Interfax-Russia.ru - Придумать сложный для взлома пароль непросто. Эксперт рассказал, как с этой задачей может помочь любимая песня и сколько символов должно быть в по-настоящему надежном пароле.
Если театр начинается с вешалки, то безопасность в абсолютном большинстве современных гаджетов — с паролей. Какой пароль считается самым надежным и как его создать — разбирались вместе с экспертом, директором по развитию направления "Кибербезопасность для населения" ГК "Солар", со-директором программ кибербезопасности Школы управления Сколково Олегом Седовым.
Какой пароль считается наименее надежным?
Пароль не должен содержать дни рождения, номера телефонов, любые комбинации только из букв или только из цифр
Самые популярные пароли, используемые пользователями, чаще всего и являются наименее надежными. В основном в качестве пароля выбирается та комбинация букв или цифр, которая проще всего для запоминания. Среди них:
- дата рождения
- номер телефона
- дублирование логина
- имя домашних питомцев
- "keyboard-walks", пароли, где используются идущие подряд на клавиатуре буквы (qwerty)
"Пароль не должен содержать дни рождения, номера телефонов, любые комбинации только из букв или только из цифр. Также, ни в коем случае, пароль не должен совпадать с логином (именем пользователя) и вариацией, как логин "user123", а пароль "user321". Не годятся в качестве пароля и "прогулки по клавиатуре" – так называемые keyboard-walks пароли, например, "qwerty", "qazwsx", даже с добавлением цифр типа qwerty123456 и тому подобное", — говорит Олег Седов.
Он добавил, что хакеров не останавливают и такие хитрости в паролях, как замен буквы "о" на ноль, или буквы "s" на знак доллара.
Как придумать надежный пароль и не забыть его
Придумать пароль, который легко запомнить и повторить, можно, использовав любимую песню или детский стишок
Как поясняет эксперт, длинные пароли, состоящие из 12 и более символов, ломаются не хуже, чем короткие, потому что для их составления люди часто используют фразы из 3-4 обычных слов и такая задача хакерами и мошенниками решается с помощью перебора по словарю, что занимает крайне мало времени, т.к. этот перебор производит программа.
"Наивно будет использовать в качестве пароля русские слова, набранные латиницей. Например, конструкция "JxtymCkj;ysqGfhjkm" на самом деле в русской раскладке клавиатуры будет "ОченьСложныйПароль", что вскрывается программными средствами в два счета", — поясняет эксперт.
Седов предлагает для создания пароля пользователя придумать алгоритм, который лично вам будет понятным и логичным, чтобы по нему можно было не только составить пароль, но и вспомнить его, когда понадобится.
"Возьмите слова песни, которая вам нравится, и из каждой строчки у вас получится пароль для отдельного цифрового ресурса. А через полгода вам эта песня надоест, и вы выучите новую. Для одаренных в науках почему бы не попробовать таблицу Менделеева, как генератор паролей. Например, чем не пароль инертные газы: "He2Ne10Ar18"? Осталось добавить специальные символы "He2!Ne10@Ar18#" и стойкость этого пароля 204 миллиона лет", — рассказывает эксперт.
Также для создания пароля, как пример алгоритма, можно взять детский мини-рассказ для запоминания цветов, где "каждый охотник желает знать, где сидит фазан". Самое простое – использовать первые буквы слова и получается пароль: "kozzgsf". Семь букв очень мало, поэтому можно брать первые две буквы и чередовать регистры, тогда получится пароль: "KaOhZhZnGdSiFa". Для еще большей надежности в него можно добавить цифры и специальные знаки.
Как повысить надежность пароля и киберзащиты?
Чтобы усилить защиту гаджета — используйте второй пароль, или двухфакторную аутентификацию
"Не исключено, что у многих на двери в квартиру стоит два замка – для большей надежности. Точно также и в компьютерных системах, чтобы впустить пользователя часто кроме пароля используется еще и второй параметр. Но не второй пароль! Если злоумышленники как-то узнали один пароль, возможно, они заполучили всю базу или смогли внедриться в систему и перехватывают информацию. В таких случаях специалисты говорят, что канал скомпрометирован", — говорит Седов.
