Защита пароля: составляем надежный пароль

составляем надежный парольВ нашем мире правит пароль: от строки длиной от четырех до 20 символов зависит, сможете ли вы получить доступ к данным, общаться с друзьями или делать покупки в Интернете. Проблема в том, что пароли для каждого ресурса должны быть различными, но помнить их все трудно. Еще труднее запомнить действительно надежный пароль. Поэтому мы составили руководство по подготовке паролей. Следуйте этим советам, чтобы полностью контролировать условия доступа.

Типичные проблемы паролей

Свой пароль для каждого ресурса. Зачем нужны различные пароли, если можно просто вводить «fido» в ответ на каждый запрос? А затем, что, однажды разгадав пароль «fido», взломщик получит доступ ко всем вашим учетным записям в Интернете. Исследование, проведенное компанией BitDefender, показывает, что 75% пользователей применяют один и тот же пароль для электронной почты и Facebook. Если этот же пароль назначен для учетных записей Amazon или PayPal и он оказывается раскрытым, попрощайтесь со своими средствами, а то и с друзьями.

Пароли —как нижнее белье. Их следует менять часто (хотя и не каждый день). Никогда не делитесь ими с другими людьми. Не показывайте их никому (никаких стикеров – напоминаний!). И они должны быть сугубо интимными. Извините, я хотел сказать, что они должны быть окутаны тайной. Иными словами, ваш пароль должен быть абсолютно непостижим для окружающих.

Избегайте простых паролей. Нельзя считать надежным паролем слово, которое есть в словаре, точно так же, как цифры или буквы в том порядке, в каком они расположены на клавиатуре («1234» или «qwerty»). Имена ваших родственников, детей, домашних животных, любимой команды, родного города и другие названия также не могут быть надежным паролем. То же самое относится к вашему дню рождения, юбилейным датам, дате окончания учебного заведения и даже номеру автомобиля. Даже если дополнить его другим номером. Все эти пароли взломщики пробуют в первую очередь. В составленных ими программах прежде всего проверяются пароли именно такого вида.

Другие слова, которых нужно избегать: «god» (бог), «money» (деньги), «love» (любовь), «monkey» (обезьяна), «letmein» (впусти меня). И ради всего, что есть святого в мире компьютеров, если вы используете слово «pass – word» в качестве пароля, то лучше сразу откажитесь от Интернета.

Надежные решения

Усиливаем парольную защиту. Надежный пароль должен представлять собой строку текста, в которой сочетаются цифры, прописные и строчные буквы и специальные символы. В нем должно быть не менее восьми симво лов, а желательно намного больше. Символы должны следовать в случайном порядке, не образуя слов, не в алфавитном порядке и не в порядке расположения клавиш на клавиатуре. Как составить такой пароль?

1. Набирайте буквы, из которых состоит слово, в обратном порядке. (Пример: «New York» превращается в «kroywen».)

2. Замените некоторые буквы цифрами. (Пример: «kroywen» превращается в «kroyw3n».)

3. Произвольно замените часть букв на заглавные (Пример: «kroyw3n» превращается в «Kroyw3n».)

4. Не забудьте о специальных символах. (Пример: «Kroyw3n» превращается в «Kroyw3A».)

Не обязательно делать очевидные замены «0» вместо «о,» или «@» вместо «а», или «3» вместо «е». Главное, чтобы замены были понятны вам. На мой взгляд, замена «n» на «Л» логична.

Другие советы. Выберите какой-нибудь простой для запоминания пароль, но при вводе нажимайте какие-нибудь другие клавиши, например соседние клавиши слева или справа. В этом случае «kroywen» превращается в «jeitqwb» или «Itpuerm». Метод подходит только для тех, кто умеет печатать вслепую, но не принадлежит к числу перфекционистов. Этот прием не рекомендуется использовать при вводе паролей на телефоне; от напряжения у вас сведет пальцы, когда вы будете стараться нажимать неправильные клавиши.

