Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.
К сожалению, большинство пользователей продолжают использовать простые ненадежные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.
Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:
К сожалению, большинство пользователей продолжают использовать простые ненадежные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.
Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:
•Случайные, при которых пароль пытается узнать знакомый вам человек,
опираясь на собственные знания о вас. Зачастую такой злоумышленник хочет
лишь подшутить, узнать что-то о вас либо банально подгадить.
•Массированные атаки, когда жертвой может стать абсолютно любой
пользователь тех или иных сервисов. В данном случае обязательно
использование специализированного ПО. Для атаки выбираются наименее
защищенные сайты, позволяющие многократно вводить варианты пароля за
короткий промежуток времени.
•Целенаправленные, сочетающие в себе получение наводящих подсказок
(как в первом случае) и специализированное ПО (как при массовой атаке). В
данном случае имеет место быть попытка заполучить действительно ценную
информацию, и защититься здесь поможет только достаточно длинный
случайный пароль, на подбор которого уйдет время, сравнимое с
длительностью вашей жизни.
Как видите, жертвой может стать
абсолютно любой человек. Слова в стиле «мой пароль не будут красть,
потому что я никому я нужен», не работают, потому что вы можете попасть в
подобную ситуацию совершенно случайно, по стечению обстоятельств, без
каких-либо видимых причин. Просто не повезло.
Еще серьезнее стоит
относиться к защите паролей тем, кто связан с бизнесом, находится в
конфликте на финансовой почве с другим человеком либо обладает ценной
информацией. Раздел имущества в процессе развода, конкуренты по бизнесу и
так далее.
Однажды Twitter (в понимании всего сервиса) был
взломан лишь потому, что администратор использовал в качестве пароля
слово happiness. В 2009 году хакер, подобрав пароль администратора к
Twitter, разместил его на сайте Digital Gangster, что привело к угону
аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.
Акронимы
Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надежные комбинации, которые можно без проблем запомнить? На данный момент наилучшим способом является конвертация фразы или выражения в пароль.
Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.
Идеальная схема составления паролей будет работать даже в том случае, если все начнут ей пользоваться. Поскольку в качестве изначальных фраз будут использоваться самые знаменитые, программы со временем получат эти акронимы в свои списки. По факту, акроним содержит только буквы, а потому объективно менее надежен, чем случайная комбинация символов.
Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и фразы, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте ее.
Вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определенных букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.
Обратный способ
Выходом может стать обратный способ генерации. Вы создаете в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.
Обычно сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит к ним чуть приглядеться, как становится очевидно: пароль помнить и не нужно. Для примера возьмем очередной вариант с random.org — RPM8t4ka.
Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые 3 буквы в нем заглавные, а следующие 3 — прописные. 8 — это дважды (от английского t — twice) 4. Посмотрите немного на этот пароль, и вы обязательно найдете собственные ассоциации с этим набором букв и цифр.
Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.
Преимущество обратного способа в том, что случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком. Минус акронимов в том, что со временем распространение такой методики снизит ее эффективность, а обратный метод останется столь же надежным, даже если все люди Земли будут использовать его тысячу лет.
Случайный пароль не попадет в список популярных комбинаций, а злоумышленник, использующий метод массированной атаки, подберет такой пароль только брутфорсом.
Берем несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62^8=218 триллионов вариантов.
Даже при отсутствии лимитов на попытки в течение определенного временного промежутка самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор такого пароля. Для уверенности добавляем в такой пароль всего 1 дополнительный символ, и на его взлом понадобятся уже многие годы.
Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом. Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.
Единая надежная основа
Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надежности и удобства, хорошо покажет себя «философия одного надежного пароля».
Принцип заключается в том, что вы используете одну и ту же основу — супер надежный пароль (его вариации) на самых важных для вас сервисах и сайтах. Запомнить одну длинную и сложную комбинацию по силам каждому.
Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищен. Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечет каких-то фатальных последствий.
Понятно, что надежную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало основы одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka. Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.
Секретный вопрос
Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.
В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент еще и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?». Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.
Вы уже догадались о сути. Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные. Вопрос даже не в том, что эту информацию можно аккуратно выудить в Интернете или у приближенных персоны. Вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.
В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991. Впрочем, подобный прием, если найдет широкое распространение, будет учтен в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.
На самом деле, нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос и ответ на него известен только вам и не угадывается с трех попыток, то все в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.
PIN
Personal Identification Number (PIN) — дешевый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надежную комбинацию хотя бы из этих 4 цифр.
А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?
По оценкам Ника Берри, 11% населения США используют в качестве PIN-кода (там, где есть возможность самому изменить код) комбинацию 1234. Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленький размер кода).
Берри взял списки появлявшихся после утечек в Сети паролей, представляющие собой комбинации из 4 цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так.
Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).
Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. 3 попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шанс угадать PIN, если он последовательно введет 1234, 1111 и 0000. Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами. Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.
Часто PIN представляет собой какой-то год (год рождения или историческая дата).
Многие любят делать PIN в виде повторяющихся пар цифр (причем особо популярны пары, где первая цифра и вторая отличаются на единицу).
Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для ее набора достаточно сделать прямой проход сверху вниз по центру.
В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.
Итого
1.Зайдите на random.org и создайте там 5-10 паролей-кандидатов.
2.Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
3.Используйте эту фразу для того, чтобы вспомнить пароль.
2.Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
3.Используйте эту фразу для того, чтобы вспомнить пароль.
