20 Сентября 2014, 06:30

О шифрах и предосторожности

Фото: Value Stock Images / East News

Пароль из семи знаков подбирается за 7 дней, а из девяти  за 32 года: Дамир Гайнутдинов напоминает о базовых правилах безопасности в интернете

Пару недель назад практически одновременно появились сообщения о том, что в сеть выложены пароли миллионов пользователей «Яндекс.Почты», Mail.ru и Google. Представители сервисов заявили, что большинство из утекших паролей неактивны, получены не путем взлома серверов компаний, а в результате фишинговых атак или использования вирусов, и вообще, как говорил герой советской комедии, надо смотреть за вещами, когда в комнату входишь.

«Яндекс», тем не менее, на всякий случай сбросил пароли скомпрометированных учетных записей. И, разумеется, правильно сделал. Кстати, произошла эта история, когда не все еще успели посмотреть свежие фото знаменитостей, по-видимому, полученные из сервиса iCloud.

В общем, были украденные пароли или их выдумали, украли их в начале сентября или десять лет назад, не так уж и важно. Это повод еще раз задуматься о безопасности своих коммуникаций, ведь даже если вы считаете, что ваша переписка никому не интересна, не пересылаете своих «голых» фотографий и не храните в почте копии кредитных карточек, сама перспектива потерять доступ к привычному аккаунту и извещать всех знакомых о смене адреса вряд ли приятна. К тому же ваш давно забытый и неиспользуемый почтовый ящик может быть ключом к вполне актуальным аккаунтам Facebook или PayPal. А это уж серьезно. Первое, с чего стоит начать — навести порядок в паролях.

У одной моей знакомой была почта на Mail.ru. Она ей не пользовалась лет десять — как раз с тех пор, как завела себе Gmail. В один прекрасный день она не смогла зайти на свою страничку в Facebook. Выяснилось, что кто-то завладел ее гуглопочтой, на которую был «завязан» аккаунт в социальной сети. Gmail украли через функцию «Восстановление пароля», которая позволяет получить ссылку для смены пароля на альтернативный почтовый ящик. Естественно, такой альтернативой был старый добрый Mail.ru. А в нем тоже была такая функция, только восстановить пароль можно было, ответив на «секретный вопрос». Указав, например, девичью фамилию матери. Как вы уже догадались, с мамой моя знакомая дружит на Facebook...

Специализирующаяся на IT-безопасности компания SplashData ежегодно публикует «Список худших паролей». В прошлом году первое место занял пароль 123456, потеснив слово password. На четвертом месте — буквосочетание qwerty, на пятом — abc123. Если посмотреть опубликованные базы паролей «Яндекса», Gmail и Mail.ru, то список самых популярных из них примерно совпадает с этим рейтингом.

Иллюстрация: splashdata.com

Между тем эксперты давно уже разработали простые рекомендации, позволяющие придумывать и запоминать сложные пароли. Есть, в конце концов, специальные парольные программы, сочетающие в себе функции генератора паролей и связки ключей. Они позволят вам создать сложный пароль, взлом которого перебором потребует очень много времени и ресурсов, и не дадут его забыть.

Надежный пароль должен быть неочевидным. Логин, ваше имя, кличка кота, дата рождения, номер машины не годятся. Телефон любимой девушки только на первый взгляд кажется хорошим решением (если кто-то захочет целенаправленно вскрыть именно ваш аккаунт, это будут первые опробованные варианты). В принципе, любой пароль в виде осмысленного слова или словосочетания не устоит перед словарной атакой.

Он должен быть достаточно длинным. Не зря большинство сервисов в последнее время увеличивают минимально допустимое число символов в пароле. При этом стоит руководствоваться принципом: чем меньше разнообразных символов вы используете, тем длиннее должен быть пароль.

К примеру, если пароль состоит только из цифр и букв латинского алфавита в одном регистре, а скорость подбора достигает 100 000 вариантов в секунду, то при длине пароля в 7 знаков его подбор займет 9 дней.

8 знаков дают уже 11 месяцев, а 9 — 32 года. При этом нужно помнить, что вычислительная мощность компьютеров не стоит на месте, а смена регистров и добавление символов @%$#-_*= позволяет усложнить задачу даже для искусственного интеллекта.

Пароль должен быть уникальным для каждой учетной записи. Если вы используете одну и ту же комбинацию для доступа ко всем аккаунтам, один взлом или подбор позволит увести у вас их все.

Пароль должен быть обновляемым. Возьмите за правило хотя бы раз в месяц обновлять все пароли. Это занимает не так уж много времени, но позволяет минимизировать риски. Возможно, кто то уже давно сумел подобрать пароль от вашей почты, и потихоньку читает все получаемую вами корреспонденцию. Ну ОК, хотя бы раз в два месяца меняйте пароль. Ну хоть раз в год!

Пароль должен быть тайным. Известный хотя бы одному постороннему — уже не имеет смысла (если только речь не идет о совместно используемой учетной записи). Не стоит, боясь склероза, клеить стикер с паролем на шкаф, или хранить пароль на рабочем столе в файле «Без имени.txt». Тут, наверное, и объяснять нечего.

Придумать и запомнить длинные бессмысленные наборы символов, да еще и уникальные для каждого аккаунта, — это задача не для слабаков. Две лежащие на поверхности рекомендации — использование парольных фраз и парольных программ.

Строчку из песни или детского стихотворения запомнить легко, а если взять из каждого слова первую или последнюю букву, то получится вполне надежный длинный и неочевидный пароль, который вы не забудете. Злоумышленники тоже не дураки, и базы, используемые для взлома паролей методом словарной атаки, содержат, к примеру, комбинации из первых букв популярных песен. Поэтому лучше выбрать что-то менее известное, например, редко упоминаемую цитату Фомы Аквинского.

Когда таких фраз становится много, риск забыть какую-то из них увеличивается. Можно воспользоваться парольной программой, которую еще называют «связкой ключей». Это небольшая база, в которую вы записываете все придуманные вами или сгенерированные машиной уникальные пароли, в свою очередь, зашифрованная с помощью мастер-пароля. Отныне вам достаточно помнить только этот мастер-пароль, который дает доступ к базе. При этом кража этого мастер-пароля сама по себе злоумышленнику ничего не даст, ему потребуется украсть и саму зашифрованную базу. Ну а уж ее-то вы наверняка будете хранить в надежном месте.

Одна из самых популярных программ для хранения паролей KeyPass, имеющая специальную версию для MacOS. Очень удобна в использовании 1Password, она годится для всех распространенных платформ. Само собой, скачивать их безопаснее всего с сайтов производителей. Интересующимся подробностями и конкретными программами рекомендую обратиться к разделу «Как создавать и хранить надежные пароли» отличного руководства «Безопасность-в-коробке».

Автор — правовой аналитик ассоциации «Агора».

util