Совершенству нет предела
3 ноября 2020
Начнем с картинки для привлечения внимания:
Сегодня вернемся к теме паролей и поговорим о еще одной связанной с ними проблеме.
Итак, мы уже неоднократно давали рекомендации по составлению паролей и упоминали, что пароли должны быть сложными.
Хорошие пароли сочиняют коты, когда ходят по клавиатуре:
- s7777,.LW/g000---5255;
- GBz.vURHDG>923ub4grz.34;
- #$:*(Tg;9729htgbz1114.
Но запомнить такой пароль не сможет даже создавший его кот. И это проблема:
Если хотя бы один сложный пароль из букв с цифрами пользователь может запомнить, то как ему изменить его через 90 дней и запомнить новый пароль? Как показала практика, большинство людей решают эту проблему самым логичным способом: они делают минимальные изменения в пароле. Например, просто меняют последнюю цифру, прибавляя единицу: Pa55word!1, Pa55word!2, Pa55word!3 и так далее. Это совершенно не способствует повышению безопасности.
В Интернете можно найти множество советов на эту тему:
Но что толку-то, если пароли ко всем ресурсам у многих по-прежнему одинаковые, а утечки идут, как грибы в сезон?
У меня как-то угнали скайп с паролем примерно +JAa=oSI.>n{1c*«0u'aTqM9KVph/g
С тех пор пароли у меня ещё и разные…
(на почту тот же был, её тоже сперли).
И специалисты по безопасности уступают реалиям:
- Более не рекомендуется ограничивать срок действия пароля.
- Больше не стоит заставлять пользователей использовать разные группы символов при выборе пароля (например, требовать обязательного включения строчных и прописные буквы, цифр и/или специальных символов).
От пользователей системы НЕ СЛЕДУЕТ требовать изменения паролей на основе некоторых правил (например, периодически, раз в три месяца и т.п.). Однако владельцы системы ДОЛЖНЫ начать процедуру принудительной смены паролей, если существует подозрение, что система аутентификации была скомпрометирована.
Пользователи склонны выбирать более слабые пароли, если они знают, что в ближайшем будущем их потребуют снова сменить. И когда пароли будут поменяны, зачастую пользователи выберут пароль, который будет очень похож на их старый пароль, просто применив некоторое преобразование, например, увеличение значения числа в пароле. Подобное поведение дает ложное ощущение безопасности, поскольку если какой-либо из предыдущих паролей был скомпрометирован, хакер может угадать текущий пароль применив подобные правила.
Новые правила предполагают использование парольных фраз, которые гораздо легче запомнить. Это могут быть строчки из стихотворения или произвольные предложения. Чтобы брутфорсить 40-символьные фразы, хакерам придётся применять новые словари с графами сочетаемости слов. Это более сложно, чем сбрутить восьмисимвольный пароль с произвольными символами.
Исследователи говорят, что даже фраза из четырёх произвольных слов обеспечивает достаточно высокий уровень безопасности, чтобы надёжно защититься от брутфорса.
Эм… парольные фразы… средний словарный запас — 10 000 слов.
Парольная фраза из четырех слов — 10^4*4 = 10^16 Мне кажется, или при большей длине пароля обеспечивается меньшая защищенность (при условии правильности написания слов в парольной фразе)?
Как сформировать парольную фразу? Вот два примера:
- Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami.
- Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi.
- Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi.
- Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshk@.s.gr1b@mm1.
- Берете слова любимой песни. Например, «Это не шутки, мы встретились в маршрутке под номером один, едем и молчим».
- Берем первые буквы: эншмввмпн1еим.
- Переводим в английскую раскладку: enshmvvmpn1eim.
- Делаем заглавными первые буквы ударных слов: EnSHmvvMpn1eiM.
- Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29.
А как все это запомнить? Например, так:
Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».
А вот чего делать не нужно, так это пользоваться сторонними сервисами типа такого:
Для автоматической генерации подобных паролей можно воспользоваться ботом @хххх. Просто выберите язык и сложность пароля, и бот сам сгенерирует и предложит вам сразу 4 варианта паролей.
Вы не можете быть уверены в том, что такой же вопрос боту не зададут хакеры. И не получат рекомендованные пароли. А так как «пробив» пользователя Телеграм – услуга распространенная, то они узнают и о том, кто эти пароли запрашивал.
Антивирусная правДА! рекомендует
На случай если наши рекомендации на тему паролей кому-то уже приелись, сегодня позаимствуем чужие советы.
- Не используйте один и тот же пароль в почте, банке, соцсетях и мессенджерах. Меняйте хотя бы треть пароля, чтобы его было сложно подобрать.
- Включите двухфакторную авторизацию везде, где можно. Тогда, даже если ваш пароль попадет в руки мошенников, для входа в почту или банк им потребуется еще и ваш телефон.
- Старайтесь не вводить пароли на чужих компьютерах, особенно если компьютер общий: в интернет-кафе или библиотеке. Вы не знаете, какие на них могут стоять программы-шпионы.
- Защитите паролем домашнюю беспроводную сеть.
- Если у вас есть подозрение, что ваш пароль мог утечь к злоумышленникам, меняйте его в безопасной среде и с безопасного устройства. Например, дома с планшета.
Хотя так или иначе что-то подобное мы уже писали 😊
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Lia00
22:08:18 2020-11-19
Korney
22:24:42 2020-11-04
Пaвeл
10:12:22 2020-11-04
achemolganskiy
05:52:51 2020-11-04
yuraorc
21:51:17 2020-11-03
Геральт
19:45:59 2020-11-03
Альфа
19:33:34 2020-11-03
Zserg
19:06:44 2020-11-03
orw_mikle
18:54:27 2020-11-03
Masha
16:07:17 2020-11-03
Dvakota
14:42:42 2020-11-03
Денисенко Павел Андреевич
14:22:12 2020-11-03
vinnetou
14:02:06 2020-11-03
Alexander
13:49:49 2020-11-03
Оно применимо к гораздо большему числу народонаселения. Реалии и каждый из нас постоянно меняются. Это естественно и нормально во всех отношениях. Мы - часть этих реалий, - очень маленькая частичка... И форм взаимного существования (взаимодействия?) людей и реалий множество. Оно сравнимо с количеством людского ареала на планете. Кто-то пытается плыть в нужном именно ему (ей, группе, семье, коллективу) направлении. Многие плывут по течению. Некоторые пребывают в каком-то перманентном шторме. Немало и тех, кто просто пытается удержаться наплаву...
"Простота" в общем понимании очень привлекательна. Как часто приходится слышать: будь как все, не лезь, не выпендривайся, больно умный, будь проще... Это относится и к такой сугубо специфической сфере как информационная безопасность. И, в частности, к сфере паролей (кодов, электронных ключей).
Мне кажется, что и изменения в рекомендациях NIST (Национальном институте стандартов и технологий, США) по паролям следовали именно в струе этих упрощенческих реалий. Это как-то не сочетается с усилением вычислительных мощностей компьютеров, расширением облачных технологий и развитием искусственного интеллекта. И это не говоря о росте киберпреступности во всех сферах. То есть, - это реальная уступка реалиям. Толи интеллекта не хватает, толи провокация "партнёров" (ведь NIST – это подразделение Министерства торговли США), а может быть и какой-то межпартийный саботаж?!
Я не против парольных фраз. Они хороши к месту и ко времени. Есть отличная отечественная программа Компании ИнфоТеКС. Называется ViPNet Password Generator ( https://infotecs.ru/product/vipnet-password-generator.html#soft ). Рекомендую.
Полностью поддерживаю "Dr.Web рекомендует". Важно знать советы и "своих", и "чужих". Взвешивать, анализировать, "примерять", подбирать "под себя". А затем, и это главное, неукоснительно следовать им. Поможет избежать неприятностей, о которых догадывался, но полагал, что они минуют тебя стороной...
P.S. Мама! Почему пароль кота "7777" ты хвалишь, а такой же мой ругаешь?!
Татьяна
12:57:00 2020-11-03
L1t1um
12:22:43 2020-11-03
ka_s
11:21:27 2020-11-03
Неуёмный Обыватель
11:16:26 2020-11-03
Пaвeл
10:52:21 2020-11-03
maestro431
10:13:03 2020-11-03
GREEN
10:05:11 2020-11-03
Ну уж нет, никаких ботов и "готов" (с смысле, шаблонов)! Надо действовать не шаблонно.
Да, применение кодовых фраз не самый лучший вариант, но и не самый худший!
А уж для запоминания - ну просто хороший (на мой взгляд - отличный!) вариант (идеальный вариант - шифровальная машинка :)
"На случай если наши рекомендации на тему паролей кому-то уже приелись, сегодня позаимствуем чужие советы."
Не приелись, не приелись. Уж очень актуальная тема. И "чужие" советы также хороши.
И вообще, «Береженого бог бережет!» А у не береженого ... уводят почту :)
DrKV
09:43:05 2020-11-03
Спасибо за очередное напоминание о смене пароля. Будет чем заняться на выходных.
Рекомендации как всегда по делу. Спасибо!
Vlad X
09:40:44 2020-11-03
gebrakk
09:27:35 2020-11-03
eaglebuk
09:20:03 2020-11-03
SGES
08:32:41 2020-11-03
Любитель пляжного футбола
06:59:59 2020-11-03
Sergey
06:43:49 2020-11-03
vkor
06:30:54 2020-11-03
Slava90
06:08:16 2020-11-03
Morpheus
04:54:18 2020-11-03