Я много раз читала, что хороший пароль должен быть не короче восьми символов и состоять из случайного набора цифр, знаков препинания, прописных и строчных букв. Такой пароль я совершенно не могу запомнить. Поэтому я использовала редкое слово, в котором некоторые символы я заменяла на цифры и прописные буквы. Этот пароль я использовала почти во всех важных сервисах, а в неважных я использовала просто редкое слово.
В этой статье я расскажу, надежны ли такие пароли и что делать, если нет. Сначала разберемся, чего хочет взломщик. А потом обсудим, какие пароли неудачны: короткие, популярные, повторяющиеся.
Наталья Нетрусова
Осознайте, что вас могут взломать
Я верю, что никто никогда не станет взламывать мои аккаунты, потому что я не миллионер и не политик. Однако месяц назад мне пришлось извиняться перед друзьями ВКонтакте, потому что у них от моего имени просили 500 рублей.
Аккаунты соцсетей взламывают мошенники, чтобы попросить денег. Почту взламывают для рассылки вирусов и спама. Иногда учетные записи взламывают просто ради прикола.
Также взламывают базы пользователей сервиса, чтобы получить данные профиля. Тут дело не в том, что охотятся именно за вами. Взломщики получают базу паролей нескольких миллионов пользователей «Вконтакте» и продают ее.
Взламывают всех подряд
Поменяйте короткие пароли
Каждый символ пароля увеличивает количество вариантов, которые надо перебрать, в 100 раз. На самом деле чуть меньше: 52 маленькие и большие буквы, 10 цифр, 25 знаков препинания. Всего 87 вариантов. Округлим до 100 для простоты подсчета.
Пароль из одного символа подбирается за 100 попыток, из двух символов — за 10 000 попыток. На шесть символов понадобится миллиард попыток, мой ноутбук за три часа справится.
Нормальные сайты после нескольких неудачных попыток ввести пароль блокируют попытки на десять минут. Это помогает защитить пароли от взлома простым перебором.
Взломщик может выкрасть базу учетных записей и расшифровывать её на своем компьютере. Тогда он перебирает пароли без задержек по времени. Тут шестисимвольный пароль ненадежен. Случайный восьмисимвольный — частный детектив не взломает, а ФСБ сможет.
24% всех паролей состоят из 6 символов.
Используйте пароли хотя бы из 8 символов
Поменяйте популярные пароли
За 2016 год в сеть утекли данные сотни миллионов учетных записей. Если вы придумали что-то неоригинальное, что смогли придумать и другие люди, ваш пароль будет взломан.
Взломщик переберет миллион популярных паролей за несколько минут.
Два года назад я проводила ЕГЭ по английскому языку. Организаторам выдали токены и пароли к ним. Токен — флешка с электронной подписью. Токен вставляется в компьютер, я ввожу пароль и получаю доступ к заданиям, начинаю экзамен или заканчиваю его. Ко всем токенам были одинаковые пароли: 12345678. Школьник, найдя такую флешку в коридоре, мог закончить экзамен для пары сотен участников.
На олимпиаде по программированию школьникам раздают временные пароли полученные небольшими изменениями редких русских слов. Например: doj6devik5, karto7graf8. Школьник помнит свой пароль на протяжении олимпиады, соседи не могут получить доступ к его решениям.
123456789
qwerty
12345678
111111
1234567890
1234567
password
123123
987654321
популярные пароли 2016 года по версии компании Кипер
Проверьте не входит ли ваш пароль в топ популярных
Проверьте остальные пароли
Если у меня пароль из восьми случайных символов, то он надежен. Но я использую не случайные символы, а слово, в которое добавлены две цифры.
В словаре 10 000 слов. Добавив пару символов, мы усложним перебор в 10 000 раз. Поскольку взломщик не знает, где эти символы стоят, перебор усложнится еще в 100 раз. Получим 1010 паролей, это не надежно.
Выбирайте редкие слова, добавляйте или заменяйте больше символов. Чем больше ваш пароль похож на случайный, тем надежнее.
Взломщик может научиться на базе популярных паролей, как именно пользователи свои пароли придумывают. Он составляет свой словарь вероятных паролей и проверяет их. Словарные слова, перестановка букв, русские слова в английской раскладке, добавление нескольких цифр в начало или конец пароля, добавление в пароль названия сервиса — все такие слова уже в словаре взломщика.
Однажды я взломала пароль от сайта своего знакомого, зная, что в нем семь символов. Предположила, что он использует номер домашнего телефона.
30% пользователей используют популярные пароли из топ-10000
Будьте оригинальны
Уберите повторы
Хорошо, я придумала пару хороших паролей и использую их везде. Оказывается, это очень небезопасно.
В августе 2016 года произошла утечка паролей пользователей «Мэил.ру». Теперь мой пароль от «Мэил.ру» можно использовать для взлома других сервисов, которыми я пользуюсь.
Утечка в одном месте сразу открывает доступ к остальным сервисам. Если ваш пароль попал в руки взломщика, то он уже есть в словаре, по которому взломщик будет перебирать пароли других сайтов.
Используя ваш пароль от почты, вломщик получит доступ ко всем сервисам сразу. Он восстановит пароли на всех сайтах, получит на почту ссылки для восстановления и заменит пароли на свои.
Не повторяйте пароли
Используйте мнемонические правила
Комикс демонстрирует способ придумывать пароли. Посмотрим, надежные ли пароли получаются.
Я выбираю 4 случайных слова из словаря. Если мой словарь состоит из 10 000 слов, то из него получится 1016 паролей. Это столько же вариантов, сколько для пароля из 8 случайных символов.
Проблема в том, что мой активный английский словарь состоит из 3000 слов. Это уже меньше 1012 паролей. Чем шире словарь, который вы используете, тем пароль надежнее. Добавьте, помимо английских слов, транслитерацию русских, используйте редкие слова. Возьмите пять слов.
Будьте оригинальны и в длинных паролях тоже
Храните в хранилище, чтобы не забыть
Я решила использовать только разные пароли и придумала их, пользуясь правилом из комикса. Придумав шестой пароль, я забыла первый.
Чтобы не забывать пароли, созданы специальные сервисы — хранилища паролей. Создавая новый пароль, записываете в хранилище. Забывая пароль, смотрите его в хранилище. Помнить нужно только один пароль — пароль от хранилища.
Когда Гугл Хром предлагает вам запомнить пароль от сайта, вы пользуетесь хранилищем от компании Гугл. Вы можете посмотреть сохраненные пароли на любом компьютере, не только на своём: https://passwords.google.com Это удобно, но не надежно. Если вы забудете выйти из хранилища на чужом компьютере, ваши пароли будут видны другому человеку.
В Гугл хранилище пароли хранятся в облаке. Именно поэтому у вас есть доступ к ним и с планшета, и с телефона, и с чужого компьютера. Но вы не знаете, у кого еще есть доступ к этому облаку.
Помнить нужно только один пароль — от хранилища
Лучшее хранилище — записная книжка, к которой есть доступ только у вас. Но записной книжкой можно воспользоваться только дома.
Разделим задачи хранения паролей и хранения файла с паролями. Посмотрим на примере хранилища Keepass. Пароли сохраняются на вашем компьютере в файл, защищенный мастер-паролем. Файл связан с облако, например на «Яндекс-диске». Взломщик, похитив из облака ваш файл с паролями, будет вынужден взламывать мастер-пароль.
Я опасалась, что в хранилище придется часто заглядывать, а это неудобно. Но поскольку я использую мнемоническое правило, я запоминаю пароли после трех-четырех вводов. После недели использования хранилище мне нужно не чаще пары раз в день.
Раньше я использовала один простенький пароль для мелких сервисов и несколько сложных для почты и интернет банков. За неделю, пока я писала эту статью, я поменяла все пароли на надежные, храню их в хранилище и не помогаю взломщикам.
Хранилище — это удобно
Пользуйтесь двухфакторной авторизацией
Двухфакторной авторизацией вы пользовались в интернет-банке. Вводите пароль, а потом еще надо ввести код, присланный по смс. Такой метод защиты гораздо надежнее, чем просто пароль
Включайте двухфакторную авторизацию везде, где она есть