Привіт друзі! Сьогодні ми обговоримо таку архіважливу тему, як логіни і паролі. У час тотальної інформатизації у кожного з нас є безліч облікових записів, починаючи від входу в комп'ютер / ноутбук / планшет / телефон, закінчуючи банківськими обліковими записами.
Більшість авторитетних інтернет-компаній і сервісів мають на своїх ресурсах короткі рекомендації по вибору пароля. Але, як правило, вони занадто поверхневі, до того ж, знайти їх можна тільки в розділах типу "FAQ", "Допомога" і т.п. Тобто не безпосередньо в момент реєстрації. Так що, я викладу своє бачення того, як придумати надійний пароль.
По-перше, давайте відразу визначимося, які паролі використовувати МОЖНА (це вже прописні істини):
- паролі, з мінімальною кількістю знаків, і тим більше, без використання спецсимволов. Приклади: 1234, fhj, 8855, 451 326, kdjkdsj - ці та подібні паролі зламуються дуже швидко, особливо ті, які складаються виключно з цифр, навіть якщо їх багато, типу 265489418758. Все це дуже ненадійні паролі. Після прочитання цієї статті, ви зрозумієте чому.
- паролі, що складаються з словникових слів, будь-яких словникових слів, будь-то "апельсин", або "leukocyte" - особливої різниці немає. Це стосується не тільки російськомовних і англомовних слів, але і будь-яких слів на будь-якій мові;
- найвідоміші і примітивні паролі, наприклад, 123456, qwerty, йцукен, 123456qwerty, admin, pass, password і т.д. Як не дивно, але періодичні дослідження в цій області показують, що дуже багато людей використовують саме такі паролі;
- паролі, в яких літери замінені на схожі цифри або символи: O на 0, B на 8, S на 5 (або на знак долара $) та інші. Найяскравіший приклад - pa $$ w0rd
- паролі, що містять хоч якусь інформацію, що відноситься до вашої особистості: дата народження, телефон, останні цифри кредитної картки, улюблені фільми, логіни, прізвиська, прізвища або імена (в т.ч. і далеких родичів) і все в такому дусі.
Це першорядні заборони. Тепер розглянемо основні методи заволодіння чужими паролями. Заодно зрозуміємо, чому не можна використовувати паролі, сформовані вищеназваними способами.
Переважаючі методи крадіжки паролів і облікових даних можна розділити на кілька категорій:
- простий перебір (він же брутфорс). За допомогою спеціальних програм перебираються всі можливі знаки (великі та малі літери, цифри, спецсимволи) в зв'язці "логін - пароль".
У цих програмах (брутфорсер) вказуються необхідні умови для перебору: параметри логіна (якщо він відомий, то задача багаторазово полегшується), тобто, позначається, які знаки використовувати при його переборі, чи використовувати цифри, спеціальні символи (! @ # $ % ^ () _ + ?, і ін.), використовувати тільки малі, тільки великі, або ті та інші літери. Також, можна вказати максимальну кількість знаків (і мінімальне). Аналогічно умови Брута вводяться і для пароля.
Виходячи з усього цього, стає зрозумілим, чому не можна використовувати паролі з першого пункту "забороненого" списку. А що стосується чисто цифрового пароля, без букв і символів, тут пояснення просте. Просто задайте собі питання: скільки може існувати ймовірних комбінацій пароля з 8 знаків, що складається виключно з цифр, і комбінацій пароля з такою самою кількістю знаків, але включає в себе хоча б пару букв? Відповідь очевидна. Сучасні машини, з потужними обчислювальними можливостями, здатні підібрати цифровий пароль, що складається тільки з цифр за лічені хвилини.
Крім того, велике значення має і довжина пароля! На сучасних комп'ютерах простіше підібрати абсолютно не запам'ятовуються 10-значний пароль, який використовує весь діапазон символів, ніж 20-символьний пароль складається з одних букв, але який легший для запам'ятовування. Це може бути, наприклад, комбінація якихось незв'язних між собою слів з навмисним каверканьем / помилками / транслітерацією або взагалі не словникових слів. Погодьтеся, пароль verblud_usaet_153_avtomata_za_noch! ( "верблюд юзает 153 автомата за ніч!") досить легко запам'ятати, і тим не менш він дуже стійкий: в ньому 35 символів, включаючи цифри і спецсимволи. Можна ще додати і заголовних букв =) Такий пароль набагато більш стійкий, ніж не запам'ятовуються абракадабра з 8-10 символів. І використовувати його рекомендується, наприклад, в якості майстер-пароля до менеджера паролів.
