среда, 12 августа 2020 г.

Мифы о паролях



Специалист ЦЗИ Шартрез,

Дмитрий Есипов


Пароли – довольно часто встречающиеся персонажи в различных кулстори (cool story – англ. классная история) и сказках безопасников. Среди всех фантастических созданий в области защиты информации, пароль наиболее популярен и распространен. Вы задаете пароли на доступ к социальным сетям, личным компьютерам, wi-fi и не только.

В этой статье мы расскажем Вам мифы о паролях, разберем каждый из них и определим, что же в них все-таки истина, а что – выдумка.


МИФ №1 «Чем длиннее пароль, тем он надежнее»

 На самом деле, идея верная. Почти. Только при такой интерпретации рассматривается всего одна характеристика пароля – его длина.

Давайте разберем на простом примере: наш пароль – 123. Надежный? Не думаю! Всего три символа. Давайте усложним пароль: 123456789. А теперь надежный? Символов уже девять, но он все еще не надежен. А если сделаем 18 символов? Вот так: 123456789123456789. И снова нет!

Говоря о надежности пароля, нельзя брать во внимание только одну его характеристику. У пароля еще есть алфавит. Он обычно включает строчные и заглавные буквы, цифры и различные знаки. Согласитесь, пароль mYM3g4p@$sW0rD даже выглядит надежнее.

Давайте снова обратимся к мифу, но теперь уже с учетом алфавита. Наш пароль mYM3g4p@$sW0rD надежен. Но после генерации скольки знаков пароль становится надежным?

На этот вопрос ответили специалисты NIST (Национальный институт стандартов и технологий США, англ. The National Institute of Standards and Technology). Они предложили характеристику пароля, объединяющую и длину, и алфавит. Это так называемая энтропия пароля. Согласно их исследованию, для алфавита, включающего латинские строчные и заглавные буквы, цифры и знаки достаточной была бы длина в 12 символов.

МИФ №2 «Чтобы пароль был надежнее, достаточно добавить цифры, символы и буквы большие и маленькие»

Возьмем пароль – R@1n. Он полностью соответствует рассматриваемому мифу, но он ненадежен – короткий. И, забегая вперед, он распространенный.

 Также отметим, что энтропия может не гарантировать безопасности и надежности пароля. Она является необходимым, но не достаточным критерием надежности.

Многие, например, указывают в паролях информацию, связанную с их личностью: год рождения, фамилию, имя и не только. Такие пароли можно вычислить при использовании информации о владельце, к чему с удовольствием прибегают злоумышленники.

Другой вариант – использование популярной фразы из фильма или книги, например, «Ill be back» (если вдруг Вам незнакома эта фраза, знайте, она из фильма «Терминатор»).

Не забудем упомянуть о списках популярных паролей. Да, наши разумы уникальны! Но вот парадокс: пороли, придуманные разными людьми, уникальны НЕ ВСЕГДА! В интернете размещены целые списки популярных паролей.

Интересно! В разных странах имеются свои уникальные пароли.

Если Вы хотите задать действительно надежный пароль, проверьте наличие придуманного пароля в этих списках. Также вы всегда можете воспользоваться СЕРВИСОМ по проверке надежности паролей.

МИФ №3 «Если использовать не очень распространенный сленг, пароль точно не будет популярным»

 Это заблуждение. Если, конечно, на этом сленге не разговаривает 2-3 человека в мире. Очень часто в паролях используется сленг хакеров. Наверное, все забывают, что взламывать их пароли будут как раз хакеры. Так что вариант этот – крайне неудачный.

МИФ №4 «Нельзя записывать пароли»

 Не совсем верно. Записывать их можно, а вот показывать кому-то или оставлять без присмотра – нет. Запишите их в блокнот, который всегда носите с собой.

Здесь возникает другая проблема. Блокноты – довольно ненадежные носители информации. Они мнутся, мокнут, горят и не только. В общем, есть риск потерять все пароли. Тогда нужен резервный носитель, причем лежащий где-то в другом месте (иначе может повредиться вместе с первым). Но в таком случае следить сразу за обоими будет проблематично.

 Совет: Размещать стикеры на мониторах, под клавиатурами и т.д. – не стоит!

 Вообще для хранения паролей разработаны специальные менеджеры паролей, они хранят всю базу паролей в зашифрованном виде. Программы очень удобные, хотя ими многие пренебрегают. Конечно, по надежности они ступают запоминанию паролей, но блокноты, стикеры, браузеры и текстовые документы – превосходят.

МИФ №5 «Тут (например, на wi-fi роутере) уже есть пароль, пусть таким и останется»

 Пароли, заданные по умолчанию, ненадежны хотя бы потому, что они установлены на тысячах других устройств и программ! Такие пароли нужно менять.

МИФ №6 «Чтобы не взломали, надо чаще менять пароли»

 Периодически их менять не помешает, это правда. Если Вы использовали надежный пароль, то менять его стоит раз в 3 месяца. Почему именно такой срок? Маловероятно, что за это время кто-то сможет вычислить Ваш пароль. Разумеется, с течением времени вероятность возрастает. Но лучше не ждать, пока пароль будет скомпрометирован.

МИФ №7 «Я придумал очень надежный пароль, задам-ка я его на все учетные записи»

 Может быть, он и правда очень надежен. И запомнить проще всего один пароль.

Зато если где-то пароль будет скомпрометирован и попадет к некому злоумышленнику, последний получит доступ КО ВСЕМ записям. Лучше задавать отдельный пароль для каждого аккаунта.

 

Это все, что касается наиболее популярных мифов. Подведем небольшой итог. Как же задать надежный пароль?

1)                 Используйте строчные и заглавные буквы, цифры и специальные символы (знаки).

2)                 Задавайте пароль длиной не менее 12 символов.

3)                 Проверяйте пароли на наличие их в списках популярных паролей.

4)                 Не оставляйте пароли, заданные по умолчанию производителем.

5)                 Используйте различные пароли для разных учетных записей.

6)                 Регулярно (раз в 3-4 месяца) меняйте пароли.

7)                 Не оставляйте пароли без присмотра.

8)                 НИКОГДА не используйте пароли, приведенные в качестве примеров в этой статье или в другом источнике. Ведь Вы уникальны 😉!

 

Помните, Ваша безопасность – в Ваших руках. Будьте счастливы, здоровы и в безопасности!

Комментариев нет:

Отправить комментарий