Компьютерная безопасность: как правильно создавать и хранить пароли?

Основные выводы из беседы о паролях с главным исследователем Полом Даклином, проведенной порталом Sophos в рубрике Techno, которая рассказывает о компьютерной безопасности. 

В данной статье мы ответим на актуальные вопросы: «Нужно ли постоянно менять пароли?» «Как сделать сложный пароль, если нужно его запоминать?» «Можно ли использовать пароли повторно?»

Существует множество мифов относительно безопасности паролей, в которые продолжают верить люди. К сожалению, сейчас не всегда выдаются ожидаемые результаты.

В двух словах, мы обсудим сброс пароля, его сложность и повторное использование. 

• Нужно ли постоянно менять пароли
• Как сделать сложный пароль, если его трудно запомнить
• Можно ли использовать пароли повторно
• Менеджер паролей 
• Подводя итоги
  • Что работает
  • Что не работает

Нужно ли постоянно менять пароли?

Раньше считалось, что принудительная смена паролей, практикуемая во многих организациях — это хорошая идея для поддержания безопасности.

Смена паролей широко использовалась на практике, но в основе лежала идея, которая была неправильно применена. Вернемся назад в 80-ые. Большой проблемой являлась причина, по которой мы начали сбрасывать пароли — на системах Unix они хранились в упрощенном виде: текстовом файле системы, доступном для чтения. Это означало, что любой, кто имел доступ к системе, мог взломать эти пароли и получить доступ к чужим учетным записям и информации.

Даже во времена маломощных компьютеров из-за способа хранения паролей и количества людей, которые могли иметь доступ к такой важной информации о вашем пароле (например, хэш-пароли), их срок службы был непродолжительным.

Идея регулярных изменений заключалась в том, чтобы ваши пароли для других стали более недоступными. Но в наши дни хэши не так легкодоступны, без применения гораздо более серьезных методов атаки. 

Кроме того, нас всех учили использовать более сложные пароли; ведь чем сложнее пароль, тем труднее его взломать. Придерживаться идеи, что раз в один-два месяца вы должны менять свой пароль, — плохая идея. Это приводит к тому, что люди начинают выбирать слабые и шаблонные пароли, а следовательно, они становятся более предсказуемыми.

В то же время сложный пароль тоже трудно запомнить, что и приводит к созданию многочисленных простых паролей.

Менять пароль нужно лишь тогда, когда вы подозреваете, что он стал доступным кому-то. А менять его в силу привычки — плохая затея.

Если вы потеряли ноутбук и злоумышленник может получить доступ к вашим хэшам, то лучше сменить пароли. Но заставлять всю организацию регулярно менять свои пароли, — это значит вырабатывать у них дурную привычку. Например, из какой-то фирмы каждый третий вторник текущего месяца поступают запросы на изменения пароля. Кто-то, узнав об этом, может специально позвонить в IT-службу поддержки под предлогом того, что забыл измененный пароль. 

Также вы подвергаете свои аккаунты ненужному риску, добавляя туда день вашего рождения или дни рождения членов семьи; или меняя 2021 год на 2022 в конце пароля.

— Женщина, как вас зовут? Сколько вам лет?

— Не скажу.

— Дайте хоть почту, напишу вам

— elena_ivanova1977@mail.ru 

Как сделать сложный пароль, если его трудно запомнить?

Установка определенных требований к сложности заключает в себе противоречие. 

Пример из жизни: организация задает требования к паролю: минимум 9 символов и одна цифра. В таком случае, 5-10% американских пользователей выбрали пароль «password1» или «Christine1», так как это наиболее легкий способ соблюсти указанные требования. И такое поведение людей развязывает хакерам руки, чтобы взломать базу данных по паролям. 

Если взять к примеру номерные знаки, они должны состоять из 6 символов. Если вы произведете расчеты, то получится какое-то очень большое число, но стандартные номерные знаки на самом деле имеют следующую последовательность: буква-цифра-цифра-цифра-буква-буква. И если вы перемножите все эти варианты, общее количество номерных знаков будет значительно меньше, чем если вписать их в определенную схему. Как мы написали выше, первая буква и вторая цифра и далее. Получится меньшее количество произвольных комбинаций, чем возможно составить из 6 символов. То же самое относится и к паролям.

Многие специалисты по информационной безопасности преподносят нам такую практику к использованию по сложности паролей, которую трудно реализовать; учитывая то количество паролей, которое приходится запоминать. 

Если мы вернемся к математике, то, взяв пароль из 10 символов с добавлением пунктуации и случайных чисел (которые «проповедуют» многие из нас), на выходе получается пароль, который почти невозможно взломать. 

Однако можно достичь той же цели, просто сделав пароль длиннее. Конечно, использование сложных слов и пунктуации — это классно, но чтобы писать руководства по политике создания паролей, нужно отметить требования к длине пароля как самый сильный фактор. Потому что даже сам алфавит на латинице (если учитывать возможность написания в нижнем и внешнем регистре) включает 52 комбинации.

