Все эксперты по безопасности постоянно говорят пользователям о том, как важно использовать устойчивые к взлому пароли и как важно, чтобы эти пароли были уникальными для каждого более или менее значимого сервиса.
Тем не менее очень многие пользователи относятся беззаботно к паролям своих учетных записей и используют конструкции типа password123, а такой пароль современными средствами взламывается ровно за шесть секунд, не говоря уже о том, что его очень легко просто подобрать.
Поэтому давайте в данной статье и поговорим о том, какими должны быть пароли, как их безопасно хранить и как научиться придумывать, а главное - запоминать устойчивые пароли.
Что такое устойчивый пароль
Устойчивость пароля характеризуется временем, которое нужно будет затратить злоумышленнику, чтобы тем или иным способом подобрать его. Пароль, для взлома которого требуется несколько секунд, минут или часов, является неустойчивым. Пароль, для взлома которого потребуется несколько месяцев или лет, является устойчивым.
Как повысить устойчивость пароля
Есть несколько стандартных рекомендаций по повышению устойчивости пароля.
1. В пароле не должны содержаться в неискаженном виде обычные слова, потому что средства взлома паролей прежде всего перебирают слова по словарю. И, кстати, фокус с написанием русских слов в английской раскладке запросто может не сработать: утилиты для взлома такие варианты тоже умеют перебирать.
2. Очень важную роль играет длина пароля. Она должна быть не менее 8 символов, а намного лучше, если их будет 12.
3. Пароли всегда регистрозависимые (оговорюсь, кроме "Сбербанка" с его идиотами-разработчиками), и вы значительно повысите надежность пароля, если, например, пару букв в нем напишете в верхнем регистре.
4. Рекомендуется в пароле также использовать спецсимволы, это тоже очень сильно повышает его устойчивость.
5. Ну и добавление к паролю нескольких цифр также сильно влияет на повышение устойчивости.
Что нам может в этом помочь
В принципе нет никакой необходимости придумывать и запоминать устойчивые пароли, потому что есть специальные программы, называемые менеджерами паролей, и они это могут делать за вас. Конечно же, не следует пользоваться менеджером паролей, взятым неизвестно где и написанным неизвестно кем, но существуют десятки известных, проверенных и безопасных менеджеров паролей, которые используют миллионы людей.
Суть менеджера паролей очень проста. Вам нужно придумать и запомнить только один устойчивый пароль - для этого менеджера. А дальше менеджер будет сам генерировать и запоминать надежный пароль для каждого из сервисов, где вы регистрируетесь, ведь одно из важных требований безопасности - не использовать одинаковые пароли для разных сервисов.
Рассказ о менеджерах паролей и о том, что они вообще умеют делать, - тема отдельных статей, так что в данном случае я приведу только три наиболее характерных примера таких программ.
LastPass - очень известный менеджер паролей, который стал очень популярным прежде всего из-за того, что его бесплатная версия не содержит никаких ограничений на количество сохраненных паролей.
RoboForm - продвинутый менеджер паролей со многими возможностями, включая безопасное хранение конфиденциальной информации для заполнения форм (например, данных банковских карт, адресов и так далее). Сейчас в его бесплатной версии тоже нет ограничений на количество запомненных логинов (раньше такие ограничения были).
Dashlane - по мнению многих экспертов, это сейчас один из лучших менеджеров паролей, но его бесплатная версия ограничена только 50 логинами и одним устройством.
Как придумать устойчивый пароль и запомнить его
Конечно, наиболее устойчивым будет пароль, составленный из случайного набора букв в различном регистре, цифр и спецсимволов, - например, вот такой: UB^hRh%GDrSTUso8. Генераторы паролей, обязательно входящие в состав любого менеджера паролей, всегда предоставляют возможность пользователю регулировать параметры создаваемого пароля.
Однако что делать, если вы не используете менеджер паролей? Как придумать, а главное - как запомнить устойчивый пароль? Потому что совершенно бессмысленный пароль, типа как указанный выше, запомнить невозможно.
Тем не менее способ есть. Достаточно несложных ухищрений, чтобы фраза, которая вам о многом говорит и которую вы совершенно точно не забудете, стала хорошим надежным паролем.
Мы говорили о том, что крайне нежелательно использовать обычные слова. Однако если буквы обычных слов вы напишете в разном регистре и будете перемежать эти буквы спецсимволами по определенному алгоритму, то пароль сразу станет вполне устойчивым.
Как зовут вашу первую учительницу в школе, имя которой вы никогда не забудете? Вера Ивановна Фролова?
Напишите ее имя и фамилию латинскими буквами в одно слово - verafrolova. Давайте проверим этот пароль в специальном сервисе от "Касперского" (это в любом случае безопасно, потому что мы проверяем сам принцип, а не конкретный пароль, который будем использовать).
Теперь сделаем очень простую вещь - имя и фамилию напишем с заглавных букв и проверим.
Уже веселее, но до устойчивости еще далеко. Давайте теперь просто заменим все буквы "о" символом "@". (Тут важно использовать спецсимвол, а не, например, цифру ноль, потому что с нулями пароль останется неустойчивым, а с этим спецсимволом - уже другое дело.)
Давайте еще усложним. Снова берем VeraFrolova и после каждой буквы ставим спецсимвол с клавиш с цифрами, двигаясь, например, от цифры 1 (можно и наоборот - вниз от "0", тут главное - чтобы вы для себя придумали и запомнили алгоритм). Не нужно брать все словосочетание, достаточно поставить спецсимволы только в имени (после каждой из первых четырех букв, например):
Уже хорошо. Имя-фамилию первой учительницы помните? Написать латинскими буквами, делая первую букву заглавной, в состоянии? После каждой из первых четырех букв поставить спецсимволы, которые стоят над цифрами от 1 до 4 (или любых других, которые нужно будет запомнить раз и навсегда), в состоянии? Конечно.
Ну и чтобы увеличить надежность до совершенно фантастических величин, возьмите за правило добавлять еще несколько цифр. Немного, не надо писать длинный телефонный номер. Три цифры, но только те, которые вы отлично помните. Например, первые или последние три цифры вашего почтового индекса.
Как видите, ничего сложного. Вам просто нужно будет придумать и запомнить ваш собственный алгоритм. Например, после каждой из пяти первых букв символами над цифрами от 4 до 8. И в конце дописываем несколько цифр (например, ваш код от чемодана - там обычно 3-4 цифры).
Более того, напоминалку о таком коде можно записать в открытом виде - например, "УчиЛка 4-8 чемодан", и враг ни за что не догадается.
Свои имя-фамилию для таких паролей, конечно, лучше не использовать, а вот имена-фамилии, например, тестя-тещи, свекра-свекрови - запросто.
Только для сложных для транслитерации имен-фамилий обязательно нужно использовать четкие правила, чтобы потом не гадать, как вы написали "щ", "ю" или "ц". Лучше всего делать транслитерацию прямо в этом сервисе, тогда уж точно никаких ошибок не будет.
Также есть масса других способов конструировать запоминающиеся пароли, один из них - составление пароля из первых букв начала какого-нибудь хорошо известного вам стихотворения.
Например, "Союз нерушимый республик свободных сплотила навеки великая Русь" - берем первые буквы: "снрсснвр", конвертируем в "snrssnvr", делаем первую и последнюю буквы заглавными, вбиваем четыре спецсимвола, добавляем код чемодана:
Пишем подсказку: "ГимН 1-4 чемодан".
И, кстати, текст какой-нибудь известной песни может стать вам своеобразным генератором паролей. Для одного пароля используете первые буквы первой строчки, для второго - второй строчки и так далее.
Вот и все! Видите, как просто создать очень устойчивый пароль, причем так, чтобы вы его и не забыли, и могли безопасно записать подсказку. Вам просто для себя один раз нужно придумать алгоритм по указанной выше методике и далее ему следовать.
Всякие полезности
1. Если вы используете менеджер паролей, то для него в качестве мастер-пароля должен быть придуман уникальный устойчивый пароль, который вы больше нигде не используете. При этом если менеджер пароля умеет разблокироваться по отпечатку пальца (Roboform такое умеет), то возьмите за правило хотя бы раз в день разблокировать менеджер паролем, а не отпечатком (чтобы вы себе об этом пароле постоянно напоминали).
2. Ваш почтовый ящик, на который завязаны подтверждения различных важных сервисов, должен иметь устойчивый и также уникальный пароль, который вы больше нигде не используете. Кроме того, крайне желательно, чтобы этот почтовый ящик не являлся вашим обычным ящиком для переписки и чтобы он нигде не светился, а использовался только для подтверждений.
3. Никогда не записывайте пароли в явном виде, но используйте подсказки, которые многое могут сказать вам, но ничего не могут сказать другим людям.
