. Затем при установке на сервер CMS, введёте ещё один логин и пароль.

Для поискового продвижения, Вам понадобится зарегистрировать свой сайт в нескольких поисковых системах и для этого Вам понадобится несколько разных почтовых ящиков (как минимум четыре). 

Итого получилось уже восемь пар логин – пароль. И это только начало. Немыслимо запомнить столько паролей, да и память человеческая несовершенна – может подвести в самый неподходящий момент.

Использовать во всех случаях один и тот-же пароль, категорически не советую – взлом одного из них может повлечь обрушение всей Вашей системы безопасности и утрату контроля над сайтом а также над кучей почтовых ящиков. Восстанавливать потом, всё будет нелегко. Логины тоже желательно использовать разные, хотя это и менее критично.

Таким образом, появляется проблема – где и как хранить пароли?

Варианты:

  1. На листочке бумаги, приклеенном к монитору – худший вариант, все видят, можно потерять при уборке.
  2. В записной книжке – уже лучше, но книжкой не удобно пользоваться, да и потерять можно.
  3. В текстовом файлике на рабочем столе – более удобно, но совершенно не безопасно (любой человек имеющий доступ к Вашему компьютеру может воспользоваться, пусть даже и ради шутки, да и шпионские программы могут считать эту информацию и передать злоумышленнику). А если у Вас ноутбук, то его и украсть могут.
  4. В текстовом файлике, упакованном в запаролленный архив – неудобно, и уровень шифрования архивов слабоват.
  5. В браузере (Вам всегда браузер предлагает сохранить пароль) – очень удобно, но это один из худших способов, поскольку шпионские программы первым делом воруют пароли из браузеров, а шифрование там очень слабое. Никогда не храните пароли в браузере.
  6. В специальном зашифрованном файле при помощи хорошей программы шифрования – самый надёжный способ. Способ хорош и может быть рекомендован, но неудобен.
  7. В менеджере паролей – идеальный способ и достаточно надёжно и удобно.
  8. В менеджере паролей, а базу менеджера в зашифрованной при помощи специальной шифровальной программы папке – сверх надёжно, вариант для параноиков.

Итак, лучший вариант это менеджер паролей. Доступ к данным производится по паролю и никто посторонний не проникнет. Помнить нужно только один единственный пароль. Во многих менеджерах паролей есть автонабор или встраиваемая в браузер надстройка, поэтому пользоваться ими почти также удобно, как и при хранении паролей в самом браузере, но на порядок безопасней. Кроме того отпадает проблема с сохранением паролей из браузеров в случае переустановки операционной системы.

Для примера я приведу скриншот менеджера паролей, которым пользуюсь сам:

Менеджер паролей keepass

Это KeePass, программа очень простая и удобная. Она совершенно бесплатна, есть версии и для мобильных устройств. Я пользуюсь переносной (portable) версией, и могу хранить все мои пароли на флешке, не боясь её потерять, поскольку вся информация защищена паролем, а резервная копия имеется на компьютере. Кстати, не забывайте делать резервные копии и хранить самую ценную информацию в двух – трёх местах, например жесткий диск компьютера + флешка + DVD диск, и конечно, всё это не должно храниться в одном помещении (пожары, наводнения и ограбления ещё никто не отменял).

Тем, кто не любит доверять бесплатным программам, могу порекомендовать коммерческие Roboform и Password Storage они не дороги, но своё дело делают хорошо. Впрочем RoboForm имеет и бесплатную версию.

Каким должен быть пароль и логин.

Теперь поговорим о том, какими должны быть пароли и логины. 

Прежде всего, не используйте в качестве логина, стандартные: admin, administrator, superuser. Не помогайте хакерам, придумайте что либо своё.

Пароль должен быть длинным и сложным. Ни в коем случае не используйте в качестве пароля даты рождения, номера мобильных телефонов и имена близких людей. Всё это легко вычисляется.

Не рекомендуется использовать в качестве пароля осмысленные слова, имеющиеся в словаре. Программы взлома паролей прежде всего перебирают слова из словарей.

Вы можете воспользоваться генератором паролей, которые обычно встроены в менеджеры паролей, по крайней мере, и в KeePass и в Password Storage они есть:

Генератор паролей

На выходе он даёт, при настройках как на скриншоте, подобный пароль: i1r5i9xoNaolhvbQ2X1g, взломать такое непросто, а можно увеличить сложность и получить нечто совсем уж не читабельное и трудно взламываемое, например: që¼NeÏEççhj?D%Øäe8ðƼ/m$»ã±ÎAÐ. При всей своей фантазии, не думаю, что Вы сможете придумать такой сложный пароль сами, без генератора.

Программы шифрования.

В принципе, если Вы воспользовались моим советом и начали использовать менеджер паролей, то с хранением паролей проблем не будет, но если у Вас есть другая конфиденциальная информация – Вам понадобится программа способная зашифровать какие-либо документы и папки.

Я много лет пользовался бесплатной программой Truecript, но недавно с ней произошла совершенно детективная, история – проект закрылся и автор написал, что пользоваться этой программой стало небезопасно, толком не объяснив причин. В настоящее время я нахожусь на перепутье: 

  • продолжать пользоваться Truecript; 
  • перейти на другой бесплатный шифратор от надёжного производителя, например Comodo Disk Encryption (бесплатных программ много, но не внушают доверия);
  • купить платную программу BestCrypt Container Encryption или CyberSafe, а может и PGP Desktop (но последняя дороговата);

Скажу только одно – программа шифрования не должна быть пиратской ни в коем случае. Если Вы планируете хранить данные в зашифрованном виде, значит они представляют для Вас ценность и рисковать ими никак нельзя. В пиратскую программу вполне может быть зашит «черный ход» по которому хакеры смогут беспрепятственно получить доступ к Вашим секретам. Чем пользоваться пиратской программой, лучше уж вообще не шифровать файлы, сохраннее будут.

Рекомендовать какую-либо бесплатную программу я тоже не могу, поскольку сам не пользовался ничем кроме Truecript, а его можно скачивать только с официального сайта, который в настоящее время всем предлагает этой программой не пользоваться и скачивать не даёт. На других сайтах Truecript скачивать категорически нельзя, поскольку это программа с открытым кодом и её очень легко перекомпилировать, встроив туда что-либо нежелательное.

Остаются платные, из которых могу рекомендовать три: BestCrypt Container Encryption, CyberSafe, PGP Desktop. О них много хороших отзывов. Ну или попробуйте бесплатный Comodo Disk Encryption , не пользовался но эта компания очень известна, делает хорошие антивирусы и другие программы и доверять ей вполне можно, однако Comodo Disk Encryption позиционируется как непрофессиональная программа для домашнего использования, следовательно её возможности ограничены.

Вторая тема, которую я хотел затронуть это антивирусы, но текста получилось слишком много, поэтому читайте об антивирусах в следующей статье.

 Я в google+

Добавить комментарий


Защитный код
Обновить

Группа Вконтакте

Copyright © 2014-2015. Все права защищены.

Копирование допускается только с разрешения автора и обязательной ссылкой на источник.