Как выбрать пароль. Ликбез по парольной защите!

Как выбрать пароль. Ликбез по парольной защите!

BezLich

Большинство авторитетных интернет-компаний и сервисов имеют на своих ресурсах краткие рекомендации по выбору пароля. Но, как правило, они слишком поверхностные, к тому же, найти их можно только в разделах типа "FAQ", "Помощь" и т.п. То есть не непосредственно в момент регистрации. Так что, я изложу свое видение того, как придумать надежный пароль.

Во-первых, давайте сразу определимся, какие пароли использовать НЕЛЬЗЯ (это уже прописные истины):

  • пароли, с минимальным количеством знаков, и тем более, без использования спецсимволов. Примеры: 1234, fhj, 8855, 451326, kdjkdsj – эти и подобные пароли взламываются очень быстро, особенно те, которые состоят исключительно из цифр, даже если их много, типа 265489418758. Все это очень ненадежные пароли. После прочтения этой статьи, вы поймете почему.
  • пароли, состоящие из словарных слов, любых словарных слов, будь-то "апельсин", или "leukocyte" – особой разницы нет. Это касается не только русскоязычных и англоязычных слов, но и любых слов на любом языке ;
  • самые известные и примитивные пароли, например, 123456, qwerty, йцукен, 123456qwerty, admin, pass, password и т.д. Как ни странно, но периодические исследования в этой области показывают, что очень много людей используют именно такие пароли;
  • пароли, в которых буквы заменены на похожие цифры или символы: O на 0, B на 8, S на 5 (или на знак доллара $) и другие. Самый яркий пример - pa$$w0rd
  • пароли, содержащие хоть какую информацию, относящуюся к вашей личности: дата рождения, телефон, последние цифры кредитной карты, любимые фильмы, логины, прозвища, фамилии или имена (в т.ч. и дальних родственников) и все в таком духе.

Это первостепенные запреты. Теперь рассмотрим основные методы завладения чужими паролями. Заодно поймем, почему нельзя использовать пароли, сформированные вышеназванными способами.

Преобладающие методы кражи паролей и учетных данных можно разделить на несколько категорий:

  • простой перебор (он же брутфорс). Посредством специальных программ перебираются все возможные знаки (прописные и строчные буквы, цифры, спецсимволы) в связке "логин – пароль".

В этих программах (брутфорсерах) указываются необходимые условия для перебора: параметры логина (если он известен, то задача многократно облегчается), т.е., обозначается, какие знаки использовать при его переборе, использовать ли цифры, специальные символы (!@#$%^()_+?, и др.), использовать только строчные, только заглавные, или те и другие буквы. Также, можно указать максимальное число знаков (и минимальное). Аналогично условия брута вводятся и для пароля.

Исходя из всего этого, становится понятным, почему нельзя использовать пароли из первого пункта "запретного" списка. А что касается чисто цифрового пароля, без букв и символов, тут объяснение простое. Просто задайте себе вопрос: сколько может существовать вероятных комбинаций пароля из 8 знаков, состоящего исключительно из цифр, и комбинаций пароля из такого же количества знаков, но включающего в себя хотя бы пару букв? Ответ очевиден. Современные машины, с мощными вычислительными возможностями, способны подобрать цифровой пароль, состоящий только из цифр за считанные минуты.

Кроме того, огромное значение имеет и длина пароля! На современных компьютерах проще подобрать совершенно незапоминаемый 10-значный пароль, использующий весь диапазон символов, чем 20-символьный пароль состоящий из одних букв, но который более легок для запоминания. Это может быть, например, комбинация каких-то несвязных между собой слов с намеренным каверканьем/ошибками/транслитерацией или вообще не словарных слов. Согласитесь, пароль verblud_usaet_153_avtomata_za_noch! ("верблюд юзает 153 автомата за ночь!") достаточно легко запомнить, и тем не менее он очень устойчив: в нем 35 символов, включая цифры и спецсимволы. Можно еще добавить и заглавных букв =) Такой пароль гораздо более стойкий, чем незапоминаемая абракадабра из 8-10 символов. И использовать его рекомендуется, например, в качестве мастер-пароля к менеджеру паролей.

  • перебор по словарям. В брутфорсер загружаются словари того или иного языка. В России, это, как правило, английский и русский язык. Причем, в подавляющей массе паролей используются именно английские буквы и слова (если быть точнее, латинские). Кириллица используется реже, в том числе и потому, что некоторые сервисы позволяют употреблять в качестве пароля только латиницу, цифры и символы. Или, что бывает чаще - это специальные словари, состоящие из украденных откуда-то паролей (в таких базах может быть несколько миллионов паролей, и даже десятков и сотен миллионов).

Взлом по этой методе реализуется примерно так: загружается словарь (или словари), сначала прогоняется в брутфорсере так сказать "на чистую". Если результатов нет, то используется "маска" – т.е. кроме прямых указаний программе использовать загруженные словари, обозначаются также такие критерии, как количество использованных цифр, символов, и в каком месте вставить (в конце слова, в начале). Например, пароль типа architect2013 будет подобран за минимальное кол-во времени. Аналогично и 2013architect. А вот если пароль будет ar2ch0it1ec3t, то его "по словарю" будет нереально забрутить. Взломщику придется прибегнуть к первому способу (прямой перебор).

  • социально-инженерный метод. Социальная инженерия (в рамках этой статьи буду называть ее СИ) в последние годы безумно популярна в среде хакеров, кардеров, интернет-мошенников, и конечно же, в среде наших доблестных спецслужб =) А двигателем СИ являются соцсети и массовая интернетизация.

Одним из методов противодействия СИ в контексте данной темы, как раз является последний пункт "запретного" списка. Но СИ, как наука (а я реально считаю ее наукой и искусством) нацелена далеко не на поиск паролей. Вернее, конечной целью является, как правило, именно связка "логин – пароль", но добываются такие сведения очень тонко, изящно, и не заметно на первых порах для "жертвы". А окончательным итогом всех этих манипуляций являются либо кража ваших средств с банковских счетов или интернет-кошельков, либо компрометация и последующий шантаж, с целью материальной наживы (выкуп) или же с целью заставить вас выполнить определенные, и, как правило, незаконные действия. Т.е. цель - "посадить на крючок".

Можно провести некую аналогию с так называемыми "цыганами", экстрасенсами, сектантами – вас вводят в заблуждение и выбивают необходимую информацию (или добиваются определенных действий от вас), причем главным оружием для таких личностей, как в оффлайне, так и в онлайне является что? Попробуйте угадать! = ) А ответ прост, вспомните великие пословицы и поговорки "Язык мой – враг мой" или "Болтун – находка для шпиона". Уловили суть? И еще часто бывает, что вы можете еще не скоро понять, откуда же была утечка, откуда идет это влияние, а можете и вообще не понять.

Если вас заинтересовало искусство СИ, погуглите этот вопрос и узнаете массу интересного.

  • программный метод. Тут с одной стороны все просто для понимания – это трояны, кейлогеры, скрипты, шпионы, руткиты и прочие вредоносные объекты (для простоты понимания обозначим их образно "вирусы"). А с другой стороны сложно - в плане практической реализации защиты от всех этих зараз.

Большинство среднестатистических пользователей считают, что установив хороший антивирус (пусть даже самый лучший по различным независимым тестам), они абсолютно защищены от любых угроз. Как ни странно, но это ложное представление.

  • аппаратный метод. Этот способ реализуется только при непосредственном контакте с "жертвой", и как ни странно, агрессором, скорее всего, выступит близкий или знакомый вам человек. Метод актуален, в первую очередь, для настольных компьютеров.

Основан он на том, чтобы "установить" на компьютер, некое техническое приспособление – аппаратный кейлогер. Как правило, это небольшой "девайс", который засовывается в гнездо для клавиатуры системного блока, а в само это приспособление засовывается провод от "клавы". Получается что-то вроде переходника. И этот "переходник" записывает в себя (по типу обычной флешки) все нажатия по клавишам клавиатуры, и никакой, абсолютно никакой, антивирус этого чисто физически заметить не сможет, ведь "перехватчик" аппаратный, а не программный.

К аппаратным методам можно отнести и более изощренные варианты, но это уже ближе к шпиономании и спецслужбам.

Теперь, когда мы знаем с какой стороны может быть осуществлена атака и знаем о том, какие пароли считаются ненадежными, самое время перейти к рекомендациям по выбору пароля и по способам их хранения и к общим правилам безопасности.

Для начала, разбейте все свои пароли на условные группы, по их важности. Например, самыми важными можно назвать пароли от интернет-банкинга, электронных кошельков, основных e-mail, серверов, домашних маршрутизаторов (роутеров, точек доступа), хостинговых аккаунтов, ну, и, конечно же, от ваших сайтов и блогов.

К средней важности можно отнести пароли к аккаунтам в соцсетях, электронной почте, но только не к той, на которую вы регистрировались в сервисах, о которых написано в группе самых важных паролей. Т.е. если к важным мы относим пароль от клиент-банка, то и пароль для e-mail, который вы указывали при регистрации в этом сервисе, также должен быть очень сложным. Также к этой группе я отношу пароль администратора компьютера.

Ну и третья группа – наименее важные сервисы. Как пример: электронная почта, которую вы используете для различных подписок, аккаунты на сайтах, не представляющие собой ничего ценного (где вы регистрируетесь, скажем, только для того, чтобы оставить комментарий) и т.п.

После того, как пароли разбиты на группы, поговорим о том, каким должен быть пароль для каждой из них.

Первая группа

  • рекомендуемое количество символов – от 20 до 50. Длиннее - особого смысла нет, но если сервис позволяет любую длину пароля и вы – параноик, то дерзайте =);
  • используемые символы – прописные и строчные буквы, цифры, спецсимволы; желательно при генерации такого пароля использовать как кириллический алфавит, так и латиницу, если использование кириллицы допускается тем сервисом, в котором вы регистрируетесь. Многие генераторы паролей используют только латиницу, так что, после того, как вы сгенерируете пассворд, добавьте вручную несколько кириллических символов.
  • для каждой учетной записи из этой группы у вас должен быть отдельный и самый надежный пароль.

Вторая группа

  • кол-во символов ~ от 15 до 20;
  • используемые символы – аналогично предыдущей группе;
  • для каждой "учётки" пароль также должен быть отдельным.

Третья группа

  • допускаются пароли от 8 символов;
  • знаки препинания и спецсимволы можно не применять;
  • пароль можно делать читаемым и простым для запоминания;
  • допускается использование одного пароля для разных сайтов, чтобы не париться с их запоминанием, ведь такие аккаунты, как мы уже рассмотрели, не несут никакой ценности для вас.

Для третьей группы можете сделать примерно такой пароль: UsymBada23* - такой пароль легко запомнить, но не так просто взломать, да и вряд ли его кто-то будет пытаться взламывать. А запоминается он так: первая часть – это понятно, просто читается и запоминается (типа "у симбада"), первая буква заглавная, вторая часть (или слог) тоже начинается с заглавной. А вот в конце просто ставите, например, какое-то число и один спецсимвол (в данном примере получается: "У Симбада 23 звезды"). Таких различных вариантов можно придумать великое множество.

И в завершающей части статьи обсудим общие рекомендации:

  • не используйте одну и ту же связку "логин-пароль" для разных сервисов; как логин, так и пасс должны быть уникальными;
  • при наборе пароля в особо важных сервисах (интернет-банк), старайтесь использовать виртуальную клавиатуру;
  • никогда не храните пароли в обычном текстовом файле на компьютере, или в файле Word, даже если он запаролен;
  • используйте специализированный софт – менеджеры паролей. Я рекомендую, KeePass и 1Password. KeePass, по моему мнению, лучший менеджер паролей;
  • не используйте в браузерах функцию "Сохранить пароль" или "Запомнить меня";
  • после того, как вы поработаете с каким-либо сервисом (почтовая служба, вконтакте и т.д.) прежде чем закрыть браузер, воспользуйтесь функцией "Выйти".

Про совсем уж общепринятые правила, такие как, использование свежих версий программного обеспечения, использование антивирусов и антишпионов с регулярными обновлениями баз, упоминать, я надеюсь, не стоит =)

В завершение статьи, предлагаю вам небольшой приятный бонус – хороший онлайн генератор паролей. Основным его преимуществом можно считать возможность использования энтропии при генерации пароля. Это значит, что пароль будет генерироваться не просто случайным подбором символов, а будет зависеть от ваших действий – нажатий на клавиатуру и движений мышкой. Ну и все функции хорошего генератора присутствуют, конечно же: можно исключить похожие символы (S и 5, O и 0 и т.д.), указать диапазон символов и проч.

Пользуйтесь на здоровье! Вот ссылка: http://genpas.peter.am/

⚡️Читайте самые интересные материалы про безопасность на канале BezLich ⚡️