Про безпеку пароля

Ця стаття розповість про те, як створити безпечний пароль, які принципи повинні дотримуватися при їх створенні, як зберігати паролі та мінімізувати ймовірність доступу до вашої інформації та облікових записів зловмисників.

Цей матеріал є продовженням статті "як ваш пароль може зламати" і означає, що ви знайомі з матеріалом, представленим там, або вже знаєте всі основні шляхи, з якими можуть бути порушені паролі.

Створення паролів

Сьогодні, реєструючи будь -який обліковий запис Інтернету, створюючи пароль, ви зазвичай бачите індикатор індикатора надійності пароля. Майже скрізь це працює на основі оцінки наступних двох факторів: довжина пароля; наявність спеціальних символів, капітальних листів та номерів у паролі.

Незважаючи на те, що це дійсно важливі параметри стабільності пароля до методу злому примусовому виконанню, пароль, який здається надійним для системи, не завжди є однаковим. Наприклад, такий пароль на кшталт "pa $ $ w0rd" (і тут є спеціальні символи та цифри), швидше за все, буде зламати дуже швидко - через те, що (як описано в попередній статті), люди рідко створюють унікальні Паролі (менше 50% паролів є унікальними), а вказаний варіант з високою ймовірністю вже в поточних базах, доступних зловмисникам.

Як бути? Найкращим варіантом є використання генераторів паролів (в Інтернеті є онлайн -утиліти, а також у більшості менеджерів паролів для комп'ютера), створення довгих випадкових паролів за допомогою спеціальних символів. У більшості випадків пароль з 10 і більше таких символів просто не зацікавить сухарі (t.Е. Його програмне забезпечення не буде налаштовано для вибору таких варіантів) через те, що витрачений час не окупиться. Нещодавно вбудований генератор паролів з’явився в браузері Google Chrome.

У цьому методі основним недоліком є ​​те, що такі паролі важко запам'ятати. Якщо є необхідність утримувати пароль у голові, є ще одна опція, заснована на тому, що пароль з 10 символів, що містять капітальні літери та спеціальні символи, зламається тисячами або більше (конкретні цифри залежать від допустимого набору Символи) рази простіше, це простіше, це простіше. ніж пароль з 20 символів, що містять лише малі латинські символи (навіть якщо про це знає сухер).

Таким чином, пароль, що складається з 3-5 простих випадкових англійських слів, буде легко запам'ятовуватися і майже неможливо зламати. І написавши кожне слово з заголовком, ми зведемо кількість варіантів у другому ступені. Якщо це 3-5 російських слів (знову ж таки випадковими, а не іменами та датами), написані в англійському макеті, гіпотетична можливість складних методів використання словників для вибору паролів також видаляється.

Можливо, напевно, немає правильного підходу до створення паролів: різними способами є переваги та недоліки (пов'язані з здатністю запам'ятати його, надійність та інші параметри), але основні принципи виглядають наступним чином:

• Пароль повинен складатися зі значної кількості символів. Найбільш поширене обмеження сьогодні - 8 символів. І цього недостатньо, якщо вам потрібен безпечний пароль.
• Якщо можливо, ви повинні включити спеціальні символи у пароль, капітал та капітальні літери, номери.
• Ніколи не включайте в пароль особисті дані, навіть записані, здавалося б, "хитрими" способами для вас. Ніяких побачень, імен та прізвищ. Наприклад, хакерський пароль - це будь -яка дата сучасного Юліанського календаря з 0 -го року та донині (тип 18.07.2015 або 18072015 та t.С.) займе від секунд до годин (а потім годинник виявиться лише через затримки між спробами деяких випадків).

Ви можете перевірити, наскільки надійний ваш пароль на сайті (хоча введення паролів на деяких сайтах, особливо без HTTPS - це не найбезпечніша практика) http: // rumkin.Com/інструменти/пароль/passchk.PHP. Якщо ви не хочете перевіряти свій справжній пароль, введіть подібну (з однакової кількості символів і з тим самим набором), щоб отримати уявлення про його надійність.

У ході вхідних символів служба обчислює ентропію (умовно кількість варіантів для ентропії 10 бітів, кількість варіантів становить 2 у десятому ступені) для заданого пароля і дає сертифікат про надійність різних значень. Паролі з ентропією понад 60 майже неможливо зламати навіть під час цільового вибору.

Не використовуйте однакові паролі для різних облікових записів

Якщо у вас є великий складний пароль, але ви використовуєте його, де це можливо, він автоматично стає абсолютно не надійним. Як тільки хакери зламають будь -який із сайтів, де ви використовуєте такий пароль і отримуєте доступ до нього, будьте впевнені, що він буде негайно перевірений (автоматично, використовуючи спеціальне програмне забезпечення) на всіх інших популярних поштових, іграх, соціальних службах і, можливо, в Інтернет -банки (способи перевірити, чи ваш пароль вже ведеться в кінці попередньої статті).

Унікальний пароль для кожного облікового запису складно, він незручно, але це необхідно, якщо ці облікові записи мають принаймні певне значення для вас. Хоча для деяких реєстрацій, які не мають для вас цінності (тобто ви готові їх втратити і не будете хвилюватися) і не містять особистої інформації, ви не можете напружувати унікальні паролі.

Дво -факторна автентифікація

Навіть надійні паролі не гарантують, що ніхто не може ввести ваш рахунок. Пароль можна вкрасти так чи інакше (наприклад, фішинг, наприклад, як найпоширеніший варіант) або дізнатися від вас.

Майже всі серйозні онлайн -компанії, включаючи Google, Yandex, Mail.Ru, в контакті, Microsoft, Dropbox, Lastpass, Steam та інші додали можливість включити у облікових записах дві -факторні (або дві -stage) автентифікації. І якщо безпека для вас важлива, я настійно рекомендую його включити.

Реалізація двофакторної автентифікації дещо відрізняється для різних служб, але основний принцип виглядає наступним чином:

1. На вході на обліковий запис з невідомого пристрою, ввівши правильний пароль, вас просять пройти додаткову перевірку.
2. Перевірка відбувається за допомогою SMS-коду, спеціальної програми на смартфоні, за допомогою попередньо підготовлених друкованих кодів, електронної пошти, апаратного ключа (останній варіант з'явився в Google, ця компанія, як правило, є перевагою, яка стосується двофакторної автентифікації).

Таким чином, навіть якщо зловмисник визнав ваш пароль, він не зможе перейти до вашого облікового запису без доступу до ваших пристроїв, телефону, електронної пошти.

Якщо ви не повністю розумієте, як працює аутентифікація двох факторів, я рекомендую прочитати статті в Інтернеті, присвячених цій темі чи описам та рекомендаціям до дій на самих сайтах, де вона реалізована (я не можу включити в цю статтю детальні інструкції ).

Зберігання пароля

Складні унікальні паролі для кожного сайту відмінно, але як їх зберігати? Навряд чи всі ці паролі можна пам’ятати. Зберігання збережених паролів у браузері є ризикованим зобов'язанням: вони не тільки стають більш вразливими до несанкціонованого доступу, але й можуть бути просто втрачені у разі відмови системи та якщо синхронізація вимкнена.

Менеджери паролів вважаються найкращим рішенням, в загальних термінах, що представляють програми, які зберігають усі ваші секретні дані в зашифрованому захищеному сховищі (як в режимі офлайн, так і в Інтернеті), до якого можна отримати доступ до одного головного умовно-дострокового звільнення (ви можете додатково включити двофакторну аутентифікацію). Більшість цих програм також оснащені інструментами для створення та оцінкою надійності пароля.

Пару років тому я написав окрему статтю про найкращих менеджерів паролів (її слід переписати, але отримати уявлення про те, що це таке, і які програми можуть бути популярними у статті). Деякі віддають перевагу простих офлайн -рішень, таких як Keepass або 1Password, зберігаючи всі паролі на вашому пристрої, інші - це більш функціональні утиліти, які також представляють можливості синхронізації (LastPass, Dashlane).

Відомі менеджери паролів, як правило, вважаються дуже безпечним та надійним способом їх зберігання. Однак варто розглянути деякі деталі:

• Щоб отримати доступ до всіх своїх паролів, вам потрібно знати лише одне головне умовно -дострокове звільнення.
• У випадку зламу онлайн -сховища (всього місяця тому, найпопулярніша служба управління паролем Lastpass у світі), вам доведеться змінити всі свої паролі.

Як ще ви можете зберегти свої важливі паролі? Ось кілька варіантів:

• На папері в безпечному, доступ, до якого ви та ваша родина матимете (не підходять для паролів, необхідних для часто використання).
• Офлайн -база даних паролів (наприклад, Keepass), збережена на міцному акумуляторі інформації та дублюється десь у випадку втрати.

Оптимальне поєднання всього вищезазначеного-це такий підхід: найважливіші паролі (основна електронна пошта, з якою ви можете відновити інші рахунки, банк тощо.С.) зберігається в голові та (або) на папері у надійному місці. Менш важливі і, в той же час, часто використовуються, слід довіряти програмам - менеджерам паролів.

додаткова інформація

Я сподіваюся, що поєднання двох статей на тему паролів для деяких із вас допомогло звернути увагу на деякі аспекти безпеки, про які ви не думали. Звичайно, я не враховував усіх можливих варіантів, але проста логіка та деяке розуміння принципів допоможуть самостійно вирішити, наскільки безпечно те, що ви робите в певний момент. Ще раз, деякі згадані та кілька додаткових моментів:

• Використовуйте різні паролі для різних сайтів.
• Паролі повинні бути складними, ви можете сильно збільшити труднощі, збільшуючи довжину пароля.
• Не використовуйте персональні дані (які ви можете дізнатися) при створенні самого пароля, підказки для нього, контролюйте питання для відновлення.
• Використовуйте аутентифікацію на дві ступені там, де це можливо.
• Знайдіть оптимальний спосіб безпечного зберігання паролів.
• Побоюйтеся фішингу (перевірте адреси сайтів, наявність шифрування) та шпигунські програми. Де б вони не просили ввести пароль, перевірте, чи дійсно ви вводите його на правильному веб -сайті. Переконайтесь, що на комп’ютері немає шкідливих.
• Якщо можливо, не використовуйте свої паролі на комп'ютерах інших людей (якщо потрібно, зробіть це в режимі браузера «incognito», і отримайте його з клавіатури на екрані ще краще), у публічних відкритих мережах Wi-Fi, особливо якщо немає Шифрування HTTPS при підключенні до сайту.
• Можливо, ви не повинні зберігати найважливіше, що дійсно представляє життєве значення, паролі на комп’ютері чи в Інтернеті.

Якось так. Думаю, мені вдалося підняти ступінь параної. Я розумію, що значна частина описаних здається незручною, думки можуть виникати на кшталт "ну, це буде обійти мене", але єдине обґрунтування лінощів, дотримуючись простих правил безпеки при збереженні конфіденційної інформації, може бути лише відсутністю її важливості та вашої готовності за те, що вона стане власністю третіх осіб.