Технологии

Как придумать надежный пароль: ошибки, которые не стоит допускать

15 августа 2017 0

Надежный пароль

Lewis Ngugi / Unsplash.com

Желая защитить личные данные, все компьютерные пользователи пытаются придумать надежные и сложные пароли к своим учетным записям. Многие следуют рекомендациям специалистов, рассчитывая на то, что они-то точно знают, как скрыть от посторонних глаз конфиденциальную информацию. На днях выяснилось, что это не всегда так, и даже знающие люди могут ошибаться. В частности, Билл Бёрр ­– автор популярного руководства по созданию паролей, трудно поддающихся взлому, в интервью Wall Street Journal признался, что теория расходится с практикой, и его пособие 2003 г. выпуска было шагом в неверном направлении.

Неправильные советы Бёрра

В своем восьмистраничном документе ушедший на пенсию сотрудник Национального института стандартов и технологий США (NIST) советовал читателям менять свои пароли каждые три месяца и усложнять их, добавляя заглавные буквы, цифры и символы. Так, например, слово «protected» рекомендовалось изменять на «pr0t3cT3d4!». Сейчас автор уверен, что его указания неправильные, и на практике такая защита не поможет от взлома.

От взлома защитит абракадабра

Как выяснилось, хакеру требуется больше времени на разгадывание пароля, составленного из случайных слов. Возьмем, к примеру, «кошка сок подумать белый» – эта непонятная комбинация гораздо надежнее знаков вроде «br0k3n!», и на подбор такой абракадабры уйдут десятилетия. Поэтому современные пособия требуют обновлять защиту только тогда, когда она находится под угрозой.

Также, составляя новые правила, авторы учитывали и человеческий фактор: люди, как правило, ленятся и вносят лишь незначительные изменения, меняя по одному символу (mirror5 на mirror2), из-за чего и становятся легкой добычей для злоумышленников.

«Нам уже давно ясно, что рекомендации эти принесли больше вреда, чем пользы. Например, известно: чем чаще пользователя просят менять пароль, тем более простой вариант он выбирает. А поскольку каждый из нас сегодня зарегистрирован на множестве сайтов, ситуация усугубляется, так как велик соблазн везде использовать один и тот же пароль», – объясняет специалист в области компьютерной безопасности Алан Вудворд.

Использование менеджера паролей защитит пользователей от правонарушителей

В 2015 г. британский Центр национальной кибербезопасности опубликовал руководство по выбору защиты от взлома. В нем спецслужба советует организациям использовать у себя менеджер паролей, вместо того чтобы поощрять сотрудников к частой смене секретных слов. К слову, эти специальные программы способны надежно хранить сотни различных учетных записей.

«Очень хорошо, что советы меняются с учетом реальной практики, подтвержденной исследованиями. Однако традиционные рекомендации в области информационной безопасности по-прежнему в ходу, несмотря на их бесполезность. Государство и частные компании нуждаются в дополнительных исследованиях, способных показать, какие меры действительно способны улучшить ситуацию», – сообщает эксперт по кибербезопасности Лондонского университетского колледжа Стивен Мердок.

Специальная программа проверит ваш пароль на надежность

Отметим, что в августе 2017 г. разработчик компании Microsoft Трой Хант запустил сервис проверки почтовых адресов на взлом Have I Been Pwned (HIBP). Автор базы исследовал десятки случаев утечки и кражи паролей, собрал их всех и предоставил к ним свободный доступ.

Пользоваться данной программой очень легко: после ввода комбинации инструмент выполняет автоматический поиск ее по базе из 306 млн взломанных и уже не секретных слов и фраз. При этом Хант советует не проверять через новый сайт пароль, который активно используется, так он может оказаться под угрозой кражи.


Денис Сапожников

специалист по информационной безопасности

Да, частично с этими новыми правилами я согласен. В первую очередь, конечно, все зависит от того, где эти пароли применяются, и как сильно развиты параноидальные мысли у конкретного индивидуума. Там, где действительно требуется защита информации, есть определенные политики безопасности, которые, в частности, требуют смены пароля пользователей системы с определенной заранее периодичностью.

На самом ли деле надежнее пароли, состоящие, как написано, из абракадабры, чем из символов, букв и цифр? Все относительно. Если говорить о том, что данные пароли сложнее взломать при помощи метода «грубой силы» (brute force), да, естественно, это так. Кстати, проверить, сколько примерно времени уйдет на взлом вашего пароля, можно и тут – howsecureismypassword.net

Также, если злоумышленник получил, узнал хэш от пароля, вероятность дешифровки пароля, созданного таким образом, ощутимо ниже. Поясню: пароли пользователей не хранятся в базах данных в открытом виде, ибо в случае утечки информации из них будут скомпрометированы все пользователи. Хэширование – это односторонняя функция, результаты выполнения которой наоборот хранятся в базе данных. Соответственно, при аутентификации от введенного пользователем пароля, проверяется эта функция: если хэш в базе данных совпадает с хэшем от введенного пароля, то пользователь успешно проходит процедуру аутентификации.

Не так давно я бы посоветовал всем, кто заботится о безопасности своих данных, воспользоваться двухфакторной аутентификацией в системах, где это возможно. То есть вы вводите пароль, после чего на заранее указанный номер вам приходит смс с одноразовым паролем для авторизации. Однако сейчас и этот механизм защиты надежным считать не приходится, т.к. уязвимость в протоколе SS7 позволяет перехватить смс-уведомление. Еще в 2014 году российские специалисты из компании Positive Technologies Дмитрий Курбатов и Сергей Пузанков на одной из конференций по информационной безопасности наглядно показали, как происходят такие атаки.

Стоит понять одну простую истину: информационной безопасности рядового пользователя или даже целой компании не существует. Существует лишь стоимость взлома и выгода от него. Т.е. до тех пор, пока стоимость взлома будет превышать вероятную выгоду от него, пользователь и владельцы компаний могут спать спокойно. В ином случае независимо от того, сложный у вас пароль или нет, проблемы у вас будут гарантированно. Вопрос лишь в том, как быстро именно ваши данные заинтересуют народных умельцев.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Рассказать друзьям

0 Комментариев

Подписаться на рассылку

Комментарии

Войти с помощью 

Присоединяйтесь к нам в социальных сетях

В наших группах вы можете узнать много нового и интересного, а так же - принять участие в опросах и конкурсах

Присоединиться
Присоединиться