Paano Gumawa ng Mga Ligtas na Password na Talagang Gumagana

Alamin kung paano lumikha ng mga secure na password gamit ang aming gabay. Tinutukoy namin ang mga malalakas na passphrase, mahahalagang password manager, at kung bakit kailangan mo ng two-factor authentication.

how to create secure passwordsstrong password tipscybersecurity guidepassword manageronline security
Paano Gumawa ng Mga Ligtas na Password na Talagang Gumagana

Inirerekomendang Mga Extension

Generator ng password [ShiftShift]

Bumuo ng secure na password gamit ang custom na mga opsyon

Pribado at Seguridad

Generator ng MD5 [ShiftShift]

I-convert ang text sa MD5 hash para sa checksum at verification

Pribado at Seguridad

Upang talagang mapanatiling ligtas ang iyong mga account, kailangan mo ng mga password na mahahaba, kumplikado, at—pinaka-mahalaga—natatangi para sa bawat solong site na ginagamit mo. Ang pinakamahusay na paraan upang gawin ito ay sa pamamagitan ng paglikha ng isang passphrase (isang madaling tandaan na string ng apat o higit pang random na salita) o sa pamamagitan ng pagpapahintulot sa isang password manager na bumuo at mag-imbak ng mga imposibleng random na string ng karakter para sa iyo.

Bakit Hindi Na Epektibo ang Iyong Mga Lumang Gawi sa Password

Mga domino na nahuhulog mula sa isang sobre at bumubuo patungo sa isang padlock, na nagpoprotekta laban sa isang hukbo ng mga robot.

Magiging tapat tayo, ang lumang payo—"magdagdag lamang ng isang numero at isang simbolo sa isang karaniwang salita"—ay ganap na lipas na. Ang digital na mundo ay umunlad, at gayundin ang mga banta. Ang isang password tulad ng Password!1 ay maaaring makapag-check ng isang kahon sa isang registration form, ngunit ito ay isang bukas na pinto para sa mga modernong cyberattack.

Hindi na manually na hinuhulaan ng mga hacker ang mga password. Gumagamit sila ng mga automated na tool na kayang mag-cycle sa bilyun-bilyong kumbinasyon bawat segundo. Ito ay tinatawag na brute-force attack, at ginagawang napakadali ng mga maikli, predictable na password na masira. Kahit ang mga matatalinong kapalit tulad ng 'Pa$$w0rd' ay hindi makakaloko sa mga programang ito nang matagal, dahil partikular silang dinisenyo upang suriin ang mga karaniwang trick na iyon.

Ang Epekto ng Domino ng Isang Mahinang Password

Narito kung saan nagiging talagang nakakatakot. Ang isang mahina na password ay maaaring kumilos bilang isang master key sa iyong buong digital na buhay, na nag-uudyok ng isang nakapipinsalang epekto ng domino. Nangyayari ito nang madalas dahil sa isang karaniwang atake na tinatawag na credential stuffing.

Ang mga cybercriminal ay nakakakuha ng listahan ng mga username at password mula sa isang data breach sa isang kumpanya. Pagkatapos, ginagamit nila ang mga bot upang awtomatikong subukan ang mga parehong detalye ng pag-login sa daan-daang iba pang tanyag na site—ang iyong bangko, ang iyong social media, ang iyong email.

Napakabisa nito dahil karamihan sa mga tao ay inuulit ang mga password sa lahat ng dako. Sa kabila ng mga taon ng mga babala, isang nakakagulat na 80–85% ng mga tao ay patuloy na inuulit ang parehong password sa maraming website. Maaari mong suriin ang data sa krisis na ito sa password, ngunit ang takeaway ay malinaw: ang gawi na ito ay lumilikha ng isang napakalaking, sariling pinagdaraanan na kahinaan.

"Ang iyong mga password ay ang iyong 'unang salik,' i.e. 'isang bagay na alam mo.' Ang layunin ay gawing napakahirap para sa isang umaatake na hulaan o matuklasan ang 'bagay' na iyon na sila ay lumipat sa isang mas madaling target."

Upang matulungan kang makapagsimula, narito ang isang mabilis na cheat sheet na sumasaklaw sa mga pangunahing prinsipyo na tatalakayin natin.

Mabilis na Gabay sa Mga Ligtas na Password

Prinsipyo Bakit Mahalaga Ito Mabilis na Tip
Haba ang Susi Ang mas mahahabang password ay exponentially na mas mahirap para sa mga bot na masira. Mag-target ng hindi bababa sa 16 na karakter o 4 random na salita para sa isang passphrase.
Yakapin ang Randomness Ang mga predictable na pattern, mga salitang nasa diksyunaryo, at personal na impormasyon ay madaling hulaan. Gumamit ng halo ng mga uppercase/lowercase na letra, mga numero, at mga simbolo. Ang isang password generator ang iyong pinakamahusay na kaibigan dito.
Isang Natatanging Uri Kung ang isang account ay na-breach, ang pag-uulit ng password ay nagpapahintulot sa mga umaatake na makapasok sa iyong iba pang mga account. Bawat solong account ay nangangailangan ng sarili nitong natatanging password. Walang mga eksepsyon.
Gumamit ng Password Manager Imposible nang matandaan ang dose-dosenang natatangi, kumplikadong password. Hayaan ang isang password manager na bumuo, mag-imbak, at awtomatikong punan ang mga ito para sa iyo.
Mag-enable ng 2FA Nagdaragdag ng isang kritikal na pangalawang layer ng depensa, na humihinto sa sinumang nakakapag-nakaw ng iyong password. I-on ang two-factor authentication sa bawat account na nag-aalok nito.

