У цій статті мова піде про те, як створити безпечний пароль, яких принципів слід дотримуватися при їх створенні, про те, як зберігати паролі і мінімізувати ймовірність отримання доступу до ваших даних і облікових записів зловмисниками.
Даний матеріал є продовженням статті "Як можуть зламати ваш пароль" і має на увазі, що ви знайомі з матеріалом, викладеним там або й без того знаєте всі основні шляхи, якими паролі можуть бути скомпрометовані.
створення паролів
Сьогодні, при реєстрації будь-якого Інтернет аккаунта, створюючи пароль, ви як правило бачите індикатор надійності пароля. Практично скрізь він працює на підставі оцінки наступних двох факторів: довжини пароля; наявності спеціальних символів, великих літер і цифр в паролі.
Незважаючи на те, що це дійсно важливі параметри стійкості пароля до злому методом перебору, пароль, який здається системі надійним, не завжди таким є. Наприклад, пароль на зразок "Pa $$ w0rd" (а тут є і спеціальні символи, і цифри), найімовірніше, буде зламаний дуже швидко - в зв'язку з тим, що (як було описано в попередній статті) люди рідко створюють унікальні паролі (менше 50%паролів унікальні) і зазначений варіант з великою ймовірністю вже є в утекших базах, наявних у зловмисників.
Як бути? Оптимальний варіант - використовувати генератори паролів (є в Інтернеті у вигляді онлайн утиліт, а також в більшості менеджерів паролів для комп'ютера), створюючи довгі випадкові паролі з використанням спеціальних символів. У більшості випадків, пароль з 10 і більше таких символів просто не буде представляти інтерес для зломщика (тобто його софт не буде налаштований на підбір таких варіантів) у зв'язку з тим, що витрати часу не окупляться. Нещодавно вбудований генератор паролів з'явився в браузері Google Chrome.
У зазначеному способі головним недоліком є те, що такі паролі складно запам'ятати. Якщо існує необхідність тримати пароль в голові, є ще один варіант, заснований на тому факті, що пароль з 10 символів, що містить заголовні букви і спеціальні символи, зламуються методом перебору в тисячі і більше (конкретні числа залежать від допустимого набору символів) раз простіше, ніж пароль з 20 символів, що містить тільки рядкові латинські символи (навіть якщо зломщик знає про це).
Таким чином, пароль, що складається з 3-5 простих випадкових англійських слів буде легко запам'ятати і майже неможливо зламати. А написавши кожне слово з великої літери, ми зводимо кількість варіантів в другу ступінь. Якщо ж це будуть 3-5 російських слів (знову ж випадкових, а не імена і дати), написаних в англійській розкладці, прибирається також гіпотетична можливість витончених методів використання словників для підбору пароля.
Однозначно правильного підходу до створення паролів, мабуть, немає: в різних способах є переваги і недоліки (пов'язані з можливістю запам'ятати його, надійністю і іншими параметрами), проте основні принципи виглядають наступним чином:
- Пароль повинен складатися з значної кількості символів. Найбільш часто зустрічається обмеження сьогодні - 8 символів. І цього мало, якщо вам потрібно захищений пароль.
- По можливості, слід включити в пароль спеціальні символи, великі та малі літери, цифри.
- Жодному разі не вмикайте в пароль особисті дані, навіть записані удаваними вам "хитрими" способами. Ніяких дат, імен і прізвищ. Наприклад, злом пароля представляє собою будь-яку дату сучасного юліанського календаря з 0-го року і по сьогоднішній день (виду 18.07.2015 або 18072015 і т.п.) займе від секунд до годин (і то,годинник вийдуть тільки через затримки між спробами для деяких випадків).
Ви можете перевірити, наскільки надійний ваш пароль на сайті (хоча введення паролів на якихось сайтах, особливо без https - не сама безпечна практика) http://rumkin.com/tools/password/passchk.php. Якщо не хочете перевіряти свій справжній пароль, введіть подібний (з того ж числа символів і з тим же їх набором), щоб отримати уявлення про його надійності.
По ходу введення символів, сервіс обчислює ентропію (умовно, кількість варіантів, для ентропії в 10 біт, кількість варіантів дорівнює 2 в десятій ступені) для заданого пароля і призводить довідку по надійності різних значень. Паролі з ентропією більше 60 майже неможливо зламати навіть під час цілеспрямованого підбору.
Не використовуйте однакові паролі для різних облікових записів
Якщо у вас відмінний складний пароль, але ви його використовуєте всюди, де тільки можна, він автоматично стає зовсім надійним. Як тільки хакери зламають будь-який з сайтів, де ви використовуєте такий пароль і отримають доступ до нього, будьте впевнені, він тут же буде випробуваний (автоматично, за допомогою спеціального ПО) на всіх інших популярних поштових, ігрових, соціальних сервісах, а може і в онлайн-банках (Способи подивитися, утік чи вже ваш пароль наведені в кінці попередньої статті).
Унікальний пароль для кожного облікового запису - це складно, це незручно, але обов'язково потрібно, якщо ці акаунти представляють хоч якусь важливість для вас. Хоча, для якихось реєстрацій, які не мають ніякої цінності для вас (тобто ви готові їх втратити і не станете переживати) і не містять особистої інформації, можна і не напружуватися з унікальними паролями.
двухфакторная аутентифікація
Навіть надійні паролі не гарантують того, що в ваш аккаунт ніхто не зможе зайти. Пароль можна тим або іншим способом вкрасти (фішинг, наприклад, як найбільш частий варіант) або дізнатись у вас.