Часто люди думают усложнить свой пароль, используя вместо 0 букву o, но большинство приложений для взлома паролей, да и сами злоумышленники могут сразу же попытаться использовать такие комбинации, так как они знают, что люди полагаются на это мнимое чувство усложнения пароля.

Таким образом, здесь мы опять сталкиваемся с проблемой номерного знака, когда у нас есть, казалось бы, большое пространство для действия, но мы используем лишь малую его часть.

Поражает, что идея использовать длинный пароль, который нельзя найти в словаре, и использовать одни буквенные комбинации (особенно когда речь идет о телефоне или планшете, где менять раскладку на цифры трудно), — не такая уж и плохая идея. Особенно учитывая, что в таких случаях нажимать на кнопки приходится одной рукой.

И последнее — это новый фронт «борьбы» с паролями. У нас были сложности с паролями в интернете, а теперь прибавились еще больше из-за их использования на устройствах iPhone и Android. Не понятно, почему многие сайты ограничивают длину пароля и указывают, что он должен включать от 12 до 16 символов. 

Мы уже упоминали про хэши. Самое хорошее в них то, что вы можете ввести 1 или 1000 символов, и получить предсказуемое значение, которое выходит с другой стороны хэша. Так что если вы правильно храните пароли в приложении, на сайте, в базе данных (БД) и т.п. — нет никаких причин ограничивать их длину. Не нужно отказывать себе, если вы захотите иметь пароль вроде: «Tri devitsy pod oknom pryali pozdno vecherkom», так как из БД он все равно выйдет в виде значения.

Можно ли использовать пароли повторно?

Все знают, что нельзя использовать один и тот же пароль для всего. Но существует множество людей, которые рассуждают так: «Для обычных сайтов я буду использовать один и тот же пароль; потом у меня есть пароль среднего уровня, который я буду использовать для всех остальных сайтов; и только для действительно важных сайтов, которых у меня мало, я буду использовать сильные пароли». И они убедили себя, что такое повторное использование паролей (так как вы не используете один пароль для всех ресурсов) — хорошее решение.

Но представьте, что вы используете этот пароль на огромном количестве сайтов, а потом он «сольется». Информация, которую могут собрать при входе на эти сайты, просто пугает. Например, один сайт потребовал от вас сведения о дате вашего рождения, адресе и номере домашнего телефона; другой — e-mail-адрес; третий — еще что-то. А теперь все эти учетные записи находятся под угрозой. Теперь они могут собрать не только информацию о вашей активности в интернете, но еще и украсть личные данные.

В идеальном мире вам нужно иметь сложный, уникальный пароль для каждого сайта.

У обычного человека вполне может найтись 400-500 сайтов, которые запрашивали для входа его учетные данные. Как тут избежать использования одной и той же комбинации? Можно использовать для Yahoo пароль Yahoo_site, а для Google — Google_site. Но такие варианты явно предсказуемы для того, кто знает вашу поведенческую схему при создании пароля. 

Когда дело доходит о данных по вашим действиям в интернете, или о ваших персональных данных, важно все.

Менеджер паролей

Чтобы решить вышеперечисленные проблемы, вы обращаетесь на помощь к менеджеру паролей. Среди них есть много вариантов — от хороших, до тех. что похуже. Менеджер паролей может придумывать за вас сложные комбинации. Но помните ли вы, какой пароль от какого сайта? Не приводит ли это нас опять к проблеме того, что у нас один пароль от всего? Потому что если кто-то получит ваш мастер-пароль, то у него будет доступ ко всем остальным. 

Конечно, такой риск существует. Есть одна позиция, согласно которой такие записи, как учетные данные от финансовых инструментов, не должны храниться в менеджере паролей. Другая позиция заключается в создании новых, уникальных паролей, которые полностью отличаются друг от друга.

Подводя итоги

Что работает:

• Во-первых, сбрасывайте пароли, когда считаете это действительно необходимым. Не принуждайте к изменениям ради самих изменений. 

• Во-вторых, не задавайте определенных требований к сложности, просто поощряйте пользователя к использованию определенных трюков. 

• И, третье, самое важное — помните о том, что не существует такого понятия как неважный пароль. Для каждого сайта подбирайте отдельные комбинации. Если вам сложно это делать, подумайте об использовании менеджера паролей и повышенной предосторожности при использовании главного пароля.

• Дополнительный совет: меняйте пароль на свежую голову. Попробуйте сразу, установив пароль, зайти и выйти в аккаунт. Постепенно ваши пальцы сами запомнят пароль.

Что не работает:

• Принудительный сброс пароля. 

• Попытка выставить требования к сложности паролей для упрощения действий пользователей.

• Повторное использование паролей, в случае когда вы считаете, что есть неважные сайты (учетные данные от этих сайтов важны, даже если вы редко на них заходите).

Если мы подтолкнем на наш путь других пользователей интернета, то он станет безопасным местом для нас всех.

Спасибо, что дочитали статью. Если вы заинтересованы в данной теме, следите за обновлениями нашего блога и прочтите статью. 

Оставайтесь в безопасности.