Isipin ang talahanayang ito bilang iyong pundasyon. Ngayon, magtayo tayo sa ibabaw nito.

Pagtanggap ng Modernong Isip sa Seguridad

Ang pagprotekta sa iyong sarili ay nangangahulugang kailangan mong baguhin ang iyong estratehiya. Kalimutan ang pagsubok na tandaan ang dose-dosenang bahagyang magkakaibang, kumplikadong password. Panahon na upang yakapin ang isang modernong diskarte na nakabatay sa tatlong pangunahing haligi:

  • Magbuo ng Malalakas na Passphrase: Sa halip na makipaglaban sa mga bagay tulad ng R#8b^t!P9, lumipat sa mahahabang, madaling tandaan na mga passphrase. Isang parirala tulad ng "BrightPurpleRobotDancesWeekly" ay mas malakas at mas madaling tandaan.
  • Gumamit ng Digital Vault: Ang isang password manager ay hindi maikakaila sa mundo ngayon. Ito ay kumikilos bilang isang secure na vault para sa lahat ng iyong natatanging password at maaaring bumuo ng mga bago, hindi masisira sa tuwing kailangan mo ito. Ang pasanin ng pag-alala ay nawala na.
  • Aktibahin ang Iyong Pinakamataas na Depensa: Isipin ang two-factor authentication (2FA) bilang iyong digital na deadbolt. Nangangailangan ito ng pangalawang piraso ng patunay—karaniwang isang code mula sa iyong telepono—na ginagawang walang silbi ang iyong password sa isang magnanakaw nang wala ito.

Sa pamamagitan ng pag-master sa tatlong konseptong ito, lumilipat ka mula sa pagiging isang potensyal na biktima patungo sa isang mahusay na pinagtanggol na gumagamit. Sa gabay na ito, dadalhin kita sa eksaktong kung paano ilagay ang bawat isa sa praktika.

Paggawa ng Hindi Malilimutang at Hindi Masisirang Passphrases

Isang cartoon na batang lalaki na nagtuturo sa apat na makukulay na bloke na may label na Adjective, Animal, Action, at Place.

Kung nais mo nang itapon ang iyong keyboard sa buong silid sa pagsubok na alalahanin ang isang bagay tulad ng !Tr0ub4dor&3, naiintindihan ko. Nandiyan tayong lahat. Ngunit narito ang lihim: ang isang tunay na malakas na password ay hindi tungkol sa pagiging imposibleng tandaan—ito ay tungkol sa pagiging imposibleng hulaan ng isang computer. Dito pumapasok ang simpleng talino ng passphrase.

Ang isang passphrase ay isang string lamang ng mga salita na madali mong maisip, ngunit para sa isang makina, ito ay isang matematikal na bangungot. Ang konsepto ay batay sa 'diceware' na pamamaraan, na isang magarbong paraan ng pagsasabi ng "pagdugtungin ang mga random na salita." Ang mas maraming salita na idinadagdag mo, ang exponentially na mas mahirap itong masira ng mga brute-force attack.

Isipin mo ito sa ganitong paraan: ang mga modernong cracking tool ay kayang magproseso ng bilyun-bilyong kumbinasyon bawat segundo. Ang isang password na may walong karakter, kahit na may mga simbolo, ay maaaring masira sa loob ng ilang minuto. Ngunit isang simpleng four-word passphrase? Isang bagay tulad ng klasikong CorrectHorseBatteryStaple ay aabutin ng libu-libong taon para sa teknolohiya ngayon upang malaman.

Ang Formula para sa Isang Walang Kapintasan na Passphrase

Ang mahiwagang sangkap dito ay randomness. Ang iyong layunin ay pagdugtungin ang mga salita na walang anumang lohikal na koneksyon. Ito ay hindi maikakaila, dahil ang mga umaatake ay gumagamit ng malalaking diksyunaryo at "rainbow tables" na puno ng mga karaniwang parirala, liriko ng kanta, at mga sikat na sipi. Ang isang linya mula sa iyong paboritong pelikula ay isang napakaburang ideya.

Upang makapagsimula, isipin ito bilang isang laro ng Mad Libs na nakatuon sa seguridad.

  • Isang Simpleng Formula: [Adjective][Animal][Action][Place]

Gamit ang ganitong estruktura, maaari kang bumuo ng mga parirala na parehong madaling tandaan at ganap na random. Maaaring makuha mo ang "SleepyGiraffeJugglesParis" o "AnxiousBadgerDrivesMars." Ang mga kakaibang mental na imahe na nilikha nito ay talagang nagpapadali sa kanilang pagdapo sa iyong isipan kaysa sa isang halo ng mga simbolo.