- перебір за словниками. У брутфорсер завантажуються словники тієї чи іншої мови. У Росії, це, як правило, англійська і російська мова. Причому, в переважній масі паролів використовуються саме англійські букви і слова (якщо бути точніше, латинські). Кирилиця використовується рідше, в тому числі і тому, що деякі сервіси дозволяють вживати в якості пароля тільки латиницю, цифри і символи. Або, що буває частіше - це спеціальні словники, що складаються з вкрадених звідкись паролів (в таких базах може бути кілька мільйонів паролів, і навіть десятків і сотень мільйонів )
Злом по цій методі реалізується приблизно так: завантажується словник (або словники), спочатку проганяється в брутфорсер так би мовити "на чисту". Якщо результатів немає, то використовується "маска" - тобто крім прямих вказівок програмі використовувати завантажені словники, позначаються також такі критерії, як кількість використаних цифр, символів, і в якому місці вставити (в кінці слова, на початку). Наприклад, пароль типу architect2013 буде підібраний за мінімальну кількість часу. Аналогічно і 2013architect. А ось якщо пароль буде ar2ch0it1ec3t, то його "за словником" буде нереально забрутіть. Взломщику доведеться вдатися до першого способу (прямий перебір).
- соціально-інженерний метод. Соціальна інженерія (в рамках цієї статті буду називати її СІ) в останні роки шалено популярна в середовищі хакерів, кардерів, інтернет-шахраїв, і звичайно ж, в середовищі наших доблесних спецслужб =) А двигуном СІ є соцмережі і масова інтернетизація.
Одним з методів протидії СІ в контексті даної теми, як раз є останній пункт "забороненого" списку. Але СІ, як наука (а я реально вважаю її наукою і мистецтвом) націлена далеко не на пошук паролів. Вірніше, кінцевою метою є, як правило, саме зв'язка "логін - пароль", але видобуваються такі відомості дуже тонко, витончено, і не помітно на перших порах для "жертви". А кінцевим результатом усіх цих маніпуляцій є або крадіжка ваших коштів з банківських рахунків або інтернет-гаманців, або компрометація і подальший шантаж, з метою матеріальної наживи (викуп) або ж з метою змусити вас виконати певні, і, як правило, незаконні дії. Тобто мета - "посадити на гачок".
Можна провести певну аналогію з так званими "циганами", екстрасенсами, сектантами - вас вводять в оману і вибивають необхідну інформацію (або домагаються певних дій від вас), причому головною зброєю для таких особистостей, як в офлайні, так і в онлайні є що? Спробуйте вгадати! =) А відповідь проста, згадайте великі прислів'я і приказки "Язик мій - ворог мій" або "Базіка - знахідка для шпигуна". Вловили суть? І ще часто буває, що ви можете ще не скоро зрозуміти, звідки ж була витік, звідки йде цей вплив, а можете і взагалі не зрозуміти.
Якщо вас зацікавило мистецтво СІ, погуглити це питання і дізнаєтеся багато цікавого.
- програмний метод. Тут з одного боку все просто для розуміння - це трояни, кейлогери, скрипти, шпигуни, руткіти та інші шкідливі об'єкти (для простоти розуміння позначимо їх образно "віруси"). А з іншого боку складно - в плані практичної реалізації захисту від усіх цих інфекцій.
Більшість середньостатистичних користувачів вважають, що встановивши хороший антивірус (нехай навіть найкращий за різними незалежним тестам), вони абсолютно захищені від будь-яких загроз. Як не дивно, але це помилкове уявлення. У даній статті ми це питання розбирати не будемо, тому що до нього ми будемо знову і знову звертатися на сторінках цього блогу - це, як-не-як, одна з основних цілей і напрямів блогу.
- апаратний метод. Цей спосіб реалізується тільки при безпосередньому контакті з "жертвою", і як не дивно, агресором, швидше за все, виступить близький або знайомий вам людина. Метод актуальний, в першу чергу, для настільних комп'ютерів.
Заснований він на тому, щоб "встановити" на комп'ютер, якесь технічне пристосування - апаратний кейлогерам. Як правило, це невеликий "девайс", який засовується в гніздо для клавіатури системного блоку, а в саме це пристосування засовується провід від "клави". Виходить щось на зразок перехідника. І цей "перехідник" записує в себе (по типу звичайної флешки) все натискання по клавішах клавіатури, і ніякої, абсолютно ніякої, антивірус цього чисто фізично помітити не зможе, адже "перехоплювач" апаратний, а не програмний.
До апаратних методів можна віднести і більш витончені варіанти, але це вже ближче до шпиономании і спецслужбам. Незважаючи на це, статті по таким методикам, можливо, будуть опубліковані в подальшому. Так би мовити, для параноїків. Я ось навіть зараз подумав, що може бути таку рубрику створю "Special for Paranoics" =)
Тепер, коли ми знаємо з якого боку може бути здійснена атака і знаємо про те, які паролі вважаються ненадійними, саме час перейти до рекомендацій по вибору пароля і за способами їх зберігання і до загальних правил безпеки.
Для початку, розбийте всі свої паролі на умовні групи, по їх важливості. Наприклад, найважливішими можна назвати паролі від інтернет-банкінгу, електронних гаманців, основних e-mail, серверів, домашніх маршрутизаторів (роутерів, точок доступу), хостингових акаунтів, ну, і, звичайно ж, від ваших сайтів і блогів.
До середньої важливості можна віднести паролі до акаунтів в соцмережах, електронній пошті, але тільки не до тієї, на яку ви реєструвалися в сервісах, про яких написано в групі найважливіших паролів. Тобто якщо до важливих ми відносимо пароль від клієнт-банку, то і пароль для e-mail, який ви вказали при реєстрації в цьому сервісі, також повинен бути дуже складним. Також до цієї групи я відношу пароль адміністратора комп'ютера.
Ну і третя група - найменш важливі сервіси. Як приклад: електронна пошта, яку ви використовуєте для різних підписок, акаунти на сайтах, які не становлять собою нічого цінного (де ви входите, скажімо, тільки для того, щоб залишити коментар) і т.п.
Після того, як паролі розбиті на групи, поговоримо про те, яким повинен бути пароль для кожної з них.
перша група
- рекомендована кількість символів - від 20 до 50. Довше - особливого сенсу немає, але якщо сервіс дозволяє будь-яку довжину пароля і ви - параноїк, то дерзайте =);
- використовувані символи - великі та малі літери, цифри, спецсимволи; бажано при генерації такого пароля використовувати як кириличний алфавіт, так і латиницю, якщо використання кирилиці допускається тим сервісом, в якому ви входите. Багато генератори паролів використовують тільки латиницю, так що, після того, як ви сгенеріруете пассворд, додайте вручну кілька кириличних символів.
- для кожного облікового запису з цієї групи у вас повинен бути окремий і найнадійніший пароль.
друга група
- кількість символів ~ від 15 до 20;
- використовувані символи - аналогічно попередній групі;
- для кожної "учеткі" пароль також повинен бути окремим.
третя група
- допускаються паролі від 8 символів;
- знаки пунктуації та спецсимволи можна не застосовувати;
- пароль можна робити читаним і простим для запам'ятовування;
- допускається використання одного пароля для різних сайтів, щоб не паритися з їх запам'ятовуванням, адже такі акаунти, як ми вже розглянули, не несуть ніякої цінності для вас.
Для третьої групи можете зробити приблизно такий пароль: UsymBada23 * - такий пароль легко запам'ятати, але не так просто зламати, та й навряд чи його хтось буде намагатися зламувати. А запам'ятовується він так: перша частина - це зрозуміло, просто читається і запам'ятовується (типу "у Симбадом"), перша буква заголовна, друга частина (або склад) теж починається з великої. А ось в кінці просто ставите, наприклад, якесь число і один спецсимвол (в даному прикладі виходить: "У Симбадом 23 зірки"). Таких різних варіантів можна придумати безліч.
І в завершальній частині статті обговоримо загальні рекомендації:
- не використовуйте одну і ту ж зв'язку "логін-пароль" для різних сервісів; як логін, так і пас повинні бути унікальними;
- при наборі пароля в особливо важливих сервісах (інтернет-банк), намагайтеся використовувати віртуальну клавіатуру;
- ніколи не зберігайте паролі в звичайному текстовому файлі на комп'ютері, або в файлі Word, навіть якщо він запаролено;
- використовуйте спеціалізований софт - менеджери паролів. Я рекомендую, KeePass і 1Password . KeePass , На мою думку, кращий менеджер паролів;
- не використовуйте в браузерах функцію "Зберегти пароль" або "Запам'ятати мене";
- після того, як ви попрацюєте з будь-яким сервісом ( Поштова служба , Вконтакте і т.д.) перш ніж закрити браузер, скористайтеся функцією "Вийти".
Про зовсім вже загальноприйняті правила, такі як, використання свіжих версій програмного забезпечення, використання антивірусів і антишпигунів з регулярними оновленнями баз, згадувати, я сподіваюся, не варто =)
На завершення статті, пропоную вам невеличкий приємний бонус - хороший онлайн генератор паролів. Основним його перевагою можна вважати можливість використання ентропії при генерації пароля. Це означає, що пароль буде генеруватися не просто випадковим підбором символів, а буде залежати від ваших дій - натискань на клавіатуру і рухів мишкою. Ну і всі функції хорошого генератора присутні, звичайно ж: можна виключити схожі символи (S і 5, O і 0 і т.д.), вказати діапазон символів та ін.
Користуйтеся на здоров'я! Ось посилання: http://genpas.peter.am/
Пишіть коментарі про те, що ви думаєте з приводу цієї статті. Може бути, у вас є якісь свої тонкощі і хитрощі в цьому питанні? Може бути я щось забув додати? Пишіть.
Вловили суть?Може бути, у вас є якісь свої тонкощі і хитрощі в цьому питанні?
Може бути я щось забув додати?