Майже всі серйозні онлайн компанії включаючи Google, Яндекс, Mail.ru, Facebook, Вконтакте, Microsoft, Dropbox, LastPass, Steam і інші з порівняно недавнього часу додали можливість включення двухфакторной (або двоетапної) аутентифікації в облікових записах. І, якщо вам важлива безпека, настійно рекомендую його ввімкнути.
Реалізація роботи двофакторної аутентифікації незначно відрізняється для різних сервісів, але основний принцип виглядає наступним чином:
- При вході в аккаунт з невідомого пристрою, після введення правильного пароля вас просять пройти додаткову перевірку.
- Перевірка відбувається за допомогою коду по смс, спеціального додатка на смартфоні, за допомогою заздалегідь підготовлених роздрукованих кодів, повідомлення E-mail, апаратного ключа (останній варіант з'явився у Google, ця компанія взагалі передовик в тому, що стосується двофакторної аутентифікації).
Таким чином, навіть якщо зловмисник дізнався ваш пароль, він не зможе зайти до вашого профілю, не маючи доступу до ваших пристроїв, телефоном, електронною поштою.
Якщо вам не до кінця зрозуміло, як працює двухфакторная аутентифікація, рекомендую почитати статті в Інтернеті, присвячені цій темі або опису і керівництва до дії на самих сайтах, де вона реалізована (просто докладну інструкцію в цю статтю мені включити не вдасться).
зберігання паролів
Складні унікальні паролі для кожного сайту - відмінно, але як їх зберігати? Навряд чи всі ці паролі вдасться тримати в голові. Зберігання збережених паролів в браузері - ризикована затія: вони не тільки стають більш уразливими для несанкціонованого доступу, а й просто можуть загубитися в разі збоїв системи і при відключеною синхронізації.
Оптимальним рішенням вважаються менеджери паролів,в загальних рисах що представляють собою програми, які зберігають всі ваші секретні дані в зашифрованому захищеному сховище (як оффлайн, так і онлайн), доступ до якого здійснюється з використанням одного майстер-пароля (додатково можна включити двухфакторную аутентифікацію). Також більшість таких програм оснащено інструментами генерації та оцінки надійності паролів.
Пару років тому я писав окрему статтю про Кращі менеджери паролів (її варто переписати, але отримати уявлення про те, що це таке і які програми користуються популярністю зі статті можна). Деякі віддають перевагу простим оффлайн рішення, на зразок KeePass або 1Password, що зберігають всі паролі на вашому пристрої, інші - більш функціональні утиліти, що представляють також можливості синхронізації (LastPass, Dashlane).
Відомі менеджери паролів в цілому розглядаються як дуже безпечний і надійний спосіб їх зберігання. Однак, варто враховувати і деякі деталі:
- Для доступу до всіх ваших паролів потрібно знати всього лише один майстер-пароль.
- У разі злому онлайн сховища (буквально місяць назад зламали найпопулярніший в світі сервіс управління паролями LastPass) вам доведеться міняти всі ваші паролі.
Як ще можна зберегти свої важливі паролі? Ось пара варіантів:
- На папері в сейфі, доступ до якого будете мати ви і члени вашої родини (не підходить для паролів, які потрібно часто використовувати).
- Офлайн база даних паролів (наприклад, KeePass), збережена на довговічному накопичувачі інформації та продубльована де-небудь на випадок втрати.
Оптимальним на мій погляд поєднанням всього вищеописаного є наступних підхід: найважливіші паролі (основний E-mail, за допомогою якого можна відновити інші акаунти, банк і т.п.) зберігаються в голові і (або) на папері в надійному місці. Менш важливі і, одночасно, часто використовувані слід доручити програмами - менеджерам паролів.
додаткова інформація
Сподіваюся, поєднання двох статей на тему паролів комусь із вас допомогло звернути увагу на деякі аспекти безпеки, про які ви не замислювалися. Звичайно, всі можливі варіанти я не врахував, але проста логіка і деяке розуміння принципів, допоможе самостійно вирішити, наскільки безпечно те, що ви робите в конкретний момент. Ще раз, деякі згадувані і кілька додаткових пунктів:
- Використовуйте різні паролі для різних сайтів.
- Паролі повинні бути складними, найсильніше збільшити складність ви можете, збільшивши довжину пароля.
- Не використовуйте особистих даних (які можна дізнатися) при створенні самого пароля, підказок до нього, контрольних питань для відновлення.
- Використовуйте двоетапну аутентифікацію там, де це можливо.
- Знайдіть оптимальний для себе спосіб безпечного зберігання паролів.
- Бійтеся фішингу (перевіряйте адреси сайтів, наявність шифрування) і шпигунських програм. Скрізь, де просять ввести пароль, перевіряйте, чи дійсно ви його вводите саме на потрібному сайті. Слідкуйте, щоб на комп'ютері не було шкідливого ПЗ.
- По можливості, не використовуйте ваші паролі на чужих комп'ютерах (якщо це необхідно, робіть це в "режимі інкогніто" браузера, а ще краще набирайте з екранної клавіатури), в публічних відкритих Wi-Fi мережах, особливо при відсутності шифрування https при з'єднанні з сайтом .
- Можливо, не варто зберігати найважливіші, дійсно представляють життєву цінність, паролі на комп'ютері або онлайн.
Якось так. Думаю, підняти градус параної мені вдалося. Я розумію, що багато з описаного здається незручним, можуть виникати думки на зразок "ну вже мене-то це обійде стороною", але єдиним виправданням ліні при дотриманні простих правилбезпеки при зберіганні конфіденційної інформації може бути тільки відсутність її важливості та ваша готовність до того, що вона стане надбанням третіх осіб.