К основному контенту

Скажи волшебное слово. Ответы на простые вопросы о надежности паролей для защиты информации

Alaborn iPassword PRO

Мы привыкли к тому, что при работе с информацией нас повсюду окружают пароли: пароль для входа в почту, для доступа к мобильному банку, пароль от смартфона и так далее. Но что такое пароль как средство аутентификации? Легко ли взломать пароль методом перебора? А если украсть базу данных с паролями? И почему банки доверяют паролям защиту мобильных приложений для клиентов? В этом материале, партнером которого выступает AlfaLab, мы с помощью экспертов по информационной безопасности постарались ответить на эти и другие вопросы.

Что такое пароль?

Пароль — это знание, которое может подтвердить, что вы — это вы. При этом желательно, чтобы этим знанием никто больше не обладал.

В качестве примера приведем анекдот:
Муж — же­не:
— Лю­бимая, это ты заб­ло­киро­вала наш компь­ютер?
— Да.
— И ка­кой же па­роль?
— Да­та на­шей свадь­бы.
— Вот блин...

Я когда пароль новый придумываю, там обычно есть такая полоска, которая силу пароля обозначает. Что это вообще такое?

Это индикатор силы пароля, он показывает, насколько ваш пароль как бы хорошо защищает ваши данные. «Как бы» потому, что на самом деле никакого математического обоснования за этим нет. Иногда даже бывает, что один и тот же пароль маркируется как слабый на одном сайте и как надежный — на другом.Сложность пароля вообще вещь довольно субъективная.

В качестве примера снова приведем анекдот:
Хакеры взломали мою почту, хотя я придумал очень нетривиальный пароль — год канонизации святого Доминика папой Григорием IX. Похоже, всем известно, что это событие случилось в 1234 году.

А еще говорят, обычные слова нельзя использовать. А в Gmail еще и цифры заставляют, а в Apple — еще чтоб буквы разного регистра. Это вообще зачем?

В пароли лучше не включать обычные слова — это чистая правда. Чем дальше, тем лучше хакеры учатся подбирать пароли, содержащие словарные слова, названия, имена и так далее. Есть даже списки наиболее легких для взлома паролей. А включать в пароль дату своего рождения или свадьбы плохая идея потому, что эту информацию часто можно найти в социальных сетях.

В теории информации (сейчас будет немного математики, не пугайтесь) обычно считают не вероятность подбора одного символа, а количество информации, которое потенциально может содержать пароль. Оно считается по формуле: n*log2 А, где n — это количество символов в вашем пароле, а А — это количество возможных вариантов, приходящихся на один символ. Есть критерии, согласно которым невозможно сломать 128-битный пароль, но в таком пароле будет не менее 22 символов, включающих комбинацию из цифр с буквами разных регистров. Для практических целей рекомендуется использовать пароли длиной 14–15 символов: такой пароль, с одной стороны, легче запомнить, а с другой — хакерам он тоже даст отпор.

История из жизни:
Люди и правда очень легкомысленно относятся не только к своим паролям, но и к логинам. У нас в банке была такая история: один умелец прошелся по нашим клиентам во «ВКонтакте» и собрал их идентификаторы — слова, которые идут в командной строке после vk.com. Для каждого из таких идентификаторов он взял дату рождения со страницы пользователя. И стал массово подбирать пары логин-пароль: логином выступал этот самый публичный идентификатор, а паролем — дата рождения. Служба безопасности довольно быстро заметила умельца — с одного адреса шли попытки залогиниться в кучу разных аккаунтов. Но самое удивительное, что этому молодому человеку удалось таким образом сломать несколько десятков аккаунтов. То есть люди реально использовали в качестве логина свой идентификатор в «ВК», а в качестве пароля — дату рождения. Поэтому, если вы вдруг делаете так же, советуем вам прямо сейчас поменять и то, и другое.   

Логарифмы какие-то приплели. Пароль-то сложный как придумать?

На этот вопрос отвечает наш эксперт Сергей Белов, ведущий исследователь ИБ Digital Security:

«Есть такая шутка: как придумать надежный пароль? $ openssl rand -base64 32 (мы не смеялись, но эксперт говорит, что это смешная шутка — прим. редакции). Пароль должен быть длиной хотя бы 8–12 символов и содержать цифры и буквы верхнего и нижнего регистра. Проще, конечно, использовать менеджеры паролей, но все же, если пароль надо запомнить, то есть техника, позволяющая придумывать и никогда не забывать разные и сложные пароли для каждого ресурса: нужно выбрать какую-то базу, которую вы никогда не забудете. Например, слово «privet». И придумать схему формирования пароля, например, брать первую и последнюю букву из домена ресурса. Пусть это будет «ВКонтакте». Его домен vk.com. Пароль будет «vprivetk». Для Яндекса (yandex.ru) — «yprivetx». Конечно, схему нужно придумать (как и базовое слово — желательно со спецсимволами) — свою и более сложную. И учесть, что иногда вход на сайты бывает на другом домене».

От себя добавим более понятную шутку: говорят, самые лучшие пароли у неграмотных людей.

Я видел в фильме, как хакеры специальной программой перебирают все варианты пароля. Могут мне так взломать почту?

В теории да, в жизни нет. Все крупные почтовые сервера не позволяют ошибиться более двух раз при вводе пароля. На третий раз сайт может предложить сделать пятиминутный перерыв, прежде чем попробовать снова. Для взломщика это фактически гарантирует неудачу: если ему надо хотя бы 3000000 попыток для взлома вашего пароля, то такая игра затянется на 5*1000000 минут, то есть почти на 10 лет.

В интернете постоянно публикуют какие-то списки паролей. Это вообще что? И зачем?

Это реальные пароли реальных пользователей. Хакеры используют их для атаки на аккаунты со словарем — то есть подбирают не случайные комбинации, а смотрят на списки популярных паролей. Ну и это, конечно, хороший способ оценить общее отношение к паролям. Напомним, что последние годы лидирует 123456.

Ох. И что делать, если пароль все-таки своруют?

Вот, что говорит по этому поводу Сергей: «Что делать, если у вас все-таки украли пароль? Мгновенно менять, конечно же. Если пароль выбирался по схеме, которую я объяснял выше, то по такой же схеме надо придумать принцип ротации паролей (т.е. что и где менять в схеме). Даже если в следующий раз вы введете неверный пароль, то сможете, применив измененную схему, зайти на ресурс. В будущем, возможно, парольные менеджеры будут поддерживать массовую смену паролей (через API ресурсов), но это пока лишь запрос на новый функционал в данном ПО».

История из жизни:
На самом деле самые простые меры защиты самые действенные. То есть, по тем данным об атаках, которые есть у нас в банке, мы можем сказать: если вы заведете две разные почты — одну для работы и банковских дел, а другую для соцсетей и игр, то устойчивость к взлому вашего аккаунта вырастает на порядки. Это не шутка. 

Как же тогда банки вообще этим паролям доверяют?

Крупные банки, как правило, пользуются многофакторными способами авторизации. Например, помимо ввода основного пароля вас попросят ввести одноразовый код, который придет в виде SMS-сообщения или будет напечатан на чеке из банкомата. Вероятность подбора одноразового кода убывающе мала — у вора будет всего одна попытка.

Другой способ — дополнительная проверка с помощью отпечатка пальца. А если вы пользуетесь мобильным приложением, банк запросит и другую вспомогательную информацию (он ее считывает автоматически): время и место авторизации, уникальный идентификационный код устройства и так далее, — и насторожится, если что-то покажется ему необычным. Ну и банк всегда советует своим клиентам не использовать простые, легко угадываемые пароли.

Ладно, успокоили. И все-таки, скажите вот что: допустим, у меня сложный пароль. Как его не забыть?

Для этого придумана специальная программа — менеджер паролей. Она сама будет создавать для вас длинные и сложные пароли для всех сайтов по вашему усмотрению, а также сама будет эти пароли туда вводить. При этом все пароли будут храниться в зашифрованном файле, который перебором взломать попросту невозможно. Единственный ключ к ним — это ваш мастер-пароль. Вот он действительно должен быть длинным и сложным, потому что, потеряв его, вы рискуете потерять все. Поэтому некоторые пользователи хранят свой мастер-пароль в распечатанном виде в банковской ячейке. Так, на всякий случай.

А про комбинации «qwerty» и «123456» забудьте навсегда.

Alaborn iPassword PRO 7

Используйте в повседневной жизни работы за компьютером наш генератор и менеджер паролей, логинов и других персональных данных — Alaborn iPassword PRO. Тогда придумывать и хранить сложные пароли станет несравнимо легче!;)

Тарас Молотилин

Популярненькое:

Как научиться играть на губной гармошке новичку?

Всем еще раз огромный привет со страниц моего блога:)
С вами Владимир Моденов.
Многие любители гитары и гитарной музыки, а также просто люди, которым интересны музыкальные инструменты, часто хотели бы научиться играть на таком замечательном и доступном музыкальном инструменте, как губная гармоника, или попросту губная гармошка.Что ж, сейчас расскажу и дам наводки.Губная гармоникаГубная гармоника (разг. губная гармошка) — язычковый пневматический музыкальный инструмент, разновидность гармоники. Внутри губной гармоники находятся металлические пластинки (язычки), которые колеблются в воздушной струе, создаваемой музыкантом.
Губная гармоника чаще всего используется в таких музыкальных направлениях, как блюз, фолк, блюграсс, блюз-рок, кантри, джаз, поп.Полная статья:https://ru.wikipedia.org/wiki/Губная_гармоникаГармошки бывают диатоническими и хроматическими. Хроматические – более сложные инструменты с большим количеством дырочек и с кнопочкой на боку. Нас, как начинающих, интересует более п…

Как научиться играть на блокфлейте новичку?

Всем привет!:)
Сегодня будет необычный, не свойственный для моего блога пост. Тем не менее, очень нужный многим людям, которые наверняка найдут в нем ключ к решению своих задач.Дело в том, что пару дней назад я совершенно спонтанно и неожиданно для себя купил в музыкальном магазине… музыкальный инструмент. Нет, не большой и не дорогой, но самый настоящий. Этим музыкальным инструментом оказалась обычная блокфлейта. БлокфлейтаБлокфлейта(нем. Blockflöte — флейта с блоком) — разновидность продольной флейты. Это духовой деревянный музыкальный инструмент типа свистковых. В конструкции головной части используется вставка (блок). Родственные инструменты: свирель, сопилка, вистл. Блокфлейта отличается от других подобных инструментов наличием 7 пальцевых отверстий на лицевой стороне и одного на тыльной — так называемого октавного клапана. Два нижних отверстия часто делают двойными. Для закрывания отверстий при игре используется 8 пальцев. Для взятия нот часто применяются т. н. вилочные аппликату…

Взлом Nintendo Classic Mini. Устанавливаем свои NES-игры с помощью утилиты hakchi2

Статья по теме: Nintendo NES Classic Mini. Распаковка, обзор и мнение
Не так давно я рассказывал, что купил игровую приставку от великой Nintendo — Nintendo Classic Mini. Если Вы ещё не читали распаковку и мнение об этом нашумевшем перевыпуске легендарной японской консоли, пожалуйста, прочтите — это интересно.
Два месяца я регулярно играл в свою приставку и не знал горя — всё было просто великолепно. Но, как известно, дьявол кроется в деталях, и мне никак не давало покоя, что изменить зашитое в консоль количество игр изменить никак нельзя — ни удалить те игры, в которые я не играю, ни (самое главное!) добавить свои. Казалось бы, даже весьма логичную возможность покупать игры в фирменном магазине Nintendo разработчики успешно слили в унитаз и никак не реализовали. И всё бы ничего, есть любимые части Марио, Мега Мэна, Пэк-Мэна, Зельды, Метроида и других классических игр, но... Как же без Аладдина, Чип и Дэйла, Стрит Файтера, Дарквин Дака — вот оно, наше настоящее детство, вот во что мы …

Как там Apple iPhone 5s в 2017 году поживает?

Всем привет! На связи Моденов.
Apple мне не заплатила. Она вообще никому не платит — даже самым крутым блогерам. Ей это просто не нужно. Поэтому этот пост — верх честности и адекватной оценки работы устройства, которому, на минуточку, в 2017 году исполняется вот уже целых 4 года. Я говорю о Apple iPhone 5s.

Лучшие игры на Dendy: 100 лучших NES-игр — В дополнение к предыдущему NES-посту

Всем привет.

Вчера публиковал в своём блоге пост о лучших эмуляторах NES-игрушек для PC (приставка Dendy в России), и уже после публикации мне на глаза попались два интересных видео — почти два часа автор ролика, разбитого на две части, рассказывает зрителю о ста лучших 8-битных NES-игр для приставки Dendy. Большинство из этих игр присутствуют в том архиве, которым я поделился в своём посте, поэтому мне показалось, что эти видео будут интересны.

ТОП 100 лучших игр на Денди



Мой рейтинг лучших NES-игр
Ну, и в завершение этого маленького поста позвольте опубликовать и собственный рейтинг лучших, по моему скромному мнению, NES-игр для приставки Dendy:
Adventure Island 2The FlinstonesSuper Mario Bros.Tiny Toon AdventuresBattletoadsDuck TalesAladdin 43 Eyes Boy (существует русская версия)Robocop 3Chip and DaleChip and Dale IIThe Ghostbasters II Повторю, что скачать все эти и многие другие игры, плюс эмуляторы к ним, Вы можете из вот этого моего поста
Ну, вот и всё. Приятных Вам просмотра и …