Каким должен быть хороший пароль и как его запомнить?
Как легко запомнить сложный пароль. Авторское руководство по защите цифровой жизни
Опытный программист и системный администратор Алексей Бучаков из компании «АДМИС» разработал свою систему работы с паролями и согласился поделиться ей с читателями «Мы ESET».
Эксперты по информационной безопасности не устают повторять, что каждая учетная запись должна иметь уникальный пароль. Однако рядовой пользователь зарегистрирован на десятках и сотнях сайтов и сервисов. Как держать в голове такое количество паролей сразу?
На самом деле, в этом нет необходимости. Любому пользователю достаточно запомнить всего 8-10 паролей (всего-то! — прим. ред). Ниже я расскажу, как это сделать, но сначала отвечу на часто задаваемые вопросы:
Не проще ли хранить все пароли в специальной программе?
Хранить, конечно, проще, но сохранить — сложнее. Любая программа имеет уязвимости. Посмотрите новости о крупных утечках баз данных или почитайте биографические очерки о команде Кевина Митника (особенно часть про взломы с помощью социальной инженерии).
Почему нельзя записать пароли в блокнот и хранить под подушкой в надежном месте?
Можно, но вы никогда не узнаете, кто его найдет и прочитает, а затем сделает копию, которая пойдет дальше. Как мы знаем из голливудских фильмов, ваши данные могут быть использованы против вас.
Что если придумать один очень-очень надежный пароль для всех учетных записей?
Плохая идея. В информационной безопасности есть такой термин — компрометация. Если вы использовали свой надежный пароль на слабо защищенном или сомнительном ресурсе — вы этот пароль скомпрометировали. Получив доступ к паролю на таком сайте, злоумышленники обязательно проверят, не подходит ли он к вашим аккаунтам в соцсетях или e-mail.
Чтобы запомнить десяток уникальных паролей, нужно выделить три контура безопасности.
E-mail, на который зарегистрированы все важные учетные записи, — самая важная часть вашей цифровой жизни. У обычных пользователей редко бывает больше двух таких почтовых ящиков.
Правило №1: Пароль к основной электронной почте должен быть уникальным.
Также сюда входят ваши платежные данные и пароль, блокирующий экран смартфона, с которого можно подтверждать банковские операции. Кроме того, я рекомендую использовать традиционный, а не графический пароль.
Кстати, SIM-карту тоже можно запаролить, потому что ее всегда можно переставить в незащищенный смартфон. Эта мера предосторожности актуальна для транзакций, требующих подтверждения по SMS.
Еще не запаролили свой телефон? Расскажу небольшую историю из жизни. Постучалась ко мне бывшая девушка — что-то у нее случилось, негде было переночевать. Приютил. Утром на пробежку отправился и, конечно, оставил дома и телефон, и платежные карты.
Мне повезло, что решилась она не сразу, а где-то минут через 40. Сначала пыталась снять деньги с почти пустой карты Сбербанка, затем переключилась на вторую карту, но сделала несколько ошибок в подтверждении операций (видимо, нервничала). В итоге из 9 попыток транзакций успешно прошла только одна. Как потом рассказала служба безопасности банка, она скидывала деньги на свой QIWI-кошелек, параллельно стирая SMS-оповещения от банка на моем телефоне.
Сюда входят социальные сети, Skype или другие мессенджеры. Во-первых, они содержат большое количество личных данных, которые могут быть использованы против вас. Во-вторых, любой аккаунт имеет цену на черном рынке и может быть использован для мошенничества или рассылки спама.
Правило №2: Отключите сохранение паролей в браузере. Запомните пароли самых важных аккаунтов (ниже я расскажу, как это легко сделать).
Все остальные учетные записи на сайтах, сервисах, форумах и других ресурсах относятся к третьему контуру безопасности. Сюда входят любые логины и пароли, потеря которых не нанесет вам ущерб. Например, данные аккаунта интернет-магазина, в котором вы однажды совершили покупку. Часть паролей из этой категории можно держать в дополнительном почтовом ящике.
Таким образом я выстроил собственную политику безопасности, которая образует простую и эффективную систему:
- Первый контур: два основных почтовых ящика, личные кабинеты двух банков и смартфон защищены сложными уникальными паролями.
Второй контур: аккаунты ВКонтакте, Facebook и Skype защищены уникальными паролями, но попроще. Сюда же относятся 4 дополнительных почтовых ящика, которые я использую для разных целей.
Всего я держу в голове 12 паролей (на самом деле чуть больше, но это к делу не относится).
Как легко запомнить сложные пароли
- Трудно поверить, но основной принцип создания пароля — он должен хорошо запоминаться. Придумайте звучное сочетание, образующее несуществующее слово. Например, турболопух или тринитродивиденд.
Сервис требует только латинские буквы? Просто наберите эти же слова на английской раскладке клавиатуры, получится «neh,jkjge[» и «nhbybnhjlbdbltyl» (турболопух или тринитродивиденд соответственно).
