Безопасным можно считать пароль, на вскрытие которого требуется много времени. Взломать можно любой пароль — все зависит от квалификации злоумышленника и ресурсов для вычисления. Наша задача — придумать легко запоминаемое сочетание, относительно устойчивое к взлому.
Необходимая степень защиты зависит от того, насколько велика вероятность, что кто-то станет покушаться на информацию. Аккаунт в социальной сети, учетная запись владельца крупной компании и защищенная государственная сеть неравноценны по значимости и для попадания на них будут привлекаться разные ресурсы. Исходя из этого, пароль, абсолютно безопасный для социальных сетей, не годится для серьезной защиты. Надежный пароль для среднестатистического пользователя интернет-сервисов должен быть не слишком сложным, и при этом устойчивым к взлому.
Когда размер имеет значение
В случае с паролем — длина имеет определяющее значение. Если в пароле шесть знаков, выбранных из латинского алфавита в верхнем и нижнем регистрах, 10 цифр и 33 символов (95 ASCII), взломать его можно с помощью обычного перебора с «числодробилкой». Весь процесс занимает буквально несколько минут. Добавив всего пару знаков, вы растянете время перебора на дни и недели.
Второй критерий оценки надежности пароля — нешаблонный подход к выбору символов. Также важна непредсказуемость, называемая информационной энтропией. Эта величина, рассчитывается в битах и по ней можно достаточно точно определить сложность пароля. Энтропия одного символа из ASCII равна 6,56 бит, значит, пароль из шести символов сложен на 39,36 бита энтропии, 7 символов — 45,95 бит, 8 символов — 52,48 бит. Для взлома пароля в 52 бита методом перебора придется применить количество попыток, равное 252. Современная видеокарта класса GeForce GTX 570 подбирает в секунду 1,5 млрд паролей, чтобы перебрать все возможные комбинации понадобится около двух месяцев.
Эти расчеты справедливы для паролей, составленных без предсказуемых шаблонов — такие варианты позволяют генерировать специальные сервисы. Человек, составляя варианты набора символов, обязательно прибегнет к знакомым комбинациям. Это происходит помимо воли, поэтому в самодельных паролях почти всегда присутствуют дни рождения, номера телефонов, имена близких людей, клички животных и пр. Такие комбинации всегда уязвимы, потому что при взломе учитывают не только цифры, но и слова. При использовании готовых масок задача взломщика упрощается еще больше.
Если вы не хотите, чтобы ваши данные стали легкой добычей, не используйте в паролях номера телефонов, даты, почтовые индексы, номера соцстраха — такая информация только кажется конфиденциальной. В самодельных паролях энтропия первого символа из букв и цифр составляет 4 бита, последующих семи — 2 бита. С помощью верхнего регистра и служебных символов энтропию можно повысить на 6 битов. Максимально хороший результат составит 24 бита, что в 2 раза меньше, чем у машинного пароля.
Возвращаясь к длине пароля, скажем, что комбинация из 14 символов составляет около 92 битов энтропии, а пароль, длиной в 20 символов равен — 131,2 бита. Методом перебора такой пароль можно взламывать десятки лет. Конечно, методики взлома совершенствуются, а с учетом человеческого фактора можно говорить о реальной уязвимости. Однако обычный пароль, составленный без использования явного шаблона, должен быть не короче 14 символов — тогда он будет надежным.
Сбейте взломщика со следа
Надежнее всего воспользоваться генератором паролей, но можно проявить самобытность и придумать неожиданную комбинацию, о которую взломщик «сломает зубы».
- Для начала откажитесь от «хитрых» паролей, вроде, ZXCVBN и 987456. Безопасность снижается, даже если в комбинации присутствует часть такой последовательности.
- Плохая идея повторять слова, цифры или их сочетания.
- Русские слова в латинской раскладке — тоже неоригинальное решение, легко вычисляемое специализированным программным обеспечением.
- Откажитесь от легко предсказуемых дат рождения, номеров телефонов, индексов и номеров автомобилей.
- Число Пи и другие константы хорошо известны каждому, у кого есть аттестат о среднем образовании.
- Хитрости с подстановкой символов, похожих на буквы давно не проходят. Взломщики знают, что «5» — это «s», «@» — «a».
- Если хотите проявить шпионскую смекалку, попробуйте «изуродовать» слова с особым цинизмом, например, support ‑ s¥p℗o®₸. Чередуйте заглавные буквы с прописными, вплетайте символы и цифры. Такое сочетание не вписывается в типичный шаблон и при словарном подборе не выявится, особенно если слово будет длинным.
- Пароль должен быть длинным, но не бессмысленным набором букв, цифр и символов. Вам легче будет запомнить, как вы записали знакомую фразу, чем выучить несвязанную комбинацию знаков, например, 2BeORnotTobe. Придумайте собственную фразу, классика — не лучший вариант.
- При формировании комбинации учитывайте, насколько важную информацию нужно защитить, как часто вам придется набирать пароль, удобно ли будет использовать его на смартфоне и планшете. Пароли для входа на музыкальный сайт и на личную страницу в банке требуют разного подхода.
- Контрольный вопрос для восстановления пароля должен быть нешаблонным — придумайте свой вопрос, ответ на который знаете только вы.
Чего делать не нужно:
- Не используйте один пароль для всех учетных записей.
- Слегка видоизмененный пароль для всех случаев жизни не может считаться надежным. Нельзя надеяться на секретность вариантов «Petrov1», «Petrov2», «Petrov3» для входа на разные ресурсы.
- Не пользуйтесь понятиями, тесно связанными с вами. Найти в сетях имя вашего ребенка или кошки несложно.
- Не применяйте пароли из словаря. При переборе паролей специальные программы проверяют весь словарь.
Расширения для хранения паролей
Желательно при каждой регистрации на сайте использовать новый пароль и логин, но запомнить такое количество комбинаций практически невозможно. Можно записывать пароли в блокнот или хранить в телефоне, но эти способы не слишком надежны. Специалисты говорят, что наша память — универсальный инструмент, который можно тренировать до бесконечности. Конечно, если вы обладаете хорошей памятью, лучше запоминать пароли и не сохранять их в записях. Для тех, кто не полагается на свою память, придуманы менеджеры паролей.
Сервис создан для тех, кто не хочет помнить все свои пароли и вводить их при каждом входе в учетные записи. Вам достаточно выучить один мастер-пароль для входа в менеджер. Все пароли в таких сервисах надежно защищены, взломать их крайне сложно.
Самые популярные менеджеры паролей:
LastPass
Это расширение для всех браузеров обеспечивает шифрование паролей и их надежное хранение. Отдельные версии разработаны для мобильных платформ. Удобство в функции автозаполнения — сервис запоминает пароли и автоматически вводит их при входе на сайт. Пользование основными функциями бесплатно, пользователи платят за доступ к расширенным возможностям.
Dashlane
Интуитивно понятный и удобный интерфейс этого сервиса с функцией автозаполнения позволяет надежно хранить пароли. Практически все расширение может быть использовано бесплатно, за бизнес-версию придется доплатить. При необходимости, например, при атаке на ПК, можно одномоментно заменить все пароли в учетных записях.
KeePass
Это полноценная программа, которую, в отличие от приложений, крайне сложно взломать. KeePass распространяется бесплатно, менеджер доступен для всех пользователей.