Антивирусная правДА!TM

7 февраля 2024

В одном из прошлых выпусков «Антивирусной правды» мы рассказывали о менеджерах паролей – специальных утилитах, призванных упростить и, главное, обезопасить работу с паролями. В статье упоминалось и о недостатках этих программ, основные из которых — риск компрометации мастер-пароля и наличие потенциальных уязвимостей в конкретном продукте. И все же менеджеры паролей — одно из рабочих решений, в особенности для тех, кто использует сразу несколько систем и сервисов с авторизацией.

Даже сейчас, в эпоху биометрии, двухфакторной аутентификации, токенов и других современных технологий пароли остаются одним из основных средств защиты информации от несанкционированного доступа. Равно как не исчезают и проблемы, связанные с нестойкими, неуникальными или ненадежно хранимыми паролями. Часто пользователи либо применяют один пароль для доступа в множество разных систем, либо записывают или хранят секретные слова в открытом виде, либо используют крайне простые комбинации, которые легко подобрать или угадать. В худшем случае происходит и то, и другое. А все потому, что надежные пароли весьма неудобны для запоминания. Желание сэкономить время и ресурсы памяти для многих оказывается важнее бдительности, чем и продолжают пользоваться злоумышленники по всему миру. О том, каким должен быть надежный пароль, мы также писали в статье о менеджерах паролей. Рекомендуем прочесть ее для более полного понимания сути проблемы.

В сегодняшнем материале мы расскажем о способах улучшить работу с паролями, не прибегая к помощи сторонних программ. С большой долей вероятности кодовые слова еще долгое время будут защищать наши данные в цифровом пространстве — а значит, не лишним будет знать, как использовать их правильно. Ведь хороший пароль должен усиливать безопасность, а не становиться слабым звеном.

Начните с анализа

Разрабатывая собственную парольную политику, следует подготовиться к тому, что пароли для доступа к самым важным системам будут уникальны и достаточно надежны, а также их нужно будет держать в голове. Но начать следует с анализа сервисов, которые вы используете при работе за компьютером и в интернете, и распределить их по уровню важности. Для этого достаточно задать себе вопрос: компрометация каких учетных записей нанесла бы мне наибольший вред?

Так, к наиболее важным системам можно отнести банковские и финансовые сервисы, электронную почту, облачные хранилища, а также системы, которые хранят большой объем ваших персональных данных. Дополнительно стоит упомянуть системы, реализующие технологию единого входа, когда один пароль используется для доступа ко всем сервисам пространства. Доступ во все указанные ресурсы должен быть защищены не только паролем, но и как минимум включенной двухфакторной аутентификацией. А сами пароли должны отвечать требованиям безопасности, о которых мы уже упоминали. Наконец, мы не рекомендуем сохранять пароли для доступа к этим системам в браузерах.

На втором месте можно расположить сервисы условно среднего уровня важности. Это могут быть системы, содержащие часть ваших персональных данных, либо какие-то сведения, позволяющие идентифицировать вашу личность. Или же вообще что угодно, что вам также представляется существенным. Все очень индивидуально и зависит от вашей потребности сохранять приватность. Если какие-то из этих систем позволяют включить двухфакторную аутентификацию — лучше это сделать. Пароли также желательно использовать достаточно стойкие и уникальные. Но даже если вы применяете, например, разные вариации одного и того пароля, они никак не должны пересекаться с паролями от важнейших сервисов. Дело в том, что любой пароль может быть скомпрометирован на стороне сайта. Далее он скорее всего попадет во всевозможные базы «слитых» кодовых слов и поставит под угрозу остальные учетные записи с аналогичным паролем.

Наконец, к третьей группе можно отнести наименее значимые для вас системы. Это могут быть, например, форумы, которыми вы не планируете пользоваться постоянно, тематические сайты или развлекательные ресурсы. В этом случае количество паролей, которые нужно будет запомнить, вполне может превысить комфортный предел. Поэтому ради удобства можно сохранять такие пароли в браузерах или придумать набор несложных для запоминания кодовых слов, но с оговоркой: они также не были связаны с паролями от более важных систем.

Генерация стойких паролей. Парольные фразы

Теперь, когда мы определили критичность защищаемых данных и оценили риски, можно перейти непосредственно к проблеме запоминания сложных паролей. Основными характеристиками, которые определяют стойкость к подбору или угадыванию, являются длина пароля и его алфавит — набор символов, из которых может состоять комбинация. Именно поэтому системы авторизации часто просят придумывать не только длинные, но и регистрозависимые пароли, содержащие специальные символы. Также пароль, состоящий из случайных символов, считается более стойким благодаря непредсказуемости и его отсутствию в словарях, которые злоумышленники используют для подбора.