Правило №3:Используйте словосочетания для дополнительной защиты важных учетных записей. Такой пароль значительно устойчивее ко взлому методом простого перебора.
- Используйте вычисляемые значения. Например, день рождения вашей бабушки 19.11.1932, а университет вы закончили в 2005 году, значит ваш пароль — «38319423660»! Запоминать его не нужно, достаточно умножить одну дату на другую: 19111932 х 2005 = 38319423660.
Слишком много цифр? Переходим к следующему пункту!
Используйте дополнительные математические операции. Открываем калькулятор (Пуск — Все программы — Стандартные), переходим в режим «Программист» (переключается во вкладке Вид), вводим 19111932 х 2005 = 38319423660 и переводим в шестнадцатеричную систему исчисления (устанавливаем точку в пункт Hex) — получается 8ec0400ac. Такой пароль легко выучить, набрав его на клавиатуре десяток раз.
Записывайте подсказки, а не сами пароли. Даже если кто-то получит к ним доступ, расшифровать их не удастся.
*Мнение автора может не совпадать с мнением редакции
Как запоминать по-настоящему надежные пароли
Плохая новость: пароли все-таки придется учить. Хорошая новость: есть способ делать это более эффективно
20 октября 2014
На дворе 2014 год. Корпорация «Локхид Мартин» рассказала о том, что ее ученые добились существенного успеха в разработке компактных термоядерных реакторов, способных превращать пригоршню чистого и сравнительно дешевого топлива в многие мегаватты энергии. Уже пару лет на МКС летают частные космические корабли. Никого не удивишь беспроводной связью на скоростях десятки мегабит в секунду. А мы, как в каком-нибудь 1999-м, все еще вынуждены запоминать списки паролей. И пароли эти более длинные, чем когда-либо, ведь скорость взлома растет с каждым годом вместе с ростом производительности компьютеров.
Если мы собираемся и дальше полагаться на такой древний способ идентификации, как пароли (а лучшего варианта, увы, у нас пока нет), нам придется придумать, как научиться их легко запоминать. Собственно, именно этим и озадачились ребята из Университета Карнеги — Меллона. К сожалению, для того, чтобы запоминать пароли, нам в любом случае придется делать то, чего никто не любит, — учить наизусть.
Однако существуют способы повышения эффективности этого процесса — чтобы можно было зубрить меньше, а запоминать лучше. Как показывает исследование, отличных результатов позволяет добиться сочетание мнемоники и интервальных повторений.
Конструкция паролей, которую предлагают исследователи, в общих чертах повторяет ту, что описана в известном комиксе xkcd. Если говорить коротко, основная мысль состоит в использовании словосочетаний вместо видоизмененных слов:
Участникам исследования предлагалось выбрать одного персонажа из списка, к этому добавлялись случайно выбранные компьютером действие и объект. Итогом должно было стать что-то вроде такого словосочетания: «Учитель Йода роняет микрофон». В дополнение к тройке «человек — действие — объект» участникам исследования показывали изображение с каким-либо местом действия и просили представить итоговую сценку. Например, «Учитель Йода роняет микрофон в подводной лаборатории».
Это целых шесть слов, и составленный из них пароль будет вполне взломоустойчивым — вы можете убедиться в этом на нашей страничке проверки надежности паролей. И вот в чем идея: вам не обязательно держать в памяти все эти слова.
Участники исследования получали подсказку в виде пары «персонаж — место действия» и должны были вспомнить пару «действие — объект» через определенный период времени. Конкретные временные интервалы и количество запомненных паролей менялись от группы к группе.
Лучшие результаты показала группа, в которой первый интервал — с момента запоминания до первой проверки — составлял 12 часов, а каждый последующий интервал увеличивался в полтора раза. Последняя, девятая проверка происходила примерно через 102 дня. Так вот, в этой группе 77,1% участников успешно вспомнили все четыре истории на всех девяти проверках. Я связался с руководителем исследования Иеремием Блоки (Jeremiah Blocki) и спросил, соответствуют ли итоги исследования тому, что он ожидал получить.
«Честно говоря, результаты меня удивили. Если бы меня спросили до начала эксперимента, я бы предположил, что лучше всех выступит группа, в которой первоначальный интервал составлял 30 минут (он удваивался перед каждой новой проверкой), — ответил Блоки. — Хотя нельзя сказать, что я был в этом уверен. У группы «12час*1,5» первоначальный интервал был очень длительным, но последующие промежутки увеличивались не так быстро, как в группе «30мин*2″. Результаты говорят нам о том, что важно постоянно освежать в памяти то, что мы стараемся запомнить. Просто повторить несколько раз в самом начале — недостаточно эффективный способ заучивания».
Интересное совпадение: в большинстве случаев забывание происходило как раз в первые 12 часов — 94,9% участников исследования, успешно вспоминавших информацию на ранних проверках, продолжали помнить ее и на всех последующих проверках.
Что закономерно: результаты тех участников, которые запоминали одну или две сценки, были гораздо лучше, чем у тех, кто запоминал сразу четыре. Это кажется очевидным, но интереснее то, насколько проще запомнить один-два пароля описанным методом: 100% участников, запоминавших одну-две истории, успешно вспоминали их на всех этапах проверки.
Плохая новость: пароли придется учить. Хорошая новость: есть способ делать это более эффективно #passwords
Какие же выводы мы можем сделать из этого исследования? В первую очередь тот, что запомнить один или два пароля гораздо проще, чем запомнить четыре, не говоря уже о большем их количестве. Это вполне совпадает с практикой, показывающей, что едва ли не все люди используют один пароль для нескольких сервисов, даже несмотря на уверенность в том, что это плохая идея. Так что пароли, как ни крути, уязвимы: даже если не получится взломать подбором, есть шанс украсть пароль на одном сервисе и таким образом получить доступ к остальным.
A photo posted by Kaspersky Lab Russia (@kasperskylabrus) on Oct 21, 2014 at 1:37am PDT
Но есть и хорошие новости — похоже, есть способ достаточно уверенно помнить по-настоящему надежные пароли. Вот что для этого требуется:
- Вместо абстрактного сочетания букв используйте пароль-историю. Для того чтобы ее запомнить, следует представить себе соответствующую сценку. Можно даже нарисовать картинку, в прямом смысле — карандашом или ручкой.
- Да, это сложно, но все-таки старайтесь как можно реже использовать один пароль для нескольких сайтов.
- Обязательно время от времени вспоминайте все свои пароли. Особенно важно сделать это в первые 12 часов после того, как вы завели новый пароль. Чем чаще вы будете это делать впоследствии — тем лучше.
Каким должен быть хороший пароль и как его запомнить?
Мы пользуемся огромным количеством разных сервисов в Интернете и храним множество паролей. Взлом аккаунта – иногда просто досадная мелочь, но если взломали рабочую учетную запись или электронный кошелек, вы потратите массу времени на восстановление данных или вовсе лишитесь денег со счета.
Конечно, серьезные интернет-сервисы предпринимают меры для защиты ваших данных, и при регистрации система просто не примет пароль, если он не соответствует хотя бы минимальным требованиям безопасности.
Безопасный пароль – какой он?
Если соблюдать простые правила при создании пароля, степень защиты вашей информации будет максимально высокой.
- Хороший пароль – всегда комбинированный. В нем используются символы, буквы и цифры разного регистра.
- Длина пароля – желательно не менее 8 символов, а лучше не менее 12.
- Избегайте смысловых паролей: не используйте распространенные фразы или слова. Исключите любые данные, которые содержат информацию о вас: даты рождения, имена и фамилии, номера телефонов, адреса, клички домашних животных. Если злоумышленник нацелен именно на ваш аккаунт, он может найти эту информацию в открытом доступе – например, в соцсетях или через знакомых.
- Не используйте простые пароли, состоящие из очевидной последовательности цифр или букв на клавиатуре. Самые распространенные в мире комбинации: 123456, 12345678, password, qwerty, asdfgh. Конечно, исключение составляют аккаунты, которые не содержат личных данных, которыми вы редко пользуетесь, поэтому их не жаль потерять. Например, случайные форумы, где соблюдение безопасности не имеет смысла.
- Не используйте один и тот же пароль для нескольких аккаунтов, даже сложный. Если злоумышленник сумеет узнать пароль от одного сервиса, другие ваши данные тоже окажутся под угрозой.
- Пароль не должен совпадать с логином. Конечно, запомнить его проще всего, но и угадать тоже. Для этого не требуется даже специальное ПО.
- Меняйте пароли. Желательно – не менее 3-4 раза в год. Многие сайты, которые следят за безопасностью ваших данных, даже напоминают о том, что пароль пора сменить.
Как придумать и запомнить сложный пароль
Записывать пароли на бумажках или хранить файл с данными аккаунтов небезопасно, особенно если к вашему компьютеру имеют доступ и другие люди. Идеальный вариант – держать пароль в голове. Есть несколько эффективных способов придумать мудреный пароль и легко его запомнить.
1. Ассоциация с известной фразой
Если у вас есть какая-нибудь любимая фраза или отрывок из стихотворения, можно составить пароль из первых букв ее слов. К примеру, используем отрывок из стихотворения Пушкина «Буря мглою небо кроет, вихри снежные крутя, То как зверь она завоет, то заплачет как дитя». Из первых букв четверостишия у нас получится пароль bmnkvsktkzoztzkd. Можно проверить его сервисами для оценки надежности паролей. Поздравляем, сервис говорит, что для взлома методом подбора потребуется не одно тысячелетие.
2. Использование единой основы
Согласитесь, запомнить один сложный пароль гораздо проще, чем 40. Суть метода заключается в том, чтобы придумать надежную основу для всех паролей, которые вы будете использовать, но каждый раз изменять определенную его часть в зависимости от сайта, на который вы заходите. Например, основой служит случайная комбинация символов bu0C@I6TbpKw. Для электронной почты можно добавить к паролю буквы из названия сервиса, для которого используется пароль. Например, для электронной почты на mail.ru можно добавить к паролю первую букву, и получится Mbu0C@I6TbpKw. Способ создания такого пароля неочевиден. Правда, если злоумышленники каким-то образом получат доступ к нескольким аккаунтам, они могут проанализировать принцип их создания и понять вашу схему.
3. Кириллица в латинской раскладке
Можно сделать паролем русское слово, набранное на латинской раскладке клавиатуры. Однако такой пароль надо усложнить, разбавляя его цифрами или символами. Например, вы используете в качестве пароля слово «интернет». В латинской раскладке это будет выглядеть как bynthytn. Теперь разбавим пароль цифрами или знаками после каждой буквы, можно подбирать какие-то запоминающиеся для вас даты: b31y12n5t22h11y6t87n. Пароль становится сложным, но простым для запоминания, так как логика его создания для вас понятна.
4. Замена букв символами
Напишите слово не традиционным способом, а при помощи символов так, чтобы, к примеру, угадывалось его русское написание. Например, слово «карандаш» можно написать как I<@p@I-ID@III. Уровень надежности пароля резко увеличивается.
5. Пароль с ошибками
Можно специально сделать в придуманном вами слове все возможные грамматические ошибки и тоже разбавить его цифрами или символа
6. Сложное слово
Придумайте сложное слово, которое редко употребляется в обыденной жизни, и скомбинируйте пароль только из его гласных или согласных букв, чередуя регистр, и добавьте пару символов в начале и в конце слова. Например, ваше слово «синхрофазотрон». Из него можно получить пароль !SnXrFzTrN!, который не подобрать и за сотню лет.
7. «Узоры» на клавиатуре
Вы можете вообще не запоминать буквы в слове, а запомнить расположение клавиш, создавая своеобразный узор. Главное – не использовать сочетания, в которых несколько клавиш расположены друг за другом.
Словом, проявите фантазию. Можете придумать собственный шифр, но обязательно проверьте получившийся пароль на надежность при помощи специальных сервисов.
8. Генераторы паролей
Чтобы не ломать голову, проще всего воспользоваться генератором паролей. Таких сервисов – огромное количество, и можно воспользоваться любым из тех, что найдется по запросу через Яндекс или Google. Вот примеры таких сервисов:
Все они работают по схожему принципу – вы можете указать желаемую длину и составляющие вашего пароля – буквы, цифры или другие символы.
Как проверить надежность пароля
Если вы придумали пароль, но сомневаетесь в его уникальности и надежности, существуют сервисы, которые помогут оценить безопасность пароля.
Passwordmeter – сервис оценивает степень надежности пароля и подробно показывает, каких символов не хватает, если пароль недостаточно устойчив к взлому.
Сервис от «Лаборатории Касперского» рассчитывает время, за которое можно подобрать пароль, и показывает, как оно зависит от производительности компьютера.
Менеджеры паролей
Пожалуй, единственный недостаток сгенерированного пароля в том, что его крайне сложно запомнить. У любого активного пользователя Интернета не один десяток аккаунтов – от социальных сетей, электронной почты, онлайн-игрушек, интернет-магазинов. Если для каждого аккаунта сгенерировать длинный пароль, состоящий из случайного набора символов, запомнить их все будет практически невозможно. Чтобы не потерять доступ к важным данным, используйте специальные программы для хранения паролей, например, Enpass, KeePass, Dashlane, LastPass,1Password. Они удобны тем, что достаточно помнить всего один пароль, чтобы получить доступ ко всем остальным.
Как придумать “непробиваемый” пароль и легко его запомнить
30 августа 2016 в 8:17
42.TUT.BY
Всем известно, что лучший пароль выглядит примерно так: vAeJZ!Q3p$Kdkz/CRHzj0v7. Однако запомнить его для обычного человека практически невозможно. 42.TUT.BY выбрал несколько советов, которые помогут выбрать надежный пароль и не сойти с ума.
Лучший пароль получится, если по клавиатуре случайно пройдется ваш кот. Изображение: flickr.com
Базовые правила
В пароле должно быть не меньше восьми символов (а лучше — от 12 до 20).
В пароле должны быть все сразу: и буквы, и цифры, и спецсимволы.
Нельзя использовать один пароль во всех сервисах.
Не записывайте пароли на листках.
Если сложно все держать в голове — воспользуйтесь менеджером паролей (но пароль от него вам придется запомнить).
Понятный пароль — лучше, чем абракадабра
Главное правило при выборе пароля: не использовать слова целиком. При подборе ключей хакеры первым делом перебирают содержимое словарей с помощью специальных программ. Поэтому пароль «I love football» продержится пару секунд, следующей падет ваша дата рождения, k0роvA тоже не вызовет сложностей.
Любопытный способ выбора комбинации символов предложил специалист по безопасности Брюс Шенье: придумайте длинное предложение и «сожмите» его до аббревиатуры.
«Если вы хотите, чтобы ваш пароль было трудно отгадать, выберите то, перед чем взломщики сдадутся, — пишет он. — Мой совет: придумайте предложение и превратите его в пароль. Что-то вроде „This little piggy went to market — tlpWENT2m“. Этих девяти символов не будет ни в одном словаре. Конечно, не следует использовать этот пароль, о нем я уже написал».
Вот еще несколько примеров от исследователя — подойдет практически любая фраза, которую вы в состоянии запомнить на любом языке — песенка, стихотворение, цитата из фильма или детская дразнилка.
Long time ago in a galaxy not far away at all — Ltime@go-inag
Until this very moment, these passwords were still secure — uTVM, TPw55: utvm, tpwstillsecure
Когда мне было семь лет, моя сестра принесла кролика — Kmb7letmsestrapk…
Ой, этот диван что, воняет? — Oi,etdich,vo?
Пароль из «игральных костей»
Один из самых надежных способов получить хороший пароль — техника Diceware («игральная кость»). Для этого вам понадобится специальный список слов (на русском или английском) и игральные кости (подойдут и виртуальные).
Список слов Diceware содержит 7776 слов и выглядит примерно так:
Чтобы получить пароль, вам понадобится 25 или 30 бросков игральной кости, все результаты нужно записать группами по пять чисел. К примеру, так: 61253, 54611, 32513, 21341, 64325. Каждая группа чисел — номер одного из слов в списке.
В результате вы получите комбинацию вроде «анатом усач тюфяк кираса плов» — это и будет ваш новый пароль. Согласитесь, запомнить ее будет намного проще, чем vAeJZ! Q3p$Kdkz/CRHzj0v7.
Степень защиты такого пароля значительно выше, чем у короткой комбинации символов. Компьютер, который взламывает 8-символьный пароль за 6 часов, будет трудиться над паролем из 5 слов Diceware на английском около 7300 часов, или 10 месяцев.
Создатель этого метода советует использовать пять слов для обычных пользователей и шесть слов для шифрования диска или защиты от хакеров.
Изображение: habrahabr.ru / xkcd.com
Если все это для вас слишком сложно, подойдет и старый добрый способ: взять фразу на русском и как следует ее исковеркать. К примеру, вот какой способ предлагают эксперты «Тинькофф-банка»
- Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami
- Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi
- Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi
- Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshka.s.gr1bamm1
Пароли нельзя менять «для галочки»
Один из популярных мифов о паролях — их нужно обязательно менять раз в 1−2 месяца. Правда, недавно выяснилось, что это не делает защиту надежнее: пользователи ленятся придумывать сложные пароли.
«Исследователи UNC показали, что если люди должны менять свои пароли каждые 90 дней, они, как правило, используют шаблон для преобразования, — считает Лорри Кранор (Lorrie Cranor), глава технического подразделения Федеральной комиссии по торговле США. — Они берут свой старый пароль, изменяют в нем пару символов — и „новый пароль“ готов».
К примеру пароль tarheels#1 ленивый пользователь превратит в taRheels#1, затем в tarheels#11, а после в tarheels#111. Такие пароли крайне уязвимы для взломщиков: алгоритму перебора ключей понадобится всего пара дополнительных шагов, чтобы перейти от tarheels#1 к tarheels#111.
Это вовсе не значит, что одни и те же пароли следует использовать по пять лет. Однако если меняете ключи доступа — делайте это добросовестно.
Фото: wired.co.uk
Смело врите в подсказках
А вот секретные вопросы вроде «девичья фамилия матери» для восстановления пароля лучше не использовать вовсе. Усердный злоумышленник может отыскать эти данные в аккаунтах соцсетей или выведать у ваших знакомых.
Правда, никто не мешает вам указать в ответе фамилию чужой матери.
«Рекомендуем указывать выдуманные ответы (которые, как и пароли, не знает никто, кроме вас), — советуют эксперты проекта Electronic Frontier Foundation. — Например, сайт интересуется именем вашего питомца. Возможно, вы уже публиковали где-то снимок с подписью «Мой кот-красавец Барсик».
Не указывайте «Барсик» в качестве ответа секретный вопрос. Выберите что-то вроде «Румпельштильцхен». Не используйте один и тот же пароль или секретный вопрос для нескольких учетных записей и для разных веб-сайтов или сервисов» .
Бонус: худшие пароли в истории
Компания SplashData каждый год публикует списки самых распространенных паролей. Это те комбинации символов, которые злоумышленники попробуют в первую очередь при попытке взлома.
Уже много лет в топ попадают пароли 123456, password и qwerty. И да, 123abc, 111111 и qwertyuiop там тоже есть.
Среднее время, которое пользователи компьютеров тратят на то, чтобы придумать пароль, значительно меньше того, которое требуется для его подбора, рассказала аналитическая компания Deloitte Canada в 2013 году. По их подсчетам, более 90% паролей можно взломать за считаные секунды.
Проверить свой пароль на надежность можно с помощью одного из сервисов: Password Random, Rumkin или Parole Manager.
Каким должен быть хороший пароль и как его запомнить?
Навигация по сайту:
Сейчас на сайте:
Программ: 93 Уроков: 175
Советов: 142 Статей: 27
Согласитесь, что в настоящее время трудно себе представить компьютерную жизнь без постоянного ввода пароля. Пароль нам необходим везде – начиная от включения компьютера, регистраций на различных сайтах и форумах, доступу к своим почтовым ящикам и заканчивая созданием аккаунтов (страниц с личными данными и настройками) в платежных системах и отправкой/получением платежей в электронном виде.
И если при одноразовой регистрации на каком-либо случайном сайте (например, только лишь для скачивания игры) можно не задумываясь указать любой пароль (даже «123456»), то при создании постоянного аккаунта на важном сайте (тем более, если это связано с денежными операциями) пароль должен быть очень надёжным.
В противном случае пароль может быть взломан злоумышленником, а полученные личные данные могут быть использованы для общения в сети от нашего имени (в лучшем случае) либо для получения кредитов или открытия счетов. Поэтому лучше позаботиться о защите заранее, и уже сегодня изменить все свои «слабые» пароли на более надёжные.
В этой статье давайте разберёмся, что такое надёжный пароль, а также поговорим об основных правилах при создании и хранении паролей.
А как вообще могут взломать наш пароль? И почему пароль не может быть любым? Ведь, казалось бы, как можно угадать пароль, который придуман лично мной?
Всё довольно просто! В большинстве случаев никто ничего не угадывает! Самый популярный способ взлома – это обычный перебор всех возможных вариантов – так называемый способ «грубой силы» или брутфорс (англ. brute force). Стандартные пароли («123456», «111111», «789456», «qwerty», «фывапр», «йцукен» и т.п.) проверяются в первую очередь, а потом идет элементарная подстановка всех символов.
Естественно перебор делается не вручную, а с использованием специальных программ, которые способны в короткие сроки перебирать огромное количество различных комбинаций.
Пароль «09071985» (дата рождения) будет подобран за 1-2 секунды;
Пароль «андрей» будет подобран за 4 секунды
Пароль «Андрей» будет подобран за 3-4 минуты;
Пароль «1n2f4g8y0» будет подобран за 4 дня;
Пароль «EC3+gHFBI» будет подбираться 12 лет;
А пароль «kKC%5426hMIN» будет подбираться несколько миллионов лет.
Какие выводы можно сделать на данном этапе?
Вывод 1. Пароль не должен быть коротким.
Иметь пароль менее 8 символов вообще нежелательно, а ещё лучше, чтобы пароль содержал 10-12 символов или больше.
Вывод 2. Пароль не должен содержать только цифры или только буквы (особенно повторяющиеся). Лучше всего, когда буквы и цифры чередуются, а ещё лучше, если в пароль добавляются специальные символы или знаки препинания.
Вывод 3. Важно использовать в одном пароле символы в верхнем и в нижнем регистре (и большие и маленькие). Делается это с помощью клавиши Shift.
Ещё один способ взлома пароля – это анализ данных о человеке. Зная сведения о человеке, легче подобрать его пароль.
Вся информация о человеке собирается (то ли вручную, то ли с помощью специальных программ), а после проверяется в различных комбинациях.
Например, длинный пароль «андрейкурганов» будет перебираться брутфорсом примерно 150 тысяч лет, но если злоумышленник знает, с чьим паролем имеет дело, то такой пароль будет проверен в числе первых. И какой тогда толк от такого пароля?
Кроме того, таким способом злоумышленники могут подбирать не сам пароль, а «секретный вопрос», который часто используется для восстановления пароля. Зачастую злоумышленнику проще нажать на кнопку «Забыли пароль?», а потом уже подобрать секретный вопрос, исходя из имеющихся данных о человеке, и получить заветный пароль.
А где проще всего узнать данные о человеке? Конечно в «социалках».
Очень просто зайти на сайт «Одноклассники» или «ВКонтакте» и узнать о человеке его имя, фамилию, год рождения, имена детей, жены/мужа или домашних животных. Узнать можно быстро и практически всё, вплоть до любимой музыкальной группы, цвета или же любимых фраз и высказываний.
А если Саша Петров для входа в аккаунт «Одноклассники» используется пароль «SashaPetrov», то это как минимум верх беспечности. И потом мы удивляемся, что друзья получают от нашего имени сообщения с просьбами пополнить счет неизвестного телефона или одолжить деньги (например, переводом на указанную карточку).
Делаем выводы дальше:
Вывод 4. Не используйте пароль, который содержит любые данные о вас или вашей семье -всевозможные памятные даты (рождения, свадьбы и пр.), имена и фамилии родственников, номера квартир, документов или телефонов. Недопустимо также использование любых комбинаций, составленных из личных данных.
Вывод 5. Пароль должен быть бессмысленным, поэтому лучше отказаться от пароля, который представляет собой любое существующее словарное слово (на любом языке).
Вывод 6. Не использовать «секретные вопросы», ответы на которые можно легко узнать или подобрать.
Теперь немного о хранении паролей и их количестве.
Допустим, мы создали надёжный пароль и даже запомнили его. Запомнить второй пароль будет уже сложнее, третий ещё сложнее…
Именно по этой причине многие пользователи при регистрации на различных сайтах используют один и тот же пароль, либо создают пароли по типу «пароль1», «пароль2», «пароль3» или «парольMail», «парольSkype» и т.д. А ведь это неразумно, т.к. при взломе такого пароля злоумышленник получит доступ сразу ко всем нашим аккаунтам.
Конечно же, запомнить несколько паролей состоящих из случайного набора символов невозможно, поэтому надо каким-то образом записывать и хранить пароли, но…
Согласитесь, глупо создавать надёжный пароль, а потом записать его на стикер и приклеить к краю монитора. А ведь многие делают именно так, и что самое интересное делают это не дома, а в офисах. Я лично видел такое в налоговой инспекции. А ведь в таком компьютере может быть вся база данных с информацией о налогоплательщиках. Вот вам и ответ на вопрос, откуда у мошенников паспортные данные для получения кредитов.
Примерно тот же смысл получится, если положить у всех на виду блокнот, на обложке которого жирными буквами написано «МОИ ПАРОЛИ» или же на Рабочем столе Windows разместить текстовый файл с таким же названием.
Вывод 7. Необходимо использовать уникальный пароль для каждого отдельного Интернет сервиса, форума, сайта.
Вывод 8. Не держать пароли у всех на виду.
Вывод 9. Не xранить пароли в Интернете или на компьютере в виде текстового файла.
Если злоумышленник получит доступ к нашему компьютеру (это не так сложно, как может показаться), то найти файл с паролями для него будет ещё проще (при чем в любом месте на жестком диске).
Относиться к паролям и «секретным вопросам» надо так же серьезно, как к информации, которую защищают эти пароли, поэтому НИКОМУ не сообщайте свой пароль. Держите пароль в секрете от своих близких (особенно от детей) и друзей. Возможным исключением может быть пароль от общего банковского счета (семейного), если доступ к этому счету должны иметь и другие члены семьи.
Храните пароли только в надежном месте! Это важно не только с точки зрения хищения пароля посторонними лицами, но и с точки зрения случайной утраты пароля (по нашей неосторожности или неопытности).
Вывод 10. Не храните пароли с помощью встроенных в браузер «хранителей паролей».
Во-первых, никогда нельзя быть уверенным в надежности такого «хранителя» и в том, что сам браузер не содержит «дыр» в защите. Злоумышленники в первую очередь ищут «дыры» в браузерах, т.к. браузерами пользуются все.
Во-вторых, если случится сбой в работе браузера или всей системы, то очень велика вероятность, что мы потеряем доступ ко всем паролям, которые хранит браузер, а это хоть и не взлом, но тоже неприятно.
Вывод 11. Делайте копии паролей.
Если для хранения паролей вы используете специальные программные средства, то не забывайте периодически делать резервные копии баз данных с паролями. Если же вы храните пароли на листке бумаги, то сделайте вторую копию такого листа (или блокнота) и храните оригинал и дубликат в разных (укромных) местах.
Вывод 12. Не вводите пароли в посторонних программах, на посторонних сайтах, а также не отсылайте пароли по почте (даже по запросу от службы поддержки или администрации сайта). Администрация НАСТОЯЩЕГО серьезного сайта никогда не потребует пароль, поэтому если вы получили подобный запрос, то это скорее всего работа мошенников.
Вывод 13. Постарайтесь как можно реже вводить пароли с использованием чужих компьютеров, а особенно в общественных местах (интернет-кафе, терминалах и т.п.). Крайне не желательно на чужом компьютере вводить пароли для входа в аккаунт платежных систем или использовать интернет-банкинг, т.к. не исключено, что на этом компьютере используется устройство или программа для запоминания последовательности нажатий клавиш (клавиатурные шпионы).
Вывод 14. Периодически меняйте пароли (особенно если пользовались паролем за чужим компьютером). Чем надежнее пароль, тем дольше можно его использовать. Надёжный пароль из 12-14 символов, составленный с учетом описанных выше рекомендаций можно не менять несколько лет.
Придумывать каждый раз новый надёжный пароль иногда лень, поэтому для таких случаев можно воспользоваться специальными программами – генераторами паролей. Такая программа случайным образом выдает комбинацию символов, и мы моментально получаем надёжный пароль.
