пароли и как с ними работать

Как создавать и хранить надежные пароли

Обновлен22 March 2018

class="" id="toc">

, специально созданные для хранения паролей.

Форма поиска







Пароли в браузерах

Компания

Только зарегистрированные пользователи могут участвовать в опросе. , пожалуйста.

  • class="company-info company-info_post-additional">
    class="company-info__about">
    class="media-obj media-obj_company">

    class="media-obj__body media-obj__body_page-header media-obj__body_page-header_branding">

    class="page-header__info">

    Positive Technologies

    581,71

                                                                    • class="layout__row layout__row_promo-blocks">
                                                                      class="layout__cell">
                                                                      class="column-wrapper column-wrapper_bottom column-wrapper_bordered">
                                                                      class="content_left">

                                                                      class="default-block default-block_content">
                                                                      class="default-block__header default-block__header_large">

                                                                      Каким должен быть надёжный пароль

                                                                      Когда-то приемлемым считался пароль наподобие Pa55w0rd. Сейчас такие комбинации подбираются моментально. Позже к рекомендациям по созданию надёжных паролей добавилось включение специальных символов, но и это давно не помогает. Комбинация P@$5w0rd подбирается за несколько часов.

                                                                      Проверить надёжность своих паролей можно на сайте наподобие . Если вы боитесь, что этот сервис уведёт ваши аккаунты, просто вводите похожие комбинации вместо реальных.

                                                                      Главное в таком сервисе — это возможность понять, что именно влияет на надёжность пароля. Начните удлинять комбинации, добавляя к ним дополнительные символы, и наблюдайте за изменением ожидаемого времени на подбор.

                                                                      Как создать надёжный пароль

                                                                      Получается, чем длиннее пароль, тем он надёжнее. Подбор простой, но длинной комбинации из 12 случайных цифр и букв займёт 24 года. Добавьте к ней всего один символ, и злоумышленнику потребуется уже тысяча лет. 14 символов — 42 тысячи лет. 15 символов — 2 миллиона лет. Пароль из 16 букв и цифр подбирается за 74 миллиона лет. Остаётся пожелать взломщикам удачи и терпения.

                                                                      Как хранить пароли

                                                                      Проблема длинных паролей в сложности их запоминания. Вряд ли вы удержите в голове пару десятков комбинаций, состоящих из 14 и более знаков и включающих спецсимволы.

                                                                      Решением может стать использование специального приложения-хранилища. Грубо говоря, это цифровой защищённый сейф, в котором лежат все ваши пароли. Чтобы открыть сейф, нужен мастер-пароль. Соответственно, вместо десятков комбинаций вам нужно будет держать в голове только одну, открывающую доступ ко всем остальным.

                                                                      При таком подходе важно помнить о правиле цепи, согласно которому надёжность всей системы равна надёжности её самого слабого звена. Проще говоря, мастер-пароль должен быть действительно сложным и длинным, а беречь его нужно особенно тщательно.

                                                                      Если вы вообще не доверяете приложениям, то попробуйте «ПарольКарту».

                                                                      Это карточка с набором символов, которую нужно , а затем самостоятельно разработать понятный для себя алгоритм создания паролей.

                                                                      Какие пароли лучше использовать

                                                                      Мошенники научились перехватывать и подбирать несложные пароли, база кодов, хранящаяся на определенном сайте, может быть взломана, предоставляя злоумышленникам доступ к другим аккаунтам пользователей.

                                                                      Сейчас самыми надежными считаются длинные пароли, сгенерированные случайным образом из букв разного регистра, цифр и символов. При этом пароли не повторятся при регистрации на разных сайтах. Подобрать или угадать их практически невозможно, а если лишиться одной учетки – другие не будут находиться под угрозой.

                                                                      Так в macOS есть специальное приложение Связка ключей, которое умеет генерировать сложные пароли, в Windows подобное можно проделать при помощи командной строки. Есть специальные для генерации паролей.

                                                                      Создать сложный код сейчас очень легко, проблема – его запомнить.

                                                                      Этим и заманивают пользователей специализированные срвисы/приложения менеджеры паролей.

                                                                      Почему лучше не пользоваться менеджерами паролей

                                                                      Я всегда скептически относился к подобным программам. Польза в них определенно есть, как есть и ряд веских причин не пользоваться такими сервисами.

                                                                      1. Любой сейф рано или поздно взломают

                                                                      Помните со взломом аккаунтов знаменитостей в iCloud? И это был не единичный случай, а ведь сервис защищен сложными алгоритмами Apple, а не какого-нибудь начинающего стартапа.