Тогда для повышения защиты своих данных в сети используется двухфакторная аутентификация. Она может применяться как для разблокирования компьютера, так и для доступа к корпоративным и иным личным сервисам в сети.
"Чаще всего в роли второго канала используется SMS – вам на телефон приходит одноразовый код, который надо успеть ввести в специальное поле для подтверждения своих действий. Тогда в игру и вступает второй фактор, который основан на владении чем-либо еще, чаще всего телефоном или USB-ключом. Конечно, эту вещь тоже можно украсть, но маловероятно, что одновременно с паролем", — уточняет эксперт.
Седов также советует не держать телефон в одной сумке с ноутбуком или планшетом, если для двухфакторной аутентификации используется смс-сообщение, т.к. это может стать слишком большим подарком для воров.
Правила надежного пароля
Пароль нужно регулярно менять
Таким образом, для создания безопасного пароля и безопасного входа в свои личные данные интернет-ресурса нужно следовать следующим правилам:
- Придумать сложный пароль, состоящий из букв разного регистра, специальных символов и цифр
- Пароль должен регулярно меняться
- Для каждого ресурса должен использоваться свой уникальный пароль
- Помнить, что то, что удобно – всегда небезопасно
- Двухфакторная аутентификация – это необходимость
Как пароль может попасть в руки мошенников?
У любых паролей есть две слабые точки
"Надо сказать, что у самого метода защиты при помощи пароля есть две слабые точки. Во-первых, пользователь должен назвать свой пароль при входе в систему, и в этот момент кто-то может попытаться его похитить. Самое простое – подсмотреть из-за вашего плеча, так работают визуальные хакеры. Например, когда вы пользуетесь телефоном в метро. Или это сделает программа-вирус, проникшая на ваш компьютер", — поясняет Седов.
Во-вторых, провайдер должен хранить у себя пароли всех пользователей. Поэтому жулики обычно не охотятся за паролями отдельных пользователей, они стараются украсть всю базу паролей целиком. И, о чем свидетельствует множество уголовных дел, в компаниях, которые хранят данные пользователей, часто находится сотрудник, который готов подзаработать на "сливе" информации.
"Чтобы взломать систему, когда нет никаких догадок насчет пароля, используют метод брутфорс (по-английски brute force – буквально "метод грубой силы"), основанный на переборе всех возможных значений. Например, если у вас есть чемодан с кодовым замком, имеющий три лимба с цифрами от 0 до 9, то чтобы его открыть вам нужно перебрать всего тысячу комбинаций — с этим справится даже ребенок. Для четырех цифр уже потребуется перебрать 10 тыс. комбинаций, для пяти – 100 тыс. и так далее", — сказал эксперт.
Для примера Седов привел пароль, состоящий из латинских букв, уточнив, что скорость перебора вариантов с помощью компьютерной программы составляет 100 тыс. паролей в секунду. Исходя из этого можно вывести закономерность, что пароль из 1 знака имеет 36 вариантов и время перебора составляет менее секунды. Из 3 знаков пароль имеет 46 тыс. 656 вариантов и тоже может быть взломан менее, чем за секунду. Пароль из 4 символов уже имеет более 1,6 млн вариантов и взламывается около 17 секунд, а пароль из 7 символов имеет более 78 млрд вариантов, но при этом и его можно взломать за 9 дней. Пароль из 12 символов методом "брутфорс" можно взломать лишь за 1,5 млн лет, поэтому с такими паролями прибегают к другим методам, в частности, для этого просто используют несколько компьютеров, между которыми и распределяют границы вариантов.
"Для повышения стойкости пароля важна даже не столько его длина, как разнообразие используемых символов. Именно поэтому сервисы, которые действительно заботятся о безопасности своих пользователей, требуют, чтобы пароль обязательно содержал буквы верхнего и нижнего регистра, цифры и специальные знаки", — добавил эксперт.
Читайте также:
Обозреватель Егор Сильченко
