У гэтым артыкуле гаворка пойдзе пра тое, як стварыць бяспечны пароль, якіх прынцыпаў варта прытрымлівацца пры іх стварэнні, пра тое, як захоўваць паролі і мінімізаваць верагоднасць атрымання доступу да вашых звестках і ўліковым запісам зламыснікамі.
Гэты артыкул з'яўляецца працягам артыкула "Як могуць узламаць ваш пароль" і мае на ўвазе, што вы знаёмыя з матэрыялам, выкладзеным там ці і без таго ведаеце ўсе асноўныя шляхі, якімі паролі могуць быць скампраметаваныя.
стварэнне пароляў
Сёння, пры рэгістрацыі якога-небудзь Інтэрнэт акаўнта, ствараючы пароль, вы як правіла бачыце індыкатар надзейнасці пароля. Практычна ўсюды ён працуе на падставе ацэнкі наступных двух фактараў: даўжыні пароля; наяўнасці адмысловых знакаў, вялікіх літар і лічбаў у паролі.
Нягледзячы на тое, што гэта сапраўды важныя параметры ўстойлівасці пароля да ўзлому метадам перабору, пароль, які здаецца сістэме надзейным, не заўсёды такім з'яўляецца. Да прыкладу, пароль накшталт "Pa $$ w0rd" (а тут ёсць і адмысловыя знакі, і лічбы), хутчэй за ўсё, будзе узламаны вельмі хутка - у сувязі з тым, што (як было апісана ў папярэднім артыкуле) людзі рэдка ствараюць унікальныя паролі (менш за 50% пароляў ўнікальныя) і паказаны варыянт з вялікай верагоднасцю ўжо ёсць у утекших базах, наяўных у зламыснікаў.
Як быць? Аптымальны варыянт - выкарыстоўваць генератары пароляў (ёсць у Інтэрнэце ў выглядзе онлайн утыліт, а таксама ў большасці менеджэраў пароляў для кампутара), ствараючы доўгія выпадковыя паролі з выкарыстаннем адмысловых знакаў. У большасці выпадкаў, пароль з 10 і больш такіх сімвалаў проста не будзе прадстаўляць цікавасць для ўзломшчыка (гэта значыць, яго софт не будзе наладжаны на падбор такіх варыянтаў) у сувязі з тым, што выдаткі часу не акупяцца. Нядаўна ўбудаваны генератар пароляў з'явіўся ў браўзэры Google Chrome.
Ва ўказаным спосабе галоўным недахопам з'яўляецца тое, што такія паролі складана запомніць. Калі існуе неабходнасць трымаць пароль у галаве, ёсць яшчэ адзін варыянт, заснаваны на тым факце, што пароль з 10 знакаў, які змяшчае загалоўныя літары і спецыяльныя сімвалы, ўзломваюць метадам перабору у тысячы і больш (пэўныя лікі залежаць ад дапушчальнага набору знакаў) раз прасцей, чым пароль з 20 сімвалаў, які змяшчае толькі малыя лацінскія сімвалы (нават калі узломшчык ведае пра гэта).
Такім чынам, пароль, які складаецца з 3-5 простых выпадковых ангельскіх слоў будзе лёгка запомніць і амаль немагчыма ўзламаць. А напісаўшы кожнае слова з вялікай літары, мы ўзводзім колькасць варыянтаў у другую ступень. Калі ж гэта будуць 3-5 рускіх слоў (зноў жа выпадковых, а не імёны і даты), напісаных ў ангельскай раскладцы, прыбіраецца таксама гіпатэтычная магчымасць выдасканаленых метадаў выкарыстання слоўнікаў для падбору пароля.
Адназначна правільнага падыходу да стварэння пароляў, мабыць, не: у розных спосабах ёсць добрыя якасці і недахопы (звязаныя з магчымасцю запомніць яго, надзейнасцю і іншымі параметрамі), аднак асноўныя прынцыпы выглядаюць наступным чынам:
- Пароль павінен складацца з значнай колькасці знакаў. Найбольш часта сустракаецца абмежаванне сёння - 8 знакаў. І гэтага мала, калі вам патрабуецца абаронены пароль.
- Па магчымасці, варта ўключыць у пароль спецыяльныя сімвалы, загалоўныя і вялікія літары, лічбы.
- Ніколі не ўключайце ў пароль асабістыя дадзеныя, нават запісаныя ўяўнымі вам "хітрымі" спосабамі. Ніякіх дат, імёнаў і прозвішчаў. Да прыкладу, ўзлом пароля які ўяўляе сабой любую дату сучаснага юліянскага календара з 0-га года і па сённяшні дзень (віду 2015/07/18 або 18.072.015 і да т.п.) зойме ад секунд да гадзін (і тое, гадзіны атрымаюцца толькі з-за затрымак паміж спробамі для некаторых выпадкаў).
Вы можаце праверыць, наколькі надзейны ваш пароль на сайце (хоць ўвод пароляў на нейкіх сайтах, асабліва без https - не самая бяспечная практыка) //rumkin.com/tools/password/passchk.php. Калі не хочаце правяраць свой сапраўдны пароль, увядзіце падобны (з той самай даты знакаў і з тым жа іх наборам), каб атрымаць уяўленне аб яго надзейнасці.
Па ходзе ўводу знакаў, сэрвіс вылічае энтрапію (умоўна, колькасць варыянтаў, для энтрапіі ў 10 біт, колькасць варыянтаў роўна 2 у дзясятай ступені) для зададзенага пароля і прыводзіць даведку па надзейнасці розных значэнняў. Паролі з энтрапіяй больш за 60 амаль немагчыма ўзламаць нават падчас мэтанакіраванага падбору.
Не выкарыстоўвайце аднолькавыя паролі для розных уліковых запісаў
Калі ў вас выдатны складаны пароль, але вы яго выкарыстоўваеце ўсюды, дзе толькі можна, ён аўтаматычна становіцца зусім ня надзейным. Як толькі хакеры ўзламаюць любы з сайтаў, дзе вы карыстаецеся такой пароль і атрымаюць доступ да яго, будзьце ўпэўненыя, ён тут жа будзе апрабаваны (аўтаматычна, з дапамогай адмысловага ПА) на ўсіх іншых папулярных паштовых, гульнявых, сацыяльных сэрвісах, а можа і ў онлайн-банках (Спосабы паглядзець, утек Ці ўжо ваш пароль прыведзены ў канцы папярэдняга артыкула).
Унікальны пароль для кожнага акаўнта - гэта складана, гэта нязручна, але абавязкова трэба, калі гэтыя акаўнты ўяўляюць хоць нейкую важнасць для вас. Хоць, для нейкіх рэгістрацый, якія не маюць ніякай каштоўнасці для вас (гэта значыць вы гатовыя іх страціць і не станеце перажываць) і не змяшчаюць асабістай інфармацыі, можна і не напружвацца з унікальнымі паролямі.
двухфакторную аўтэнтыфікацыя
Нават надзейныя паролі не гарантуюць таго, што ў ваш рахунак ніхто не зможа зайсці. Пароль можна тым ці іншым спосабам скрасці (фішынг, да прыкладу, як найбольш часты варыянт) або даведаўся ў вас.
Амаль усе сур'ёзныя онлайн кампаніі уключаючы Google, Яндэкс, Mail.ru, Facebook, У кантакце, Microsoft, Dropbox, LastPass, Steam і іншыя з параўнальна нядаўняга часу дадалі магчымасць уключэння двухфакторную (або двухэтапной) аўтэнтыфікацыі ва ўліковых запісах. І, калі вам важная бяспеку, настойліва рэкамендую яе ўключыць.
Рэалізацыя працы двухфакторную аўтэнтыфікацыі нязначна адрозніваецца для розных сэрвісаў, але асноўны прынцып выглядае наступным чынам:
- Пры ўваходзе ў рахунак з невядомага прылады, пасля ўводу правільнага пароля вас просяць прайсці дадатковую праверку.
- Праверка адбываецца з дапамогай кода па смс, адмысловага прыкладання на смартфоне, з дапамогай загадзя падрыхтаваных раздрукаваных кодаў, паведамленні E-mail, апаратнага ключа (апошні варыянт з'явіўся ў Google, гэтая кампанія наогул перадавік у тым, што тычыцца двухфакторную аўтэнтыфікацыі).
Такім чынам, нават калі зламыснік даведаўся ваш пароль, ён не зможа зайсці ў ваш уліковы запіс, не маючы доступу да вашых прыладам, тэлефоне, электроннай пошце.
Калі вам не да канца зразумела, як працуе двухфакторную аўтэнтыфікацыя, рэкамендую пачытаць артыкулы ў Інтэрнэце, прысвечаныя гэтай тэме або апісання і кіраўніцтва да дзеяння на саміх сайтах, дзе яна рэалізаваная (проста падрабязную інструкцыю у гэты артыкул мне ўключыць не ўдасца).
захоўванне пароляў
Складаныя унікальныя паролі для кожнага сайта - выдатна, але як іх захоўваць? Наўрад ці ўсе гэтыя паролі ўдасца трымаць у галаве. Захоўванне захаваных пароляў у браўзэры - рызыкоўная задума: яны не толькі становяцца больш уразлівымі для несанкцыянаванага доступу, але і папросту могуць згубіцца ў выпадку збояў сістэмы і пры адключанай сінхранізацыі.
Аптымальным рашэннем лічацца менеджэры пароляў, у агульных рысах ўяўляюць сабой праграмы, якія шануюць усе вашы сакрэтныя дадзеныя ў зашыфраваным абароненым сховішча (як оффлайн, так і онлайн), доступ да якога ажыццяўляецца з выкарыстаннем аднаго майстар-пароля (дадаткова можна ўключыць двухфакторную аўтэнтыфікацыю). Таксама большасць такіх праграм абсталяванае інструментамі генерацыі і ацэнкі надзейнасці пароляў.
Пару гадоў таму я пісаў асобную артыкул пра Лепшыя менеджэры пароляў (яе варта перапісаць, але атрымаць уяўленне аб тым, што гэта такое і якія праграмы карыстаюцца папулярнасцю з артыкула можна). Некаторыя аддаюць перавагу простыя оффлайн рашэння, накшталт KeePass або 1Password, якія захоўваюць усе паролі на вашым прыладзе, іншыя - больш функцыянальныя ўтыліты, якія прадстаўляюць таксама магчымасці сінхранізацыі (LastPass, Dashlane).
Вядомыя менеджэры пароляў у цэлым разглядаюцца як вельмі бяспечны і надзейны спосаб іх захоўвання. Аднак, варта ўлічваць і некаторыя дэталі:
- Для доступу да ўсіх вашым паролям трэба ведаць усяго толькі адзін майстар-пароль.
- У выпадку ўзлому онлайн сховішчы (літаральна месяц таму ўзламалі самы папулярны ў свеце сэрвіс кіравання паролямі LastPass) вам давядзецца мяняць усе вашыя паролі.
Як яшчэ можна захаваць свае важныя паролі? Вось пара варыянтаў:
- На паперы ў сейфе, доступ да якога будзеце мець вы і чальцы вашай сям'і (не падыходзіць для пароляў, якія патрабуецца часта выкарыстоўваць).
- Оффлайн база дадзеных пароляў (напрыклад, KeePass), захаваная на даўгавечным назапашвальніку інфармацыі і прадубляваць дзе-небудзь на выпадак страты.
Аптымальным на мой погляд спалучэннем усяго вышэйапісанага з'яўляецца наступных падыход: самыя важныя паролі (асноўны E-mail, з дапамогай якога можна аднавіць іншыя акаўнты, банк і да т.п.) захоўваюцца ў галаве і (або) на паперы ў надзейным месцы. Менш важныя і, адначасова, часта выкарыстоўваюцца варта даручыць праграмах - менеджэрам пароляў.
дадатковая інфармацыя
Спадзяюся, спалучэнне двух артыкулаў на тэму пароляў камусьці з вас дапамагло звярнуць увагу на некаторыя аспекты бяспекі, пра якія вы не задумваліся. Вядома, усе магчымыя варыянты я не ўлічыў, але простая логіка і некаторы разуменне прынцыпаў, дапаможа самастойна вырашыць, наколькі бяспечна тое, што вы робіце ў пэўны момант. Яшчэ раз, некаторыя згадвальныя і некалькі дадатковых пунктаў:
- Выкарыстоўвайце розныя паролі для розных сайтаў.
- Паролі павінны быць складанымі, мацней за ўсё павялічыць складанасць вы можаце, павялічыўшы даўжыню пароля.
- Не выкарыстоўвайце асабістых дадзеных (якія можна даведацца) пры стварэнні самага паролю падказак да яго, кантрольных пытанняў для аднаўлення.
- Выкарыстоўвайце двухэтапную аўтэнтыфікацыю там, дзе гэта магчыма.
- Знайдзіце аптымальны для сябе спосаб бяспечнага захоўвання пароляў.
- Асцерагайцеся фішынгу (правярайце адрасы сайтаў, наяўнасць шыфравання) і шпіёнскіх праграм. Ўсюды, дзе просяць ўвесці пароль, правярайце, ці сапраўды вы яго ўводзіце менавіта на патрэбным сайце. Сачыце, каб на кампутары не было шкоднаснага ПА.
- Па магчымасці, не выкарыстоўвайце вашыя паролі на чужых кампутарах (калі гэта неабходна, рабіце гэта ў "рэжыме інкогніта" браўзэра, а яшчэ лепш набірайце з экраннай клавіятуры), у публічных адкрытых Wi-Fi сетках, асабліва пры адсутнасці шыфравання https пры злучэнні з сайтам .
- Магчыма, не варта захоўваць самыя важныя, сапраўды прадстаўляюць жыццёвую каштоўнасць, паролі на кампутары або анлайн.
Неяк так. Думаю, падняць градус параноі мне ўдалося. Я разумею, што многае з апісанага здаецца нязручным, могуць узнікаць думкі накшталт "ну ўжо мяне-то гэта абміне", але адзіным апраўданнем ляноты пры накіраванні простым правілам бяспекі пры захоўванні канфідэнцыйнай інфармацыі можа быць толькі адсутнасць яе важнасці і ваша гатоўнасць да таго, што яна стане набыткам трэціх асоб.
