Помощь

Как создать сложный и надежный пароль?

«Чтобы защитить вашу учетную запись, придумайте сложный и надежный пароль» – совет примерно такого содержания можно встретить при регистрации практически на всех сайтах. К сожалению, этому совету следуют немногие, традиционно используя пароли вроде «123321» или «qwerty».

Владельцы сайтов давно стали требовать использования сложных парольных фраз, которые должны иметь какую-ту минимальную длину, состоять из больших и маленьких букв, а также цифр. Но упорные пользователи все равно находят способ использования своих излюбленных паролей, добавляя к «123321» пару больших и маленьких букв, что в итоге приводит к созданию парольной фразы вроде «123321Qq».

Конечно, интернет-пользователей можно понять. Придумать надежный пароль – одно дело, а вот запомнить его – другое. Но в современной реальности, наполненной киберпреступностью, лучше следовать рекомендациям касательно создания сложных паролей. Далее мы рассмотрим основные виды угроз, направленных на взлом паролей, дадим несколько полезных советов по созданию надежных парольных фраз.

Для быстрого создания надежных и защищенных паролей можно использовать генератор MultiPassword

Методы взлома паролей и способы защиты от них

Взлом паролей (а, следовательно, и учетных записей на сайтах, защищенных паролями файлов, мобильных устройств и т.д.) может осуществляться несколькими способами. И они всем давно известны:

Брутфорс атака (полный перебор)

Это, т.н. «грубая атака» (от англ. «Brute» – грубый, «Forse» – атака), подразумевающая поочередный (или по какому-либо алгоритму) перебор всех возможных символов, из которых может состоять парольная фраза. Это довольно «примитивный» и продолжительный по времени способ взлома паролей, от которого сегодня защищены практически все сайты в интернете.

Тем не менее, брутфорсинг по-прежнему используется при подборе пароля, например, к зашифрованным архивам или документам. При наличии мощного оборудования брутфорс атака позволяет, к примеру, взломать 8-значный пароль, состоящий из любых символов, за несколько часов (и чем мощнее оборудование и короче пароль, тем быстрее будет осуществлен взлом). В 2012 году пользователь Twitter «@jmgosney» экспериментально доказал это, собрав собственный вычислительный кластер из 25 видеопроцессоров. Его машина была способна взламывать (подбирать) 8-значные пароли из любых символов менее чем за 6 часов.

Таким образом, для надежной защиты от брутфорсинга пароль должен:

• Состоять из как можно большего количества символов (основываясь на данных, полученных в ходе эксперимента пользователя «@jmgosney», его длина должна быть как минимум 9 символов).
• Содержать различные символы – маленькие и больше буквы, цифры и спецсимволы.
• Желательно, чтобы два одинаковых символа не находились рядом друг с другом (а лучше вообще, чтобы не было одинаковых символов во всей парольной фразе). Кроме того, не рекомендуется использовать 3 и более буквы в порядке их пребывания в алфавите или на клавиатуре. Самые "умные" алгоритмы перебора паролей обязательно учитывают тот факт, что пользователь мог ввести два или более повторяющихся символов подряд либо буквы в порядке их нахождения в алфавите или на клавиатуре (вроде «qwerty» или «asdfg»).

Перебор по словарю (Dictionary Attack)

Это разновидность брутфорс атаки, предполагающая перебор не каждого символа по отдельности, а заранее подготовленных парольных фраз (файл, где эти фразы перечислены, условно называется словарем). Использование этого способа взлома обусловлено тем, что люди часто используют в качестве паролей какие-то общеизвестные слова, имена, клички животных, названия городов, различные даты и т.д.

В файлах-словарях могут быть перечислены сотни тысяч или даже миллионы таких слов. А сами эти словари доступны для скачивания в интернете – в них нет ничего противозаконного, ведь это просто текстовые файлы со словами, датами и т.п.

Основываясь на вышесказанном, для защиты от метода атаки по словарю (помимо того, что пароль должен соответствовать рекомендациям, приведенным в предыдущем параграфе):

• Парольная фраза не должна являться словом, даже если в его начале или конце будет подставлен спецсимвол и/или цифра, а само слово написано с использованием больших и маленьких букв. Однако можно использовать словосочетание из двух или более слов с цифрами/спецсимволами между ними – и легко запомнить, и надежность высокая.
• Пароль не должен являться какой-либо датой, пусть и разделенной точками, знаками тире, слешами «/» или другими знаками. Программы/скрипты перебора паролей могут сами генерировать собственные словари, и для них не составит труда перечислить все возможные даты в самых разных форматах написания хоть за 5000 лет (впрочем, столько и не нужно, ведь пользователи обычно указывают даты, связанные с ними). Если же использование даты необходимо для запоминания пароля, ее можно комбинировать со словами, обязательно – с большими и маленькими буквами.
• Пароль не должен являться каким-нибудь русским словом, написанным в транскрипции. Подбор по словарю также может предполагать использование символов вида «ntktdbpjh», под которыми "зашифровано" слово «телевизор». Но использование русских слов в транскрипции все же можно с условием его написания большими и маленькими символами с добавлением цифр и/или спецсимволов.

Социальная инженерия

Чтобы получить доступ в какую-нибудь учетную запись потенциальной жертвы, необязательно быть профессиональным хакером-программистом. Получить желаемое (в нашем случае – пароль от чего-либо) всегда можно либо мошенническими способами, либо путем сбора информации о потенциальной жертве с целью последующего подбора пароля на ее основе.

Сегодня наиболее часто для обмана людей в интернете применяются фишинговые схемы мошенничества, подразумевающие, что жертва сама выдаст необходимые злоумышленниками данные (например, перейдя по ссылке и введя логин и пароль на поддельном сайте). К сожалению, от фишинга и подобных методов обмана невозможно защититься, зарегистрировавшись на сайте с использованием сложного пароля. Ведь пользователь сам отдает его мошеннику.

Однако от других методов социальной инженерии, подразумевающий подбор пароля на основании собранной о потенциальной жертве информации, использование сложной парольной фразы гарантирует защиту. Для этого при создании пароля нужно избегать использования в нем слов, символов, чисел и т.п., хоть как-то связанных с вами, например:

• Конструкции вроде «имя + дата рождения», «имя + фамилия + год рождения» или «город проживания + год».
• Регистрационный номер автомобиля (злоумышленники могут, к примеру, увидеть фотографию машины с номером, который они тут же проверят).
• Названия любимых музыкальных групп, книг, имена персонажей, писателей и т.п. Как мошенник может догадаться, что пользователь использовал подобный пароль? Очень просто. Например, если на странице в социальной сети потенциальной жертвы присутствует множество постов, посвященной музыкальной группе, это станет поводом для злоумышленника попробовать подобрать пароль на основе названия этой группы или имени/фамилии/прозвища какого-то из исполнителей.

Конечно, для лучшего запоминания пароля можно использовать связанные с вами слова, числа, даты и т.п., но их обязательно нужно комбинировать с другими словами, а лучше – спецсимволами.

Как создать надежный пароль, если нет идей?

Создать сложный пароль – довольно просто. Сделать это можно вручную либо, воспользовавшись специальными программами. Самостоятельно это можно сделать одним из следующих способов:

• "Гениальный" и самый простой способ – нажимать на клавиатуре случайные печатные (буквы/цифры/символы) клавиши. При этом можно время от времени нажимать клавишу «Shift», чтобы переключать регистр букв и вписывать спецсимволы (если их разрешено использовать для создания пароля). Напечатайте длинную текстовую строку, а затем выделите нужное количество символов где-то посередине – она и будет вашим паролем.
• Напечатайте несколько небольших английских или русских слов в английской раскладке клавиатуры подряд без пробелов. Вставьте где-нибудь в середине будущего пароля цифры, переведите некоторые имеющиеся буквы в верхний регистр (т.е. замените строчные буквы заглавными), добавьте еще слово в конце. Надежный пароль создан.
• Помните наизусть какое-нибудь стихотворение? Что если первые взять первые буквы нескольких слов или первые буквы из каждой строки четверостишия и использовать их для создания пароля? Конечно, буквы нужно написать на латинице (если кириллица запрещена) в верхнем и нижнем регистре, а затем в конце еще добавить пару-тройку цифр и/или спецсимволов.

Создание сложных паролей всегда можно доверить специализированным компьютерным программам, т.н. «Генераторам паролей». Их довольно много. Возьмем, к примеру, небольшую бесплатную утилиту AZPassword. Этот парольный генератор предлагает три способа создания сложных парольных фраз:

1. Генерация паролей по параметрам. Устанавливаете длину пароля и их количество (если требуется много) и выбираете тип используемых для его генерации символов (большие/маленькие русские/английские буквы, цифры, спецсимволы). По ходу выполнения этих действий пользователем программа будет автоматически генерировать пароли.

2. Генерация паролей путем кодирования введенных фраз алгоритмом «Base64». Введите любую фразу в соответствующее поле и нажмите кнопку «Сгенерировать пароль». Результат – парольная фраза, состоящая из цифр, больших и маленьких букв.

3. Генерация паролей кодированием фраз алгоритмом ROT47. Здесь все то же самое – вводим фразу в текстовое поле, нажимаем кнопку «Сгенерировать пароль». Результат – парольная фраза, состоящая из строчных и прописных букв, цифр (только при вводе слов на латинице) и спецсимволов.

Использование одного из алгоритмов кодирования – хороший способ создать сложный и одновременно запоминающийся пароль. Но для этого под рукой всегда нужно иметь программу кодирования вроде AZPassword либо использовать один из многочисленных сайтов, предлагающих шифрование фраз при помощи алгоритмов Base64 или ROT47. Нужно лишь запомнить какую-то фразу на русском языке, а затем "прогонять" ее через кодировщик каждый раз перед входом на сайт – останется лишь скопировать выданный программой результат и вставить его в форму авторизации.

И помните – не нужно использовать один и тот же, пусть даже самый сложный, пароль для авторизации во всех подряд учетных записях в интернете. Если сайты крупных компаний, банков и т.д. могут довольно хорошо сопротивляться хакерским атакам, то простые частные веб-сайты (форумы, например) не могут похвастаться мощной системой защиты от кибератак. Если злоумышленникам удастся взломать такой сайт и получить доступ ко всем логинам, паролям и почтовым ящикам пользователей, они обязательно будут использовать полученные данные (в основном пароли) для попыток взломать прочие аккаунты на других сайтах. И если пользователь использовал одну и ту же парольную фразу во всех своих учетных записях, то все они могут потенциально считаться взломанными.

Где хранить пароли, если их невозможно запомнить?

Как отмечалось выше, использование одинаковых паролей везде и всюду – совершенное неудачное решение. Потому возникает необходимость в создании множества непохожих друг на друга парольных фраз, что, в свою очередь, создает необходимость их запоминания, а сделать это простому человеку без феноменальной памяти практически невозможно. Остается один лишь выход – сохранить пароли на компьютере. И, конечно же, сохранить их так, чтобы никто не смог получить к ним доступ.

Простейший и одновременно надежный способ хранения парольных фраз – размещение файла с паролями (текстовый файл или электронный документ) в зашифрованном архиве. Любой современный архиватор имеет функцию установки пароля (ключа) на создаваемый им архив. Если использовать этот метод хранения, то пользователю нужно будет запомнить всего одну парольную фразу – ту, которой защищен архив.

Но хранение паролей в зашифрованном архиве – не очень удобный способ. Ведь этот архив всегда должен быть под рукой – на компьютере или на флешке (впрочем, можно его хранить и в облачном хранилище, затем открывать/скачивать его каждый раз, когда нужно достать пароль для авторизации). Более удобный способ хранения паролей (и не только) – использование парольного менеджера (программы, созданной специально для хранения паролей).

Подобных приложений существует множество. Возьмем для примера нашу программу MultiPassword. В список ее возможностей входит:

• Защита хранимых паролей с использованием современных алгоритмов шифрования.
• Автоматическая отправка паролей на удаленный сервер, данные на котором также зашифрованы.
• Удобный и понятный пользовательский интерфейс: быстрое создание записей, встроенный поиск по базе с паролями (по адресам сайта или добавленным заметкам), возможность группировки/сортировки парольных фраз путем распределения их между виртуальными хранилищами (создаются вручную).

• Наличие автоматической функции оценки надежности всех пользовательских паролей и поиска одинаковых парольных фраз.

• И самое главное (в контексте основной темы данной статьи) – наличие встроенного генератора надежных паролей по параметрам (длине и типе используемых в них символов).

Отдельно отметим наличие расширения MultiPassword для Google Chrome. Если его установить на компьютер (можно отдельно либо совместно с десктопной версией программы для Windows/MAC OS), то вводимые на сайтах логины/пароли могут автоматически сохраняться в базе, а когда нужно – извлекаться из нее для автозаполнения веб-форм.