Безопасность паролей

Учетные записи на различных сервисах – важнейшая часть наших данных. Почта, социальные сети, форумы, личные кабинеты на разных сайтах — всё это вы защищаете паролем. Очень важно, чтобы пароль был надёжным,как замок на двери в квартиру.

Вопрос выбора пароля зачастую ставит пользователя в тупик, иногда вызывает раздражение слишком серьезными требованиями и редко, когда заставляет человека серьезно подойти к этому процессу. Зачастую срабатывает типичная логика неуловимого Джо «кому я нужен, никто не станет меня ломать», главное самому не забыть.

Как же найти компромисс между надежным паролем, отвечающим требованием безопасности, и паролем, который легко запомнить?

Это может показаться смешным, но известный американский криптограф Брюс Шнайер, основатель криптографической компании Counterpane Internet Security, Inc предлагал записывать пароли на бумажке и хранить в кошельке вместе с банковскими карточками.

This is good advice, and I've been saying it for years.

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down We’re all good at securing small pieces of paper I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper, in their wallet.

К вопросу выбора пароля нужно подходить со всей серьезностью. Ниже приведены рекомендации по составлению безопасного пароля.:

Главные признаки хорошего пароля:

Длинный

не короче 8 символов, а лучше больше;

Небанальный

в нем не должно быть всем известных данных, например, Ваших: имени, фамилии, года рождения, адреса;

Разнообразный

хорошо, если в пароле есть и большие, и маленькие буквы, а также цифры и спецсимволы — *%! и другие.

Например, подбор пароля Lev!Tolstоj1828, при использовании алгоритма полного перебора, займет 42 квадриллиона лет. Полученная цифра очень условна, т.к. зависит от многих факторов, таких как мощность используемого оборудования, количества компьютеров, участвующих в переборе, технология получения комбинаций и т.д. Например, в данном расчете используется скорость перебора 300.000.000 паролей в секунду. При использовании скорости 4.000.000.000 паролей в секунду, время подбора пароля составит 28 миллиардов лет.

Любимые пароли

Еще одним важным вопросом, касающимся надежностей паролей, является вопрос «любимых паролей». Большинство из нас используют одинаковые пароли для разных сервисов, не задумываясь о последствиях такого выбора. Давайте представим следующую ситуацию: наши учетные данные оказались среди 4.5 миллионов данных пользователей mail.ru, выложенных в сеть 10 сентября. Любой пользователь интернета, мог зайти по этому паролю в наш почтовый ящик, щелкнуть на письмо со следующим содержанием «Вам поступила новая заявка на добавление в друзья, перейдите по ссылке», и перейти на нашу страницу в социальной сети. Для того, чтобы попасть в нее осталось ввести только адрес почты и пароль. Пользователь вводит уже известную комбинацию и попадает на нашу страницу. Таким образом, любой человек может пройтись не только по социальным сетям, а, например, зайти в дневник от лица учителя, если мы таким являемся, попасть в систему интернет платежей и т.д.

Пароли от разных сервисов должны быть разными. Конечно, так запоминать придётся больше, но зато, если один из ваших паролей попадёт в чужие руки, вы не потеряете сразу всё.

Специалисты службы информационной безопасности Яндекса советуют придумывать себе правило и немного менять пароль в зависимости от сервиса: например, VLev!Tolstоj1828 — для ВКонтакте и FLev!Tolstоj1828 — для Фейсбука. На крайний случай существуют менеджеры паролей — программы, которые будут помнить их вместо вас.

В заключение, хотелось подвести небольшой итог. Если мы выбираем пароль, который легко угадать, то мы рискуем стать жертвой кражи личных данных. Проблема усугубляется в случае, если один и тот же пароль используется в разных учетных записях онлайн – в этом случае при взломе одного аккаунта под угрозой оказываются все остальные. По этой причине многие сервис-провайдеры, теперь предлагают двухфакторную аутентификацию – для доступа на сайт или для внесения изменений в настройки учетной записи от пользователя требуется ввести код, сгенерированный аппаратным ключом или присланный на мобильное устройство. Двухфакторная аутентификация действительно усиливает безопасность, но только в том случае, если она требуется в обязательном порядке, а не предлагается в виде опции.