Ang tunay na lakas ng isang passphrase ay nakasalalay sa entropy nito—isang sukat ng hindi pagkakapredictable nito. Ang isang chain ng apat na hindi magkakaugnay na salita ay lumilikha ng mas mataas na entropy kaysa sa isang solong kumplikadong salita mula sa diksyunaryo na may ilang numero na idinadagdag sa dulo.

Karaniwang Pitfalls ng Passphrase na Dapat Iwasan

Sa kabila ng mahusay na pamamaraan, nakakagulat na madaling mahulog sa mga bitag na nagpapahina sa iyong passphrase. Kapag bumubuo ka ng sarili mo, siguraduhing iwasan ang mga karaniwang pagkakamaling ito:

  • Predictable Sequences: Iwasan ang mga parirala na binuo mula sa personal na impormasyon o karaniwang ekspresyon, tulad ng "Mahal ko ang aking asong si spot" o "GoPackGoChamps2024." Sila ang mga unang bagay na susubukan ng isang umaatake.
  • Pop Culture References: Ang mga liriko, mga sipi mula sa pelikula, at mga pamagat ng libro ay nasa internet—at sa diksyunaryo ng bawat hacker. Ang isang parirala tulad ng "LukeIAmYourFather" ay kasing sama ng "password."
  • Adjacent Keyboard Patterns: Alam nating lahat na ang "qwerty" ay isang mahina na password. Ang parehong lohika ay nalalapat sa mga parirala tulad ng "TheQuickBrownFox." Masyado itong kilala.

Ang layunin ay lumikha ng isang bagay na tila natatangi sa iyo nang walang pagkakakilanlan. Ang mas walang katuturan ang kumbinasyon, mas mabuti ang iyong depensa.

Pagsasaayos ng Isang Base Passphrase para sa Iba't Ibang Account

Tingnan, talagang kailangan mo ng natatanging password para sa bawat solong site. Ngunit hindi mo kailangang magsimula mula sa simula sa bawat pagkakataon. Isang matalinong diskarte ay ang lumikha ng isang malakas na "base" passphrase at pagkatapos ay magdagdag ng isang natatangi, site-specific na modifier dito. Nagbibigay ito sa iyo ng isang solidong manual na sistema para sa iyong pinakamahalagang account.

Sabihin nating ang iyong base passphrase ay AnxiousBadgerDrivesMars. Maaari mo itong iakma para sa iba't ibang site tulad nito:

Uri ng Account Site Modifier Logic Huling Halimbawa ng Passphrase
Email G-Mail Magdagdag ng simbolo + ang unang/huling mga letra ng site. AnxiousBadgerDrivesMars@gl
Banking Ch-ase Gumamit ng ibang simbolo + ang unang dalawa/huling dalawang letra. AnxiousBadgerDrivesMars#chse
Social Tw-itter Gumamit ng isa pang simbolo + ibang kumbinasyon ng letra. AnxiousBadgerDrivesMars%twr

Ang simpleng sistemang ito ay nagbibigay sa iyo ng isang paulit-ulit na pattern na maaari mong tandaan, ngunit nagbubuo pa rin ito ng isang natatanging credential para sa bawat account. Ito ay isang praktikal na balanse sa pagitan ng matibay na seguridad at ang katotohanan ng memorya ng tao, na ginagawang mahusay na diskarte para sa sinumang nagsisimula pa lamang sa paglikha ng mga ligtas na password.

Hayaan ang Password Manager na Gawin ang Mabigat na Trabaho

Isang malaking susi na nagbubuhos ng maraming maliliit na padlock sa isang smartphone na may shield, na sumasagisag sa mobile security at encryption.

Ang pagbuo ng malalakas na passphrase ay mahusay para sa iyong pinakamahalagang account—ang iyong email, ang iyong banking—ngunit maging makatotohanan tayo. Karamihan sa atin ay may dose-dosenang, kung hindi man daan-daang, online logins. Ang pagsubok na lumikha at alalahanin ang isang natatangi, mataas na entropy na passphrase para sa bawat solong forum, streaming service, at online store ay isang resipe para sa kabiguan. Hindi ito praktikal.

Dito nagiging iyong pinakamahusay na kaibigan ang isang password manager. Seryoso, ito ang pinakamahalagang tool sa seguridad na maaari mong tanggapin. Isipin ito bilang isang pangunahing pagbabago sa kung paano mo pinangangasiwaan ang iyong digital na buhay. Sa halip na mag-juggle ng isang gulo ng mahihina, recycled na password, kailangan mo lamang tandaan ang isa bagay: ang iyong master password.

Gagawin ng manager ang lahat ng mahihirap na trabaho mula doon. Kumikilos ito bilang isang digital vault, na ligtas na bumubuo, nag-iimbak, at kahit na awtomatikong pinupunan ang mga napaka-komplikadong password para sa bawat site na ginagamit mo. Agad nitong nalulutas ang dalawang pangunahing kasalanan ng seguridad ng password: paggamit muli at kahinaan.

Bakit Ang Isang Password Manager ay Hindi Maikakaila

Ang isang magandang password manager ay nag-aalis ng pagkakamali ng tao mula sa equation. Awtomatikong isinasagawa nito ang lahat ng pinakamahusay na kasanayan at inaalis ang tukso na gamitin lamang ang Password123! muli dahil madali ito. Hindi ka lamang nag-iimbak ng mga password; sa katunayan, pinapabuti mo ang iyong seguridad.

Narito ang makukuha mo kaagad:

  • Walang Kahirap-hirap na Natatangi: Ang manager ay maaaring agad na lumikha ng isang random, gibberish na password tulad ng k9#Z&p8!vR@qG$fT para sa bagong account na iyong pinapasukan. Hindi mo na kailangang makita ito, lalo na subukang alalahanin ito.
  • Secure na Imbakan: Ang iyong password vault ay nakalakip gamit ang makapangyarihang encryption. Nangangahulugan ito na kahit na ang kumpanya ng password manager mismo ay na-breach, magiging walang silbi ang iyong data sa mga hacker nang wala ang iyong natatanging master password.
  • One-Click Logins: Ang mga modernong manager ay direktang kumokonekta sa iyong browser, pinupunan ang iyong mga detalye ng pag-login para sa iyo. Ito ay isang malaking nakakatipid sa oras, ngunit ito rin ay isang mahusay na tampok sa seguridad—pinoprotektahan ka nito mula sa mga phishing site dahil ang autofill ay hindi gagana sa isang pekeng o kahawig na domain.

Ang buong ideya ay i-outsource ang imposibleng gawain ng pag-alala sa daan-daang natatangi, random na password sa isang tool na partikular na itinayo para sa trabahong iyon. Pinapalaya ka nito upang tumuon sa pagprotekta sa isang password na talagang mahalaga—ang susi sa iyong buong vault.

Kung hindi ka pa handang lumundag sa isang ganap na manager, ang ilang magagaan na browser tools ay maaaring magsilbing tulay. Halimbawa, ang Password Generator sa loob ng ShiftShift Extensions suite ay nagbibigay sa iyo ng mabilis at madaling paraan upang lumikha ng isang malakas na password sa mabilisang paraan.

Ang mga tool na ito ay nag-aalok ng agarang access sa secure na pagbuo ng password nang walang pangako ng isang hiwalay na app, na ginagawang mas madali upang ma-secure ang mga bagong account sa sandaling nilikha mo ang mga ito.

Pumili ng Tamang Password Manager

Kapag handa ka nang mag-commit, tandaan na pinagkakatiwalaan mo ang serbisyong ito sa mga susi sa iyong buong digital na buhay. Ito ay isang malaking desisyon, kaya ang matalinong pagpili ay kritikal.

Narito ang mga hindi maikakailang tampok na dapat mong hanapin:

  1. Zero-Knowledge Encryption: Ito ang gold standard. Nangangahulugan ito na ang kumpanya na nagbibigay ng serbisyo ay may zero ability na ma-access o ma-decrypt ang iyong data. Tanging ikaw lamang, gamit ang iyong master password, ang makakapagbukas ng vault.
  2. Third-Party Security Audits: Ang mga kagalang-galang na serbisyo ay kumukuha ng mga independiyenteng cybersecurity firms upang suriin ang kanilang mga sistema at hanapin ang anumang kahinaan. Hanapin ang mga kumpanya na transparent tungkol sa mga audit na ito.
  3. Cross-Platform Syncing: Ang isang password manager ay kapaki-pakinabang lamang kung ito ay nasa lahat ng dako na naroroon ka. Tiyaking ito ay gumagana nang walang putol sa iyong computer, telepono, at tablet.
  4. Robust 2FA Options: Ang manager mismo ay kailangang nakalakip nang mahigpit. Dapat itong suportahan ang two-factor authentication, mas mabuti na may mga opsyon para sa mga authenticator apps o kahit na mga pisikal na security keys.

Sa pag-umpisa mo sa paghahanap, makakatulong na makita kung paano nagkakaiba-iba ang mga nangungunang kandidato. Halimbawa, maaari mong ihambing ang mga nangungunang password manager tulad ng 1Password at LastPass upang masusing pag-aralan ang mga detalye ng kanilang mga modelo ng seguridad, mga tampok, at pangkalahatang karanasan ng gumagamit.

Ang Iyong Pinakamahalagang Password Kailanman

Kapag napili mo na ang iyong manager, oras na upang lumikha ng iyong master password. Ito na—ang isang password na kailangan mong tandaan ng buong puso. Dapat itong maging isang kuta.

Ito ang perpektong pagkakataon upang gamitin ang pamamaraang passphrase na tinalakay natin kanina. Ang isang mahusay na master password ay dapat:

  • Mahaba: Pumili ng hindi bababa sa anim hanggang walong random, hindi magkakaugnay na mga salita.
  • Madaling Tandaan (para sa iyo): Lumikha ng isang kakaiba o nakakatawang parirala na mananatili sa iyong isipan ngunit walang kahulugan sa iba.
  • Ganap na Natatangi: Ang password na ito ay hindi dapat ginamit saanman. Kailanman.

Ang isang solidong master password ay maaaring maging tulad ng OrangeSpaceshipQuietlyPaintsAzureMountains. Napakahirap para sa isang computer na masira ito ngunit sapat na simple para sa iyo na maalala. Habang iniisip mo ito, isulat ito at itago ito sa isang ligtas na lugar, tulad ng isang safe deposit box o isang fireproof safe sa bahay. Ang isang password na ito ang pundasyon ng iyong buong digital na estratehiya sa seguridad.

Ang Iyong Digital Deadbolt: Pagdaragdag ng Isang Antas ng Seguridad sa Pamamagitan ng 2FA

Magiging tapat tayo: kahit ang pinaka-mahusay na passphrase o random na nabuo na password ay maaaring nakawin. Isang matalinong phishing email, isang malaking data breach sa isang kumpanya na ginagamit mo, o kahit spyware sa iyong sariling computer ay maaaring ilantad ang iyong mga kredensyal sa pag-login. Iyon ang dahilan kung bakit ang isang malakas na password ay kalahati lamang ng laban.

Ang kabilang kalahati ay ang pagdaragdag ng isang digital deadbolt: Two-Factor Authentication (2FA).

Isipin mo ito sa ganitong paraan. Ang iyong password ay ang susi sa iyong harapang pinto. Kung makakuha ng kopya ang isang magnanakaw, maaari na lamang silang pumasok. Ang 2FA ay ang karagdagang deadbolt sa loob—isang ganap na hiwalay na kandado na nangangailangan ng ibang uri ng susi. Ito ay gumagana sa pamamagitan ng pagsasama ng isang bagay na alam mo (ang iyong password) sa isang bagay na meron ka (tulad ng iyong telepono o isang pisikal na security key).

Kaya, kahit na makuha ng isang hacker ang iyong password, titigil sila dahil wala silang pangalawang piraso ng puzzle. Upang talagang mapanatili ang iyong mga account, kailangan mong lumampas sa isang magandang password. Isang mahusay na panimulang punto ay ang pag-unawa sa two-factor authentication (2FA) at kung bakit ito isa sa mga pinaka-epektibong bagay na maaari mong gawin upang protektahan ang iyong digital na buhay.

Ang Iba't Ibang Uri ng 2FA

Hindi lahat ng mga pamamaraan ng 2FA ay nag-aalok ng parehong antas ng proteksyon. Sila ay nag-iiba mula sa "sapat na" para sa ilang mga account hanggang sa "fortress-level" na seguridad para sa iyong mga pinaka-kritikal na account. Ang pag-alam sa pagkakaiba ay makakatulong sa iyo na pumili ng tamang tool para sa trabaho.

Narito ang isang mabilis na buod, mula sa hindi gaanong secure hanggang sa pinaka-secure:

  • SMS Text Messages: Ito ang isa na malamang na nakita mo na. Sinusubukan mong mag-login, at ang isang serbisyo ay nagte-text ng isang one-time code sa iyong telepono. Habang ito ay mas mabuti kaysa wala, ang pamamaraang ito ay madaling kapitan ng isang scam na tinatawag na "SIM swapping," kung saan ang isang kriminal ay nililinlang ang iyong kumpanya ng telepono na ilipat ang iyong numero sa kanilang device.
  • Authenticator Apps: Ang mga app tulad ng Google Authenticator o Authy ay bumubuo ng isang sariwang, time-sensitive, six-digit code tuwing 30 segundo. Ito ay isang malaking hakbang sa seguridad mula sa SMS dahil ang code ay nilikha mismo sa iyong device at hindi kailanman naglalakbay sa mahina na cellular network.
  • Physical Security Keys: Ito ang gold standard. Ang isang pisikal na susi, tulad ng YubiKey, ay isang maliit na USB device na ikinakabit mo sa iyong computer o tinatapik sa iyong telepono upang aprubahan ang isang pag-login. Ito ay halos ganap na immune sa phishing at remote attacks, na nag-aalok ng pinakamalakas na seguridad na magagamit para sa karaniwang tao ngayon.

Para sa iyong talagang mahahalagang bagay—email, banking, password manager—malakas kong inirerekomenda ang paggamit ng authenticator app o, mas mabuti pa, isang pisikal na susi.

Paano I-set Up ang 2FA

Ang pag-activate ng 2FA ay karaniwang walang sakit at matatagpuan sa "Security" o "Account" settings ng karamihan sa mga pangunahing website at app.

Ang unang hakbang ay halos palaging kinabibilangan ng pag-scan ng isang QR code gamit ang iyong authenticator app upang i-link ang account. Ang mabilis na pag-scan na iyon ang lumilikha ng secure na koneksyon para sa pagbuo ng lahat ng iyong mga hinaharap na code. Kung interesado ka kung paano ito gumagana, ipinaliwanag ng aming gabay kung paano bumuo ng QR code at kung ano ang nasa loob nito.

Maglakbay tayo sa mga karaniwang hakbang na dapat mong gawin upang i-enable ito sa iyong pangunahing email account:

  1. Pumunta sa Security Settings: Mag-login sa iyong account at hanapin ang pahina ng security o login settings.
  2. Hanapin ang 2FA Option: Makikita mo itong tinatawag na iba't ibang bagay, tulad ng "Two-Factor Authentication," "2-Step Verification," o "Login Approvals."
  3. Pumili ng Iyong Pamamaraan: Tatanungin ka ng site kung paano mo gustong makuha ang iyong mga code. Kung makakita ka ng "Authenticator App" na opsyon, palaging piliin ito kaysa sa SMS.
  4. I-link ang Iyong App: Isang QR code ang lilitaw sa iyong screen. Buksan lamang ang iyong authenticator app sa iyong telepono, tapikin ang "+" na button, at i-scan ang code. Idinadagdag nito ang account sa listahan ng iyong app.
  5. Beripikahin at I-save: I-type ang six-digit code mula sa iyong app upang patunayan na na-link mo ito nang tama. Ang susunod na screen ay kritikal—ipapakita sa iyo ng serbisyo ang isang listahan ng backup codes.

Pro Tip: Huwag lamang i-click ang mga backup codes. I-save ang mga ito kaagad. I-print ang mga ito o isulat at itago sa isang ligtas na lugar, tulad ng sa isang fireproof box o isang nakalakip na drawer. Kung sakaling mawala mo ang iyong telepono, ang mga code na ito ang iyong tanging paraan pabalik.

Ang pag-activate ng 2FA ay isang one-time setup na nagbabayad araw-araw. Oo, maaaring magdagdag ito ng karagdagang limang segundo sa iyong pag-login, ngunit bumubuo ito ng isang malaking pader na pumipigil sa mga kriminal, kahit na mayroon sila ng iyong password. Ito ay isang maliit na hadlang para sa isang malaking pagtaas sa seguridad.

Paano Magsagawa ng Personal na Security Audit

Ang paglikha ng malalakas na password at pag-enable ng 2FA para sa mga bagong account ay isang mahusay na ugali. Ngunit ano ang tungkol sa digital trail na naiwan mo na? Oras na upang harapin ang dose-dosenang—marahil kahit daan-daang—mga account na nilikha mo sa paglipas ng mga taon. Isipin ito na hindi isang gawain kundi isang digital deep clean.

Ang pinakamahusay na lugar upang magsimula ay ang pagharap sa katotohanan. Kailangan mong malaman kung saan na-expose ang iyong impormasyon.

Isang tool na palagi kong inirerekomenda ay Have I Been Pwned. Ilagay lamang ang iyong mga email address, at ipapakita nito sa iyo ang bawat kilalang data breach na naging bahagi sila. Maaaring ito ay isang gising na tawag, ngunit nagbibigay ito sa iyo ng isang konkretong, priyoridad na listahan ng mga account na nangangailangan ng iyong agarang atensyon.

Bigyang-priyoridad at Sakupin ang Iyong mga Account

Ang pagtingin sa ulat ng breach ay maaaring maging nakakapagod. Ang susi ay huwag subukang ayusin ang lahat nang sabay-sabay—iyon ay isang resipe para sa burnout. Ang matalinong diskarte ay ang pag-categorize ng iyong mga account ayon sa panganib at harapin ang mga ito sa mga alon.

Narito ang isang simpleng tier system na ginagamit ko:

  • Tier 1 (Mataas na Prayoridad): Ito ang mga crown jewels. Kung isa sa mga ito ay nakompromiso, maaari itong humantong sa identity theft o seryosong pagkalugi sa pananalapi. Ito ang iyong pangunahing email, password manager, banking apps, at mga account sa serbisyo ng gobyerno. Magsimula dito, walang eksepsyon.
  • Tier 2 (Katamtamang Prayoridad): Kasama sa grupong ito ang mga account na naglalaman ng maraming personal na data o impormasyon sa pagbabayad. Isipin ang mga pangunahing social media profile (Facebook, Instagram), ang iyong mga paboritong shopping site tulad ng Amazon, at mga pangunahing platform na may kaugnayan sa trabaho.
  • Tier 3 (Mababang Prayoridad): Ito ang mga miscellaneous na account—mga forum na nag-sign up ka minsan, mga lumang newsletter, o mga one-off na serbisyo na nakalimutan mo na. Ang breach dito ay hindi gaanong kritikal, ngunit kailangan pa rin itong linisin.

Magtrabaho mula sa Tier 1. Sa totoo lang, ang pag-secure ng isang mataas na prayoridad na account ay isang malaking tagumpay para sa iyong pangkalahatang seguridad.

Ang Iyong Security Audit Checklist

Para sa bawat account na iyong nire-review, sundin ang simpleng prosesong ito. Binabago nito ang isang malabong layunin sa isang malinaw na hanay ng mga aksyon, at magiging mas mabilis ka sa bawat isa na iyong natatapos.

  1. Suriin ang mga Breach: Kumpirmahin kung ang mga kredensyal ng account ay na-expose sa Have I Been Pwned. Kung oo, ilipat ito sa itaas ng iyong listahan.
  2. Gumawa ng Bagong Password: Gamitin ang iyong password manager upang lumikha ng isang mahaba, random, at ganap na natatanging password. Ito ay isang pangunahing bahagi ng pag-aaral kung paano lumikha ng mga secure na password na kayang tumayo sa mga banta ngayon.
  3. Enable ang 2FA: Siyasatin ang mga security settings ng account at i-switch on ang two-factor authentication. Kung mayroon kang pagpipilian, palaging pumili ng authenticator app o pisikal na susi kaysa sa SMS.
  4. I-save ang Lahat ng Ligtas: Itago ang bagong password, ang 2FA backup codes, at anumang na-update na mga security questions sa iyong password manager.

