Какие свойства пароля влияют на его надежность

Всем доброе утро! Это Pavluu. Сегодня я хочу поговорить с вами о такой теме, как надежность паролей. Ведь пароль – это то, за чем охотятся все хакеры. Можно скинуть кому-нибудь стилер и вытащить все логи из браузеров – а оттуда пароли. В таком случае сложность пароля не играет никакой роли.

Но а если вас ломают? Брутят ваш ящик или кошелек? В таком случае есть вариант себя обезопасить.Если вы много времени проводите во Всемирной паутине, то, скорее всего, зарегистрирова­ли на различных веб-сайтах множество аккаунтов. При этом, если вы используете для них один и тот же пароль (или почти такой же, с небольшими вариациями), ваши аккаунты уяз­вимы к кибератакам.

Ведь если хотя бы один из этих веб-сайтов будет взломан, злоумыш­ленники получат доступ к паролям всех его пользователей, а значит, смогут взломать ваши учетные записи и на других сайтах. Такие взломы случаются чаще, чем вы думаете, и зачас­тую администраторы взломанных веб-сайтов даже не подозревают о произошедшем. По­этому в целях обеспечения собственной безопасности следует использовать для своих учет­ных записей надежные и сложные пароли, и, что немаловажно, различные для разных веб­сайтов.

Разумеется, такие пароли сложно запомнить, и можно воспользоваться одним из следующих методов:

• записывать пароли на бумагу — весьма практично записывать пароли и хранить эти записи в безопасном месте (например, в сейфе или в бумажнике). Вы, как минимум, заметите, если такие записи будут потеряны или украдены, и оперативно смените все пароли;
• использовать менеджер паролей — программу для смартфона, планшета или компью­тера, которая позволяет создавать, безопасно хранить и даже автоматически подставлять уникальные пароли при авторизации на веб-сайтах и в онлайн-приложениях (см. далее разд. «Менеджеры паролей»). Менеджеры паролей также обеспечивают и синхрониза­цию вашей парольной базы между принадлежащими вам устройствами. Обратите вни­мание, что менеджеры паролей требуют наличия мастер-пароля, после ввода которого вы сможете получить доступ ко всем остальным своим паролям. Мастер-пароль должен быть особенно надежным, но легко запоминаемым, т. к. это единственный пароль, кото­рый вы не сможете хранить в менеджере паролей и который понадобится каждый раз при запуске программы

Выбор надежных паролей

Существуют несколько паролей, которые все же придется запомнить и которые должны быть действительно надежными. К ним относятся, как минимум, пароли от ваших уст­ройств, пароли для шифрования диска (в том числе и полного) и мастер-пароль oт менедже­ра паролей.

Подобрать пароль из десяти символов — не проблема для мощного современного компью­тера. Поэтому короткие пароли, даже составленные из совершенно случайных символов, — например, такие: a$ct7W.p9!, UTAc’dp-rE или xc,u&HqlY{ и им подобные, — недостаточ­но надежны для использования в шифруемых системах.

Способов создания надежных и легко запоминаемых паролей много. Самым простым и без­отказным считается метод Diceware, разработанный Арнольдом Рейнхольдом. В методе Рейнхольда пользователь физически кидает игральные кости, чтобы случайным образом выбрать несколько слов из списка. Выбранные слова образуют парольную фразу. Для шиф­рования диска (и для менеджера паролей) рекомендуется выбрать как минимум шесть слов.

На методе Рейнхольда основан ряд программ выбора паролей, существуют также исполь­зующие его онлайн-генераторы паролей — например, здесь: tinyurl.com/hdub86x.

При использовании менеджера паролей безопасность всех паролей (включая мастер-пароль) напрямую зависит от безопасности вашего компьютера. Если он заражен вредоносной про­граммой, то может перехватить мастер-пароль во время набора или скопировать содержи­мое базы паролей. Поэтому очень важно защитить и компьютер, и другие ваши устройства от вредоносных программ

О «секретных вопросах»

Важно кое-что знать и о «секретных вопросах» — таких как «Девичья фамилия вашей ма­тери?» или «Кличка вашего первого питомца?». На веб-сайтах подобные вопросы исполь­зуются для восстановления пароля. Существующий пароль, новый или ссылка для генера­ции нового пароля (зависит от веб-сайта, на котором восстанавливается пароль) будет от­правлен на указанный вами адрес электронной почты.

Однако правильные ответы на многие секретные вопросы злоумышленник может легко найти в открытом доступе (например, в аккаунтах социальных сетей) и с их помощью под­менить пароль и получить доступ к вашей учетной записи. Поэтому рекомендуется на «сек­ретные вопросы» указывать выдуманные ответы (которые, как и пароли, не знает никто, кроме вас).

Ваши выдуманные ответы на секретные вопросы также рекомендуется хранить в менеджере паролей. Периодически секретные вопросы и ответы на них можно менять.

Менеджеры паролей

Запомнить много разных паролей для авторизации на различных сайтах и в программах сложно. Поэтому люди часто задают всего несколько или даже один пароль для самых раз­ных учетных записей, сайтов и сервисов. В результате один и тот же пароль используется ности данных. Если какой-либо ваш пароль попал в руки злоумышленника, тот, скорее все­го, попробует его для доступа и к другим вашим учетным записям. Поэтому для обеспече­ния безопасности никогда не используйте пароли повторно.

Но тут возникает проблема — как запоминать многочисленные пароли, если они сущест­венно отличаются друг от друга? Решить эту проблему помогают программы, называемые менеджерами паролей. Они позволяют безопасно хранить неограниченное количество па­ролей и защищают все ваши пароли для разных учетных записей при помощи одного мас­тер-пароля (в идеале — парольной фразы). Вам будет достаточно запомнить эту единственную фразу (пароль), а остальную работу по созданию и хранению всех прочих паролей возьмет на себя программа.

Менеджеры паролей помогают выбирать надежные пароли. Это крайне важно. Неопытные пользователи часто применяют короткие, простые пароли, которые легко угадать злоумыш­леннику: passwordl, qwerty, 12345, дату рождения, имя друга (супруга), кличку животного и тому подобное. А вот менеджер паролей позволяет созда­вать и использовать случайные пароли без прослеживаемого стиля или структуры. Такой пароль, например: mdD50*df]Q32/dfR4$vH0(s! — невозможно отгадать.

Несмотря на все преимущества, у менеджеров паролей есть один существенный недоста­ток — все пароли хранятся в одном файле или группе файлов, расположенных в одном мес­те диска компьютера. Это очевидная цель для злоумышленников.

Рекомендуется также создавать резервные копии файла (файлов), хранящего пароли. Если этот файл будет утерян из-за сбоя или кражи устройства, восстановить пароли может ока­заться очень сложно, а в некоторых случаях и невозможно. Менеджеры паролей обычно обеспечивают функционал сохранения резервных копий, но вы можете использовать и соб­ственные средства резервного копирования.

При выборе менеджера паролей учитывайте также, что многие популярные программы это­го назначения имеют уязвимости. Поэтому, решая, подходит ли вам тот или иной инстру­

мент, невредно посмотреть имеющиеся о нем в Интернете отзывы и рекомендации специа­листов. Со своей же стороны считаю возможным упомянуть в качестве примера менеджера паролей бесплатную программу KeePassX.

Использование мастер-пароля

Мастер-пароль играет роль кода, открывающего сейф (базу данных паролей), — без него невозможно получить доступ к паролям.

• Мастер-пароль защищает все ваши пароли, поэтому он должен быть надежным!

Надежность мастер-пароля обеспечивается его длиной и сложностью. Создавая мастер- пароль, нет надобности озабочиваться присутствием в нем специальных символов, про­писных букв или цифр, — парольная фраза из шести случайных слов (в нижнем регист­ре с пробелами) может быть более устойчивой ко взлому, чем 12-символьный пароль из смеси прописных и строчных букв, цифр и специальных символов.

• Мастер-пароль необходимо запомнить!

Мастер-пароль обеспечивает доступ ко всем остальным вашим паролям, поэтому нужно запомнить его, не записывая. Это еще один аргумент в пользу метода Рейнхольда, ис­пользующего ряд простых, легко запоминаемых слов вместо неестественных комбина­ций символов, цифр и прописных букв.

Использование файла-ключа

В качестве альтернативы мастер-паролю (парольной фразе) для шифрования базы паролей можно использовать файл-ключ. Тогда каждый раз, когда необходимо открыть базу паро­лей, нужно будет указывать менеджеру паролей путь к файлу-ключу. Этот файл можно хранить на Flash-накопителе или на другом портативном устройстве, подключая его к ком­пьютеру только для доступа к базе паролей. И если злоумышленник получит доступ к жест­кому диску вашего компьютера и, соответственно, к базе паролей, он не сможет расшифро­вать ее, не имея файла-ключа, который хранится у вас на внешнем носителе. Более того, во многих случаях взломщику гораздо сложнее найти файл-ключ, чем подобрать обычный пароль.

Недостаток этого способа в том, что для доступа к паролям всякий раз придется подклю­чать внешний носитель. А в случае утери или повреждения этого носителя вы утратите дос­туп к своим паролям.

Так что, если вы решите использовать файл-ключ вместо мастер-пароля, убедитесь, что ис­пользуемый Flash-накопитель физически надежен (невредно иметь и хранящийся отдельно его дубликат) и хранится в безопасном месте, — если злоумышленник его найдет, то смо­жет получить доступ к вашей базе паролей.

Комбинация мастер-пароля и файла-ключа

Самый безопасный метод шифрования базы паролей— использовать и мастер-пароль, и файл-ключ одновременно. Тогда для вскрытия базы злоумышленнику нужно будет знать мастер-пароль и иметь файл-ключ. К этому варианту шифрования следует подходить с уче­том степени угрозы утечки данных. Большинству обычных пользователей, которые хотят безопасно хранить свои пароли, будет вполне достаточно сложного мастер-пароля. Если же потенциальный злоумышленник обладает огромными вычислительными мощностями, лучше выбирать самое безопасное решение.

Синхронизация паролей между несколькими устройствами

Скорее всего, вы используете для ввода своих логинов и паролей на тех или иных веб­сайтах или в сервисах более чем одно устройство — например, и компьютер, и смартфон, и планшет. Учитывая это, многие менеджеры паролей имеют встроенную функцию синхро­низации файла хранилища паролей между различными устройствами пользователя. И после выполнения такой синхронизации вы можете пользоваться своими паролями на всех своих устройствах. То есть, добавив новую учетную запись в менеджер паролей на компьютере, вы сможете войти в нее и со смартфона, и с планшета. Некоторые менеджеры паролей по­зволяют хранить базу паролей «в облаке» — в зашифрованном виде на удаленном сервере. Менеджеры паролей, которые используют собственные серверы для хранения паролей и обеспечивают синхронизацию данных, удобны, но имеют недостаток — они более уязвимы к атакам, т. к. злоумышленник может взломать их сервер. Если же вы храните пароли толь­ко на своем компьютере, то злоумышленник должен сначала получить доступ к компьютеру и лишь затем к паролям.