В продолжение темы начатой в заметке На сколько мы уязвимы или Как обезопасить свой пароль опубликованной в разделе “Защити себя” продолжу разговор о надёжном пароле. Пароль нам необходим везде – от регистрации на различных сайтах, при доступе к почтовым ящикам, при создании аккаунтов (страниц с личными данными и настройками) в платежных системах, а также при выполнении платежей в электронном виде.
И если при одноразовой регистрации на каком-либо случайном сайте (например, только лишь для скачивания игры) можно не задумываясь указать любой пароль (даже «123456»), то при создании постоянного аккаунта на важном сайте (тем более, если это связано с денежными операциями) пароль должен быть в достаточной степени надёжным.
Попробуем разобраться, что такое надёжный пароль, а также ещё раз обсудим основные правила создания и хранения паролей.
А как вообще могут взломать наш пароль?
И почему пароль не может быть любым? Ведь, казалось бы, как можно угадать пароль, который придуман лично мной?Как ни странно = всё довольно просто! В большинстве случаев никто ничего не угадывает! Самый популярный способ взлома – это обычный перебор всех возможных вариантов – так называемый способ «грубой силы» или брутфорс (англ. brute force).
Стандартные пароли как мы уже говорили(«123456», «111111», «789456», «qwerty», «фывапр», «йцукен» и т.п.) проверяются в первую очередь, а потом идет элементарная подстановка всех символов.
Естественно перебор делается не вручную, а с использованием специальных программ, которые способны в короткие сроки перебирать огромное количество различных комбинаций.
В качестве примера:
Пароль «09071985» (дата рождения) будет подобран за 1-2 секунды;
Пароль «андрей» будет подобран за 4 секунды
Пароль «Андрей» будет подобран за 3-4 минуты;
Пароль «1n2f4g8y0» будет подобран за 4 дня;
Пароль «EC3+gHFBI» будет подбираться 12 лет;
А пароль «kKC%5426hMIN» будет подбираться несколько миллионов лет.
Выводы из вышеизложенного:
Вывод 1. Пароль не в коем случае не должен быть коротким.Иметь пароль менее 8 символов вообще нежелательно, а ещё лучше, чтобы пароль содержал 10-12 символов или больше.
Вывод 2. Пароль не должен содержать только цифры или только буквы (особенно повторяющиеся). Лучше всего, когда буквы и цифры чередуются, а ещё лучше, если в пароль добавляются специальные символы или знаки препинания.
Вывод 3. Желательно использовать в одном пароле символы в верхнем и в нижнем регистре (и большие и маленькие). И делается это с помощью клавиши Shift.
Рассуждаем дальше…
Ещё один способ взлома пароля – это анализ данных о человеке. Зная сведения о человеке, легче подобрать его пароль. Вся информация о человеке собирается (то ли вручную, то ли с помощью специальных программ), а после проверяется в различных комбинациях.
Например, длинный пароль «андрейкурганов» будет перебираться брутфорсом примерно 150 тысяч лет, но если злоумышленник знает, с чьим паролем имеет дело, то такой пароль будет проверен в числе первых. И какой тогда толк от такого пароля?
Кроме того, таким способом злоумышленники могут подбирать не сам пароль, а «секретный вопрос», который часто используется для восстановления пароля. Зачастую злоумышленнику проще нажать на кнопку «Забыли пароль?», а потом уже подобрать секретный вопрос, исходя из имеющихся данных о человеке, и получить заветный пароль.
А где проще всего узнать данные о человеке?
Конечно в «социалках». Очень просто зайти на сайт «Одноклассники» или «ВКонтакте» и узнать о человеке его имя, фамилию, год рождения, имена детей, жены/мужа или домашних животных. Узнать можно быстро и практически всё, вплоть до любимой музыкальной группы, цвета или же любимых фраз и высказываний. И если Саша Петров для входа в свой аккаунт «Одноклассники» используется пароль «SashaPetrov», то это как минимум верх беспечности. А потом мы удивляемся, что друзья получают от нашего имени сообщения с просьбами пополнить счет неизвестного телефона или одолжить деньги (например, переводом на указанную карточку).Здесь можно сделать следующие выводы:
Вывод 4. Не используйте пароль, который содержит любые данные о вас или вашей семье -всевозможные памятные даты (рождения, свадьбы и пр.), имена и фамилии родственников, номера квартир, документов или телефонов. Недопустимо также использование любых комбинаций, составленных из личных данных.Вывод 5. Лучше отказаться от пароля, который представляет собой любое существующее словарное слово (на любом языке), однако это не значит что пароль должен быть бессмысленным (но логика должна быть специфической), хотя и такой вариант возможен.
Вывод 6. Не использовать «секретные вопросы», ответы на которые можно легко узнать или подобрать.
Хранение паролей и их количество.
Предположим, вы создали надёжный пароль и даже запомнили его. Запомнить второй пароль такой же сложности будет уже сложнее, третий ещё сложнее… Именно по этой причине многие пользователи при регистрации на различных сайтах используют один и тот же пароль, либо пытаются существующий пароль модернизировать по типу: «parol1», «parol2», «parol3» либо «parolMail», «parolSkype» ну и т.д. И хоть использование такого пароля удобно, но не практично, так как у злоумышленника как правило есть “голова на плечах” и он ее использует и при взломе такого пароля он сразу же получит доступ ко всем нашим аккаунтам.Конечно же, запомнить несколько паролей состоящих из случайного набора символов невозможно, поэтому надо каким-то образом записывать и хранить пароли, но нужно иметь в виду, что глупо создав надёжный пароль, потом записать его на стикер и приклеить к краю монитора. А ведь многие делают именно так, и что самое интересное делают это не дома, а в офисах. Примерно тот же смысл получится, если положить у всех на виду блокнот, на обложке которого большими и жирными буквами написано «МОИ ПАРОЛИ» или же на Рабочем столе Windows разместить текстовый файл с таким же названием.
Продолжим наши выводы:
Вывод 7. Желательно использовать уникальный пароль для каждого отдельного Интернет сервиса, форума, сайта, ресурса.Вывод 8. Не держать пароли у всех на виду.
Вывод 9. Не храните пароли в Интернете или на компьютере в виде текстового файла.
Если злоумышленник получит доступ к нашему компьютеру (это не так сложно, как может показаться), то найти файл с паролями для него будет ещё проще (при чем в любом месте на жестком диске).
И на последок несколько советов:
Совет 1. Если для хранения паролей вы используете специальные программные средства, то не забывайте периодически делать резервные копии баз данных с паролями. Если же вы храните пароли на листке бумаги, то сделайте вторую копию такого листа (или блокнота) и храните оригинал и дубликат в разных (укромных) местах.Совет 2. Не вводите пароли в посторонних программах, на посторонних сайтах, а также не отсылайте пароли по почте (даже по запросу от службы поддержки или администрации сайта). Администрация НАСТОЯЩЕГО серьезного сайта никогда не потребует пароль, поэтому если вы получили подобный запрос, то это скорее всего работа мошенников.
Совет 3. Постарайтесь как можно реже вводить пароли с использованием чужих компьютеров, а особенно в общественных местах (интернет-кафе, терминалах и т.п.). Крайне не желательно на чужом компьютере вводить пароли для входа в аккаунт платежных систем или использовать интернет-банкинг, т.к. вполне возможно, что на этом компьютере в данный момент времени используется устройство или программа для запоминания последовательности нажатий клавиш (так называемые “клавиатурные шпионы”).
Совет 4. Периодически меняйте пароли (особенно если пользовались паролем за чужим компьютером). Чем надежнее пароль, тем дольше можно его использовать. Надёжный пароль из 12-14 символов, составленный с учетом описанных выше рекомендаций можно не менять несколько лет.
Удачи!
Комментариев нет:
Отправить комментарий