Главная > Компьютеры > Что делать с паролями?

Что делать с паролями?

Что нельзя

Нельзя использовать один и тот же пароль на разных сервисах

Потому что многие сервисы не умеют правильно в специальном зашифрованном виде хранить пароли (хеш + соль для защиты от атак rainbow таблицей), зачастую вообще хранят пароли как plain text. Когда (не если, а когда!) их взломают, публично доступными становятся все пароли. В том числе ваш. Пара email+password. Эти базы паролей продаются сотням, а затем распространяются среди десятков и сотен тысяч злоумышленников разного масштаба. Не думайте, что ваш пароль никому не нужен. Даже если это просто страничка вконтакте, на вашем аккаунте всё равно можно заработать, например лайкая чужие записи, или размещая на вашей странице выгодные злоумышленнику репосты. Это целая индустрия. И вы станете её частью, против своей воли, если будете использовать один и тот же пароль на нескольких сервисах.

Пароль никогда не должен повторяться, для нового сервиса — новый пароль.

Нельзя использовать простой пароль

Что такое простой пароль? Для разных сервисов разные ответы, но в общем виде, если пароль короче 16 символов, он простой. А уж если он символов 6 — то считайте его вообще нет, даже самые примитивные атаки способны вскрыть такой пароль.

Пароль должен быть длиннее 16 символов, например, 60 символов — хорошая длина пароля.

Вы сразу же про себя думаете, «ага, ну ладно, тогда мой пароль будет СуперДлинныйКлассныйПароль123». И снова ваш пароль уязвим. Пароль не должен состоять из словарных слов. Поймите, что для робота, подобрать пароль ax4gV6 сложнее, чем подобрать СуперДлинныйКлассныйПароль. Ваше словосочетание состоит всего лишь из 4 слов. Это называется атака по словарю. Одно слово примерно как одна буква.

Пароль не должен состоять из словарных слов.

И тут в вас просыпается гений криптографии, вы говорите «окей, Дима, тогда мой пароль будет 123456qweasdzxc». К сожалению, это тоже «словарные» слова. В словаре робота-взломщика есть всякие такие «удобные» сочетания клавиш, да, и ваши любимые 1qaz2wsx3edc тоже есть.

Не используйте удобные буквосочетания, вроде qwerty123456.

Дата вашего рождения 1985.12.09? Вас зовут Дима? Даже без роботов-взломщиков будет несложно подобрать ваш пароль «Дима1985». Кроме того, такой пароль не устоит и перед атакой по словарю.

Не используйте осмысленный пароль.

Нельзя хранить пароли в текстовом файлике

О, сколько раз я видел это на любой из работ. Указом свыше людям настояли на том, чтобы пароль был «правильный». Сложный и длинный. Теперь люди не могут запомнить его. Что делать? Конечно же сохранить пароль в текстовом файле «пароли.txt» на рабочем столе незашифрованного незапароленного компьютера!

Тут сразу целая куча минусов. Компьютер или жёсткий диск могут украсть и получить доступ ко всем паролям. Эта угроза ещё более реальна, если вы используете ноутбук. Ваш компьютер могут взломать и получить доступ к содержимому файла. Злоумышленный коллега или сосед может подойти к вашему компьютеру и скопировать себе этот файл. Вот вы смеётесь, а истории самых известных взломщиков рассказывают именно об этом. О бескрайней человеческой глупости. Когда взломщику необходимо было просто прочитать пароль, приклеенный на стикере к монитору.

Что нежелательно

Нежелательно использовать open auth на собственный домен

Это когда вместо пароля, вы используете например «войти с помощью Google».

Опасность в том, что у злоумышленника появляется дополнительный фронт атаки — на домен. Как только получится получить доступ к управлению доменом, получится получить доступ ко всем авторизованным этой почтой аккаунтам. Если же ваш емэйл @gmail.com, очень маловероятно, что доступ к этому домену удастся получить злоумышленникам.

Нежелательно использовать простые для запоминания пароли

Если кто-то из-за вашей спины увидит, как вы вводите пароль, или если пароль промелькнёт где-то на экране, если это «ЗдравствуйтеДоСвиданияКакВашиДела987», смотрящий даже против своей воли может запомнить пароль.

Нежелательно копировать пароли в буфер обмена

Первое, что делает любой клавиатурный шпион — это сохраняет содержимое буфера обмена. Если ваш пароль был там, считайте, что он уже не только ваш.

Нежелательно вводить пароли вручную

Второе, что делает любой клавиатурный шпион — это сохраняет нажатия клавиш. Если вы ввели пароль, клавиатурный шпион его уже знает. Более того, существует множество самых разнообразных способов следить за вводом с клавиатуры. Бывают хардверные жучки — его можно подключить к выходу клавиатуры, это может сделать например уборщица на работе. Сегодня быстренько подключить его к выключенному и полностью защищённому компьютеру, завтра так же быстренько и  незаметно снять его, имея все ваши нажатия. В том числе пароли.

Есть и более экзотические способы слежения за вашим вводом. Например, из соседнего дома можно направить лазерный луч на стекло вашего окна. Таким образом по колебаниям следить за звуками в вашем помещении. Затем, есть специальный алгоритм, который действительно может сопоставить звук нажатия каждой клавиши с буквой. Т.е. ваш пробел звучит не так, как ваш ентер. Ваша А звучит не так, как ваша Б. Звучит достаточно сказочно, но это реальная технология. Ещё более сказочно звучит технология мониторинга электромагнитных волн в розетке, поэтому мы не будем о ней говорить :)

Просто не вводите пароли вручную.

Нежелательно использовать сторонние сервисы для хранения паролей

Например, гугл хром может сохранить ваши пароли, тогда их вводить не придётся. Но в этом подходе есть два минуса:

  1. Гугл будет иметь доступ к вашим сохранённым паролям. А как известно, если у вас паранойя, это ещё не значит, что за вами не следят.
  2. Будет существовать единая точка атаки. Взломав ваш гугл, злоумышленник получит доступ ко всем вашим сохранённым паролям.

Что же нужно делать с паролями?

Соответственно, делать нужно прямо противоположное.

  • длинные сложные уникальные пароли
  • вводим не руками, не копируем в буфер
  • храним пароли сами, в зашифрованном виде

От сохранения паролей в браузере отказываться не стоит, особенно если это не критически важные сервисы. Для критически важных сервисов должна быть включена двухфакторная аутентификация. Т.е. например И пароль И смс. Зачастую сервисы сделаны плохо, и если вы предоставите свой номер телефона, по нему можно будет зайти даже не используя пароль. В этом случае, не делайте так. СМС — очень уязвимый канал. Это как сайты http, как прослушивание трафика аськи в promiscuous mode, в общем, это совершенно ненадёжно. Кроме того, все ваши СМС на долгие годы сохраняются операторами связи, в этом плане даже к гуглу доверия намного больше. Примеров полно.

KeePass

Я рекомендую вам использовать программу KeePass Password Safe, последней версии. Для мобильных телефонов есть, например, Keepass2Android Password Safe. Это признанная Open Source программа, в мире не существует абсолютных гарантий, но насколько это возможно — кипасс безопасен и надёжен.

Создайте файл-сейф, по сути этот тот же самый файлик пароли.txt, только зашифрованный и с удобным интерефейсом. Выберите много циклов шифрования, чтобы даже если ваш пароль и пытались подобрать, это было сложно. Придумайте сложный длинный пароль. Проявите максимум фантазии, это практически последний пароль, который вам придётся запомнить. Можно сделать систему ещё безопаснее, например требовать наличие файла-ключа, т.е. кроме пароля нужно ещё и специальную флешку вставить в компьютер. Всё в ваших руках. Это баланс между удобством и безопасностью.

Главное, не сделайте безопасность настолько высокой, что сейф будет защищён даже от вас. Не существует известного человечеству способа взломать этот сейф с паролями. Если вы забудете пароль или потеряете флешку, все ваши пароли окажутся навсегда недоступны. Если у вас наступит амнезия — тоже. Если вы умрёте, у ваших близких также не будет доступа, позаботьтесь об этих и подобных сценариях заранее.

Интерфейс KeePass выглядит примерно так:

Открытие сейфа с паролями KeePass Содержимое сейфа с паролями KeePass Создание нового пароля для сейфа KeePass Параметры нового пароля для сейфа KeePass

 

Программа сама за вас придумает сложный пароль, например oK5h1tffgwx7wMpdVCQCVxybk7kLUqTmtzkkiNw2kU1uMGSXY7wPp8bVIFil, позволит сохранить логин, пароль, адрес страницы для ввода пароля, любые дополнительные заметки.

Также важная функция KeePass это автоматический ввод пароля. В зависимости от настроек, программа может вообще сама догадываться, что нужно ввести, логиниться сама. По-мне это слишком умно, я хочу проще. Поэтому я настроил, чтобы сначала я сам выбрал запись, которую хочу использовать, например vk.com/dimps , иду на сайт vk, ставлю курсор в поле ввода логина, и нажимаю хоткей. KeePass сама волшебным образом вводит правильный логин и пароль, и вот я уже залогинен. Немножко поэкспериментируете и сами всё поймёте.

Двойной щелчок по паролю скопирует его в буфер обмена, и хотя клавиатурные шпионы смогут его увидеть, KeePass хотя бы через 10 секунд сама очистит буфер. Всё настраивается. Всё безопасно. Удачи.

Где хранить сейф?

Файл сейфа можно хранить в любом удобном для вас месте, хоть на рабочем столе, хоть на флешке, это безопасно. Без пароля доступа к сейфу не получить.

Могу порекомендовать вам положить файл-сейф в Dropbox. Это, конечно же, вовсе не самый безопасный способ, но у него есть огромный плюс: ваши пароли всегда будут доступны вам на всех ваших компьютерах и даже на мобильных телефонах. Кроме того, как показывает практика, намного чаще у людей ломается/пропадает жёсткий диск, чем взламывают дропбокс. Таким образом, дропбокс — это дополнительный слой безопасности.

 

Это далеко не самый параноидальный сетап из возможных, но в общем случае это скорее плюс, чем минус. Это удобно. Это работает. Это достаточно безопасно.

Намного безопаснее паролей 123456, и файликов пароли.txt.

Обсуждение

avatar

Артём
Артём
Сегодня 01:52

Не стоит забывать про пользователей, которым надежнее хранить пароли на бумажном носителе в укромном месте. Обычно взламывать у таких нечего, кроме социальных сетей и они их напрочь не помнят и не хранят вообще нигде.

Есть отличный способ просто помнить все пароли. Придумать уникальный алгоритм основанный на части урла, спецсимолов и своих родных цифр. Подробнее: 4 (5, 6, 7) первых символа урла в русской раскладке (или в обратном порядке, или с капслоком или всё вместе), также можно взять первые символы в прямом и обратном порядке. Спецсимвол типа № % ? в начале, между или в конце. И набор цифр первые/последние 4 цифры номера телефона в обратном порядке, дата рождения бабушки наоборот, или модифицированный год окончания чего-то, или цифры с шифтом. Один раз придумать четкий алгоритм и к каждому сервису будет уникальный сложный пароль, который вы всегда сможете восстановить.

Например алгоритм я сейчас придумал такой (у меня другой алгоритм, если что))): 4 первых символа в обратном порядке с заглавной + год моего рождения в обратном порядке + 4 последние цифры телефона с шифтом. Результат для этого блога будет таким: Amid1891%!)). Для ВК получится Ockv1891%!)). Понятно, что такой пароль придется вводить вручную и большая часть символов совпадает. Но подобрать или подсмотреть такой пароль будет сложно.

Второй способ: придумать длинную фразу или взять куплет песни, которую вы помните наизусть. Набирать первые буквы слов в обратной раскладке. Например: В лесу родилась елочка в лесу она росла. Результат: Dkhtdkjh
Оба способа можно скомбинировать в один.

Артём
Артём
Сегодня 01:55

Если есть необходимость хранить пароли в файле — сделайте скриншот паролей в файле, вставьте в .docx и запихните в архив. Ну на крайний случай уберите расширение у файла документа

wpDiscuz