Другой вариант —выбрать шаблон на клавиатуре. Например, нажимая клавиши против часовой стрелки вокруг буквы d, можно получить пароль «rewsxcvf». Произвольно добавьте несколько заглавных букв и цифр, чтобы усложнить пароль.

Вероятно, проще всего запомнить аббревиатуру, состав ленную из какой-нибудь вами выбранной фразы. Например, «We didn t start the fire, it was always burning» превращается в «wdstfiwab», если взять первую букву каждого слова.

Помните, что чем длиннее пароль, тем он надежнее. Всегда. Запомнить пароль длиной более 15 символов очень сложно, но с помощью мнемонических приемов это не составит труда.

Пароли со стороны. Для тех, кто не уверен в том, что сможет самостоятельно придумать невзламываемый пароль, предлагается множество инструментов, облегчающих задачу. Например, PC Tools Secure Password Generator формирует пароль по критериям, заданным пользователем: длина, наличие (или отсутствие) символов разного регистра, цифр, знаков пунктуации, замен похожих символов и т. д. Предлагается даже фонетическая подсказка, чтобы вы произносили ее как заклинание при вводе пароля, например: MA7ApUp звучит как MIKE —ALPHA —seven —ALPHA —papa —UNIFORM —papa —hash.

Тестирование пароля. Если есть опасения, что выбранный пароль недостаточно надежен, проверьте его на сайте How Secure is My Password. Вам даже сообщат, сколько времени потребуется, чтобы разгадать его на типичном ПК. Например, чтобы взломать «kroywen» потребуется 13 минут, «kroyw3n» —около 2 часов, «Kroyw3A» —15 дней, а «MA7ApUp» —около 3 лет.

Исходя из этих результатов, можно сделать вывод, что надежность повышается, если использовать прописные и строчные буквы; очень сильно влияет и увеличение длины (восемь символов вместо семи). Добавление единственной заглавной буквы в конце «Kroyw3A», например «Kroyw3nZ», увеличивает время взлома до 3 лет. Если ввести еще и специальный символ («Kroyw3AZ!»), то срок взлетает до 237 лет.

Отслеживание и смена паролей. Легко заявить, что необходимо использовать надежные пароли, и рассчитывать на то, что мы станем запоминать странные бессмысленные строки символов. Как можно рекомендовать отдельные пароли для каждого посещаемого сайта и каждой учетной записи? Это же безумие!

Не отчаивайтесь! Существует простой прием, позволяющий сделать и без того надежный пароль еще более устойчивым к взлому и при этом индивидуализировать его для каждого ресурса. Просто добавьте в начале или конце пароля

первые три буквы названия сайта или службы. Для Amazon, к примеру, пароль примет вид «Kroyw3AAMA», для электронной почты —«Kroyw3AEMA», а для Facebook —«Kroyw3AFAC». Обратите внимание, что во всех случаях добавляются заглавные буквы, чтобы повысить надежность. Этот метод подходит для банков, магазинов, социальных сетей и любых иных ресурсов. Таким образом можно создать хоть тысячу паролей и легко запомнить их.

Через каждые несколько месяцев следует менять все пароли на всех сайтах. Пусть для взлома вашего пароля потребуется несколько веков, но ведь вы могли сообщить его коллеге, другу или подруге. Что может случиться, если они вдруг станут бывшими? Догадайтесь сами.

Можно сменить основу («Kroyw3A») что не составит труда, если это аббревиатура фразы. Или изменить добавленные символы, переместив их в начало или даже в середину («KroyFACw3A» для Facebook). Еще один вариант —взять последние три буквы названия службы («OOK» для Facebook). Можно даже ввести дату изменения. Все в вашей власти.

К сожалению, на некоторых сайтах длина пароля ограничена четырьмя, шестью или даже восемью символами. Подход, ранее казавшийся простым, оборачивается досадной проблемой для адептов надежного личного пароля.

