Марк Блау Грандмастер

Как правильно выбирать пароль?

Пароли — это ключи от «замкόв» ворот компьютерных «зáмков», толстые «стены» которых должны защищать важную для нас информацию. Но толщина «стен» не так уж и важна, если секретные замки легко взломать.

Фото: pixabay.com

Для «простых» пользователей вопросы надежности замкόв личных кибер-зáмков важны еще и потому, что ответственность за информационную безопасность на этом уровне ложится на них, а не на дизайнеров или администраторов системы.

И вот тут-то оказывается, что многие запирают ворота, что называется, «на гвоздик», в лучшем случае, на щеколду. Пользователи упрямо любят простые пароли, но не все понимают, что простота в этом деле хуже воровства. Пароль типа 12345… взломщики пробуют первым и на удивление часто добиваются успеха.

Поэтому советы пользователям, которые раздают специалисты по компьютерной безопасности: избегать слишком простых паролей и выполнять достаточно простые правила по их возможному усложнению.

Но в самом ли деле это полезные советы? И правильны ли они? И, наконец, тем ли людям они адресуются?

Чтобы ответить на эти вопросы, следует понять разницу между атаками на пароль, которые могут происходить онлайн, и оффлайн-атаками.

Пароль
Пароль «12345» разгадывается быстрее всего
Фото: pixabay.com

Онлайн-атаку производит сторонний злоумышленник, который пытается войти на сайт через стандартную страницу входа. Этот злоумышленник пытается угадать комбинацию имени пользователя и пароля. Для этого часто используются специальные программы, которые могут работать круглосуточно и не просто тупо перебирать пароли, а выбирать их, пользуясь специально составленными базами данных наиболее часто используемых паролей. Вышеуказанный пароль 12345… — один из первых в этих базах данных.

Но у онлайн-атак есть вполне понятные ограничения. Во-первых, злоумышленника-взломщика паролей легко выявить. Он слишком часто вводит пару имя пользователя + пароль. 60 раз в минуту — следует обратить внимание на этого «работягу»! А еще лучше — сразу заблокировать интернет-адрес, с которого он пытается войти в систему. Обычно такая блокировка происходит после третьей неудачной попытки входа в систему.

Такая блокировка тем более оправданна, что серия посылаемых на сайт комбинаций повышает уровень трафика на входе сайта в тысячу, а то и в десятки тысяч раз. Чем не атака, направленная на ухудшение работы сайта? Такие атаки еще называются DDOS-атаками. Системы защиты информации на сайтах стараются бороться с такими «диверсантами» именно с помощью блокировки входных адресов «активистов».

Кроме того, каждая проба пароля в попытке взломать систему увеличивает глобальные затраты взломщика на вскрытие сайта. В какой-то момент эти затраты станут выше той выгоды, которую злоумышленник желает получить от проникновения в систему. После этого смысл атаки пропадает.

Специалисты считают, что злоумышленнику коммерчески нет выгоды взламывать обычный сайт после миллиона проб. По их мнению, алгоритм создания паролей должен обеспечивать стойкость пароля к такому количеству попыток подбора.

Оказывается, что случайно сгенерированный пароль, состоящий всего из пяти символов, цифр или латинских больших и малых букв, является надежным паролем, вполне устойчивым к атаке, производимой посредством перебора. А если символов больше, стойкость пароля растет экспоненциально в зависимости от числа символов.

Кроме того, блокировка попыток входа на сайт всего-навсего на 1 час драматически повышает время, необходимое для взлома сайта: вместо 4 месяцев для взлома понадобится 8 тысяч месяцев!

Кстати, теперь «простому пользователю» становится понятно, почему администраторы просят его менять пароли хотя бы раз в полгода. Если этого не делать, у злоумышленников повышается шанс после нескольких месяцев работы все-таки взломать сайт.

Делите пароли на очень важные и менее важные. Пароли от личной почты и банка - важные, от форума любителей собак или платежей за электричество - менее важные
Делите пароли на очень важные и менее важные. Пароли от личной почты и банка — важные, от форума любителей собак или платежей за электричество — менее важные
Фото: pixabay.com

Оффлайн-атака предполагает предварительную кражу или покупку базы данных паролей веб-сайта, который хотят взломать.

Организация оффлайн-атаки намного сложнее. Злоумышленник, для того чтобы получить в свое распоряжение актуальную копию базы данных паролей, должен применить методы, которые очень обтекаемо называются «социальной инженерией». Эти красивые слова скрывают элементарный подкуп системных администраторов или угрозу насилия по отношению к ним. Но «социально инженерить» следует очень аккуратно, чтобы результат давления на системных администраторов остался незамеченным как можно дольше.

Кроме того, оффлайн-атака должна происходить гораздо быстрее, чем атака онлайн. Времени у злоумышленника немного — до того момента, пока большинство пользователей не поменяли свои пароли или же администраторы сайта сами не сбросят все пароли.

Как известно, в системной базе данных хранятся не сами пароли, а результаты применения к ним специальной функции, которая называется «хэш-функцией». Хэш-функция обладает одним интересным свойством — односторонностью.

Если известен пароль, хэш-функция вычисляется просто и быстро. Однако обратное действие невозможно, по значению хэш-функции определить пароль невозможно. Более того, невозможно даже подобрать пароль, сравнив две хэш-функции, им соответствующие. Изменение всего лишь одного символа приводит к абсолютно другому значению хэш-функции.

Алгоритм хэширования обычно не является секретом, но разгадке это не помогает. Поэтому оффлайн-атака на системные пароли проводится тем же самым подбором. Генерируется возможный пароль, вычисляется хэш-функция и сравнивается со значением, которое хранится в системной базе данных. И так происходит до тех пор, пока значения хранимой и вычисленной хэш-функций не совпадут. Объем работы тот же, однако теперь злоумышленник может применить более производительные компьютеры, и, возможно, взлом будет успешным.

Для того чтобы выдержать оффлайн-атаку, как говорят специалисты, пароль следует усложнить так, чтобы он выдержал около 100 триллионов атак! В переводе на обычный язык это означает, что пользователю следует пользоваться случайными и длинными паролями, которые вряд ли есть возможность запомнить.

Если используете слова, они должны быть абсолютно неожиданные для посторонних
Если используете слова, они должны быть абсолютно неожиданные для посторонних
Фото: pixabay.com

Что же делать пользователю для сохранения собственной информационной безопасности?

Во-первых, следовать правилу: никаких простых паролей. Для облегчения запоминания, конечно, можно использовать слова, но это должны быть слова абсолютно неожиданные для посторонних. Классика здесь будет нам примером.

—  Послушайте, — сказал вдруг великий комбинатор, — как вас звали в детстве?
—  А зачем вам?
—  Да так! Не знаю; как вас называть. Воробьяниновым звать вас надоело, а Ипполитом Матвеевичем слишком кисло. Как же вас звали? Ипа?
—  Киса, — ответил Ипполит Матвеевич, усмехаясь.
— Конгениально!

И. Ильф. Е. Петров. «12 стульев».

Другая возможность — использовать слова другого языка. Очень хорошо, если язык этот не слишком распространен в тех краях, где придется пароль применять. В Сан-Франциско или в Осло пароль типа «KilManda2019» разгадать труднее, чем в Москве. А вот в Казани это может быть гораздо легче. Татарское слово «киль манда» там знают не только татары, но и многие русскоязычные.

И, кстати, второе правило тоже следует блюсти: перемешивать прописные и строчные буквы.

Третье правило: регулярно менять пароль. Теперь, после прочтения того, как могут взламывать пользовательские пароли, понятно, для чего это следует делать. Лучше всего менять пароль раз в квартал или хотя бы раз в полгода.

Наконец, четвертое правило: следует разделить пароли на очень важные и менее важные.

Для чего это нужно? Менее важные пароли можно генерировать по какому-либо правилу, позволяющему облегчить запоминание.

Например, составлять пароль из двух слов. Первое слово пусть будет названием столицы какой-нибудь страны. Конечно, латиницей, и конечно, подлиннее. Скажем, KualaLumpur. А второе слово пусть будет цифрой, равной количеству букв в первом слове. Например, для упомянутой столицы Малайзии это будет 11. Итого: KualaLumpur11.

А вот пароли, которыми приходится особенно дорожить, должны быть длинными и абсолютно случайными. Лучше всего их генерировать онлайн или с помощью специальных программ. Очень важные пароли обычно связаны с различными денежными делами: например, пароли к банковским счетам или же — еще важнее — к кошелькам с криптовалютой.

Пароль, состоящий из 32 случайных алфавитно-цифровых символов — HtwpJzt3qlSfOQbkZLVgdrN5DJTJdaJ9 — разгадать практически невозможно.

Беда в том, что и запомнить его, и воспроизвести без ошибки или опечатки весьма сложно. Но это проблема разрешаемая. Существуют специальные программы для хранения паролей, которые называются «Password manager», менеджеры паролей. Эти программы освобождают память пользователей и устраняют многие сложности.

Однако в этом случае один пароль все же запомнить придется. Этот пароль менеджер будет запрашивать всякий раз, начиная работу. И он, конечно, не должен быть простым.

Обновлено 11.07.2018
Статья размещена на сайте 7.07.2018

Комментарии (0):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети: