Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
3 августа 2016, Источник: Hi-Tech Mail.Ru

3 правила безопасного пароля

То и дело в Интернете появляются истории о «десятках тысяч взломанных аккаунтов» с кражей или вымогательством денег. Всплывают пикантные фото и компрометирующая переписка. Разбираемся, как подобрать самый безопасный пароль и защитить свои персональные данные.

1. Сложный пароль, но один для всех

Придумать и запомнить один сложный пароль, в котором будет много символов разного регистра, цифры и знаки препинания можно. Но можно ли запомнить множество таких паролей? Ведь от каждого сервиса пароль должен быть уникальным, иначе, получив доступ к одному из них, злоумышленник получит доступ ко всем вашим аккаунтам.

Например, как только в так называемом Даркнете («подпольном» Интернете, которым пользуются хакеры) публикуется база данных по адресам электронной почты, тут же проверяются пароли от аккаунтов соцсетей, зарегистрированных на этот адрес, от Apple ID, и так далее — больше чем в половине случаев пароли оказываются совпадающими.

Такая база адресов и паролей обычно берется хакерами из практически открытых источников:

  • Форумы на открытых платформах очень слабо защищены и изобилуют «дырами»;
  • Даже не самый опытный хакер, найдя посещаемый форум на бесплатном движке, может «выдернуть» оттуда базу данных;
  • Те, кто использует одинаковые пароли для всех сервисов, в этот момент теряют контроль над своими учетными записями.

Остается три варианта спасения.

Первый — тренировка памяти. Это самый лучший способ, но, конечно, не самый реалистичный.

Второй — это использование специальных программных решений. Все они строятся по принципу «сейфа», открывающегося с помощью одного запоминаемого пароля или различных аппаратных средств — USB-токенов, сканеров отпечатков пальцев и т.п. В зашифрованной базе данных хранятся все ваши пары логинов и паролей. Как правило, программа умеет их автоматически подставлять в нужные поля при вводе, а также, собственно, генерировать безопасные пароли для вас.

Так работают KeePass (ПО с открытым исходным кодом, модификации которого существуют практически под все платформы), Kaspersky Password Manager или, скажем встроенная система Mac OS X.

Существует множество приложений, сохраняющих ваши пароли на устройстве или даже в облаке. Но в нужный момент под рукой их может не оказаться.

2. Мнемонические приемчики

Проблема только одна — пароли хранятся локально, и если вам нужно воспользоваться тем или иным сервисом с другого устройства, когда под рукой нет основного (например, компьютер в интернет-кафе, или даже просто смартфон, в то время как пароли на ноутбуке), пароль никто не подскажет.

Поэтому рекомендуем третий способ: алгоритм. Вам нужно придумать некую зависимость пароля от названия сервиса, например, можете брать порядковые номера букв, возводить в квадрат, потом переводить полученное число в шестнадцатеричную систему, добавлять спереди буквы, отстоящие в алфавите на соответствующие цифрам значения, записывать гласные капслоком, а согласные — нет, и в конце добавить спецсимволы. Получится весьма сложный пароль типа AghYf80E43c%$, при этом запоминать вам его не потребуется, поскольку вы всегда сможете быстро восстановить его по алгоритму.

Мы привели пример довольно сложного алгоритма, можете придумать что-то попроще, главное, чтобы вы его запомнили, а результат был бы достачно неочевидным (то есть, просто написать название сервиса задом наперед — плохая идея). Можно даже использовать слова: к примеру, если на каждую букву названия придумать имя (пароль от mail.ru будет тогда звучать как MishaAnnaIraLeonid, и для его взлома потребуется 61262340831688 лет).

Еще один тест сложности пароля показывает количество вариантов перебора для его взлома.

Правда, этот пример не самый лучший, потому что примитивный алгоритм легко раскрыть методом обратной разработки (то есть, если хотя бы один из таких паролей будет украден хакерами, скажем, с помощью клавиатурного шпиона, то легко будет вычислить все остальные). Так что будьте изобретательны и используйте менее очевидные соответствия.

Дополнительно желательно включать, где она есть, двухфакторную авторизацию — например, по SMS. Сама по себе она тоже взламывается, но вероятность того, что злоумышленники одновременно смогут и подобрать ваш сложный пароль, и перехватить SMS от сервиса, исчезающе мала. А значит, именно так нужно беречь свои цифровые ценности!

