Каким должен быть хороший пароль?

Пароли — сколько раз в день мы их вводим в тех или иных местах в сети? От нескольких раз до нескольких десятков раз в день.

Каким должен быть хороший пароль?

А задумывались ли вы о том, каким должен быть хороший пароль? Почему нежелательно использовать одинаковые пароли в нескольких местах? Как хранить и запоминать пароли?  Обо всем этом, и многом другом, связанном с паролями, рассказано в этой статье.

Итак, предлагаю обсудить три важных вопроса, связанных с паролями:

— каким должен быть хороший пароль?

— чем опасно использование слишком простого пароля?

— почему нежелательно использовать один пароль на многих ресурсах?

Каким должен быть хороший пароль?

Об этом в сети столько всего написано… Однако, будем исходить из того, что защищаем мы, все-таки, не пентагон. Поэтому, обсудим программы минимум:

— пароль должен быть уникальным, то есть, не желательно использовать один и тот же пароль в нескольких местах;

— пароль должен быть длинной 10 символов или больше;

— пароль должен содержать как минимум строчные и заглавные латинские буква, а так же цифры;

— пароль не должен нести смысловой нагрузки, или она должна быть хорошо «запрятана» (короче говоря, ваша дата рождения и инициалы однозначно не подходят);

Вот такие четыре правила. Теперь будем разбираться, почему именно так. Ведь куда приятнее следовать правилам, когда понимаешь, зачем это нужно.

Начнем с первого правила. В том числе, потому, что оно действует не всегда.

Почему пароль должен быть уникальным?

Я думаю, одна из причин здесь очевидна: если кто-либо с недобрыми намерениями узнает ваш пароль от чего-нибудь, первое, что он попробует сделать — подставить его в других местах, где вы зарегистрированы. И если пароль у вас одинаковый на нескольких ресурсах… В общем, я думаю все понятно.

На это можно возразить, что пароль надо еще узнать. Но это — не аргумент. Пароль можно узнать массой различных способов.

Опишу один из них. Вы приходите на некий сайт, где требуется регистрация. Регистрируетесь, указывая адрес своей электронной почты и пароль (тот самый, который у вас задействован в нескольких местах), после чего, возможно, навсегда забываете об этом. Кстати — защита электронной почты — вообще дело тонкое.

Однако в базе данных этого сайта остались ваши данные. Если сайт сделан качественно, то пароль, скорее всего, храниться в зашифрованном виде. Если же разработчик сайта поленился все сделать «как надо» — то ваш пароль хранится в открытом виде, и некто нехороший, взломав этот сайт, запросто получит его в свое распоряжение. Сразу с адресом Вашей электронной почты в придачу. Остальное — дело времени.

И всё же, на этой волне хочу дать вам очень неожиданный совет. Используйте один и тот же пароль на многих ресурсах! Однако продолжу: защищайте только то, что действительно нуждается в защите. Проанализируйте каждый ресурс, где вы регистрируетесь. Что вы здесь защищаете? Насколько это действительно нуждается в защите? Нет необходимости придумывать уникальный пароль для форума или сайта, на который вы, зарегистрировавшись и получив нужную информацию, больше никогда не вернетесь – не тратьте на это время. Вы вполне можете иметь один пароль для регистрации на ресурсах такого типа, и в этом не будет ничего страшного. На этом переходим к двум следующим правилам:

Почему пароль должен быть длинной не менее 10 символов и содержать строчные и заглавные латинские буква, а так же цифры?

Продолжим рассматривать пример, в котором вы зарегистрировались на некоем сайте. Теперь рассмотрим более надежный вариант. Пароль на сайте храниться в зашифрованном виде. Это вряд ли будет угрожать вам хоть чем-нибудь. Дело в том, что пароли шифруют с помощью особого алгоритма — MD5.

Суть этого алгоритма заключается в создании так называемых «дайджестов». Говоря очень просто (если хотите посложнее — почитайте википедию, там довольно неплохо про это написано), дайджест — это набор несвязанных символов, который получается в результате обработки некоторой исходной информации алгоритмом.

Например, обработав с помощью алгоритма MD5 адрес моего сайта — APavlov.ru, можно получить дайджест 403d5c7c7fdbc394a9e55e8df3651378. Расшифровать этот дайджест невозможно. Возникает вопрос — зачем это нужно?

А нужно это вот зачем: когда вы вводите пароль при регистрации на сайте, в базе данных сохраняется не сам пароль, а его дайджест. В дальнейшем, когда вы вводите пароль при входе на сайт, он также преобразуется в дайджест. Оба дайджеста сравниваются — если они одинаковы, значит введен верный пароль.

Даже если дайджест вашего пароля попадет в руки к нехорошему человеку — узнать пароль он сможет только методом полного перебора. То есть, потребуется задействовать специальную программу, которая будет генерировать произвольные наборы символов, преобразовывать их в дайджесты, и сравнивать с вашим дайджестом.

Вот тут-то мы и подходим к тому, что пароль должен быть достаточно сложным. Итак, представим себе самый плачевный вариант — в качестве пароля вы используете год своего рождения. Это четыре цифры, и всего — 9999 вариантов. Такой пароль будет отгадан достаточно быстро. Добавим к году рождения всего одну букву латинского алфавита, и получим 259974 варианта. Неплохо, но все еще довольно слабо. Так какой пароль хороший? Возьмем пароль, состоящий из 10 символов, содержащий заглавные и строчные буквы латинского алфавита и цифры. Посчитаем количество вариантов по простой формуле — количество символов задействованных в пароле (26+26+10=62) возведем в степень на его длину (10). В итоге — 620000000000 варианта. Прописью: шестьсот двадцать миллиардов вариантов.

На подбор такого пароля у злоумышленника уйдет не один год, неплохо, правда? И здесь мы переходим к уточнению последнего правила.

Почему пароль не должен нести смысловой нагрузки?

Как вы понимаете, самый простой вариант (дата рождения) будет подобран в течении нескольких секунд. Подобран, или… Просто напросто — угадан! Статистика показывает, что львиная доля взломов почтовых ящиков, различных аккаунтов и т. п. осуществляется даже не с помощью полного перебора, а с помощью банального угадывания паролей за довольно небольшое количество попыток. Поэтому мнение о том, что дата рождения, повернутая «задом-наперед» (или «хитрая» комбинация из вашей даты рождения и инициалов) является хорошем паролем — ошибочно. Все эти «ноу-хау» на самом деле таковыми не являются. Сюда же отнесем пароли из серии 12345, qwerty, qweqwe123 и т. д. От их использования лучше воздержаться.

В заключении отвечу на ряд вопросов и дам еще несколько советов.

Как хранить и запоминать пароли?

Я обязательно буду писать об этом более подробно, а пока скажу лишь несколько слов. Конечно, самый плохой вариант – это записывать пароли на листочек лепить их на монитор (более продвинутые юзеры кладут такой листочек под клавиатуру).

Во-первых — пользуетесь специальными программами и сервисами. В качестве наводок озвучу такие названия как KeePass и LastPass.

Во-вторых — наша собственная голова – отличное место для хранения паролей – украсть их оттуда практически невозможно. И это вовсе не так сложно, как кажется — существует ряд мнемотических формул, позволяющих придумывать и легко запоминать пароли – пользуйтесь ими, если не справляетесь без них.

Как узнать, храниться ли ваш пароль где-либо в зашифрованном виде или нет?

Определить это (с некоторой долей вероятности) можно, попробовав воспользоваться системой восстановления пароля.

Если задействовав ее вы получите именно тот пароль, которым и пользовались ранее — то можно говорить с полной уверенностью — он хранился в не зашифрованном виде. Если же в ответ вы получите новый пароль или предложение задать новый пароль самостоятельно — это хороший признак, и пароли на проверяемом ресурсе, возможно (!), зашифрованы.

Вот, пожалуй, и всё. Если вы обеспокоены безопасностью своего компьютера, почитайте, почему не стоит работать в учетной записи администратора.

 

 

Добавить комментарий

banner