Что такое парольные фразы? Это пароль, состоящий из произвольной последовательности слов. В качестве примера можно привести такой русскоязычный вариант: «ялюблючайнокофеялюблюбольше». Парольные фразы обладают меньшей непредсказуемостью, однако этот недостаток можно компенсировать длиной. Наш пример состоит только из символов в нижнем регистре, при этом является достаточно криптостойким, так как состоит из 27 символов. Но самое главное преимущество — его легко запомнить. В реальной жизни системы проверки такой пароль не примут, но если перевести его в английскую раскладку, добавить верхний регистр, цифру и специальные символы, то получится рабочий вариант при сохранении удобства. Например: «Zk.,k.xfqyjrjatzk.,k.,jkmit1!».

Парольные фразы удобны для запоминания, но они обязательно должны быть достаточно длинными, а также нетипичными — то есть придумать вы должны их сами. Пословицы, поговорки и известные крылатые фразы в различных вариациях наверняка есть в словарях для взлома и в базах злоумышленников.

Еще один важный момент: отдельные слова из парольной фразы не должны быть напрямую связаны с пользователем или его личностью во избежание угадывания при целенаправленной атаке. Можно использовать бессмысленные сочетания, главное, чтобы именно вы их легко запомнили. Наконец, следует избегать соблазна использовать одинаковую парольную фразу в качестве пароля от всех учетных записей, даже если она достаточно длинная и стойкая.

Генерация стойких паролей. Мнемонические пароли

Вы можете научиться генерировать и запоминать стойкие пароли, состоящие из случайных символов, используя мнемонические приемы, то есть ассоциации. Идея заключается в том, чтобы запомнить не сам пароль как абстрактный набор символов, а ассоциацию или образ для последующего восстановления его в памяти. Существуют множество разных методов: например, генерация пароля по первым буквам какой-либо фразы с последующей заменой определенных букв на символы. В конечном итоге при должном уровне преобразований получившийся пароль выглядит как случайный набор символов, является достаточно стойким и при этом относительно легко вспоминается.

Мы расскажем о методе генерации, в котором для восстановления пароля в уме требуется запомнить одно слово и алгоритм или правила построения из него кодового слова. Правила должны быть уникальны и устанавливаются самим пользователем. Для начала приведем пример сгенерированного таким способом пароля: «4Am2CDadd!!c@sh#».

Правила для генерации этого пароля основаны на знании музыкальных аккордов вкупе с ассоциациями. Словом, которое требуется запомнить, является название песни или имя исполнителя. Зная собственный алгоритм, пользователь назначает и запоминает в качестве ассоциации к паролю известную ему песню. Далее происходит процедура восстановления пароля в памяти:

1. 4 – количество букв в названии песни.
2. Am – первый аккорд песни.
3. 2 – длительность звучания первого аккорда в долях такта.
4. C – второй аккорд.
5. Dadd!! – третий аккорд, в названии которого цифры заменены на соответствующие спец. символы.
6. c@sh – фамилия исполнителя, в которой одна буква заменена на соответствующий спец. символ.
7. # – закрывающий символ, использующийся вместо цифры 3, которая обозначает количество аккордов в куплете песни.

Формула кажется сложной для воспроизведения, но для придумавшего ее пользователя она является понятной и однозначной, а процедура шифровки — достаточно быстрой.

Однако и у этого метода есть недостатки. Первый — сам факт наличия определенного алгоритма, который потенциально может стать известен атакующему. Однако, чтобы определить его, злоумышленник должен скомпрометировать несколько паролей, чтобы выявить связь между ними, а также знать искомое слово. Вероятность заполучить оба фактора сразу в реальных условиях весьма невелика. Второй недостаток — использование известных слов и простых правил. Поэтому лучшим вариантом является разработка такого алгоритма, который будет включать какие-либо специальные знания и нетипичные ассоциации.

Выше мы говорили о том, что пароли к важным сервисам должны быть уникальны. В этом случае может возникнуть соблазн использовать в качестве искомого слова название самого сервиса или соответствующую ассоциацию. Мы не рекомендуем этого делать, так как подобная привязка многократно увеличивает риск угадывания пароля. Но как тогда сопоставить слово и ресурс, к которому создается пароль? Используя достаточно сложный алгоритм генерации, можно допустить хранение пары «сервис-слово» в открытом виде или, например, в защищенных заметках в телефоне. Например, сочетания: «банк-кэш» и «почта-перцы» малоинформативны для посторонних, но при этом дадут однозначную информацию пользователю.