Плохой правильный совет. Некоторые специалисты дают советы, которые идут вразрез с обычными правилами составления паролей. Причина проста: скорость работы.

Например, я прочитал трактат о том, почему следует записывать пароли, особенно если вы взяли на себя

труд подготовить особую последовательность символов для входа на каждый сайт. Время, которое уходит на то, чтобы вспомнить каждый вводимый пароль, слишком велико и сводит к нулю все преимущества. Просто постарайтесь хранить список в труднодоступном месте, например в бумажнике. Ящик рабочего стола —не лучшее место, чтобы обезопасить себя от любопытных коллег.

Похожий совет дает специалист из Microsoft, считающий, что наличие нескольких паролей не окупает усилий. Или, точнее, косвенных затрат на их отслеживание. Впрочем, это может оказаться верным применительно к длинному списку паролей, о котором говорилось чуть выше.

Конечно, все эти опасения безосновательны, если следовать приведенному выше совету и составлять сверхнадежные и простые для запоминания пароли.

Диспетчеры паролей

Если установить подходящую программу, вам потребуется лишь один пароль. И только.

Дело в том, что в программе управления паролями используется главный пароль. При посещении сайта программа введет секретный, зашифрованный, надежный пароль для вашей учетной записи. Пользователю нужно знать лишь главный пароль. Конечно, все пароли можно запомнить в браузере, но тогда вы будете уязвимы для излишне любопытных.

пароль в поле в браузере и щелкает на ссылке – закладке вместо процедуры входа. Затем SuperGenPass заменяет главный пароль автоматически формируемым надежным паролем.

Никакие данные не хранятся локально или дистанционно; один и тот же пароль воссоздается каждый раз с использованием хэш – алгоритма на основе главного пароля и местонахождения сайта.

По функциональности Mitto почти не уступает устанавливаемым диспетчерам паролей и инструментам автоматического входа. Не нужен даже главный пароль, для входа достаточно одного нажатия кнопки. Mitto автоматически работает с известными сайтами, а для работы с другими можно использовать закладку.

Password++. Если нужно простое хранилище для паролей в Интернете, доступное с любого компьютера, то это можно сделать с помощью Password++. Для доступа к этому совершенно бесплатному сайту можно использовать учетные данные Google.

Password Profiler 3. У PC Magazine есть собственная утилита под названием Password Profiler 3 (7,97 долл. для одной загрузки или 19,97 долл. для неограниченного доступа в течение года) для автоматизации форм и процедуры входа.

Биометрия

В качестве дополнительного средства защиты можно использовать собственное тело. Биометрические методы основаны на использовании ваших физических особенностей. К сожалению, сканирование сетчатки глаза и сопоставление ДНК пока недоступны, но можно проверить отпечатки пальцев с помощью специального устройства.

Значительно усовершенствованы функции распознавания лица (во многих цифровых камерах используется технология для определения лиц на фотографии). Лицо в качестве пароля можно использовать по крайней мере в одном случае: для входа в Windows (Vista и 7). Загрузите программу Luxand Blink, и ваш ПК будет распознавать вас при посещении сайта. Это очень удобно, если несколько пользователей работают с одним ПК. Для повышения безопасности программа делает снимки каждого, кто регистрируется на компьютере, и никто посторонний не ускользнет от вашего внимания. Blink предлагается бесплатно.

Двухфакторная проверка

Пароль —отличное средство защиты, но иногда его недостаточно. Двухфакторная проверка гораздо надежнее, но она требует как знания пароля, так и физического наличия чего-то принадлежащего вам. То есть необходимо не только ввести пароль, но и предъявить предмет, именуемый токеном (token —опознавательный знак). Наиболее часто в качестве токенов применяются повсеместно распространенные USB – накопители. Некоторые компании выпускают флэшки со специальными микросхемами для двухфакторных проверок. Можно организовать и собственную проверку с использованием ID Vault Portable Edition. Эта программа размещается на USB – накопителе со всеми паролями и другой зашифрованной информацией. Пользователь указывает, какие учетные записи следует дополнительно защитить (например, Интернет – банк).

Для входа вставьте накопитель в компьютер и введите главный личный идентификационный номер (PIN).

Восстановление пароля

Рано или поздно вы забудете пароль. На подавляющем большинстве сайтов существует механизм восстановления —обычно ссылка, через которую пароль (и в некоторых случаях даже имя пользователя) пересылается по электронной почте.

Иногда в целях безопасности приходится отвечать на дополнительные вопросы (например, «Назовите город, в котором вы родились»). Если вы раньше не отвечали на них, могут возникнуть проблемы. Поэтому для важных учетных записей, например банка или кредитных карт, посмотрите настройки и выясните, нужна ли дополнительная информация, чтобы избежать проблем в будущем.

Другой пример: когда имеешь дело с такой сложной, но важной компанией, как Google (где одна комбинация имени пользователя и пароля обеспечивает доступ к нескольким службам, в том числе Gmail, Blogger, Google Docs, YouTube и т. д.), от восстановления порой зависят ваши дальнейшие перспективы —успех или увольнение. Посетите страницу Google Accounts (Аккаунты) и щелкните «Change password recovery options» (Изменить параметры восстановления). На ней можно указать второй адрес электронной почты, телефонный номер, по которому поступают текстовые сообщения от компании Google, и собственный контрольный вопрос.

Web – узлы

Огромное большинство паролей Web – узлов хранится в браузерах. Добрые люди из компании NirSoft выпустили несколько бесплатных продуктов для извлечения сохраненных имен пользователей и паролей из Firefox (с помощью PasswordFox), Google Chrome (с помощью ChromePass) и Internet Explorer (IE PassView). Есть даже программа MessenPass для восстановления паролей учетных записей IM, сохраненных в таких программах, как AIM, Yahoo Messenger, Google Talk, и многопротокольных программах обмена сообщениями, таких как Trilli – an и Digsby.

Локальные пароли

Как быть с паролями на собственном компьютере? Именно они становятся камнем преткновения для многих пользователей. Вам не к кому обратиться за помощью, если вы забыли пароль для входа в Windows или получили от кого-то компьютер с уже установленными паролями. Прежде чем форматировать жесткий диск и начинать все сначала, попробуйте Asterisk Key. Этот бесплатный инструмент предназначен для отдельных программ, сохраненные пароли которых скрыты от любопытных глаз звездочками (). Изготовитель, компания Passware, выпускает разнообразные инструменты для восстановления паролей, в том числе полный пакет Password Kit (49 долл.) для восстановления паролей в Microsoft Office и Windows Key (39 долл.) для сброса паролей Windows без переустановки операционной системы. Password Unlocker Studio также располагает хорошим набором инструментов восстановления.

Если вам не хочется тратить деньги из-за забытого пароля Windows, воспользуйтесь Ophcrack —миниатюрной бесплатной программой, запускаемой с диска LiveCD (необходимо загрузить и записать ISO – образ на CD – диск). Выполните загрузку компьютера с диска, и скоро на дисплее будут показаны все пароли для Windows XP, Vista и Windows 7. (Запуску Ophcrack без диска LiveCD может воспрепятствовать антивирусная программа.)

Маршрутизаторы

Необходимость в восстановлении пароля может возникнуть и на маршрутизаторе. С помощью программы RouterPassView компании NirSoft можно собрать данные из файлов конфигурации маршрутизатора, но это удается сделать не для всех моделей.

Если вы никогда не изменяли настройки по умолчанию, поищите имена пользователя и пароли в списке всех известных маршрутизаторов, опубликованном на (где же еще?) сайте RouterPasswords.com.


No Comments »

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

Copyright © 2018 Hack NET Portal – новости IT безопасности.