Как создавать и хранить надежные пароли

Обновлен22 March 2018

Содержание

...Loading Table of Contents...

    Пароли нужны при использовании большинства приложений и сервисов. Пароли позволяют нам чувствовать себя в безопасности, когда мы используем цифровые технологии и хотим защититься от вмешательства извне (только я и никто другой), например, если нужно войти в учетную запись компьютера и отправить электронную почту, а также зашифровать важные данные. Эти секретные слова, фразы и всякая тарабарщина часто становятся единственным препятствием между нашей информацией и теми, кто хочет ее прочитать, скопировать, изменить или уничтожить без нашего разрешения. Мы полагаемся на пароли, чтобы не допустить кражу личности в социальных сетях и на других онлайновых платформах. Злоумышленники используют всякие трюки, чтобы разузнать пароли, но мы можем защититься от большинства таких приемов: нужно следовать определенным советам и применять надежный менеджер паролей.

    Что вы узнаете из этого руководства

    • Из чего состоит надежный пароль
    • Как запоминать длинные и сложные пароли
    • Как надежный менеджер паролей позволяет не хранить их всех в памяти
    • Что еще (кроме хорошего пароля) помогает защитить аккаунты и данные

    Создание надежных паролей и работа с ними

    Когда мы хотим что-то защитить, то используем замок и ключ. Велосипедный замок имеет “материальный” ключ. У банковской карточки есть виртуальный ключ — PIN-код. Аккаунт электронной почты защищен паролем. Зашифрованные файлы — шифровальным ключом. У всех этих ключей, физических и виртуальных, есть общая черта: они работают в любых руках. Можно избавиться от вредоносных программ, зашифровать файлы, общаться с другими людьми по защищенным каналам, скрыть свой интернет-трафик от посторонних. Но эти усилия окажутся тщетны, если ваш пароль плохой или оказался не в тех руках.

    Что значит надежный пароль

    Пароль должен быть таким, чтобы его было сложно подобрать с помощью компьютерных программ.

    • Длинный. Чем длиннее пароль, тем меньше вероятность, что его подберут на компьютере за разумное время. Некоторые люди используют парольные фразы из нескольких слов (с пробелами или без). Парольные фразы — отличная идея там, где разрешены длинные пароли.

    • Сложный. Не только длина имеет значение. Сложность пароля также помогает предотвратить автоматический программный “взлом” (поиск верной комбинации знаков). По возможности используйте буквы нижнего и верхнего регистров, цифры и специальные символы. Подробнее об этом в разделе Анатомия паролей ниже.

    Постороннему человеку должно быть сложно подобрать ваш пароль.

    • Не личный. Пароль не должен ассоциироваться с вашей личностью. Не выбирайте слово или фразу с персональными данными: вашим именем, днем рождения, телефонным номером, именем ребенка, кличкой домашнего питомца — тем, что посторонние люди могут узнать о вас, если чуть-чуть поищут. Некоторые сервисы предусматривают “контрольные вопросы”, чтобы подтвердить вашу личность при восстановлении забытого пароля. Лучше придумывать заведомо искаженные ответы на такие вопросы. Это спутает карты злоумышленнику, который соберет информацию и попробует прикинуться вами. Хранить такие “фейковые” ответы можно в том же менеджере паролей.

    • Секретный. Не давайте никому свой пароль без крайней необходимости. Нужно поделиться паролем с другом, членом семьи, коллегой? Сначала смените пароль на какой-нибудь временный и передайте этот временный пароль, а когда надобность отпадет, вернитесь к первоначальному паролю. Впрочем, и передавать пароль чаще всего не требуется. Например, можно создать отдельные аккаунты для всех, кому нужен доступ. Не позволяйте посторонним заглядывать через плечо, когда набираете пароль; это тоже элемент защиты.

    • Практичный. Проблемы с запоминанием паролей? Записываете их на бумажках? Вы рискуете оказаться в прицеле у того, кто имеет прямой доступ к вашему рабочему столу, или (хотя бы временно) в квартиру, или к бумажнику, или к мусорному контейнеру рядом с офисом. Сложно придумать длинный, сложный, но запоминающийся пароль? Обратите внимание на раздел Как запомнить надежный пароль ниже. Вариант: можно выбрать стойкий пароль, сохранить его в менеджере паролей вроде KeePassX или KeePassXC и не трудиться над запоминанием. Менеджеры паролей для того и созданы. Не стоит хранить пароли в обычном файле, даже зашифрованном.

    Если злоумышленник все-таки завладеет паролем, ущерб должен быть минимальным.

    • Уникальный. Старайтесь не использовать один и тот же пароль для двух и более аккаунтов. В противном случае злоумышленник, завладев паролем, получит доступ к дополнительным сервисам и данным. Устраивать ротацию паролей между разными аккаунтами — не лучшая идея. Сегодня уникальность пароля особенно важна. Новые и новые сайты оказываются скомпрометированы после того, как их базы паролей попадают в открытый доступ. Взгляните на проект Have I Been Pwned Троя Ханта (Troy Hunt), специалиста в области безопасности. На этом сайте можно не только увидеть примеры паролей, но и узнать, произошла ли утечка какого-либо из ваших паролей. (Имейте в виду: многие взломы аккаунтов происходят “втихую”, поэтому даже если ни одного из ваших паролей в этой базе нет, лучше сменить слабые пароли на более надежные).

    • Свежий. Время от времени меняйте важные пароли. Чем дольше вы сохраняете один и тот же пароль, тем выше шансы, что его подберут. Если злоумышленник использует украденный пароль, а вы не заметите, он продолжит делать это, пока вы не смените пароль. Надежные пароли не нужно менять часто, достаточно делать это хотя бы раз в год.

    Как запоминать и записывать надежные пароли

    После всего сказанного логично спросить: как обычный человек, не обладающий фотографической памятью, может запомнить длинный, сложный, не основанный на какой-то определенной логике пароль, не записывая его? А ведь для каждого аккаунта нужен отдельный пароль! К счастью, есть несколько приемов создания легко запоминающихся паролей, которые крайне трудно узнать даже продвинутому взломщику с крутыми программами. Существуют инструменты вроде KeePassX и KeePassXC, специально созданные для хранения паролей.

    Как запомнить надежный пароль

    Гораздо проще запомнить слово, чем набор случайных символов. Но пароль из одного слова легко отгадать. С помощью компьютеров можно очень быстро проверить, совпадает ли пароль со всеми возможными словами из словаря. Средней мощности компьютер без подключения к интернету способен проверить (примерно) 10 тысяч английских слов за считанные секунды. При подборе пароля онлайн (скажем, с пятисекундным интервалом между попытками) понадобится всего несколько часов, чтобы достичь результата.

    Изменим несколько строчных букв на заглавные, "a" на "@", добавим восклицательный знак. Не очень помогает. Злоумышленники знакомы с этими приемами. В их словарях уже есть подобные варианты. (Да, для всех языков существуют такие словари). Можно увеличить время подбора пароля, скажем, с одной секунды до десяти, но разве назовешь это решением проблемы?

    Попробуйте использовать для пароля минимум шесть случайно выбранных слов. Это и безопасно, и легче запоминается. Человеку трудно мыслить случайно, а в упомянутых парольных словарях есть также известные цитаты, тексты песен, стихотворения, распространенные фразы. “Метод игральных костей” предполагает, что человек бросает кости, получает случайное число и находит соответствующее слово в специальном списке.

    Примеры паролей, созданных по методу “игральных костей”:

    • cake brute tragedy outmost frostlike playroom
    • QuaintlyFreshResilientSnowstormReworkAbnormal
    • Myst!fyFrostlikeDisorderChessReversePortal

    Сегодня для удобства многие используют генераторы случайных слов, подобные тому, который встроен в программу KeePassXC. Но и оригинальный способ работает, если у вас в кармане найдется пять кубиков.

    Как надежно хранить пароли

    Чуть-чуть воображения, немного практики, и вы сможете удерживать в памяти пароли, придуманные по методу игральных костей. Но в наши дни человеку приходится иметь дело с очень большим числом паролей. Есть смысл присмотреться к парольному менеджеру, например, KeePassX или KeePassXC. Такие программы позволяют создавать по-настоящему случайные пароли для ваших аккаунтов и хранить их в портативной зашифрованной базе. Запоминать их больше не придется.

    Руководство по KeePassX — безопасному менеджеру паролей [Windows] [Mac] [Linux]

    Когда нужен пароль для конкретного аккаунта, вы легко извлекаете его из базы. Доступ к базе защищен вашим мастер-паролем. Так можно выполнить все рекомендации выше. KeePassX и KeePassXC — портативные программы. Их, как и базу паролей, можно записать на USB-флешку (пригодится, если вам нужен пароль, а вы вдали от основного компьютера). Открывайте свою базу только на компьютерах, которым доверяете. Если вы сделаете это на устройстве, зараженном вредоносным кодом, все ваши пароли могут оказаться раскрыты.

    Для тех, у кого много паролей, менеджер паролей является, возможно, самым эффективным решением. Правда, и у него есть недостатки.

    Во-первых, если вы потеряете или удалите базу паролей, а копии нет, вы утратите доступ ко всем соответствующим аккаунтам. KeePassX и KeePassXC, в отличие от некоторых других менеджеров паролей, не хранят копии ваших данных в интернете. Это хорошо с точки зрения безопасности, но резервное копирование базы становится делом особой важности. Обратите внимание на главу о том, как защитить важные файлы на компьютере. К счастью, сама парольная база зашифрована. Не так уж и страшно, если флешка или внешний диск с копией базы попадут в чужие руки. Вы по-прежнему можете сменить пароли, если почувствуете в этом необходимость, а ваши текущие пароли еще долго будут в безопасности — конечно, при условии надежного мастер-пароля.

    Во-вторых, если вы забудете мастер-пароль, у вас не останется никаких вариантов доступа к парольной базе. Выбирайте мастер-пароль так, чтобы он был и надежным, и запоминаемым!

    Очень важно, чтобы мастер-пароль был действительно хорошим. Если кто-то узнает мастер-пароль и добудет копию вашей парольной базы, он получит доступ ко всем паролям в базе. Такое может случиться, если вас принудят предоставить эти данные или ваш компьютер окажется заражен вредоносным кодом. (Впрочем, вирус может и перехватывать вводимые пароли). Некоторые люди создают отдельные парольные базы для самых важных данных и соблюдают повышенную осторожность при работе с этими базами. Кое-какие мысли на этот счет вы можете найти в нашем руководстве о том, как защищать важные компьютерные данные.

    Где еще работают пароли

    Выше мы, в основном, говорили о паролях к сетевым аккаунтам. На самом деле пароли используются для контроля доступа в самых разных жизненных ситуациях, включая те, где об “аккаунтах” и речи нет. Примерами могут служить вход в устройство, шифрование данных, подключение к беспроводной сети. Иногда пароли не являются обязательными. В некоторых случаях мы сталкиваемся с “паролем по умолчанию”, как правило, довольно слабым.

    • Программа, которая запускает операционную систему на компьютере, называется базовой системой ввода-вывода (Basic Input/Output System, BIOS). Вы можете установить в BIOS пароль, и он будет отличаться от пароля для входа в операционную систему. Это еще больше свяжет руки злоумышленнику, который получит физический доступ к компьютеру, чтобы установить на нем вредоносную программу.

    • При настройке беспроводного маршрутизатора дома или в офисе можно установить пароль. Таким образом, трафик между вашим устройством и маршрутизатором будет зашифрован. Правда, эта защита не убережет трафик одного пользователя вашей беспроводной сети от другого такого же пользователя, но "внешний" злоумышленник, у которого нет пароля wi-fi, не сможет за ними шпионить.

    • У маршрутизатора есть вход для администратора (чаще всего "admin"). С его помощью можно изменить или отключить многие настройки безопасности. Купили новый маршрутизатор? Посмотрите в документации пароль, зайдите как администратор и поменяйте пароль на более надежный. Вам нечасто придется пользоваться этим аккаунтом, так что можно просто хранить пароль в безопасном парольном менеджере.

    Вопросы для восстановления доступа к аккаунту

    Многие веб-сервисы при регистрации предлагают вам дать ответ на “контрольный вопрос”, например:

    • Ваш любимый фрукт?
    • В каком году вы пошли в школу?
    • Название улицы, где вы жили в детстве?
    • Девичья фамилия матери?

    Некоторые сервисы используют контрольные вопросы, чтобы подтвердить вашу личность (если подозревают, что кто-то другой пытается зайти в ваш аккаунт). Во многих случаях ответ на контрольный вопрос позволяет изменить пароль, если пользователь его забыл.

    Но такие данные иногда попадаются в сети. Поэтому лучше придумывать "фейковые" ответы. Конечно, вам нужно где-то зафиксировать свой оригинальный ответ на случай, если сервис сочтет ваше подключение подозрительным, или если вы на самом деле забудете пароль. Хранить эту информацию удобно в том же менеджере паролей.

    Двухфакторная аутентификация

    Итак, вы поменяли пароли для всех своих аккаунтов на более надежные. Следующий по важности шаг для защиты данных — включить двухфакторную аутентификацию. Иногда ее называют немного иначе — двухэтапная аутентификация или просто ДА. Двухфакторная аутентификация означает, что, помимо пароля, пользователю требуется что-то еще. К счастью, этот второй фактор не нужно запоминать или хранить в зашифрованной базе.

    Обычно это короткий цифровой код, который вы получаете по SMS или создаете с помощью приложения на смартфоне. Бывает, что для получения кода используют отдельное физическое устройство, так называемый “токен”. Многие токены опираются на стандарт “универсального второго фактора” (Universal 2nd Factor, U2f). Как бы то ни было, при каждом входе код будет новым.

    Популярное приложение с открытым кодом для двухфакторной аутентификации — FreeOTP. Оно существует для iOS и для Android. (У Google есть собственное приложение Google Authenticator, но коды FreeOTP можно использовать и для входа в аккаунты Google). Если такое приложение один раз настроить на работу с аккаунтом, в будущем для создания кодов двухфакторной аутентификации ему не понадобится соединение с интернетом.

    Во многих онлайновых сервисах при включении двухфакторной аутентификации вы можете получить набор резервных одноразовых кодов. Эти коды особенные, они не имеют срока годности. Важно хранить их в надежном месте. Если вы потеряете доступ к тому устройству, которое обычно генерирует одноразовые коды, резервный код станет единственным способом доступа к аккаунту. (Разумеется, если кто-то имеет нужный код и знает ваш пароль, он тоже получит доступ к аккаунту). Хранить одноразовые коды очень удобно в парольном менеджере.

    Примечание об использовании SMS-сообщений для двухфакторной аутентификации. Если сервис поддерживает как SMS-вариант, так и коды из приложения, выбирайте второе. Текстовые SMS-сообщения не зашифрованы, и злоумышленники уже не раз успешно перехватывали коды “на пути” к телефону пользователя.

    Анатомия паролей

    Многие надежные пароли состоят из разных знаков, например, букв верхнего регистра, цифр, специальных символов. Это расширяет область поиска всевозможных комбинаций, которые придется попробовать любителю полного перебора, прежде чем он доберется до верного варианта. Мы можем осложнить жизнь злоумышленнику, если используем разные множества символов и увеличим длину пароля.

    Полный перебор

    Предположим, пароль состоит из маленьких букв латинского алфавита. Тогда для каждой позиции есть лишь 26 возможных вариантов. Если добавить заглавные буквы, это число вырастет до 52. Дополним другими символами — получим 78 вариантов. Само по себе это не значит, что сложные пароли в три раза надежнее простых. Длинный пароль может оказаться в тысячи или миллионы раз надежнее.

    Так происходит благодаря экспоненциальному росту сложности паролей. Вкратце, длина пароля возводится в степень возможных вариантов для каждого символа в пароле. Представьте восьмизначный пароль из строчных английских букв. Это примерно 200 миллиардов (26^8) возможных комбинаций. Более сложный восьмизначный пароль из упомянутого примера будет иметь примерно в 5 тысяч раз больше комбинаций (78^8, свыше миллиона миллиарда). Чем длиннее пароль, тем заметнее разница. Сложный двенадцатизначный пароль окажется в 500 с лишним тысяч раз сильнее, чем простой пароль той же длины.

    Словарные атаки

    Словарная атака использует слова (и в@рианты сл0в) как шаблоны для более быстрого взлома пароля. В английском языке менее 10 тысяч общеупотребимых слов. Даже простейший пароль из трех произвольных букв нижнего регистра оказывается сильнее (26^3 больше 17 тысяч). Но и здесь нас выручает математика. Как мы рассказывали раньше (“метод игральных костей”), можно создать надежный пароль с использованием обычного словаря при условии случайного выбора не менее шести слов (10000^6 равно миллиарду миллиардов).

    В первой таблице ниже показано, сколько времени злоумышленнику нужно для взлома пароля в зависимости от его длины. Во второй таблице приводятся похожие оценки для паролей, которые “усилены” с помощью некоторых популярных приемов. Как видите, разница невелика до тех пор, пока пароль не становится достаточно длинным.

    Пароли по методу игральных костей

    Пример пароляЧисло комбинацийВремя для взлома
    Purple9 тысячНемедленно
    PurpleCarpet79 миллионовМеньше 1 дня
    PurpleCarpetJump699 миллиардовМеньше 1 дня
    PurpleCarpetJumpGarage6000 триллионов4 дня
    PurpleCarpetJumpGaragePaint55 миллионов триллионовОколо века
    PurpleCarpetJumpGaragePaintStrangely488 миллиардов триллион7695 веков

    "Усиленные" пароли

    Пример пароляЧисло комбинацийВремя для взлома
    Purp13177 тысячМеньше 1 дня
    Purp13C@rp3+47 миллиардовМеньше 1 дня
    Purp13C@rp3+Jump419 триллионовМеньше 1 дня
    Purp13C@rp3+JumpG4rage37 миллионов триллионовОколо века
    Purp13C@rp3+JumpG4ragePa!nt3 триллиона триллионов52036 веков
    Purp13C@rp3+JumpG4ragePaint5trangely293 тысячи триллионов триллионовБолее 4 миллиардов веков

    Таблицы основаны на расчетах Passfault. Это один из сайтов, где можно протестировать надежность пароля. Подобные сервисы с хорошей репутацией производят расчеты на вашем компьютере. Они ничего не пересылают на свои серверы. Такие сайты могут быть полезны для тестирования сравнительной эффективности разных парольных стратегий. Реальные пароли все-таки лучше не указывать.

    Что почитать