Метод совсем не идеален, ведь пока нет примеров таких алгоритмов, которые были бы одновременно достаточно простыми для запоминания и достаточно сложными для разгадывания. С другой стороны, для большинства наших юзеров это неплохой вариант, по сравнению с использованием одинакового пароля везде.
Карим ВалиевРуководитель группы информационной безопасности

3. Проблема простого пароля

Причина взлома чаще всего проста — это, простите за каламбур, слишком простой пароль. Самыми распространенными паролями являются qwerty и 12345 — их выбирают потому, что их просто набирать на клавиатуре. Подбираются пароли, как правило, не тупым перебором всех комбинаций символов подряд, а по так называемым «словарным базам», где содержатся наиболее часто используемые пароли.

Купить базу паролей можно за смешные деньги, но, что характерно, многие из них окажутся правильными из-за нашей предсказуемости.

Спешим вас огорчить: в этих базах с почти стопроцентной вероятностью содержится любой пароль, который вы в состоянии запомнить. Порой совпадения даже удивляют, но точно так же удивляются владельцы ограбленных квартир, в которых ценности прятали в сливной бачок или в белье. Но это вам кажется, что в бачке никто не будет искать золото, однако воры (и хакеры) — отличные психологи и именно там посмотрят в первую очередь, потому что большинство людей очень и очень предсказуемы.

Все слова из словаря, все комбинации цифр (от номеров телефонов до дат рождения, все идущие подряд комбинации клавиш на клавиатуре (хоть по вертикали, хоть по горизонтали, хоть змейкой), все русские слова, набранные в английской раскладке и наоборот — все это уже украдено до вас.

Есть еще один неплохой способ генерации паролей — составлять фразу из случайных слов. Про это есть известный комикс [ниже]. Он показывает, почему такой пароль лучше чем сочетание букв, цифр и знаков.
Карим ВалиевРуководитель группы информационной безопасности Mail.Ru Group
xkcd.ru / CC BY-NC 2.5

Итак, план действий:

  1. Придумали уникальный алгоритм вычисления пароля из названия сервиса. Чем сложнее, тем лучше.
  2. Поменяли все пароли на новые в соответствии с новым алгоритмом.
  3. Время от времени меняем алгоритм и, соответственно, все пароли.

Согласны с таким подходом? Напишите нам об этом в комментариях и обязательно поделитесь с друзьями!

Степан Зайцев

Поделитесь с друзьями, чтобы они тоже могли защитить свои персональные данные!
Комментарии
43
Xifar
Лично я пришел к такому выводу: поскольку все абсолютно сориентировано на новые технологии (назовем "век электроники"), то в самый раз возвратиться к прошлому: методу "хард копий". Вдумайтесь в философию сетования автомобильных угонщиков, которые вскрывают самые сложнозащищенные противоугонные электронные средства и в недоумении опускают руки перед "вдруг" попавшимся тупым "дедовским" методом механической противоугонки. Вспомните анекдот о нанотехнологичных микросхемах: "Японец сделает - весь мир недодумает, русский сделает - японец не поднимет"... МОжет в этом есть какое-то рациональное зерно?
СсылкаПожаловаться
ДмСПб
Забавно. Был у меня на мыле пароль... Включал он в себя 6 букв в разных регистрах и 5 пробелов. Я его нигде не светил последний год, заходил раз в пару месяцев. Тем не менее в начале лета мыло сообщило, что блокирнуло мою почту по подозрению во взломе. Ну и как могли взломать пароль, если символы пробела на мыле уже года 4 как в паролях не используются? Комп чистый, без вирусей и прочего. Намного более простой пароль от мусорного ящика, которым я светил везде, не взломали. Просто вымогали привязку телефона, не иначе...
СсылкаПожаловаться
Ольга Яковлева
Спасибо, очень нужная информация.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от36 330руб.
Samsung Galaxy A5 (2016)
от17 100руб.
Apple iPhone 7 32GB
от44 300руб.
Apple iPhone SE 64GB
от30 490руб.
Xiaomi Redmi 3S Pro 32GB
от9 031руб.
Samsung Galaxy S7 Edge 32GB
от37 000руб.
Meizu M3 Note 16GB
от9 290руб.
Samsung Galaxy S7 32GB
от32 500руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Apple iPhone 7 128GB
от51 489руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru