Марк Блау Грандмастер

Как сгенерировать надежный пароль?

Все, кто мало-мальски активно пользуется компьютером, заинтересованы в том, чтобы часть информации, с которой они работают, была скрыта от посторонних глаз. На страже конфиденциальности в информационных системах стоит пароль, без ввода которого пользователь не получит доступа к информации, ему не предназначенной.

Фото: pixabay.com

Все, кому доводилось пользоваться паролями, знает правила, которых следует придерживаться для того, чтобы личный пароль было трудно угадать. Эти правила информационной безопасности стали почти стандартом де-факто:

  1. Паролем должно быть длинное, более 6 символов, слово, желательно бессмысленное. Кстати, в переводе с французского «parole» — это и есть «слово». Да и английское слово «password» составлено из двух половинок, вторая из которых, «word», тоже означает «слово».
  2. В пароле следует использовать вперемежку большие и маленькие буквы, цифры и специальные символы (вроде «!»).
  3. Пароль надо менять каждые 90 дней. Поэтому никто не стремится запоминать пароль. За несколько дней запомнить эту абракадабру можно, но бессмысленно, потому что скоро придётся поменять ее на другую абракадабру.

Внедрение этих нехитрых и вполне разумных правил в легкомысленные головы пользователей попортило много крови системным администраторам. А когда его стали «забивать» в алгоритм проверки пароля на достаточную сложность — тут-то стало плохо уже пользователям. Длинные и бессмысленные слова, в которых буквы перемежаются с цифрами — попробуй запомни. «И кто эту нелепость придумал!» — не раз, наверное, вздыхали тетушки из отделов кадров и из бухгалтерий.

Виновник всего этого безобразия известен. Это Билл Барр (Bill Burr). В 2003 году он возглавлял Национальный институт стандартов и технологий (NIST), который подготовил специальный отчет, где обсуждался вопрос «правильных» паролей для входа в информационные системы. Этот отчет и является первоисточником всех пользовательских страданий.

Но все течет, все изменяется. В августе 2017 года Билл Барр дал интервью серьезной деловой газете «Wall Street Journal», в котором сказал, что сейчас он бы отказался от некоторых рекомендаций, данных 15 лет назад.

От числа используемых символов сложность пароля зависит слабо, особенно если пароли короткие
От числа используемых символов сложность пароля зависит слабо, особенно если пароли короткие
Фото: Марк Блау, личный архив

Почему? Дело в том, что, как правило, пароль разгадывается тупым перебором возможных вариантов на очень мощном компьютере. При этом длина пароля оказывается более важным защитным фактором, чем разнообразие символов его составляющих. Тем более что число возможных символов ограничено, а на длину пароля ограничений практически нет.

«Ну и что? — спросит нас все та же тетушка из отдела кадров или из бухгалтерии. — Длинный пароль тоже запомнить трудно».

А вот длинные пароли разгадать гораздо сложнее
А вот длинные пароли разгадать гораздо сложнее
Фото: Марк Блау, личный архив

Как же специалисты предлагают нам действовать теперь, чтобы облегчить генерацию длинных паролей, а также их запоминание?

Они советуют выбирать случайным образом от 3 до 5 слов из обычного словаря и записывать их в виде длинного слова без пробелов. В качестве улучшающего варианта рекомендуется разделять слова каким-нибудь специальным символом (например, «-» или «_») или писать каждое слово с большой буквы.

Запомнить три слова может любой нормальный человек. Для этого не требуется грандиозных усилий или хитрых мнемонических приемов. В «Wall Street Journal» беседу с Биллом Барром иллюстрирует небольшой комикс.

В этом комиксе демонстрируется, что для расшифровки пароля «correct-horse-battery-staple» длина которого 27 символов, потребуется 550 лет, в то время как для расшифровки более короткого пароля «Tr0ub4dor&3», составленного по всем правилам, которые рекомендовали нам 15 лет назад, потребуется всего три дня. При этом первый пароль запомнить легче, чем второй, потому что он составлен из 4 легко запоминающихся слов. Легко запоминающихся для тех, кому английский язык родной или хорошо знаком. А как же быть не столь грамотным людям?

  • Ну, во-первых, можно воспользоваться онлайн-генераторами длинных кодов. Введите в поисковик вышеупомянутое слово-пароль «correct-horse-battery-staple», и вы попадете на один из таких генераторов.
  • А во-вторых, тем, кто английского языка не знает, придумать более стойкий пароль еще проще, чем англичанам или американцам. Нужно только использовать слова того языка, который хорошо знаешь.

Те, кто воспользуется языками с традиционно длинными словами, получат преимущество. Они могут запомнить всего одно или два слова. Например, хорошим кандидатом на пароль является немецкое слово «Ausweisnummer» («номер удостоверения личности») — 13 букв. Собственно номер удостоверения личности, своего или близкого родственника, удлинит этот прекрасный пароль еще на 8−9 цифр. Идеально!

Чем длиннее пароль, тем сложнее его взломать
Чем длиннее пароль, тем сложнее его взломать
Фото: pixabay.com

Те, кто знаком с нидерландским, может выбрать в качестве надежного пароля фразу «EenBakjeTroost» («ЧашечкаКофе»), а те, кому не чужой латышский язык, могут воспользоваться в качестве пароля словом «pretpulkstenraditajvirziens» («ДвижениеПротивЧасовойСтрелки»). Говорят, это самое длинное слово латышского языка. Здесь оно написано неправильно, потому что некоторые буквы, свойственные только данному языку — с надстрочными и подстрочными знаками, пишутся без таковых. Ну и замечательно, врагам будет труднее разобраться!

Тем же, кто пользуется кириллицей или другой нелатинской письменностью, вообще раздолье. Большинство кириллических знаков напрямую транскрибируются в английские буквы. Для тех же букв, чья транскрипция неоднозначна («ц», «ж», «ы», «ь», «ъ», украинское «Ї»), следует решить для себя, как писать их английскими буквами. Одним из вариантов может быть — вообще пропускать на письме проблемные буквы. Неплохой пароль «VashePrevoshoditelstvo», не правда ли? Хорошо подходит в качестве пароля и слово «bishenche-arty», которое в Москве не всякий знает, а вот в Казани…

Похоже, что данный способ защиты своей приватной информации многим придется по душе.

Длинные слова в качестве пароля — лучшее решение.

И да, пароль необходимо периодически менять. Это старое правило остается в силе.

Чтобы не забыть о нем, в длинный пароль стоит добавить несколько цифр или слов — дату смены пароля. Например, так: «SismaHazakaAd0119».

Вводя этот пароль несколько раз на дню, не забудешь, что его следует сменить в январе 2019 года.

Обновлено 19.09.2018
Статья размещена на сайте 17.09.2018

Комментарии (5):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети:

  • Вест Неруш Вест Неруш Читатель 22 сентября 2018 в 22:20 отредактирован 22 сентября 2018 в 22:22

    Намного проще есть способ создать сложный пароль и никогда его не забыть на разных ресурсах.

    Ставим какой нибудь знак, дальше заглавную первую букву сайта, далее маленькую вторую букву сайта, далее опять какой нибудь знак и памятную дату.
    Главное помнить какие знаки и их ставить на всех сайтах.
    Пример:Школа жизни
    *Шк_1973
    Второй пример Твиттер
    *Tv_1973
    Пароль сложный и вы никогда его не забудете ни на одном сайте.

    Оценка статьи: 4

  • Нда-с-с-с...
    Идеяписать подряд несколько слов - отличная.
    А вот идея делать суперсложные пароли и менять их почаще ведет к тому, что рядом с компом будет приклеена бумажка с действующим паролем - работать-то надо...

    Оценка статьи: 5

  • Н-да?! Конспирология в Сети зашкаливает. А тут ещё появился "тест на вшивость роботов". Неужели расплодилось такое стадо роботов, что надо устраивать такой видео-тест на узнаваемость автобусов, великов и дорожных знаков? ...И трошки не в тему:
    Почему по прочтении этой статьи надо снова до ладом заходить в ШЖ по полной программе.Почему не вернуться на первую стр.? Оценка: 5