                                                                      Ничто не мешает хакерам взломать сервер с базой паролей и выложить их в общий доступ или использовать в корыстных целях.

                                                                      2. Все ошибаются

                                                                      Разработчики не застрахованы от неудач и ошибок. Любое обновление приложения может содержать дыру или лазейку для злоумышленников, которая в дальнейшем может быть использована для получения доступа к защищенным данным.

                                                                      Даже iOS, безопасность которой более десяти лет шлифуют и дорабатывают, регулярно позволяет хакерам находить уязвимости и делать .

                                                                      Разработчики сервисов для хранения паролей при всем желании не смогут выделить на повышение безопасности и сотой доли средств, которые на этот тратят в Купертино.

                                                                      3. У каждого есть своя цена

                                                                      Любой стартап создается с целью получения прибыли. Даже самые идейные разработчики по мере развития проекта начинают задумываться о финансовой выгоде.

                                                                      Перспективные и популярные сервисы попадают под прицел крупных инвесторов, а через определенное время продаются вместе с накопленной базой конфиденциальной информации. Никогда не знаешь, кто выкупит базу твоих паролей и данных.

                                                                      Относительно недавно отечественные разработчики популярного приложения, предлагающего хранение конфиденциальной информации, продали свое творение местному банку, после чего сервис испытал отток клиентов.

                                                                      Разработчики могут банально пожелать большей прибыли и бесплатное приложение станет платным.

                                                                      4. Не обязательно быть жертвой взлома

                                                                      Даже если вы считаете, что взламывать вашу учетку никому не нужно, а хакеры в первую очередь будут охотиться за толстосумами и знаменитостями, представьте, что придется сделать, когда узнаете о взломе сервиса.

                                                                      Нужно будет в кротчайшие сроки обновить сотни сгенерированных паролей на сайтах, формах, в приложениях и операционных системах. Просто ради безопасности, а не потому, что кто-то будет охотиться за вашими данными.

                                                                      5. Мы и так ничего не помним

                                                                      Сейчас все больше полезных сервисов освобождают нашу память от какой-либо информации. Нам не нужно запоминать телефонные номера (некоторые и свой с трудом назовут), фамилии и отчества коллег, дни рождения знакомых, памятные даты родственников.

                                                                      Смартфоны и компьютеры напоминают нам распорядок дня, подсказывают перечень задач и запоминают мысли либо наброски.

                                                                      С одной стороны верно возложить подобного рода задачи на технику, но ведь наша память с такими темпами совсем деградирует. Я не против заметок и напоминаний, телефонной книги или перечня дней рождений, но вот пароли запоминать все-таки стоит.

                                                                      Это будет полезной нагрузкой для мозга и обезопасит от нежелательных потерь данных.

                                                                      6. Для сторонников теории заговора

                                                                      Можно представить и самый страшный сценарий. В один момент кто-то меняет пароли всех пользователей, которые хранятся в глобальной базе менеджера паролей. Так мы в миг лишаемся доступа ко многим сервисам и службам, которыми пользуемся каждый день.

                                                                      Появляются сложности с совершением покупок, оплатой, выводом средств и т.д.

                                                                      Мы ведь и так уже «слили» часть своей конфиденциальной информации Apple, Google и Microsoft, зачем еще отдавать часть данных другим компаниям?

                                                                      iPhones.ru


                                                                      И вам не советую.


                                                                      —>

                                                                      class="desc_title">

                                                                      Статьи




                                                                      class="news-list national-news">
                                                                      class="main-news-title">

                                                                      Последние комментарии

                                                                      class="news-list national-news">
                                                                      class="main-news-title">

                                                                      Запомнить

                                                                      Это самый безопасный способ для людей с отличной памятью. Разберем его плюсы и минусы.

                                                                      К плюсам без сомнения относится следующее:

                                                                      • Посторонние люди, программы и машины его не узнают. Конечно, если вы не сообщите.
                                                                      • Информация всегда вам доступна, где бы вы ни были. Password всегда в вашей голове;
                                                                      • Никаких ПО не нужно. Все необходимое вам дано природой.

                                                                      Но и минусы имеются. Человеческая память — предмет не надежный.

                                                                      Во время стресса и в самый неподходящий момент можно попросту забыть или перепутать пароли. Ну а самый надежный и безопасный длиннющий набор символов запомнить вообще не каждому под силу (особенно если их несколько)

                                                                      Получается, что при большом количестве паролей рассчитывать только на память крайне сложно, а скорей всего и невозможно.

                                                                      Память человека

                                                                      Текстовые файлы

                                                                      Практически тоже самое, что и хранить информацию на бумажном носителе, но есть и свои особенности. К плюсам можно отнести:

                                                                      • возможность копирования ключей без использования клавиатуры;
                                                                      • работать проще, чем с менеджером паролей.

                                                                      Минусы тоже имеются:

                                                                      • привязанность к электронному устройству, на котором размещен файл;
                                                                      • никакой защиты.

                                                                      Самостоятельная разработка системы для создания не подбираемых паролей.

                                                                      Многим из Вас это покажется довольно сложным и нудным процессом, на который может уйти уйма времени, однако не все так печально выглядит, как Вам кажется.  Чтобы сделать такую систему, необходимо знать всего одно, но важное правило  —  каждый пароль, какой бы сложный он не был, должен иметь какое-то определенное значение для того, кто его придумывал. Например, пароли можно привязать к аккаунтам в социальных сетях. Если Вы зарегистрированы, допустим, в "Одноклассниках",  то кодовое слово можно начать с букв "ок" или "ok" в русской или английской раскладке. Так же можно делать и на других интернет ресурсах. Зная начало пароля, Вы сможете быстро вспомнить и остальные символы, которые в него входят.

                                                                      Обезопасить все важные номера сотовых телефонов

                                                                      Довольно надежным способом для защиты аккаунта от взлома считается привязка к номеру своего мобильного телефона. Такая возможность реализована в большинстве социальных сетей, и , конечно же, многие пользователи, регистрируя профиль, указывают основной и ,как показывает практика, единственный номер телефона. Многие эксперты, которые занимаются безопасностью данных, считают этот подход ошибочным. Большинство специалистов предлагает завести отдельный номер и перевести все свои профили в сети на него. Важно, чтобы о существовании такого номера знали только Вы, так как при желании и связях любой злоумышленник с легкостью получит доступ к этому номеру.

                                                                      Какие пароли можно держать только в памяти

                                                                      Как мы уже подробно писали , любая информация должна быть отнесена к одной из трех категорий: та, которую можно сообщать всем, та, которую можно сообщать доверенным лицам, и та, которую нельзя сообщать никому и не при каких обстоятельствах. Так вот доступ к информации первого уровня необходимо осуществлять исключительно по памяти. Поясним на простом примере. Допустим, у нас есть файлы, содержимое которых как раз и представляет собой информацию первого уровня. Тогда анонимно соединяемся с удаленным хранилищем файлов, и заливаем туда запароленный архив с ничего не говорящим именем. После чего стираем без возможности восстановления файл на компьютере, и вуаля! Теперь не только нельзя просмотреть файлы, но и невозможно связать их с нашей персоной, поскольку при правильном анонимном соединении с хранилищем наша с ним связь вообще никак не видна. Только чтобы не было ни единой зацепки, логин и пароль удаленного хранилища, а также пароль к архиву надо держать исключительно в памяти, и нигде более.

                                                                      Привыкший к комфорту читатель может спросить, а зачем такие сложности? Не проще ли зашифровать файлы, и дело с концом? Разумеется, так проще, но есть нюансы. Например в Великобритании за отказ предоставить доступ полиции к зашифрованным файлам можно угодить в тюрьму. И это отнюдь не абстрактная страшилка, реальные приговоры уже выносились. В странах, где такого закона пока нет, отказ предоставить правоохранительным органам доступ к закрытой информации будет квалифицирован как препятствование расследованию с тем же результатом. Если же доступ захотят получить менее озабоченные соблюдением законности граждане, может получиться совсем уж некрасиво. Так что проще еще не значит лучше. Мы не устаем повторять простую, но важную истину: безопасность и удобство сочетаются плохо. Обычно ради одного приходится частично жертвовать другим.

                                                                      Конечно, в качестве компромиссного варианта можно воспользоваться тем же трукриптом, позволяющим создать криптоконтейнер, а потом засунуть этот контейнер в гущу системных файлов или вообще замаскировать под продукты жизнедеятельности вируса. Но наличие программы типа truecrypt заставит интересующихся искать контейнеры, а это не такая и сложная задача для профессионала. Не так часто встречаются абсолютно непонятные файлы, сплошь заполненные хаотическим набором нулей и единиц. Кроме того, возникнет проблема с резервным копированием. Если присутствие непонятного файла на компьютере еще можно посчитать случайным, то наличие его копии на флешке или в вашем аккаунте облачного хранилища объяснить случайностью не получится. Но в любом случае главный пароль доступа ко всей этой цепочке все равно придется держать в памяти.

                                                                      Хороший пароль — хешированный пароль

                                                                      Развивая идею об изменении паролей в соответствии с алгоритмом, мы неизбежно придем к мысли о возможности написания программы для легкой генерации списка хоть на сто лет вперед. Вообще-то, идея генерировать пароль программными средствами не слишком хороша, так как всегда придется иметь в распоряжении соответствующую утилиту. И если ее утратить, это может стать проблемой. С другой стороны, помня алгоритм, и умея написать рабочую версию Hello World хоть на каком-нибудь языке программирования, восстановить все можно будет за пятнадцать минут.

                                                                      Мы хотим предложить компромиссный вариант: программу, которую можно не только быстро написать, но и скачать из разных источников в интернете, и заказать у любого программиста, не вызывая подозрений. Разумеется, речь идет о хешировании. Эта, в общем-то, алгоритмически довольно сложная процедура распространена настолько широко, что получить к ней доступ можно всегда. Призываем неискушенного читателя не бояться непонятного слова. Считайте, что над придуманным вами паролем надо будет совершить еще одно преобразование, которое хорошо известно всем программистам. В его тонкости вникать нет необходимости, все уже продумано до вас. Надо только скачать программу с приглянувшегося ресурса в сети, и нажать на кнопку Старт. Приведем пример использования хеша для вывода пароля.

                                                                      Требование наличия кодового слова, ассоциированного с сервисом, остается. То есть, продолжая пример, первая часть пароля для гугла остается прежней: bulka. Счетчик изменений тоже остается: 01. Зато больше запоминать ничего не надо. Если к паролю bulka01 применить операцию хеширования, и отделить первые двенадцать символов вычисленного хеша, мы получим очень качественный двенадцатисимвольный пароль: MTEyMGRiM2Fj. Небольшая тонкость в том, что разновидностей процедур хеширования достаточно много, и нужно еще помнить, какая именно используется. Но тут многообразие обманчиво, и выбирать особенно не из чего. Функция SHA256 на сегодняшний день является стандартом, и на ней смело можно остановиться.

                                                                      У хеш-функции есть две приятные особенности. Во-первых, она необратима. Это значит, что по хешу определить исходную фразу настолько тяжело, что с этим не справятся современные компьютеры за обозримое время. А по первым двенадцати символам хеша восстановить ключевую фразу невозможно даже теоретически. Во-вторых, изменение даже одного символа в исходной фразе повлечет за собой кардинальное изменение всего хеша. Например, следующий в череде изменений пароль bulka02 после хеширования алгоритмом SHA256 и отделения первых двенадцати символов будет иметь вид: ZDE5YTQ3Njgx. Сравните с MTEyMGRiM2Fj (хешем от bulka01) — ничего общего. Таким образом, случайная компрометация хешированного пароля не даст злоумышленнику ключа к системе, по которой меняются пароли.

                                                                      Применение хеширования избавляет от необходимости подгадывать определенное количество символов, чтобы пароль не получился слишком длинным (о длине пароля мы еще поговорим). Более того, чем длиннее пароль перед хешированием, тем он надежнее. Мы предлагаем пользоваться не отдельными словами, а целыми фразами. Например, возьмем в качестве пароля фразу: to be, or not to be, that is the question. Удалим из нее знаки препинания, пробелы, и добавим четырехзначный счетчик: tobeornottobethatisthequestion0001. Затем применим функцию SHA256, отделим первые двенадцать символов, и получим: ZmM2Zjg0N2Mx. Точно так же можно брать и фразы на русском, написанные транслитом или в английской раскладке клавиатуры.

                                                                      Теперь несколько практических рекомендаций. В сети есть очень много предложений вычислить хеш прямо онлайн, ничего не скачивая. Так делать нельзя, потому что ваш пароль утечет в интернет. Надо найти программу, скачать ее, и установить у себя на компьютере. Запускать ее лучше в песочнице, на случай вирусов. Также будет полезно не разрешить ей соединяться с интернетом. Программе, рассчитывающей хеш, интернет не нужен, и если она пытается туда выйти, значит дело не чисто. И последнее. Установив программу, проследите, чтобы она считала хеш так же, как и все те программы, что делают это онлайн на разных сайтах. Учтите, что один и тот же хеш можно выводить разными символами. Ищите результат, похожий на приведенные выше примеры. Если увидите, что в результатах нет букв k,l,m,n и далее, значит это не то, что надо. Кроме того, программирование с ошибками никто не отменял. В качестве проверки программы можете ввести bulka01 и прочесть первые двенадцать символов. Это должно быть MTEyMGRiM2Fj.

                                                                      Добавить комментарий

                                                                      ;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: