А в этой статье хочу наглядно показать почему так важно иметь сложный пароль, и каким образом злоумышленники подбирают пароли.

Некоторые думают: «Зачем мне сложный пароль? Я его могу забыть. Кому вообще нужен мой аккаунт?». Как показывает практика, сложный пароль является хорошей превентивной мерой защиты учетных записей, и лучше забыть пароль, потратить время на восстановление, чем быть взломанным.

Перед написанием этой статьи я провел эксперимент, и готов поделиться результатами.

Неделю назад я сделал специальный тестовый сайт (так называемый honeypot – система, которая имитирует реальные ресурсы и может быть использована для отслеживания и анализа действий злоумышленников, а также для сбора информации об их методах). Принцип такой, что сайт очень похож на вполне реальный, за исключением того, что на нем установлены специальные мониторы, фиксирующие попытки атак и взломов.

Итак, сайт управляется администратором «fedor». Логин администратора на сайте нигде не отображается. Также есть пользователь «igor», от имени которого на сайте опубликовано 2 новости.

Сайт намеренно не добавлен в поисковые системы – найти его каким-либо образом невозможно, если только не знаешь прямого адреса.

Спустя неделю получились следующие результаты.

В течение семи дней существования сайта его пытались взломать 2079 раза. А пока я писал эту статью в течение нескольких часов, количество еще увеличилось до 2235.

Но как злоумышленники узнали об этом ресурсе? Никак. Для подобного подбора используются специальные боты, которые в автоматическом режиме перебирают все интернет-ресурсы и пробуют выполнить вход в административные панели. В случае успешного входа бот сообщает хакеру ресурс и данные для входа. То есть все, что необходимо сделать – это запустить необходимую программу.

Для входа боты используют наиболее популярные логины и пароли, а также данные из различных утекших баз.

В моем случае рейтинг логинов, которые подбирались, выглядит так:

1. admin
2. administrator
3. igor

Можно заметить, что для подбора используются логины, которые используются в системах по умолчанию (admin и administrator), а также учетная запись «igor», которая открыто отображается в публикациях на сайте.

Наиболее популярные пароли:

1. admin
2. 123456
3. password

Выводы:

• абсолютно все ресурсы в интернете подвергаются атакам и попыткам взлома;
• не используйте административные логины по умолчанию;
• административные логины следует использовать исключительно для настройки ресурса – никаких открытых публикаций логина администратора;
• используйте сложные пароли.

В этой статье я хочу поделиться несколькими методами создания и запоминания сложных паролей.

Парольная фраза

Для создания пароля можете использовать, так называемую, парольную фразу. Это не словарные слова целиком, а только их часть из фразы. Для запоминания пароля, нужно будет запомнить не случайный набор символов, а простую фразу.

Пример 1

Предположим, что нужен надежный пароль для электронной почты, чтобы он всегда был в голове, и мы могли воспользоваться им в любой момент для входа.

В качестве пароля можно загадать следующую парольную фразу «Яндекс лучше Мэила» (это не реклама, можно и наоборот «Мэил лучше Яндекса»).

От каждого слова из парольной фразы берем по 3 символа и получаем «ЯндлучМэи». Полная бессмыслица, которой не найдете в словарях для взлома. Следующим этапом добавим цифры и запишем пароль на английской раскладке. Получим хороший стойки пароль – «ZylkexV’b1232». Как видим, в пароле используются большие и маленькие буквы, цифры и специальные символы («э» в английской раскладке дала символ «‘»), длина пароля 13 символов. Сервис по проверке паролей сообщает, что пароль стойкий, что его нет в базах утекших паролей, а на взлом потребуется 11 веков.

Пример 2

Создадим еще один пароль. Например, для онлайн-банка. В качестве парольной фразы загадаем «В сумке много денег». Возьмем по 3 буквы каждого слова, получим «Всуммноден». Добавим цифры и специальные символы, запишем в английской раскладке – «(159)Dcevvyjlty». Прекрасно, пароль получился длиной 15 символов, удовлетворяющий всем требованиям, но легкий для запоминания. Проверим его на стойкость – на взлом потребуется 3261 век. Неплохо.

К парольной фразе вы можете добавлять любые цифры, любые специальные символы, в любом месте. А чем абсурднее будет сама парольная фраза, тем лучше и быстрее вы ее запомните.

Менеджер паролей

Менеджер паролей – это приложение для компьютера или телефона. Отличный инструмент для создания и хранения паролей. Существует большой выбор менеджеров: облачных и локальных, платны и бесплатных, с различным дополнительным функционалом и без. Основной принцип у всех одинаковый. В менеджере паролей создается защищенный контейнер, в который записываете все ваши логины и пароли. Сам контейнер шифруется мастер-паролем. Мастер-пароль рекомендуется делать длиной не менее 20 символов. А чтобы его не забыть, можно воспользоваться парольной фразой.

Фактически при использовании менеджера паролей вам нужно запомнить только один максимально сложный пароль, остальные вы просто берете из контейнера в нужный момент.

Из контейнера удобно копировать необходимые данные или воспользоваться автозаполнением полей «Логин» и «Пароль», большинство менеджеров паролей это умеют. При этом менеджер копирует пароль в память устройства только на несколько секунд, что защищает вас дополнительно. Я пользуюсь KeePass. Он работает с самыми популярными операционными системами – Windows, MacOS, Linux, Android и iOS. Интерфейс интуитивно понятен, с поддержкой большого количества языков, а самое главное (для меня), что защищенный контейнер располагается не где-то в облаке, а локально на устройстве.

Пароль в книге

Данный метод является наиболее экзотическим. Некая альтернатива менеджеру паролей. Чаще всего я рекомендую его применение в организациях, где строго запрещена любая установка стороннего программного обеспечения. Суть метода не в том, чтобы записывать пароли в вашем ежедневнике, а в том, что у вас возле компьютера лежит книга (художественная, научная – неважно), которая и является сборником паролей. Вы открываете любую страницу, а далее выбираете алгоритм выбора буквенных символов для пароля. Разберем пример.

Открываете книгу на любой странице, выбираете фрагмент откуда возьмете, например, первые буквы для создания буквенной части пароля. Никакие выделения символов в книге при этом делать не нужно.

Получаете «Пдсдоинп». Книга объемом 447 страниц. Для удобства можно использовать цифры 4, 4, 7 как цифровые символы. Добавьте специальный символ, и запишите все в английской раскладке. Получается хороший пароль «Glcljbyg+447». Готово.

При использовании этого метода вам даже не требуется запоминать пароль, нужно лишь запомнить выбранную страницу.

В качестве заключения

Как видите, есть разные способы для создания, запоминания, хранения паролей. Вы даже можете придумать собственный метод. Главное, чтобы внешне пароль представлял из себя случайную последовательность символов. А алгоритм, по которому эти символы выстраиваются, был известен и понятен только вам.

Пользоваться исключительно одним методом будет проблематично, так как запомнить более 20-ти парольных фраз будет сложно, мастер-пароль от менеджера пароля должен быть особенно сложный и его всегда нужно держать в голове, книгу с собой постоянно носить не будете. А вот комбинировать описанные подходы удобно.

ТЕХНИЧЕСКИ ВОЗМОЖНО ВЗЛОМАТЬ ЛЮБОЙ ПАРОЛЬ. Вопрос только в затраченных силах и времени на этот взлом. Например, пароли password123, qwerty123456, qazZAQ1, ckj;ysqgfhjkm246 (на кириллице «сложныйпароль246») могут быть подобраны в течение нескольких минут на обычном домашнем компьютере. Это плохие пароли, они никак не защитят вашу информацию. Однако, если к моменту подбора пароля информация, которую он защищает, потеряет свою актуальность, то считается, что пароль надежный.

Все пароли условно можно разделить на две группы: стойкие и нестойкие к взлому.

Нестойкие пароли

В интернете можно найти огромное количество специальных словарей, которые содержат в себе миллионы возможных комбинаций паролей. С помощью них злоумышленник может взломать пароль за относительно небольшой промежуток времени, от недели до месяца.

Некоторые пользователи в качестве пароля или так называемого контрольного вопроса указывают личную информацию (свои имена, имена родственников, знаменательные даты, клички питомцев, девичьи фамилии и прочее). Такие пароли также являются ненадежными, потому что узнать информацию подобного рода не составляет труда. Приведу два примера.

Пример 1

Ревнивый муж хочет получить доступ к электронной почте своей жены (кстати, это НЕ ЗАКОННО). Он знает, что контрольный вопрос для восстановления пароля от почты жены «Кличка первого питомца». За ужином муж заводит разговор на тему домашних животных и узнает, что в детстве его супруга очень любила свою первую собаку по кличке Маня. На следующий день благодаря «Мани» муж меняет пароль и получает полный доступ к электронной почте жены.

Пример 2

Руководитель компании зовет к себе ИТ-шника из-за проблем с компьютером. В определенный момент руководителю требуется ввести пароль. Он ошибается в символе, пароль, естественно, не применяется. На предположение ИТ-шника, что пароль забыт, руководитель говорит, что он не может его забыть, так как в качестве пароля установлено имя его ребенка и год рождения. Через пару дней, за обедом, этот самый руководитель на специально заготовленный вопрос ИТ-шника «как дети?» рассказал ему всё, в том числе имена и даты рождения всех своих троих детей.

Надеюсь, что мне удалось показать важность использования ненадежных паролей.

Стойкие пароли

При создании стойкого пароля следует руководствоваться следующими правилами:

Если вы хотите создать себе надежный пароль, то используйте все эти условия ОДНОВРЕМЕННО.

Важно помнить, что единоразовое создание надежного пароля не гарантирует сохранность ваших данных на 100%. Как я писал выше, технически возможно взломать любой пароль, вопрос только в затраченном времени и в актуальности информации после взлома. Но, например, для аккаунтов электронной почты и интернет-банка нет понятия срока актуальности информации – в них она актуальна постоянно. Даже если злоумышленник потратит на их взлом 3 года, для вас это будет критично. Поэтому пароли в наиболее критичных для вас сервисах необходимо менять каждые 3-4 месяца. При этом новый пароль должен значительно отличаться от предыдущего, как минимум, половиной символов.

При создании пароля вы можете проверить его на специальном сервисе от Касперского. На этом сервисе можете проверить насколько пароль стойкий и числится ли он в утекших базах.