3 правила безопасного пароля

То и дело в Интернете появляются истории о «десятках тысяч взломанных аккаунтов» с кражей или вымогательством денег. Всплывают пикантные фото и компрометирующая переписка. Разбираемся, как подобрать самый безопасный пароль и защитить свои персональные данные.
Сложный пароль, но один для всех
Мнемонические приемчики
Долой банальные комбинации
План действий
Сложный пароль, но один для всех
Мнемонические приемчики
Долой банальные комбинации
План действий
Еще

1. Сложный пароль, но один для всех

Придумать и запомнить один сложный пароль, в котором будет много символов разного регистра, цифры и знаки препинания можно. Но можно ли запомнить множество таких паролей? Ведь от каждого сервиса пароль должен быть уникальным, иначе, получив доступ к одному из них, злоумышленник получит доступ ко всем вашим аккаунтам.

Например, как только в так называемом Даркнете («подпольном» Интернете, которым пользуются хакеры) публикуется база данных по адресам электронной почты, тут же проверяются пароли от аккаунтов соцсетей, зарегистрированных на этот адрес, от Apple ID, и так далее — больше чем в половине случаев пароли оказываются совпадающими.

Такая база адресов и паролей обычно берется хакерами из практически открытых источников:

  • Форумы на открытых платформах очень слабо защищены и изобилуют «дырами»;
  • Даже не самый опытный хакер, найдя посещаемый форум на бесплатном движке, может «выдернуть» оттуда базу данных;
  • Те, кто использует одинаковые пароли для всех сервисов, в этот момент теряют контроль над своими учетными записями.

Остается три варианта спасения.

Первый — тренировка памяти. Это самый лучший способ, но, конечно, не самый реалистичный.

Второй — это использование специальных программных решений. Все они строятся по принципу «сейфа», открывающегося с помощью одного запоминаемого пароля или различных аппаратных средств — USB-токенов, сканеров отпечатков пальцев и т.п. В зашифрованной базе данных хранятся все ваши пары логинов и паролей. Как правило, программа умеет их автоматически подставлять в нужные поля при вводе, а также, собственно, генерировать безопасные пароли для вас.

Так работают KeePass (ПО с открытым исходным кодом, модификации которого существуют практически под все платформы), Kaspersky Password Manager или, скажем встроенная система Mac OS X.

Существует множество приложений, сохраняющих ваши пароли на устройстве или даже в облаке. Но в нужный момент под рукой их может не оказаться.
Существует множество приложений, сохраняющих ваши пароли на устройстве или даже в облаке. Но в нужный момент под рукой их может не оказаться.

2. Мнемонические приемчики

Проблема только одна — пароли хранятся локально, и если вам нужно воспользоваться тем или иным сервисом с другого устройства, когда под рукой нет основного (например, компьютер в интернет-кафе, или даже просто смартфон, в то время как пароли на ноутбуке), пароль никто не подскажет.

Поэтому рекомендуем третий способ: алгоритм. Вам нужно придумать некую зависимость пароля от названия сервиса, например, можете брать порядковые номера букв, возводить в квадрат, потом переводить полученное число в шестнадцатеричную систему, добавлять спереди буквы, отстоящие в алфавите на соответствующие цифрам значения, записывать гласные капслоком, а согласные — нет, и в конце добавить спецсимволы. Получится весьма сложный пароль типа AghYf80E43c%$, при этом запоминать вам его не потребуется, поскольку вы всегда сможете быстро восстановить его по алгоритму.

Мы привели пример довольно сложного алгоритма, можете придумать что-то попроще, главное, чтобы вы его запомнили, а результат был бы достачно неочевидным (то есть, просто написать название сервиса задом наперед — плохая идея). Можно даже использовать слова: к примеру, если на каждую букву названия придумать имя (пароль от mail.ru будет тогда звучать как MishaAnnaIraLeonid, и для его взлома потребуется 61262340831688 лет).

Еще один тест сложности пароля показывает количество вариантов перебора для его взлома.
Еще один тест сложности пароля показывает количество вариантов перебора для его взлома.

Правда, этот пример не самый лучший, потому что примитивный алгоритм легко раскрыть методом обратной разработки (то есть, если хотя бы один из таких паролей будет украден хакерами, скажем, с помощью клавиатурного шпиона, то легко будет вычислить все остальные). Так что будьте изобретательны и используйте менее очевидные соответствия.

Берите слова с разным значением, добавляйте числа и знаки препинания.

Дополнительно желательно включать, где она есть, двухфакторную авторизацию — например, по SMS. Сама по себе она тоже взламывается, но вероятность того, что злоумышленники одновременно смогут и подобрать ваш сложный пароль, и перехватить SMS от сервиса, исчезающе мала. А значит, именно так нужно беречь свои цифровые ценности!

Метод совсем не идеален, ведь пока нет примеров таких алгоритмов, которые были бы одновременно достаточно простыми для запоминания и достаточно сложными для разгадывания. С другой стороны, для большинства наших юзеров это неплохой вариант, по сравнению с использованием одинакового пароля везде.
Карим Валиев
Руководитель группы информационной безопасности

3. Проблема простого пароля

Причина взлома чаще всего проста — это, простите за каламбур, слишком простой пароль. Самыми распространенными паролями являются qwerty и 12345 — их выбирают потому, что их просто набирать на клавиатуре. Подбираются пароли, как правило, не тупым перебором всех комбинаций символов подряд, а по так называемым «словарным базам», где содержатся наиболее часто используемые пароли.

Купить базу паролей можно за смешные деньги, но, что характерно, многие из них окажутся правильными из-за нашей предсказуемости.
Купить базу паролей можно за смешные деньги, но, что характерно, многие из них окажутся правильными из-за нашей предсказуемости.

Спешим вас огорчить: в этих базах с почти стопроцентной вероятностью содержится любой пароль, который вы в состоянии запомнить. Порой совпадения даже удивляют, но точно так же удивляются владельцы ограбленных квартир, в которых ценности прятали в сливной бачок или в белье. Но это вам кажется, что в бачке никто не будет искать золото, однако воры (и хакеры) — отличные психологи и именно там посмотрят в первую очередь, потому что большинство людей очень и очень предсказуемы.

Все слова из словаря, все комбинации цифр (от номеров телефонов до дат рождения, все идущие подряд комбинации клавиш на клавиатуре (хоть по вертикали, хоть по горизонтали, хоть змейкой), все русские слова, набранные в английской раскладке и наоборот — все это уже украдено до вас.

Есть еще один неплохой способ генерации паролей — составлять фразу из случайных слов. Про это есть известный комикс [ниже]. Он показывает, почему такой пароль лучше чем сочетание букв, цифр и знаков.
Карим Валиев
Руководитель группы информационной безопасности Mail.Ru Group
xkcd.ru / CC BY-NC 2.5
xkcd.ru / CC BY-NC 2.5

Итак, план действий:

  1. Придумали уникальный алгоритм вычисления пароля из названия сервиса. Чем сложнее, тем лучше.
  2. Поменяли все пароли на новые в соответствии с новым алгоритмом.
  3. Время от времени меняем алгоритм и, соответственно, все пароли.

Согласны с таким подходом? Напишите нам об этом в комментариях и обязательно поделитесь с друзьями!

Читайте также: