18 грудня 2014

Ликбез по кибербезопасности: как правильно выбрать пароль?

Если вы до сих пор думаете, что ваш пароль типа «solnyshko1998» действительно безопасен, то эта статья именно для вас. Эксперт по кибербезопасности Дмитрий Снопченко объясняет, как правильно выбрать пароль, как часто стоит его менять и каких ошибок при этом стоит избегать. 

 

Фотографія: Âtin via Flickr

1. В пароле должно быть не менее 15 символов

 

Еще несколько лет назад считалось что восьмисимвольный пароль, содержащий буквы большого и малого регистра, цифры и спецсимволы, как например P@ssw0rd, достаточно надежен, и на его взлом потребуется более 10 лет. Сегодня такой пароль взламывается за 10 часов на одном среднестатистическом ПК. На специализированных – за 10 минут. Более того, с появлением так называемых «радужных таблиц» эта задача еще больше упростилась.  

На сегодняшний день подобраны все 11-символьные пароли и все, что короче, можно считать небезопасным.

Наиболее стойким считается случайно сгенерированный пароль длиной в 15-18 символов, содержащий большие, малые буквы, цифры и спецсимволы. Например такой – hP5BvRjYo#YR^6Y758V5$Mc9D . Этот пароль был автоматически сгенерирован компютером, однако его тоже нельзя считать на 100% случайным, поскольку компьютер работает по заданым алгоритмам, и их тоже можно предсказать. Поэтому в данный пароль необходимо внести человеческий фактор, вручную добавить или поменять несколько букв и цифр.

 

Не так давно интернет пестрил информацией о взломе почтовых аккаунтов Mail.ru, Yandex и Gmail. Лично я не склонен считать, что были взломаны именно эти сервисы, скорее всего в сеть попали сборки паролей, полученных другим способом – или с помощью вредоносного программного обеспечения, или были атаки на смежные сервисы партнеров. Вариантов тут масса. Но вот что действительно поразило, так это анализ этих баз.


Как оказалось, пользователи совершенно не беспокоятся о своей безопасности. Самые популярные пароли в этих базах – это 123456 и qwerty. Самая распространенная длина пароля – 7-8 символов. Более длинные пароли, около 15 символов, содержали в себе имена, прозвища, даты рождения и обычные слова. 

У девочек встречаются чаще уменьшительно-ласкательные пароли типа «solnychko1998», у мальчиков что-то вроде «stalker2000». Эти пароли не выдерживают никакой критики.

Все эти данные можно найти в соцсетях, что в разы упрощает взлом. Правильных, длинных, и случайным образом сгенерированных паролей – единицы.

 

2. Не используйте один пароль к разным аккаунтам

 

Простое правило: один аккаунт – один пароль. Второй аккаунт – второй пароль. Ведь если злоумышленнику попадет один ваш пароль, то первым делом он попробует применить его к остальным, известным ему, аккаунтам.

Фотографія: Jeff Jackowski via Flickr

3. Пользуйтесь менеджерами паролей

 

Разумеется, сложные пароли невозможно запомнить, и приходится записывать. Но только не на рабочем столе в текстовом файле! Для этого существуют менеджеры паролей, которые надежно защитят пароль как от кражи, так и от забывчивости пользователя.

 

Для доступа к менеджеру паролей вам понадобится один мастер-пароль, который нужно будет запомнить. Вот он должен быть читаемым и понятным, но только вам. 

Ни в коем случае нельзя использовать имена и даты рождения свои или близких, клички животных или все, что может быть связанно с вами – эту информацию легко найти, например, в соцсетях, что существенно облегчит работу взломщику.

Есть множество советов по запоминанию парольной фразы, например можно выбрать строчку из песни, убрать пробелы и заменить буквы «А» на «@» букву «О» на ноль а буквы «Н» на «№» или «#». И не надо пользоваться готовыми парольными фразами – чем оригинальнее вы будете, тем сложнее будет подобрать пароль.

 

Менеджеров паролей, как и любого ПО, существует великое множество – для всех возможных платформ, за разную цену и с различным функционалом. Каждый сможет подобрать себе что-то по вкусу и по кошельку. Однако следует учесть следующие параметры, которыми должен обладать качественный менеджер паролей.

 

  1. Шифрование. Все пароли должны быть не просто «защищены», скрыты под звездочками, а именно зашифрованны надежным криптоалгоритмом, например AES-256.
  2. Генератор паролей. Обязательно должен быть модуль, позволяющий быстро и удобно сгенерировать длинный случайный пароль.
  3. Удобная навигация и выбор нужного профиля с паролем. Когда аккаунтов много, то бывает сложно найти нужный пароль.
  4. Интегрируемость. Как правило, необходимо сохранять пароли для различных WEB-аккаунтов, поэтому поддержка всех популярных браузеров – обязательна. Но так же надо хранить пароли и для приложений – например для Skype. Интеграция в Windows или MAC так же важна.
  5. Интегрируемость в браузер следует отметить отдельно. Менеджер паролей должен уметь хранить не только сам логин и пароль, но так же и ссылку на страничку, и должен уметь сам перейти на нужную страницу, чтобы вы избежали ошибки в наборе адреса сайта, или чтобы случайно не ввели данные, хранимые в менеджере паролей, на фишинговом сайте.
  6. Возможность создавать резервные копии базы паролей. Вы же не хотите в один момент лишиться всех доступов, только потому что потеряли флешку или сгорел жесткий диск ноутбука?
  7. Место хранения паролей и доступ к ним. Здесь можно разделить на три группы: те, которые устанавливаются на ПК или смартфон, и хранят пароли на самом устройстве; те, которые хранят все данные в облаке, и предоставляют доступ к учетным записям через интернет; портативные версии, которые можно носить на флешке и запускать прямо с неё.
  8. Цена. Да, этот пункт немаловажен, но стоит на самом последнем месте, потому что в любом случае ваши данные для вас должны быть дороже денег.

Из наиболее популярных и надежных менеджеров паролей можно выделить несколько: KeePassRoboForm, eWallet, LastPass, 1Password. Какой выбрать – решать вам. Но обязательно попробуйте его перед тем, как доверять ему свои секреты.

 

4. Почаще меняйте пароли

 

Как часто и когда необходимо менять пароли? Если ваш пароль имеет осмысленное значение и содержит 12-15 символов, его нужно менять раз в 3-4 месяца. Если больше 15 и он полностью сгенерирован автоматически, то можно менять раз в год.  

Главное – если один из ваших многочисленных аккаунтов был взломан, необходимо сменить пароли не только на нем, но и на всех остальных, даже самых незначительных.

Ведь вы не знаете, как именно был взломан тот или иной аккаунт – возможно взломали сайт, а возможно украли всю вашу базу паролей, а это тоже возможно.

 

5. Обязательно пользуйтесь хорошим антивирусом

 

Антивирус. Казалось бы, причем тут антивирус, в статье о паролях? А при том, что большинство современных вирусов и троянов нацелены как раз на хищение паролей непосредственно с компютеров пользователей. Они умеют перехватывать пароли как при наборе его с клавиатуры, так «вынимать» их из браузеров, если вы по неосторожности позволили ему сохранить свой пароль. И тут уже неважно, насколько пароль будет сложный и длинный, его не нужно долго перебирать, его можно просто «подсмотреть». Более того, недавно появились трояны, нацеленные именно на популярные менеджеры паролей, которые похищают всю базу паролей и мастер-пароль к ней. Так что антивирус – обязательная программа, наравне с менеджером паролей.

 

Кажется, вы уже поняли, что нужно сделать прямо сейчас. Поменяйте свои пароли и побыстрее!

 

В тему:

 

Ликбез по кибербезопасности: да кому нужны мои данные?

Ликбез по безопаности: как защитить свои данные?

 

Матеріали в рамках розділу Media Innovations Lab виготовлені за сприяння Фонду розвитку українських ЗМІ посольства США в Україні.

Підписатися на новини проекту у Facebook можна тут.


comments powered by Disqus