Если же нужен генератор здесь и сейчас, то он перед вами. Устанавливайте длину пароля (количество символов) и просто нажимайте кнопку Генерировать:
ГЕНЕРАТОР ПАРОЛЕЙ
Ещё хочу дать вам пару ссылок на сайты, которые позволяют проверить надёжность используемого пароля:
На данном сайте надо вставить пароль в пустое поле, после чего сразу будет выдано сообщение, с указанием времени, в течение которого злоумышленник взломает ваш пароль, используя брутфорс.
Ну а вторая ссылка от компании Майкрософт:
Здесь просто наглядно показано насколько «силён» введенный пароль.
Ну и последний совет…
Если вы заметили непонятные изменения на каком-либо из своих аккаунтов или заподозрили, что кто-то получил доступ к вашей информации, то как можно скорее измените пароль и при необходимости сообщите об этом администрации или в службу поддержки сайта либо организации, представляющей данный аккаунт.
Безопасной Вам работы!
Автор: Андрей Курганов
Дата публикации: 2012-03-24
Есть вопросы по статье? Задайте их на форуме
Понравилась статья? Поделитесь со своими друзьями в социалках:
Как правильно: надежный пароль
От почты, соцсетей и интернет-банка
Допустим, хакер узнал пароль от вашей основной почты. Вот что он может сделать:
- Сменить ваши пароли от всех соцсетей. Попросить от вашего имени денег у всех ваших друзей.
- Изменить ваш пароль от Айклауда или Гугл-плея. Далее украсть у вас деньги или заблокировать ваш смартфон.
- Изучить вашу переписку, из которой хакер наверняка вытащит ваши паспортные данные и номер карты. Из соцсетей он легко достанет девичью фамилию вашей матери.
- Зная ваши паспортные данные и номер карты, хакер поменяет пароль от интернет-банка, сменит контактный номер телефона и сможет свободно распоряжаться всеми вашими деньгами.
- Если хакер достанет в почте скан вашего паспорта, он сможет взять на ваше имя кредит в недобросовестной кредитной организации и к вам придут коллекторы.
И всё это — из-за одного ненадежного пароля от почты. В этой статье расскажем, какие пароли ненадежные и как их сделать надежными.
Ненадежно: слова и последовательности цифр
Для почты, банка и соцсетей нельзя использовать в любых комбинациях:
- простые словарные слова: sexy, love, hello, password;
- последовательность цифр подряд: 1234, 123456789, 9876543210;
- дату рождения: 21041988, 2104;
- какой-либо год: 2015, 2010, 1988;
- свое имя: ilya;
- имена своих родственников и домашних животных: mama, papa, murka, stepka;
- название сервиса, на котором вы регистрируетесь: mailru.
Комбинации этих слов будут давать ненадежные пароли, которые на обычном компьютере подбираются за минуты и часы:
- sex — 5 секунд;
- love1980 — 3 минуты;
- password1234567890 — 3 минуты;
- sex2010 — 10 минут;
- murzik12345 — 2 часа;
- mailru987654321 — 2 часа;
- iriska12 — 2 часа;
- petya1 — 3 часа.
Надежно: цифры, буквы, знаки препинания
Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:
Как крадут деньги через смартфоны
- xJ462&b-vr01.8^5h;
- hs#lzkAc
Хорошие пароли сочиняют коты, когда ходят по клавиатуре:
Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:
Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль,ящик и гражданство.
Как сочинить и запомнить надежный пароль
У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:
- Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami.
- Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi.
- Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi.
- Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshk@.s.gr1b@mm1.
Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».
Сильный пароль: альтернативный метод
Пару месяцев назад я уже рассказывал о методе, чтобы придумать надежный пароль.
- Берете слова любимой песни. Например, «Это не шутки, мы встретились в маршрутке под номером один, едем и молчим».
- Берем первые буквы: эншмввмпн1еим.
- Переводим в английскую раскладку: enshmvvmpn1eim.
- Делаем заглавными первые буквы ударных слов: EnSHmvvMpn1eiM.
- Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29.
- Получилось 19 символов — легко влезет в пароль для Тинькофф-банка.
Как спасти деньги, когда кругом враги
Как записывать пароли
Специалисты по безопасности не советуют записывать пароли в открытом виде, даже если вы будете держать их в сейфе. Если вам необходимо записать пароль, сделайте это так, чтобы только вы знали, как его прочитать.
Возьмите старый ежедневник, откройте его где-нибудь посередине или ближе к концу и запишите на полях карандашом «Картошка с грибами. По-итальянски, по почте, 1 порция». Эта записка поможет вам вспомнить, как вы меняли исходную фразу, а посторонним будет непонятно, как из нее получить ваш пароль.
Ни в коем случае не держите пароли на стикерах на мониторе. Не носите их в бумажнике. Не записывайте в заметки в телефоне.
Как не рассекретить пароль
Даже с надежным паролем вас могут взломать: например, если кто-то подсмотрел, как вы вводите пароль; если на компьютере, с которого вы заходите в почту, стоит программа-шпион. Как обезопасить себя от таких случаев: