16 апреля 2013

Пароли, XXI век

Советы

Почти все инструкции по компьютерной безопасности, будь то страница помощи Facebook, корпоративная инструкция сотрудника  или желтая книжка «… для чайников», содержат совет о необходимости пользоваться стойким паролем.  Этот совет за десятилетия стал привычным и азбучным, но вот понятие «хороший пароль» постепенно менялось, и сегодня, придумывая пароль, не стоит руководствоваться советами из 90-х. Давайте заново научимся создавать удобные и стойкие пароли!

Пароли в XXI веке - придумываем и запоминаем при помощи Kaspersky CRYSTAL

Зачем нужна белиберда?

Совет составлять пароль из смеси букв, цифр и специальных символов берет свое начало в тех временах, когда защищали в основном учетную запись на компьютере и локальные файлы, такие как документы или архивы. Поскольку эти данные, пусть и зашифрованные, могли быть физически доступны злоумышленнику, существовала возможность перебирать все пароли один за другим, пока не найдется нужный. Эта методика называется вскрытием грубой силой (bruteforcing) и крайне эффективна на коротких паролях. Чем длиннее пароль и разнообразнее символы в нем, тем больше времени занимает полный перебор. Пароли длиной 4–5 знаков сдаются злоумышленнику за считанные секунды, но каждый новый символ замедляет процесс в десятки раз. То же самое касается различных регистров букв, добавления специальных символов и цифр – наличие их в пароле существенно снижает шансы взлома перебором паролей.

Короткие пароли можно подобрать за считанные секунды, но длинные пароли из мешанины символов очень трудно запомнить.

Правда, есть важное «но» – если пароль является обычным словом, пусть даже длинным и экзотическим, его можно быстро подобрать, пробуя по очереди каждое слово из словаря – их не так много. Добавки вроде цифры в конце не сильно усложняют задачу. Именно поэтому долгое время специалисты советовали применять комбинации букв, цифр и других знаков, что усложняет подбор, но и делает запоминание пароля трудным упражнением.

Сегодня ситуация неоднозначна: многие онлайн-сервисы препятствуют перебору паролей, но бывают случаи, когда перебор все же возможен. А ботнеты из зараженных компьютеров дают хакерам огромную вычислительную мощь, которую можно употребить в том числе для быстрого подбора паролей.

Реальность нового века

Каждый из нас пользуется десятком веб-сервисов (*), и им всем требуется пароль. Пользоваться одним и тем же небезопасно, поскольку случайная утечка одного пароля может привести к расставанию со всей своей онлайновой жизнью. Но запомнить десяток комбинаций вроде Xp89$ABG-faw?6 могут только очень одаренные люди. Какой пароль выбрать, чтобы сочетать надежность с удобством?

Рецепт хорошего пароля

Основное правило, которое важно сегодня, – пароль должен быть длинным. В него можно добавлять символы, но белибердой он быть не обязан. Используйте понятное и хорошо вам запоминающееся выражение с небольшими модификациями, усложняющими простую атаку по словарю: «ЯКВамПишу4ЖеБоле» – узнаете?  Запомнить кодовую фразу и пару модификаций в ней куда проще, чем набор бессмысленных букв. Правда, Пушкин и вообще вся классика – не совсем удачный выбор для кодовой фразы, лучше придумать яркую и запоминающуюся, но свою собственную фразу. И она должна быть своя для каждого сервиса.

Хороший пароль — прежде всего длинный. Минимум 10 символов, лучше 20.

Выбирая длину и сложность пароля, надо оценить важность защищаемой информации, предполагаемую  частоту пользования службой (и набора пароля), необходимость набирать пароль на смартфоне или планшете. В зависимости от этих факторов можно делать фразу и модификации проще и сложнее. В нашем примере для сервиса бесплатного прослушивания музыки вполне сойдет «ЯКВамПишу4», а вот для основной почты или онлайн-банкинга придется расстараться на «ТеперьЯЗнаюВВашейВолеМеняПрезреньем69».

Хозяйке на заметку
Если вы составите пароль из 10 символов – букв латиницы, цифр, основных символов, 
число комбинаций для перебора  грубой силой составит примерно 2,8*1018. 
Составив пароль лишь из четырех достаточно распространенных слов английского  
языка, вы получите 1,6*1017 вариантов – ненамного меньше. А если  
использовать в пароле пять слов, число вариантов легко довести до 3,2*1021. 
Обычные слова оказываются эффективнее незапоминаемой белиберды.

Важные нюансы

Весьма популярным советом, который часто дают русскоязычной аудитории, является набор русских слов при включенной английской раскладке. Такие пароли действительно впечатляют – обычный «электровеник» превращается в выглядящий крайне надежным «‘ktrnhjdtybr».  Два важных «но» – русские хакеры давно создали специальный словарь, позволяющий перебирать такие пароли, а вот создателю пароля придется изрядно помучиться, когда этот пароль однажды понадобится набрать на экранной клавиатуре смартфона или планшета.
Есть еще один пикантный момент – некоторые сервисы ограничивают длину используемого пароля, таких желательно избегать.

Современный способ

Хотя кодовые фразы запомнить существенно проще, чем пароли из мешанины символов, остается актуальной проблема уникальности. По данным специального опроса, у среднего пользователя Сети –  пять разных учетных записей. У каждой должен быть свой пароль, и может возникнуть путаница. К тому же у некоторых гораздо больше пяти аккаунтов, и это настоящий вызов человеческой памяти. Для таких случаев придуман специальный класс приложений – хранилища паролей (например, подобный модуль есть в Kaspersky CRYSTAL). В них хранится таблица с учетными данными владельца на всех мыслимых сайтах, ресурсах и так далее. Эта таблица тщательно зашифрована с помощью мощных криптоалгоритмов, и владельцу остается только одно – придумать единственный (и очень надежный) пароль, который будет использован для расшифровки таблицы. Этот главный пароль надо хорошо помнить и беречь пуще глаза. Зато о запоминании остальных паролей позаботится компьютер.

Пароли в XXI веке - придумываем и запоминаем при помощи Kaspersky CRYSTAL

Что касается Kaspersky CRYSTAL, то он способен еще упростить жизнь владельца, автоматически вводя сохраненные пароли в веб-формы в браузере, а также синхронизировать таблицу с паролями между разными компьютерами при помощи облачных технологий. Немаловажно и то, что другие модули CRYSTAL, такие как Виртуальная клавиатура, защищают хранимые пароли от прямолинейной кражи с помощью клавиатурного шпиона или другого вредоносного приложения.