Прості поради по більш розумного вибору і використанню паролів

Відео: Як розшифрувати хеш " зашифрований пароль " NEW

Автор Пол Дакліна (Paul Ducklin)

Комп`ютерні паролі - невід`ємний атрибут сьогоднішніх днів, і більшість з нас мають велику кількість облікових записів з різними (або потенційно різними) паролями доступу. Забування цих паролів може призводити як до дрібних незручностей, пов`язаних з неможливістю прочитати корисну статтю з новинами, так і до проблем в масштабі корпорації, коли виникають збої при купівлі або продажу продукції.

Відео: Ідеї для особистого щоденника ♡ Паролі

У цій ситуації очевидним є просте рішення - використовувати один і той же пароль в усіх випадках. Насправді, за результатами опитування, проведеного в квітні поточного року компанією Sophos, 41% респондентів саме так і роблять. Більш того, 75% респондентів з іншої частини цього опитування зізналися, що вони використовують прості, легко вгадуються паролі. Отже, 31% користувачів (75% від 41%) не мають обліковими записами з надійно захищеними паролями доступу.

Очевидно, що це погана новина. Але так чи так уже безпечно використовувати весь час один і той пароль? Навіть якщо Ви придумаєте довгий пароль з поєднання випадкових символів, який (як вам здається) буде складно зламати, а потім запам`ятайте його і з`їсте клаптик паперу, на який Ви його записали? Чи можете Ви покластися на таку теорію - що, якщо пароль досить надійний для доступу в саму захищену корпоративну мережу, то він тим більше буде надійний і для доступу на сайт місцевої футбольної ліги?

Відповідь: звичайно ж, немає! У різних системах реєстрації користувачів реалізуються зовсім різні способи захисту паролів від різних загроз і на базі різних технологій. Сам факт реального «введення» пароля вже пов`язаний з можливістю злому, і подібний злом може відбутися через поведінку власника системи реєстрації, а не тільки Вашого власного.

Якщо у Вас тільки один пароль на всі випадки, то жодна з Ваших облікових записів не може вважатися більш сильно захищеної, ніж та, в якій використовується найнижчий рівень захисту. Вам необхідно розділити Ваші облікові записи за категоріями, керуючись необхідним Вами рівнем безпеки і з урахуванням того рівня секретності, який забезпечує паролів система захисту конкретної облікового запису.

Типи облікових записів

Розглянемо три типи облікових записів:

• Для веб-сайту, на який Ви часто заходите, але який вимагає реєстрації і вибору пароля. (Випадкові паролі).
• Для входу в Ваш ПК з наданням доступу до корпоративної мережі. (Корпоративні паролі).
• Для Вашого персонального банківського рахунку. (Персональні паролі).

Випадкові паролі, наприклад, для веб-сайтів, на яких потрібно тільки реєстрація, як правило, найменш важливі. Якщо Ви забуваєте такий пароль, то на більшості таких сайтів Ви просто можете перереєструватися і вже через пару хвилин знову увійти. Насправді Ви навіть можете забути, що колись уже зареєструвались на цьому сайті, і зареєструйтеся на ньому заново. Все це ясно говорить про цілі використання паролів на даному сайті - будь-який бажаючий зайти на сайт, може легко це зробити.

Корпоративний пароль набагато важливіше. Якщо Ви не є власником компанії, то для Вас цей пароль може здаватися набагато менш важливим, ніж ті паролі, які захищають Ваше особисте життя. Але та людина, яка знає Ваш пароль доступу в корпоративну мережу компанії, може виступити і від Вашого імені - як правило, віддалено, підключившись через модем, або по каналу ADSL, або за допомогою бездротового з`єднання - і, тим самим, отримати доступ до корпоративних системам. І якщо цей зловмисник направить лист кепського змісту Вашого менеджера, копію клієнтської бази даних на якийсь Ваш зовнішній адресу електронної пошти і повідомлення про звільнення Вашому керівництву, то хто, на вашу думку, в цьому випадку буден звинувачений в цих темних справах? Ви або невідомий хакер?

Тепер про персональні паролі доступу. Для більшості людей це найважливіші паролі з усіх інших. Ваші доходи, Ваші кредити і навіть Ваше добре ім`я знаходяться під ударом, якщо хтось інший отримає доступ до однієї з тих облікових записів, за допомогою якої Ви керуєте своїми фінансовими справами.

Дилема вибору пароля

Паролі, які Ви повинні вводити по пам`яті, являють собою дилему, про яку вже йшлося раніше. Якщо ці паролі складно запам`ятати або дуже складно ввести, то в найкритичніший момент вони можуть виявитися марними. Але якщо вони прості для запам`ятовування, то можуть стати легкою здобиччю для кого-то еще. Це говорить про необхідність уважно ставиться до вибору паролів.

На жаль, навіть складні паролі, які практично неможливо зламати, можуть бути марними для захисту. Ви просто не зможете їх згадати (ну хто може швидко відтворити на пам`ять 1d88-965b-9827-13a9-e0ca-2b5c-b305-c959?), Що веде до необхідності записувати паролі і, тим самим, знижувати рівень безпеки. Або Ви можете використовувати їх в системі, де рівень обробки паролів не дуже складний, тобто на тих сайтах, де паролі можуть бути відновлені механічно або автоматично. Це означає, що Вам варто поцікавитися, яку саме технологію роботи з паролями доступу використовує Ваш власник системи реєстрації.

вибираємо пароль

Записувати паролі - не найкращий варіант, навіть не дивлячись на те, що потім Ви можете зберігати їх у безпечному місці. Записані паролі можна навіть зберігати в надійному сейфі (і багато компаній так і надходять на всякий екстрений випадок), але в цьому випадку вони не завжди можуть бути під рукою.

Використання одного і того ж пароля для всіх облікових записів знімає необхідність записи паролів на папері, але це дуже небезпечно, оскільки Ваш пароль в цьому випадку так само беззахисний, як і обліковий запис з самим слабким рівнем захисту. Так, багато веб-сайти запитують паролі при доступі, але перевіряють їх по протоколам, в яких фактичний пароль відкритий для перехоплювачів і зломщиків. Ви повинні завжди пам`ятати, що будь-який пароль, використаний в подібних облікових записах, схильний до ризику. Не використовуйте паролі подібних облікових записів для будь-яких інших випадків, де потрібен високий рівень безпеки.

Вибрати пароль, який легко запам`ятати - це ще один шлях спростити своє завдання. Але для облікових записів, які потребують максимального рівня захисту, це не найкраща ідея, тому як легко запам`ятовуються паролі, як правило, дуже просто вгадати, чи достатньо прикласти зовсім небагато зусиль для його отримання. Випробувати десятки мільярдів схожих паролів вручну людині не під силу, але сучасні комп`ютери здатні виконати це завдання лише за кілька хвилин.

Відео: USB Флешка! Злом паролів з Допомогою USB! За 5 -Секунд!

Технологія вибору паролів Diceware

Цікава технологія на diceware.com допоможе Вам вибрати відповідні паролі без використання комп`ютера або інший дорогої технології. Тут використовується метод «гральних кісток» для генерації дійсно випадкових чисел і переліки стандартних кодів для конвертації послідовності цифр, що виробляється даним алгоритмом, в легко запам`ятовується комбінацію слів. Незважаючи на те, що ця технологія заснована на базі вже існуючої раніше, нова версія підсумовує всі вимоги щодо безпечного вибору пароля. При використанні цієї технології:

• Ви отримуєте пароль, відомий тільки Вам одному
• Отриманий пароль - довгий, а тому безпечний
• Його дуже важко зламати - навіть того, хто Вас знає дуже добре
• Його легко запам`ятати
• Його легко ввести правильно

Проте, складні паролі не потрібні для випадків випадкових облікових записів, для яких Ваші паролі по суті незахищені, наприклад, для доступу на веб-сервери не на базі HTTPS, де використовуються облікові записи для реєстрації та відстеження, а не для належної ідентифікації та забезпечення безпеки.

Спрощення Ваших випадкових паролів

Якщо Ви знаєте, що на сайті використовується випадковий (а значить незахищений) метод HTTP-ідентифікації, Ви можете використовувати пароль, наприклад, у вигляді назви сайту, скажімо: news4example7com3 для сайту news.example.com (використовується доменне ім`я, а позначення кількості символів кожного компонента варто замість точки). Використовуйте це метод тільки для випадкових паролів.

І проявіть особливу обережність, щоб помилково не ввести Ваш корпоративний або персональний пароль при вході в обліковий запис з випадковими паролями. Інакше один з Ваших секретних паролів може бути розкритий, і той факт, що пароль був введений невірно, служить хакеру підтвердженням, що, можливо, цей пароль може підійти десь ще, тим більше, якщо "невірний" пароль відрізняється від пароля, який ви потім використовуєте для входу на вузли загального користування.

Ще одна порада про паролі

Для підвищення рівня захищеності Ви (Ваша компанія або банк) можуть використовувати систему разових паролів, яка забезпечує різні коди, необхідні (зазвичай додатково до Вашого основного паролю) всякий раз при реєстрації входу в систему. У цьому випадку Ваш пароль сам по собі стає марним при повторних спробах входу в систему. Крім того, якщо у Вас система з доступом по картці безпеки, і Ви можете бачити Вашу власну картку, наприклад, на зв`язці ключів, то в цьому випадку вкрай малоймовірно, що в цей момент хтось ще буде реєструватися під Вашим ім`ям. Ви навряд чи зможете отримати таку ж гарантію від традиційного пароля.

Остерігайтеся програмного забезпечення, що пропонує запам`ятати паролі за Вас і звільнити від повторного введення. Не користуйтеся такими послугами поки Ви не переконаєтеся в тому, що Ваші паролі залишаються під надійним захистом (і не треба сподіватися, що Ваш провайдер Вам про це скаже сам), і поки в захисті не з`явиться якийсь потужний "пароль з паролів", який потрібен , принаймні, 1 раз при кожному сеансі зв`язку.

І, нарешті, пам`ятайте: якщо Ви підозрюєте (або виявляєте пізніше), що комп`ютер заражений шкідливими програмами, то все, що Ви вводили через клавіатуру, по чому клацали мишею або що бачили на екрані, слід вважати безповоротно відданим злочинного співтовариства. Це стосується, в тому числі, і всіх паролів, які Ви вводили під час сеансу, навіть якщо ці паролі здавалися Вам захищеними і не відображалися на моніторі.

Висновки за результатами опитування

Майже 75% від 41% учасників нашого опитування - використовують універсальний, єдиний пароль доступу, який до того ж легко зламати. Прості запобіжні засоби, описані вище, допоможуть Вам вийти з числа тих 31%, хто не особливо піклується про безпеку в мережі.

про автора

Пол Дакліна (Paul Ducklin) прийшов в компанію Sophos з Південно-африканського ради з наукових і промислових досліджень в 1995 р

Він займав кілька різних посад у структурі компанії Sophos, в тому числі очолював відділ глобальної технічної підтримки, перед тим, як його призначили технічним директором в азіатсько-тихоокеанському регіоні.

Пол є одним з провідних світових фахівців з проблем вірусів. Він надавав доповіді і виступав з презентаціями на різних промислових конференціях, в тому числі Virus Bulletin, ICSA і AVAR. Він також є автором кількох статей, присвячених загрозам комп`ютерних вірусів, і вважається одним з авторитетних фахівців в цій області.

джерело: antivir.ru