Huwag kalimutan ang tungkol sa data na naka-imbak mismo sa iyong browser. Ang mga lumang cookies ay minsang nag-hahawak ng session information, kaya magandang ideya na linisin ang mga ito pagkatapos ng isang malaking security overhaul. Kung nais mong maging mas detalyado, maaari mong malaman kung paano nagbibigay ang isang cookie editor Chrome extension ng higit pang kontrol.

Ipinapakita ng simpleng flowchart na ito kung gaano kapowerful ang 2FA.

Flowchart illustrating the three steps of two-factor authentication (2FA) for secure access.

Perpekto itong naglalarawan na kahit na makuha ng isang magnanakaw ang iyong password (ang susi), titigil sila dahil wala silang pangalawang salik mula sa iyong telepono.

Gawing Ugali ang Seguridad

Ang isang personal na security audit ay hindi isang one-and-done na proyekto; ito ay isang pagsasanay. Nag-set ako ng calendar reminder tuwing anim hanggang labindalawang buwan upang mabilis na suriin ang aking mga pinaka-kritikal na account. Ito ay magandang pagkakataon upang suriin ang mga bagong breach at marahil ay palitan ang mga password sa aking Tier 1 na mga account.

Kapag itinuturing mong isang tuloy-tuloy na proseso ang iyong digital na seguridad, bumubuo ka ng mas matibay na depensa. Bawat password na iyong ina-update at bawat 2FA toggle na iyong pinapagana ay ginagawang mas mahirap na target para sa mga umaatake.

Isagawa ang Lahat ng Ito: Ang Iyong Secure Password Playbook

Sige, lumipat tayo mula sa teorya patungo sa aksyon. Ang pagkuha ng tamang password security ay hindi tungkol sa pag-memorize ng maraming kumplikadong patakaran. Ito ay tungkol sa pagbuo ng ilang matalinong ugali at pagpapahintulot sa tamang mga tool na gawin ang mabigat na trabaho para sa iyo.

Isipin mo ito sa ganitong paraan: ang iyong bagong playbook ay talagang bumababa sa apat na pangunahing ideya.

Una, ang lakas ay nagmumula sa haba at randomness. Kung ikaw ay lumikha ng isang mahaba, madaling tandaan na passphrase para sa isang kritikal na account o nagpapahintulot sa isang generator na lumikha ng kabuuang gibberish, ang entropy ang nagtataguyod sa iyong kaligtasan. Ang isang maikli, predictable na password ay parang pag-iwan ng iyong harapang pinto na nakabukas para sa automated attacks.

Pangalawa, bawat account ay may sariling natatanging password. Hindi ko ma-stress ito nang sapat. Ang muling paggamit ng mga kredensyal ay ang pinakamabilis na paraan upang gawing isang kumpletong sakuna ang isang maliit na breach, na nagbibigay sa mga magnanakaw ng mga susi sa iyong buong digital na kaharian. Ito ang isang patakaran na hindi mo kailanman dapat labagin.

Paglalapat ng Iyong Bagong Estratehiya sa Tunay na Mundo

Kaya, ano ang hitsura nito araw-araw? Well, hindi mo gagamitin ang parehong deadbolt para sa iyong bank vault na ginagamit mo sa iyong garden shed. Ang parehong lohika ay nalalapat sa iyong mga online account.

  • High-Stakes Accounts (Banking, Email): Ito ang mga crown jewels. Kailangan mo ng Fort Knox-level na seguridad dito. Gumamit ng isang mahaba, random na nabuo na password mula sa isang tool tulad ng ShiftShift Extensions' Password Generator. Pagkatapos, i-lock ito gamit ang pinakamalakas na two-factor authentication na makakakuha mo—ideally, isang authenticator app o isang pisikal na security key.

  • Low-Stakes Accounts (Forums, Newsletters): Kailangan pa rin ng mga ito ng natatanging mga password upang pigilan ang credential stuffing attacks, ngunit maaari kang maging mas mahusay. Hayaan lamang ang iyong password manager na bumuo at mag-save ng isang malakas na password sa isang click. Ang layunin ay seguridad na hindi nagpapabagal sa iyo.

Ang tunay na layunin dito ay baguhin ang iyong pag-iisip tungkol sa mga password. Ang seguridad ay hindi isang gawain; nagiging halos awtomatikong, nakakapagbigay ng kapangyarihan na ugali ito kapag mayroon kang solidong sistema sa lugar. Nagtatayo ka ng isang digital fortress, isang secure na login sa isang pagkakataon.

Dinadala tayo nito sa huling dalawang haligi ng iyong playbook: palaging gumamit ng password manager upang itago ang lahat, at palaging i-on ang 2FA bilang iyong panghuling backup plan. Ang manager ang humahawak sa imposibleng gawain ng pag-alala ng dose-dosenang kumplikadong password, at tinitiyak ng 2FA na kahit na ang isang password ay nakawin, ito ay ganap na walang silbi sa isang magnanakaw.

Kapag pinagsama mo ang apat na elementong ito, mayroon kang isang simpleng, paulit-ulit na proseso para sa pagprotekta sa iyong sarili online. Ito ay hindi lamang isa pang checklist; ito ay isang pangunahing pagbabago na ginagawang madali ang top-notch na seguridad.

Upang patuloy na bumuo sa pundasyong ito, tingnan ang aming malalim na gabay sa mga pinakamahusay na kasanayan para sa password security. Sa playbook na ito, magkakaroon ka ng kumpiyansa at mga tool na kailangan mo upang i-secure ang iyong bahagi ng digital na mundo.

May mga Tanong Tungkol sa Password Security? May mga Sagot Kami.

Kahit na may pinakamahusay na plano sa lugar, tiyak na magkakaroon ka ng mga tanong. Harapin natin ang ilan sa mga pinaka-karaniwang naririnig namin, sirain ang ilang mga alamat, at bigyan ka ng praktikal na payo upang linawin ang mga bagay.

"Dapat ko bang palitan ang aking mga password palagi?"

Isa ito sa mga malalaking tanong. Sa loob ng maraming taon, ang karaniwang payo ay palitan ang iyong mga password tuwing 90 araw. Ganap na nagbago ang pag-iisip na iyon.

Kung gumagamit ka na ng malalakas, natatanging password para sa bawat account—at nakatago ang mga ito nang ligtas sa isang password manager—ang pagpipilit sa iyong sarili na palitan ang mga ito sa isang iskedyul ay hindi talaga nagdadagdag ng maraming seguridad. Sa katunayan, madalas itong kabaligtaran. Ang mga tao ay may posibilidad na gumawa ng maliliit, predictable na pagbabago, tulad ng pagpapalit ng Winter2023! sa Spring2024!. Alam ng mga hacker ang tungkol sa mga pattern na ito.

Ang modernong, sinusuportahang payo ay ito: Mag-set ng isang malakas, natatanging password at kalimutan ito... hanggang sa magkaroon ka ng magandang dahilan upang maniwala na ito ay nakompromiso. Ito ay isang mas epektibo at hindi nakakainis na paraan upang manatiling secure.

"Ayos lang bang hayaan na i-save ng aking browser ang aking mga password?"

Magiging malinaw tayo: ang paggamit ng built-in na password saver ng iyong browser ay mas mabuti kaysa sa paggamit ng password123 sa lahat ng dako. Ngunit ito ay malayo sa pinakamahusay na opsyon.

Isipin ito bilang isang convenience feature, hindi isang tunay na tool sa seguridad. Ang mga dedikadong password manager ay itinayo na may isang layunin sa isip: protektahan ang iyong mga kredensyal gamit ang makapangyarihang, zero-knowledge encryption. Ang mga browser-based manager, sa kabilang banda, ay kadalasang direktang nakatali sa iyong browser profile, na ginagawang isang masarap na target para sa malware na dinisenyo upang nakawin ang eksaktong impormasyong iyon. Para sa tunay na kapayapaan ng isip, ang isang standalone na password manager ang tamang daan.

"Ano ang gagawin ko kung ang isang site na ginagamit ko ay na-hack?"

Una, huwag mag-panic. Ang mga paglabag sa data ay sa kasamaang palad ay karaniwan, ngunit kung sinunod mo ang mga payo sa gabay na ito, ang paglilinis ay medyo tuwid.

Narito ang iyong plano sa laro:

  • Agad na Palitan ang Password. Pumunta kaagad sa apektadong site at lumikha ng isang bagong, malakas, natatanging password para dito.
  • Surin ang Iyong Mga Account. Kung (oops!) ginamit mo ang password na iyon sa ibang lugar, ngayon na ang oras upang palitan ito sa mga ibang site din. Ang isang password manager ay nagpapadali sa paghahanap ng mga duplicate na ito.
  • Isagawa ang 2FA. Kung hindi mo pa ginagamit ang two-factor authentication sa account na iyon, i-enable ito kaagad. Ito ang iyong pinakamahusay na depensa laban sa sinumang gumagamit ng iyong ninakaw na kredensyal.

Kapag mayroon kang matibay na sistema, ang isang abiso ng paglabag ay nagiging mula sa isang limang-alarm na sunog sa isang maliit, madaling pamahalaing gawain. Kailangan mo lamang i-update ang isang entry sa iyong vault at tapos ka na.

Handa ka na bang gawing walang kahirap-hirap ang lahat ng ito? Ang ShiftShift Extensions suite ay may kasamang built-in na Password Generator at iba pang mahahalagang tool sa seguridad, lahat ay naroroon sa isang solong command palette. I-download ito mula sa Chrome Web Store at bawiin ang kontrol sa iyong digital na buhay.

Inirerekomendang Mga Extension

Generator ng password [ShiftShift]

Bumuo ng secure na password gamit ang custom na mga opsyon

Pribado at Seguridad

Generator ng MD5 [ShiftShift]

I-convert ang text sa MD5 hash para sa checksum at verification

Pribado at Seguridad