Как выбрать пароль. Ликбез по парольной защите

Привет, друзья! Сегодня мы обсудим такую архиважную тему, как логины и пароли. В век тотальной информатизации у каждого из нас имеется множество учетных записей, начиная от входа в компьютер/ноутбук/планшет/телефон, заканчивая банковскими учетными записями.

Большинство авторитетных интернет-компаний и сервисов имеют на своих ресурсах краткие рекомендации по выбору пароля. Но, как правило, они слишком поверхностные, к тому же, найти их можно только в разделах типа "FAQ", "Помощь" и т.п. То есть не непосредственно в момент регистрации. Так что, я изложу свое видение того, как придумать надежный пароль.

Как выбрать пароль

Во-первых, давайте сразу определимся, какие пароли использовать НЕЛЬЗЯ (это уже прописные истины):

  • пароли, с минимальным количеством знаков, и тем более, без использования спецсимволов. Примеры: 1234, fhj, 8855, 451326, kdjkdsj – эти и подобные пароли взламываются очень быстро, особенно те, которые состоят исключительно из цифр, даже если их много, типа 265489418758. Все это очень ненадежные пароли. После прочтения этой статьи, вы поймете почему.
  • пароли, состоящие из словарных слов, любых словарных слов, будь-то "апельсин", или "leukocyte" – особой разницы нет. Это касается не только русскоязычных и англоязычных слов, но и любых слов на любом языке ;
  • самые известные и примитивные пароли, например, 123456, qwerty, йцукен, 123456qwerty, admin, pass, password и т.д. Как ни странно, но периодические исследования в этой области показывают, что очень много людей используют именно такие пароли;
  • пароли, в которых буквы заменены на похожие цифры или символы: O на 0, B на 8, S на 5 (или на знак доллара $) и другие. Самый яркий пример - pa$$w0rd
  • пароли, содержащие хоть какую информацию, относящуюся к вашей личности: дата рождения, телефон, последние цифры кредитной карты, любимые фильмы, логины, прозвища, фамилии или имена (в т.ч. и дальних родственников) и все в таком духе.

Это первостепенные запреты. Теперь рассмотрим основные методы завладения чужими паролями. Заодно поймем, почему нельзя использовать пароли, сформированные вышеназванными способами.

Надежный пароль может оказаться беспомощным, если компьютер заражен

Преобладающие методы кражи паролей и учетных данных можно разделить на несколько категорий:

  • простой перебор (он же брутфорс). Посредством специальных программ перебираются все возможные знаки (прописные и строчные буквы, цифры, спецсимволы) в связке "логин – пароль".

В этих программах (брутфорсерах) указываются необходимые условия для перебора: параметры логина (если он известен, то задача многократно облегчается), т.е., обозначается, какие знаки использовать при его переборе, использовать ли цифры, специальные символы (!@#$%^()_+?, и др.), использовать только строчные, только заглавные, или те и другие буквы. Также, можно указать максимальное число знаков (и минимальное). Аналогично условия брута вводятся и для пароля.

Исходя из всего этого, становится понятным, почему нельзя использовать пароли из первого пункта "запретного" списка. А что касается чисто цифрового пароля, без букв и символов, тут объяснение простое. Просто задайте себе вопрос: сколько может существовать вероятных комбинаций пароля из 8 знаков, состоящего исключительно из цифр, и комбинаций пароля из такого же количества знаков, но включающего в себя хотя бы пару букв? Ответ очевиден. Современные машины, с мощными вычислительными возможностями, способны подобрать цифровой пароль, состоящий только из цифр за считанные минуты.

Кроме того, огромное значение имеет и длина пароля! На современных компьютерах проще подобрать совершенно незапоминаемый 10-значный пароль, использующий весь диапазон символов, чем 20-символьный пароль состоящий из одних букв, но который более легок для запоминания. Это может быть, например, комбинация каких-то несвязных между собой слов с намеренным каверканьем/ошибками/транслитерацией или вообще не словарных слов. Согласитесь, пароль verblud_usaet_153_avtomata_za_noch! ("верблюд юзает 153 автомата за ночь!") достаточно легко запомнить, и тем не менее он очень устойчив: в нем 35 символов, включая цифры и спецсимволы. Можно еще добавить и заглавных букв =) Такой пароль гораздо более стойкий, чем незапоминаемая абракадабра из 8-10 символов. И использовать его рекомендуется, например, в качестве мастер-пароля к менеджеру паролей.

  • перебор по словарям. В брутфорсер загружаются словари того или иного языка. В России, это, как правило, английский и русский язык. Причем, в подавляющей массе паролей используются именно английские буквы и слова (если быть точнее, латинские). Кириллица используется реже, в том числе и потому, что некоторые сервисы позволяют употреблять в качестве пароля только латиницу, цифры и символы. Или, что бывает чаще - это специальные словари, состоящие из украденных откуда-то паролей (в таких базах может быть несколько миллионов паролей, и даже десятков и сотен миллионов)

Взлом по этой методе реализуется примерно так: загружается словарь (или словари), сначала прогоняется в брутфорсере так сказать "на чистую". Если результатов нет, то используется "маска" – т.е. кроме прямых указаний программе использовать загруженные словари, обозначаются также такие критерии, как количество использованных цифр, символов, и в каком месте вставить (в конце слова, в начале). Например, пароль типа architect2013 будет подобран за минимальное кол-во времени. Аналогично и 2013architect. А вот если пароль будет ar2ch0it1ec3t, то его "по словарю" будет нереально забрутить. Взломщику придется прибегнуть к первому способу (прямой перебор).

  • социально-инженерный метод. Социальная инженерия (в рамках этой статьи буду называть ее СИ) в последние годы безумно популярна в среде хакеров, кардеров, интернет-мошенников, и конечно же, в среде наших доблестных спецслужб =) А двигателем СИ являются соцсети и массовая интернетизация.

Одним из методов противодействия СИ в контексте данной темы, как раз является последний пункт "запретного" списка. Но СИ, как наука (а я реально считаю ее наукой и искусством) нацелена далеко не на поиск паролей. Вернее, конечной целью является, как правило, именно связка "логин – пароль", но добываются такие сведения очень тонко, изящно, и не заметно на первых порах для "жертвы". А окончательным итогом всех этих манипуляций являются либо кража ваших средств с банковских счетов или интернет-кошельков, либо компрометация и последующий шантаж, с целью материальной наживы (выкуп) или же с целью заставить вас выполнить определенные, и, как правило, незаконные действия. Т.е. цель - "посадить на крючок".

Можно провести некую аналогию с так называемыми "цыганами", экстрасенсами, сектантами – вас вводят в заблуждение и выбивают необходимую информацию (или добиваются определенных действий от вас), причем главным оружием для таких личностей, как в оффлайне, так и в онлайне является что? Попробуйте угадать! = ) А ответ прост, вспомните великие пословицы и поговорки "Язык мой – враг мой" или "Болтун – находка для шпиона". Уловили суть? И еще часто бывает, что вы можете еще не скоро понять, откуда же была утечка, откуда идет это влияние, а можете и вообще не понять.

Если вас заинтересовало искусство СИ, погуглите этот вопрос и узнаете массу интересного.

  • программный метод. Тут с одной стороны все просто для понимания – это трояны, кейлогеры, скрипты, шпионы, руткиты и прочие вредоносные объекты (для простоты понимания обозначим их образно "вирусы"). А с другой стороны сложно - в плане практической реализации защиты от всех этих зараз.

Большинство среднестатистических пользователей считают, что установив хороший антивирус (пусть даже самый лучший по различным независимым тестам), они абсолютно защищены от любых угроз. Как ни странно, но это ложное представление. В данной статье мы этот вопрос разбирать не будем, потому что к нему мы будем вновь и вновь обращаться на страницах этого блога – это, как-никак, одна из основных целей и направлений блога.

  • аппаратный метод. Этот способ реализуется только при непосредственном контакте с "жертвой", и как ни странно, агрессором, скорее всего, выступит близкий или знакомый вам человек. Метод актуален, в первую очередь, для настольных компьютеров.

Основан он на том, чтобы "установить" на компьютер, некое техническое приспособление – аппаратный кейлогер. Как правило, это небольшой "девайс", который засовывается в гнездо для клавиатуры системного блока, а в само это приспособление засовывается провод от "клавы". Получается что-то вроде переходника. И этот "переходник" записывает в себя (по типу обычной флешки) все нажатия по клавишам клавиатуры, и никакой, абсолютно никакой, антивирус этого чисто физически заметить не сможет, ведь "перехватчик" аппаратный, а не программный.

К аппаратным методам можно отнести и более изощренные варианты, но это уже ближе к шпиономании и спецслужбам. Несмотря на это, статьи по таким методикам, возможно, будут опубликованы в дальнейшем. Так сказать, для параноиков. Я вот даже сейчас подумал, что может быть такую рубрику создам "Special for Paranoics" =)

Теперь, когда мы знаем с какой стороны может быть осуществлена атака и знаем о том, какие пароли считаются ненадежными, самое время перейти к рекомендациям по выбору пароля и по способам их хранения и к общим правилам безопасности.

Самый надежный пароль - это железный пароль

Для начала, разбейте все свои пароли на условные группы, по их важности. Например, самыми важными можно назвать пароли от интернет-банкинга, электронных кошельков, основных e-mail, серверов, домашних маршрутизаторов (роутеров, точек доступа), хостинговых аккаунтов, ну, и, конечно же, от ваших сайтов и блогов.

К средней важности можно отнести пароли к аккаунтам в соцсетях, электронной почте, но только не к той, на которую вы регистрировались в сервисах, о которых написано в группе самых важных паролей. Т.е. если к важным мы относим пароль от клиент-банка, то и пароль для e-mail, который вы указывали при регистрации в этом сервисе, также должен быть очень сложным. Также к этой группе я отношу пароль администратора компьютера.

Ну и третья группа – наименее важные сервисы. Как пример: электронная почта, которую вы используете для различных подписок, аккаунты на сайтах, не представляющие собой ничего ценного (где вы регистрируетесь, скажем, только для того, чтобы оставить комментарий) и т.п.

После того, как пароли разбиты на группы, поговорим о том, каким должен быть пароль для каждой из них.

Первая группа

  • рекомендуемое количество символов – от 20 до 50. Длиннее - особого смысла нет, но если сервис позволяет любую длину пароля и вы – параноик, то дерзайте =);
  • используемые символы – прописные и строчные буквы, цифры, спецсимволы; желательно при генерации такого пароля использовать как кириллический алфавит, так и латиницу, если использование кириллицы допускается тем сервисом, в котором вы регистрируетесь. Многие генераторы паролей используют только латиницу, так что, после того, как вы сгенерируете пассворд, добавьте вручную несколько кириллических символов.
  • для каждой учетной записи из этой группы у вас должен быть отдельный и самый надежный пароль.

Вторая группа

  • кол-во символов ~ от 15 до 20;
  • используемые символы – аналогично предыдущей группе;
  • для каждой "учётки" пароль также должен быть отдельным.

Третья группа

  • допускаются пароли от 8 символов;
  • знаки препинания и спецсимволы можно не применять;
  • пароль можно делать читаемым и простым для запоминания;
  • допускается использование одного пароля для разных сайтов, чтобы не париться с их запоминанием, ведь такие аккаунты, как мы уже рассмотрели, не несут никакой ценности для вас.

Для третьей группы можете сделать примерно такой пароль: UsymBada23* - такой пароль легко запомнить, но не так просто взломать, да и вряд ли его кто-то будет пытаться взламывать. А запоминается он так: первая часть – это понятно, просто читается и запоминается (типа "у симбада"), первая буква заглавная, вторая часть (или слог) тоже начинается с заглавной. А вот в конце просто ставите, например, какое-то число и один спецсимвол (в данном примере получается: "У Симбада 23 звезды"). Таких различных вариантов можно придумать великое множество.

И в завершающей части статьи обсудим общие рекомендации:

  • не используйте одну и ту же связку "логин-пароль" для разных сервисов; как логин, так и пасс должны быть уникальными;
  • при наборе пароля в особо важных сервисах (интернет-банк), старайтесь использовать виртуальную клавиатуру;
  • никогда не храните пароли в обычном текстовом файле на компьютере, или в файле Word, даже если он запаролен;
  • используйте специализированный софт – менеджеры паролей. Я рекомендую, KeePass и 1Password. KeePass, по моему мнению, лучший менеджер паролей;
  • не используйте в браузерах функцию "Сохранить пароль" или "Запомнить меня";
  • после того, как вы поработаете с каким-либо сервисом (почтовая служба, вконтакте и т.д.) прежде чем закрыть браузер, воспользуйтесь функцией "Выйти".

Про совсем уж общепринятые правила, такие как, использование свежих версий программного обеспечения, использование антивирусов и антишпионов с регулярными обновлениями баз, упоминать, я надеюсь, не стоит =)

В завершение статьи, предлагаю вам небольшой приятный бонус – хороший онлайн генератор паролей. Основным его преимуществом можно считать возможность использования энтропии при генерации пароля. Это значит, что пароль будет генерироваться не просто случайным подбором символов, а будет зависеть от ваших действий – нажатий на клавиатуру и движений мышкой. Ну и все функции хорошего генератора присутствуют, конечно же: можно исключить похожие символы (S и 5, O и 0 и т.д.), указать диапазон символов и проч.

Пользуйтесь на здоровье! Вот ссылка: http://genpas.peter.am/

Пишите комментарии о том, что вы думаете по поводу этой статьи. Может быть, у вас есть какие-то свои тонкости и хитрости в этом вопросе? Может быть я что-то забыл добавить? Пишите.

Подпишитесь на новые статьи! Отсутствие спама и впаривания всяких курсов гарантируется.

33 Comments Как выбрать пароль. Ликбез по парольной защите

  1. Web-Кошка

    Александр, привет! Утащила статью целиком в свой эверноут, буду читать внимательно и тут же использовать, поскольку в вопросе безопасности я полный ноль, а лучшим считаю пароль "12345" - его-то точно не забуду.
    Вообще, думаю, если не скатишься в попсовый псевдосеошный блог, то успех гарантирован! Во всяком случае, более подробной и структурированной статьи на эту тему не встречала, хотя и периодически делала попытки разгрести свой бардак с паролями.
    Подписываюсь однозначно, и не в качестве ответного жеста, а потому что чувствую, что получу немало полезной информации у тебя на блоге! (Ничего, что я так неожиданно на "ты" перешла?)
    Кстати, не знала бы, какой шаблон у тебя установлен - ни за что бы не догадалась. Очень красиво вышло!
    В общем, успехов тебе! Обязательно буду заглядывать на огонек!

  2. Web-Кошка

    А нет, коммент прошел, просто нужно было страницу перезагрузить!

  3. Александр Майер

    Привет, Лариса! Рад видеть тебя. Первый каммент был помечен как спам, почему-то. Спасибо за приятные слова и наставления. Я тоже так считаю, что скатываться в тематику "как заработать мильён" это гиблое дело :) Я буду стараться ориентироваться на техническую сторону вопроса, как и WP-тематики, так и безопасности в целом. Материала в голове масса, нужно только все по полочкам расставить и публиковать по мере сил (на эту статью у меня больше суток ушло, не чистого времени, конечно, а с момента когда принялся ее писать и до публикации). А насчет тематики паролей, я планирую в ближайшее время парочку статей еще написать, с обзорами тех менеджеров-паролей, про которые в статье упоминал, и еще по некоторым моментам. Думаю будет интересно :) И бардака с паролями впредь не будет =) Так что, как говорится, вэлкам!

    Если какие-то вопросы появятся - можешь смело на почту писать. Ну, или тут на блоге, если в рамках той или иной статьи.

  4. Ogri

    Приветствую, Александр! Спасибо за инфу, давно хотел разобраться в подобном, да все руки не доходили. Все считал, что мои пять пятерок в качестве пароля к админке еще на некоторое время можно оставить - кому я интересен, пока не раскрутился? Проведя полный рабочий день за поднятием сразу двух хакнутых сайтов, понял - интересен. Перешел от полного пофигизма сразу к паранойе: теперь авминки закрыты 30-символьными паролями, сгенерированными на упомянутом вами сайте. Не поленился и энтропию создать по-полной. В общем, провел день весело - то переписывался со службой поддержки хостинга, то мотылял и кликал мышью и спонтанно давил баттоны, обеспечивая генерацию максимально стохастического пароля. Сделал заодно кучу других вещей для обеспечения максимальной секьюрности; кстати, через день-два планирую статью на эту тему, пока в памяти свежо. А все свои пароли теперь буду генерить через тот сайт. Поскольку запоминать их нереально, храниться они будут в KeePass, который я перевел в основной менеджер паролей благодаря вашим трем статьям о нем. За них - отдельное спасибо.
    А теперь пойду вас потроллю, как и обещал. Встретимся у Натальи.

    1. Александр Майер

      Привет! Ну что ж, я очень рад, что смог помочь и выступить в роли катализатора :)

      Скоро к Наталье забегу, посмотрю что там новенького))

  5. Ogri

    Катализаторами выступили злобные хацкеры, не льстите себе. Вы как раз наоборот - смогли помочь. Давно интересовался этой темой, буду вас читать.

  6. Татьяна

    Спасибо. Очень полезная информация. Бросаю жить по принципу: пока гром не грянет - мужик не перекрестится, меняю свои пароли на более надежные. )))

  7. Марфа

    Не припомню, чтоб получала удовлетворение сразу по многим пунктам, относящимся к теме шпиономании, до момента, когда наткнулась на ваши статьи. По-мастерски доходчиво, интересно, ненавязчиво.
    Низкий вам поклон! Спасибо, что печетесь о нас - веб-параноиках:)

    1. Александр Майер

      Благодарю за отзыв, Марфа.
      Шпиономания она такая, интересная, увлекательная, захватывающая. Только главное не переборщить. Иначе паранойных загонов не избежать =)

    1. Александр Майер

      Графические пароли слишком специфичны и еще далеко не везде применимы.

        1. Александр Майер

          Да и iOS тоже. Но это все, имхо, как бы помягче сказать, фигня. Ладно если только разблокировка экрана/устройства, но если еще и в других приложениях такие пароли использовать - однозначно когда-нибудь, да забудешь. А применять везде один и тот же [графический] пароль, не очень правильно.
          ПС: Вот первые попавшиеся статьи из Гугла, довольно интересно:
          https://xakep.ru/2015/08/21/alp-stat/
          https://habrahabr.ru/post/174773/ (можно сразу последнюю строчку поста прочитать, и картинку под ней) =)

  8. Максим

    На счёт цыганок-гадалок и тому подобного: знаете, существует такой наркотик, Бурунданга, получаемый из растения Бругмансия и он идеально подходит для использования в криминальных целях, так как немножко этого порошка в ваш коктейль или даже простой вдох (!) этого вещества может на время полностью лишить вас свободы воли. Оставаясь в сознании, вы всё ещё будете в состоянии передвигаться и, в целом, адекватно выглядить, но вы также выполните любые предложения преступников, при этом абсолютно потеряв способность судить их последствия. Я знаю! Сам не мог никак поверить в то, что возможно и такое в этом мире...

    По поводу паролей: Александр, Вы пишите, что надёжный пароль (для самого важного) должен состоять из, как минимум, 20-ти символов (состоящий из цифр, специальных символов, прописных и строчных букв).
    Но мой менеджер паролей (Safe In Cloud) пишет «понадобятся века на взлом» комбинаций уже из 8 символов (состоящий из тех же цифр, специальных символов, прописных и строчных букв / и без кириллических букв).
    Неужели "врёт"? Репутация у менеджера никак не плохая.

    Спасибо за статью - очень много полезной информации.

    1. Александр Майер

      Бурунданга - это же по сути скополамин, который вроде как применялся (или применяется до сих пор) спецслужбами в качестве "сыворотки правды"? Надо почитать про это. Спасибо за информацию для размышления.

      Насчет паролей - в целом, 8-ми символьный пароль, состоящий из всего обилия символов (а не просто из одних букв/цифр), действительно достаточно стойкий. В статье я лишь даю свою собственную рекомендацию. К тому же, нельзя забывать про то, что вычислительные мощности в текущих реалиях растут очень быстро, и неизвестно, что будет через пару лет. Так что "на века" можно трактовать по разному.

      Еще я читал одно исследование на английском по паролям, подтвержденное математическими рассчетами. Суть его примерно такова: пароль из 8 символов (буквы, цифры, спецсимволы) менее стойкий, чем 20-ти символьный, состоящий из одних только маленьких букв. Ну, а если длина пароля 20+ и используются все доступные символы, то такой пароль, очевидно, будет еще более стойким. В целом же идея такова: чем больше символов в пароле, тем больше послаблений в плане используемых символов.
      Вот картинка из той статьи, я сохранил:

      А вот гугл по этой картинке находит статью с Хабра о новых требованиях к паролям Стэнфордского Университета

  9. Леонид

    Спасибо за статью! Очень интересно! Буду заглядывать обязательно!

  10. Сергей

    Стараюсь использовать пароли, содержащие буквы, цифры и символы. Все пароли храню на отдельной флешке. И даже менеджерам паролей не особо доверяю)

    1. Александр Майер

      А если (не дай Бог) флешка потеряется/сломается/будет украдена?

        1. Александр Майер

          В блокноте - это в бумажном? В целом неплохой вариант, если этот блокнотик правильно хранить) Но вот неудобно, если, например, пароле не 10-20, а 100-200 ;)

          1. Татьяна

            Тоже мне проблема - написать новый пароль, это уже патологическая лень какая-то. :) А блокнотик (если шо) - в сейфе хранится, хотя собака и так не сгрызла бы, а ребенок уже большой, да и вообще- чужих людей в доме практически никогда не бывает. А после того, как у меня перестала открываться одна из моих флешек, я зареклась хранить на них что-то важное, разве что в двух -трех экземплярах. Но в таком случае, (поскольку все мои пароли содержат не более 10 символов) обычный канцелярский блокнотик оказался гораздо надежнее и удобнее.

  11. Александр Майер

    EUGENE, совершенно верно. А еще много чего может произойти - собака сгрызет, ребенок порвет и проч. и проч. Поэтому такой вариант хранения далеко не самый лучший. Хуже только на стикерах на мониторе или в notepad.exe :)

    1. Татьяна

      А мне нравится. Уже года три пользуюсь и за все это время не было никаких проблем. Думаю, так будет и в дальнейшем. :)

      1. Eugene

        О да, и спецсимволы черкать, и блокнотик носить с собой намного удобнее.)))

        1. Татьяна

          А зачем его носить с собой? Я с чужих компов никуда не захожу. И проблемы в том, чтобы нарисовать в блокноте какую -то там черточку- тоже не вижу. Как по мне, то найти и вставить в разъем флешку гораздо утомительнее.

  12. preload

    Для создания новых (забытых) паролей не признаю никаких пакетов, тк это должно запускаться даже из "Терминала", например, после загрузки с любого Линуксового livecd.
    В своем терминале набираем и жмем Enter:
    echo test1 | md5sum

    При этом, из своей строчки test1 мы получаем ее 32-символьную сигнатуру совершенно бредового вида. Плюс в том, что некая (в 32 символа) сигнатура может быть получена и из весьма коротеньких строчек ИСХОДНОГО текста, которые элементарно запомнить.
    p.s.
    В этом примере я использовал получение сигнатуры (контрольной суммы строки) по алгоритму вычисления ее 32-байтового хеш-кода. Алгоритм сей является односторонним, т.е., вычисление исходных данных (пароля) сводится к перебору всех возможных комбинаций разной длины из любых символов. Для получения такого количества вариаций всевозможных паролей/сигнатуры даже, на суперсовременной технике уйдут десятки, сотни, тысячи итд веков времени.
    p.p.s.
    Особо изощренные садисты над хакерами могут воспользоваться и командой для
    получения 64-байтовой контрольной суммы строки
    echo test1 | sha256sum

  13. Александр

    Александр, спасибо за блог очень поучительно, понятно, доступно простому юзеру и главное очень полезно ! Ваш сайт находка! (для меня по крайней мере)

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *