Статьи
Як придумати безпечний пароль, який легко запам'ятати
нещодавно ми писали про те, чому навіть не дуже кваліфіковані зловмисники з легкістю зламують паролі більшості відвідувачів різних інтернет-сайтів. Виникає закономірне питання: а чи можна придумати такий пароль, який, з одного боку, був би досить стійким до злому, а з іншого - легко запам'ятовується.
Перш за все варто пам'ятати про те, що зламати (підібрати, вгадати) можна абсолютно будь-який пароль. Питання лише в ресурсах - обчислювальних і временн и х. Тому стійкість пароля має сенс оцінювати з точки зору виправданості витрат на його злом: якщо протягом деякого часу він не піддається розкриттю за допомогою доступних ресурсів, то його можна вважати безпечним.
Для різних категорій користувачів застосовуються принципово різні критерії. Для злому пароля аккаунта простий школярки в соціальній мережі ніхто не буде задіяти стільки ж ресурсів, скільки для розкриття облікового запису керівника великої фірми або (тим більше) для доступу до якихось особливо захищеним державним і оборонним мережам. Пароль, який в першому випадку можна вважати практично абсолютно безпечним, в двох інших може бути абсолютно вразливим. При цьому наша абстрактна школярка, зрозуміло, ніколи не буде використовувати генератор випадкових паролів промислового класу і міняти пароль щоразу після його введення.
Поговоримо про якийсь «середньостатистичному» випадку - тобто про призначених для користувача паролі для інтернет-сервісів, які, залишаючись досить стійкими для таких застосувань, не змусять людину вести спосіб життя клінічного параноїка.
Довжина - це головне
На відміну від багатьох інших випадків, для пароля довжина - це головне. Паролі завдовжки до шести символів включно, складені з 95 ASCII-символів (26 букв латинського алфавіту в обох регістрах, 10 цифр і 33 службових символів), зламуються методом повного перебору ( «грубої сили») на звичайному персональному комп'ютері за допомогою «чіслодробілкі» сучасної відеокарти буквально за лічені хвилини. Але додавання навіть одного-двох символів вже серйозно ускладнює завдання, подовжуючи час перебору до декількох днів і навіть місяців.
Однак довжина - нехай і головний, але далеко не єдиний критерій оцінки стійкості пароля. Принципове значення має відсутність якогось передбачуваного шаблону в самому наборі і невипадковість в послідовності символів пароля. Міра непередбачуваності появи таких символів носить назву «інформаційної ентропії», і ця величина, що розраховується в бітах ентропії, дозволяє зі значним ступенем точності оцінити складність пароля. Так, ентропія на один символ для пароля з усіх ASCII-символів складе близько 6,56 біт; таким чином, складність 6-символьного пароля буде складати 39,36 біта ентропії, 7-символьного - вже 45,95 біт, а 8-символьного - 52,48 біт.
Щоб зламати пароль 52-бітної складності методом перебору, потрібно кількість спроб, що дорівнює 2 в 52-й ступеня. При використанні пари сучасних відеокарт класу GeForce GTX 570, здатних підбирати по 1,5 мільярда паролів в секунду, перебір всіх можливих комбінацій займе приблизно пару місяців безперервної роботи, що, загалом, і дає уявлення про стійкість такого пароля.
Однак це стосується виключно паролів, що не містять якихось передбачуваних шаблонів, тобто згенерованих машинно, з теоретично максимальною ентропією. Для поведінки самої людини типова передбачуваність, тому при складанні пароля він підсвідомо буде використовувати якісь знайомі поєднання і комбінації цифр, символів і букв. Мимоволі пригадуються пам'ятні дати, дні народження, імена дорогих людей, назви знайомих місць і предметів.
На ділі це означає значно б о більшу вразливість, оскільки метод «грубого підбору» завжди застосовується в комбінації з іншими способами злому, зокрема зі словниковим підбором. При цьому використання відомих масок і шаблонів значно спрощує завдання. Крім звичайних словників і словників реальних користувальницьких паролів, «утёкшіх» зі зламаних сайтів, широко відомі маски на підстановку окремих букв або додавання чисел, популярні числові послідовності - шаблони дат, телефонів, індексів, номерів соціального страхування, а також багато інших прийоми, марно здаються їх авторам надзвичайно оригінальними.
За оцінками Національного інституту стандартів і технологій США (NIST), ентропія першого символу з букв нижнього регістру і цифр в паролі, придуманих людиною, становить 4 біта, наступних семи - 2 біти, а застосування верхнього регістру і службових символів додає ще 6 бітів, що в сумі дає всього 24 біта, тобто в два з гаком рази менше в порівнянні з теоретичним максимумом для заданого набору символів і довжини. Тобто час підбору такого пароля навіть методом «грубої сили» зменшується вдвічі, в реальності ж «гібридна» атака дозволить зловмисникові домогтися успіху набагато швидше.
І тут ми знову повертаємося до довжини: складність пароля довжиною 14 символів теоретично складе 91,84 біта, а довжиною 20 символів - вже 131,2 біта, і на злом таких паролів тільки методом перебору при існуючих обчислювальних потужностях піде кілька десятків, а то і сотень років. Гібридні методики, зрозуміло, значно знижують стійкість подібних кодів, а «людський фактор» робить їх ще вразливішою. Проте довжина робить свою справу: для звичайного користувача пароля, навіть якщо в ньому є не дуже явні шаблони, рекомендована кількість символів на сьогодні має бути не менше 14. Такий пароль буде набагато безпечніше, ніж «суперстійкі» колись паролі з 6 -8 символів.
Не будьте передбачувані
Після міркувань про передбачуваності як властивості людської натури така порада може прозвучати дивно, і тим не менш. Для складання досить безпечного пароля зовсім не обов'язково встановлювати генератори і намагатися потім запам'ятати абракадабру. Можна просто спробувати стати трохи більш «раптовими».
Серед самих банальних рекомендацій - не використовуйте псевдопаролі і комбінації псевдопаролей начебто QWERTY, 123456 і тому подібних. Навіть якщо частина такої послідовності буде присутній у вашому паролі, це кардинально знизить його безпеку. Неприпустима повторюваність окремих символів і їх поєднань: як цифр, так і чисел, як букв, так і слів.
Найгірше, що можна придумати, - це вводити в якості паролів російські слова в латинській розкладці. Якщо навіть горезвісний Punto Switcher здатний в реальному часі перемикати розкладку, то дивно очікувати відсутності такої можливості у спеціалізованого ПЗ.
Не використовуйте передбачувані числа - дати, номера телефонів і індекси, номери соцстраховок і автомобілів. Оскільки професійні зломщики все-таки частково математики, не варто застосовувати в паролі і якісь добре відомі константи - наприклад, число «пі». Числові послідовності (наприклад, числа Фібоначчі) теж навряд чи стануть хорошою ідеєю.
Підстановка «схожих» символів в словникові слова не дасть ніякого ефекту, оскільки всі зломщики давно в курсі, що «@» може замінювати «a», а «5» - «s». Набагато більш ефективний варіант - спаплюжити відомі слова якимось тільки одному вам зрозумілим способом. Наприклад, перетворити «password» в «p & sUprtDt» - типовий шаблон тут відсутня, тому словниковий підбір нічого не дасть, а якщо пароль буде досить довгим, то і метод «грубої сили» виявиться малоефективним.
Загалом, проявіть творчий підхід, і у вас все вийде. Оцінити результати своїх зусиль можна, наприклад, на сайті GRC.com , Який, на відміну від пародійного интеловского «Калькулятора» дає реальне уявлення про стійкість пароля. Зрозуміло, оцінивши, доведеться придумувати новий пароль - якщо ви дійсно пече про безпеку.
Стьопка, хочеш щец?
Навіть якщо ви придумали відмінні паролі (а вони - в цілях вашої ж безпеки - повинні бути індивідуальні абсолютно для кожного інтернет-сервісу), виникає проблема, як же їх все запам'ятати. Звичайно, можна скористатися вбудованою в будь-який браузер функцією запам'ятовування паролів, але якщо зловмисник якимось чином отримає доступ до вашого комп'ютера, це буде означати, що він зможе залізти не тільки на вашу сторінку в соцмережі, а й, наприклад, в ваш інтернет- банкінг.
Деякі люди мають фотографічною пам'яттю на символи, і для них не складає труднощів запам'ятати навіть найбезглуздішу абракадабру. Іншим же доводиться користуватися іншим способом, який описаний в заголовку цієї частини статті. Автор зовсім не зійшов з розуму, просто в цьому заголовку приведена частина мнемонічного правила для запам'ятовування глухих приголосних в російській мові: «Стьопка, хочеш щец? - Фе! »Мнемотехника полегшує запам'ятовування будь-якої інформації за допомогою асоціативних зв'язків, підміняючи абстрактні дані яскравими образами.
Навіть найскладніший пароль можна запам'ятати, використовуючи мнемотехнику, особливо якусь близьку вам тематику. Наприклад, «AsTKp2eshe :)»: «Аркадій з'їв велику тарілку каші, попросив дві ще, посміхнувся» і т. П. Фрази не обов'язково повинні бути осмисленими: навпаки, чим вони абсурдніше, тим легше запам'ятовуються. Технік запам'ятовування сила-силенна, і якщо ви освоїте хоча б деякі з них, вони стануть в нагоді вам не тільки для паролів. І повторимо, що це відмінний спосіб запам'ятати безліч складних паролів.
* * *
Паролі - лише один із засобів захисту інформації, нехай і з числа найпоширеніших. Але навіть з хорошими паролями потрібно вміти правильно звертатися. Серед головних правил «пральний гігієни» - не використовувати однакові паролі на різних ресурсах і регулярно їх міняти. Для інтернет-сервісів досить проводити таку заміну раз в два-три місяці, якщо не брати до уваги екстрених ситуацій з втратою комп'ютера, його зломом або зломом веб-аккаунта.
Не вводьте свої паролі на чужих комп'ютерах, особливо тих, до яких має доступ великий або необмежене коло людей. Навіть якщо підступні зловмисники не встановили там кейлоггери, що запам'ятовують всі натискання клавіш, в настройках системи, браузера або ПО може бути за замовчуванням передбачено запам'ятовування всіх впроваджуються паролів, неочевидне для користувача. Якщо ж вам все-таки довелося скористатися таким комп'ютером, поспішіть замінити пароль з безпечної машини.
Нарешті, ніколи і нікому не надсилайте свої паролі ні електронною поштою, ні через служби миттєвих повідомлень: ніякої інтернет-сервіс ніколи не зажадає від вас надіслати ваш же пароль. Якщо знадобилося переслати пароль знайомим, Надикто його голосом по телефону або надішліть фотографію з мобільного. І знову - в цілях безпеки - при можливості відразу ж поміняйте такий пароль на новий.
Стьопка, хочеш щец?