Безопасность паролей

В этой статье речь пойдёт о том, как создать безопасный пароль, каких принципов следует придерживаться при их создании, о том, как хранить пароли и минимизировать вероятность получения доступа к вашим сведениям и учётным записям злоумышленниками.

Создание паролей.

Сегодня, при регистрации какого-либо Интернет аккаунта, создавая пароль, вы как правило видите индикатор надёжности пароля. Практически везде он работает на основании оценки следующих двух факторов: длины пароля; наличия специальных символов, заглавных букв и цифр в пароле.

Несмотря на то, что это действительно важные параметры устойчивости пароля ко взлому методом перебора, пароль, который кажется системе надёжным, не всегда таковым является. К примеру, пароль наподобие «Pa$$w0rd» (а здесь есть и специальные символы, и цифры), вероятнее всего, будет взломан очень быстро — в связи с тем, что люди редко создают уникальные пароли (менее 50% паролей уникальны) и указанный вариант с большой вероятностью уже есть в утекших базах, имеющихся у злоумышленников.

Как быть? Оптимальный вариант — использовать генераторы паролей (есть в Интернете в виде онлайн утилит, а также в большинстве менеджеров паролей для компьютера), создавая длинные случайные пароли с использованием специальных символов. В большинстве случаев, пароль из 10 и более таких символов просто не будет представлять интерес для взломщика (то есть его софт не будет настроен на подбор таких вариантов) в связи с тем, что затраты времени не окупятся.

В указанном способе главным недостатком является то, что такие пароли сложно запомнить. Если существует необходимость держать пароль в голове, есть ещё один вариант, основанный на том факте, что пароль из 10 символов, содержащий заглавные буквы и специальные символы, взламывается методом перебора в тысячи и более (конкретные числа зависят от допустимого набора символов) раз проще, чем пароль из 20 символов, содержащий только строчные латинские символы (даже если взломщик знает об этом).Про безопасность паролей

Таким образом, пароль, состоящий из 3-5 простых случайных английских слов будет легко запомнить и почти невозможно взломать. А написав каждое слово с заглавной буквы, мы возводим количество вариантов во вторую степень. Если же это будут 3-5 русских слов (опять же случайных, а не имена и даты), написанных в английской раскладке, убирается также гипотетическая возможность изощрённых методов использования словарей для подбора пароля.

Однозначно правильного подхода к созданию паролей, пожалуй, нет: в различных способах есть достоинства и недостатки (связанные с возможностью запомнить его, надёжностью и другими параметрами), однако основные принципы выглядят следующим образом:

  • Пароль должен состоять из значительного количества символов. Наиболее часто встречающееся ограничение сегодня — 8 символов. И этого мало, если вам требуется защищённый пароль.
  • По возможности, следует включить в пароль специальные символы, заглавные и прописные буквы, цифры.
  • Никогда не включайте в пароль личные данные, даже записанные кажущимися вам «хитрыми» способами. Никаких дат, имен и фамилий. К примеру, взлом пароля представляющий собой любую дату современного юлианского календаря с 0-го года и по сегодняшний день (вида 18.07.2015 или 18072015 и т.п.) займет от секунд до часов (и то, часы получатся только из-за задержек между попытками для некоторых случаев).

Вы можете проверить, насколько надёжен ваш пароль на сайте (хотя ввод паролей на каких-то сайтах, особенно без https — не самая безопасная практика) http://rumkin.com/tools/password/passchk.php. Если не хотите проверять свой настоящий пароль, введите подобный (из того же числа символов и с тем же их набором), чтобы получить представление о его надёжности.Про безопасность паролей (2)

По ходу ввода символов, сервис вычисляет энтропию (условно, количество вариантов, для энтропии в 10 бит, количество вариантов равно 2 в десятой степени) для заданного пароля и приводит справку по надежности различных значений. Пароли с энтропией более 60 почти невозможно взломать даже во время целенаправленного подбора.

Не используйте одинаковые пароли для разных учётных записей.

Если у вас отличный сложный пароль, но вы его используете везде, где только можно, он автоматически становится совсем не надёжным. Как только хакеры взломают любой из сайтов, где вы используете такой пароль и получат доступ к нему, будьте уверены, он тут же будет опробован (автоматически, с помощью специального ПО) на всех других популярных почтовых, игровых, социальных сервисах, а может и в онлайн-банках.Про безопасность паролей (3)

Уникальный пароль для каждого аккаунта — это сложно, это неудобно, но обязательно нужно, если эти аккаунты представляют хоть какую-то важность для вас. Хотя, для каких-то регистраций, не имеющих никакой ценности для вас (то есть вы готовы их потерять и не станете переживать) и не содержащих личной информации, можно и не напрягаться с уникальными паролями.

Двухфакторная аутентификация.

Даже надежные пароли не гарантируют того, что в ваш аккаунт никто не сможет зайти. Пароль можно тем или иным способом украсть (фишинг, к примеру, как наиболее частый вариант) или вызнать у вас.

Почти все серьёзные онлайн компании включая Google, Яндекс, Mail.ru, Facebook, В контакте, Microsoft, Dropbox, LastPass, Steam и другие со сравнительно недавнего времени добавили возможность включения двухфакторной (или двухэтапной) аутентификации в учётных записях. И, если вам важна безопасность, настоятельно рекомендую её включить.Про безопасность паролей (4)

Реализация работы двухфакторной аутентификации незначительно отличается для различных сервисов, но основной принцип выглядит следующим образом:

  1. При входе в аккаунт с неизвестного устройства, после ввода правильного пароля вас просят пройти дополнительную проверку.
  2. Проверка происходит с помощью кода по смс, специального приложения на смартфоне, посредством заранее подготовленных распечатанных кодов, сообщения E-mail, аппаратного ключа (последний вариант появился у Google, эта компания вообще передовик в том, что касается двухфакторной аутентификации).

Таким образом, даже если злоумышленник узнал ваш пароль, он не сможет зайти в вашу учётную запись, не имея доступа к вашим устройствам, телефону, электронной почте.

Если вам не до конца понятно, как работает двухфакторная аутентификация, рекомендую почитать статьи в Интернете, посвященные этой теме или описания и руководства к действию на самих сайтах, где она реализована (просто подробную инструкцию в эту статью мне включить не удастся).

Хранение паролей.

Сложные уникальные пароли для каждого сайта — отлично, но как их хранить? Навряд ли все эти пароли удастся держать в голове. Хранение сохраненных паролей в браузере — рискованная затея: они не только становятся более уязвимыми для несанкционированного доступа, но и попросту могут потеряться в случае сбоев системы и при отключенной синхронизации.

Оптимальным решением считаются менеджеры паролей, в общих чертах представляющие собой программы, которые хранят все ваши секретные данные в зашифрованном защищённом хранилище (как оффлайн, так и онлайн), доступ к которому осуществляется с использованием одного мастер-пароля (дополнительно можно включить двухфакторную аутентификацию). Также большинство таких программ оснащено инструментами генерации и оценки надежности паролей.Про безопасность паролей (5)

Некоторые предпочитают простые оффлайн решения, наподобие KeePass или 1Password, хранящие все пароли на вашем устройстве, другие — более функциональные утилиты, представляющие также возможности синхронизации (LastPass, Dashlane).

Известные менеджеры паролей в целом рассматриваются как очень безопасный и надёжный способ их хранения. Однако, стоит учитывать и некоторые детали:

  • Для доступа ко всем вашим паролям нужно знать всего лишь один мастер-пароль.
  • В случае взлома онлайн хранилища (буквально месяц назад взломали самый популярный в мире сервис управления паролями LastPass) вам придется менять все ваши пароли.

Как ещё можно сохранить свои важные пароли? Вот пара вариантов:

  • На бумаге в сейфе, доступ к которому будете иметь вы и члены вашей семьи (не подходит для паролей, которые требуется часто использовать).
  • Оффлайн база данных паролей (например, KeePass), сохранённая на долговечном накопителе информации и продублированная где-либо на случай утраты.

Оптимальным на мой взгляд сочетанием всего вышеописанного является следующих подход: самые важные пароли (основной E-mail, с помощью которого можно восстановить другие аккаунты, банк и т.п.) хранятся в голове и (или) на бумаге в надёжном месте. Менее важные и, одновременно, часто используемые следует поручить программам — менеджерам паролей.

Дополнительная информация.

Надеюсь, сочетание двух статей на тему паролей кому-то из вас помогло обратить внимание на некоторые аспекты безопасности, о которых вы не задумывались. Конечно, все возможные варианты я не учел, но простая логика и некоторое понимание принципов, поможет самостоятельно решить, насколько безопасно то, что вы делаете в конкретный момент. Ещё раз, некоторые упоминавшиеся и несколько дополнительных пунктов:

  • Используйте разные пароли для разных сайтов.
  • Пароли должны быть сложными, сильнее всего увеличить сложность вы можете, увеличив длину пароля.
  • Не используйте личных данных (которые можно узнать) при создании самого пароля, подсказок к нему, контрольных вопросов для восстановления.
  • Используйте двухэтапную аутентификацию там, где это возможно.
  • Найдите оптимальный для себя способ безопасного хранения паролей.
  • Опасайтесь фишинга (проверяйте адреса сайтов, наличие шифрования) и шпионских программ. Везде, где просят ввести пароль, проверяйте, действительно ли вы его вводите именно на нужном сайте. Следите, чтобы на компьютере не было вредоносного ПО.
  • По возможности, не используйте ваши пароли на чужих компьютерах (если это необходимо, делайте это в «режиме инкогнито» браузера, а ещё лучше набирайте с экранной клавиатуры), в публичных открытых Wi-Fi сетях, особенно при отсутствии шифрования https при соединении с сайтом.
  • Возможно, не стоит хранить самые важные, действительно представляющие жизненную ценность, пароли на компьютере или онлайн.

Надеемся на то, что данный материал окажется полезным для вас. Если остаются вопросы, или имеются дополнения, пишите в комментариях.

Источник: remontka.pro

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *