Ежедневное электронное издание о российском Интернете
О роли пароля
Каждому из нас приходится придумывать и запоминать пароли. У каждого есть пароль на домашний компьютер, на рабочий компьютер, на почтовый ящик, на программы мгновенного обмена сообщениями, на доступ к банковской карте, пароли на доступ к всевозможным серверам и службам. В современном мире любой пользователь может насчитать до десятка паролей, которые необходимо помнить и регулярно обновлять.
Примерно раз в год в Интернете поднимается вопрос о ненадежности используемых паролей. В этом несложно убедиться:
1. «Пароли, которые не стоит использовать» (2004);
2. «Пароли, которые мы выбираем» (2005);
3. «Подумайте о своем пароле» (2007).
Во всех подобных статьях обличают тех, кто использует примитивные пароли, и дают ценные советы о том, как создавать пароли надежные. Но, как следует из неизменности положения, проблема, видимо, все-таки сложнее, чем может показаться на первый взгляд.
Прежде всего, разделим все ненадежные пароли на группы. В качестве признака разделения выберем мотивы, побуждающие людей их использовать.
Первую группу паролей назовем «глупыми» или «ленивыми».
Это пароли наподобие «12345», «qwerty», «123321», «111», «asdf», «passwd», «admin» и прочие. Несмотря на многолетние призывы не пользоваться подобными паролями, их доля от общего числа не уменьшается. И причин, по которым это происходит как минимум две:
1. Элементарная неграмотность пользователей.
Наиболее яркий пример: большинство компьютеров, принадлежащих рядовому пользователю, куплено в собранном виде с предустановленной операционной системой. В последние несколько лет на этих компьютерах заботливо поставлена операционная система Windows XP. Много ли пользователей знают, что на ВСЕХ компьютерах с операционной системой Windows XP есть пользователь Administrator, которого не видно в обычном режиме, но который, тем не менее, существует? Этого пользователя, с администраторскими правами, создают при установке операционной системы на компьютер. И пароль для него придумывает тот, кто эту операционную систему ставит. Очевидно, что паролем будет что-то очень примитивное, или стандартное. А хозяин машины, может, и поменял бы пароль, но не догадывается о такой возможности.
2. Лень пользователей при создании пароля для несущественных аккаунтов.
Например, какой смысл придумывать сложный пароль для девятизначного аккаунта в ICQ - на него все равно никто не позарится. А запомнить пароль 120461 (первый космонавт!) совсем несложно. И в этом есть своя логика.
Здесь же хочется предостеречь тех, кто ставит простые пароли для своего пользователя в ОС Windows взамен нулевого пароля. В том случае, если вы не собираетесь заходить на свой компьютер удаленно, нулевой пароль эффективнее, потому как системы семейства Windows устроены так, что при нулевом пароле удаленное подключение становится невозможным (и об этом пишут в Microsoft) .
Во вторую группу поместим пароли не столь очевидные, но простые.
Например, это может быть кличка собаки, имя футболиста или название торта. На первый взгляд может показаться, что если выбрать в качестве пароля фамилию любимого актера, например – ЧерезТридцатьТриЗабораНогиЗадерищенский, подбор займет чрезмерное время и взломать его будет сложно. Но это не так, потому что подбирать его перебором никто не станет.
Каждый раз, когда вы набираете пароль для доступа к удаленному сервису, он шифруется по специальному хэш-алгоритму и полученная после кодирования последовательность отправляется на сервер. Криптографические хэш-алгоритмы устроены так, что восстановить ваш пароль, зная его хэш-последовательность невозможно. Поэтому полученная после кодирования последовательность отправляется «открыто». Но никто не мешает злоумышленникам составить базу наиболее вероятных паролей, закодировать их и сравнивать перехваченный у вас пароль с имеющейся базой. Составить базу на все слова всех языков мира не составляет труда (это гораздо проще, чем подобрать перебором пароль из восьми символов).
Третью группу паролей назовем «коварными»
Автор паролей из этой группы убежден, что пароль его сложен и примитивными способами не определяется. В этой группе пароли вида «vfvftkfhfve»(мамаелараму), «абырвалГ», «моя@любимая.жена», а также слова с сознательно допущенной орфографической ошибкой, например, «тринитрАтолуол».
Правила, по которым сконструированы указанные пароли, далеко не плохи, но они настолько распространены, что базы хэш-кодов для подобных слов тоже существуют. Если вы читаете советы по созданию надежного пароля в Интернете, то советы эти уже устарели. Люди, к несчастью, склонны думать шаблонами, а на стороне взломщиков работают профессиональные психологи и лингвисты.
За комментариями о выборе надежного пароля и наиболее распространенных ошибках, сопровождающих этот процесс, TelNews.ru обратились к вирусному аналитику «Лаборатории Касперского» Виталию Камлюку. Прежде всего, он напомнил нам о проблеме одинаковых паролей для разных ресурсов: «Злоумышленник может получить пароль от примитивного, не очень критичного ресурса, однако из-за того, что пользователю лень делать разные пароли для разных ресурсов - злоумышленник таким образом может получить доступ ко всем остальным защищенным ресурсам пользователя, просто используя имеющийся пароль».
Кроме того, по мнению Виталия Камлюка, не стоит забывать о сложности перебора в ограниченном наборе символов (пароли, составленные только из букв + пробел) и в полном наборе (все печатные символы). Таким образом, важно использовать как можно более широкий набор символов. Для того, чтобы максимально эффективно использовать длину своего пароля, он должен быть неподбираемым по словарю.
«Например, у меня сейчас больше сотни различных ресурсов, которые требуют запоминания пароля для входа, – говорит Виталий Камлюк. - Ресурсы эти не так часто мной используются, по крайней мере, не каждый день - точно. Пароли везде, естественно, разные. Для того, чтобы решить проблему с запоминанием, могу предложить два решения, которыми пользуюсь сам. Где какое решение использовать - решать пользователю:
1. Использование сверхзащищенного хранилища паролей.
Предполагается, что пользователь помнит ОДИН сверхсложный для подбора пароль и использует надежное защищенное хранилище, которое открывается этим сверхсложным паролем, и в котором хранится база паролей от всех остальных ресурсов. Хранилище и способ доступа к нему в таком случае должны быть СВЕРХзащищенными, поскольку важность проблемы защиты в этом случае является суммой важности каждого хранимого в хранилище пароля.
2. Использование собственного алгоритма составления паролей.
Предполагается, что пользователь помнит ОДИН в достаточной мере сложный и уникальный алгоритм составления собственных уникальных паролей на основе своего постоянного уникального ключика и названия целевого ресурса. Т.е. пользователю следует придумать правило, как он будет генерировать пароль для любого ресурса.
Пример:
Пользователь выбирает постоянный секретный ключик, который он помнит везде и всегда: #мой_password
Потом ему нужно, например, вспомнить пароль для входа на некий ресурс. Пользователю не нужно хранить в памяти весь пароль, а лишь правило (использующее имя ресурса) для составления пароля. Правило должно быть не самым простым, но достаточно простым, чтобы использовать его без карандаша и бумаги.
Пример правила: Выбираем все согласные буквы в имени ресурса и переписываем ими согласные буквы в нашем секретном ключике справа налево. С гласными делаем тоже самое только слева направо. Лишние буквы игнорируются.
Тогда пароль для hotmail.com составляется так:
#мой_password + hotmail.com = #мoй_maclmith
Пароль для входа в Windows будет таким:
#мой_password + Windows = #мiй_poswdonW
Такая практика наиболее удобна, поскольку пользователь со временем и сам запоминает те пароли, которые он использует наиболее часто, а если вдруг забыл, то он всегда помнит правило, как их составить и потратит просто чуть больше времени на составление пароля. Взамен этой небольшой задержки он получает защищенность своих ресурсов.
Очень важно при таком подходе изобрести действительно уникальное правило».
Итак, каждый раз, когда вам вновь придется создавать надежный пароль, вспоминайте о перечисленных ранее группах, старайтесь думать нестандартно и не делитесь ни с кем ходом ваших мыслей. Ну а когда пароль будет придуман, его можно проверить скриптами по следующим адресам:
1. http://href.katka.ru/passacalia/checkpwd/
2. http://www.microsoft.com/rus/athome/security/privacy/password_checker.mspx
Такую проверку можно назвать необходимой, но не достаточной. То есть если скрипт признал пароль ненадежным, значит он и правда ненадежный, а если надежным, то это ничего не значит.
1. «Пароли, которые не стоит использовать» (2004);
2. «Пароли, которые мы выбираем» (2005);
3. «Подумайте о своем пароле» (2007).
Во всех подобных статьях обличают тех, кто использует примитивные пароли, и дают ценные советы о том, как создавать пароли надежные. Но, как следует из неизменности положения, проблема, видимо, все-таки сложнее, чем может показаться на первый взгляд.
Прежде всего, разделим все ненадежные пароли на группы. В качестве признака разделения выберем мотивы, побуждающие людей их использовать.
Первую группу паролей назовем «глупыми» или «ленивыми».
Это пароли наподобие «12345», «qwerty», «123321», «111», «asdf», «passwd», «admin» и прочие. Несмотря на многолетние призывы не пользоваться подобными паролями, их доля от общего числа не уменьшается. И причин, по которым это происходит как минимум две:
1. Элементарная неграмотность пользователей.
Наиболее яркий пример: большинство компьютеров, принадлежащих рядовому пользователю, куплено в собранном виде с предустановленной операционной системой. В последние несколько лет на этих компьютерах заботливо поставлена операционная система Windows XP. Много ли пользователей знают, что на ВСЕХ компьютерах с операционной системой Windows XP есть пользователь Administrator, которого не видно в обычном режиме, но который, тем не менее, существует? Этого пользователя, с администраторскими правами, создают при установке операционной системы на компьютер. И пароль для него придумывает тот, кто эту операционную систему ставит. Очевидно, что паролем будет что-то очень примитивное, или стандартное. А хозяин машины, может, и поменял бы пароль, но не догадывается о такой возможности.
2. Лень пользователей при создании пароля для несущественных аккаунтов.
Например, какой смысл придумывать сложный пароль для девятизначного аккаунта в ICQ - на него все равно никто не позарится. А запомнить пароль 120461 (первый космонавт!) совсем несложно. И в этом есть своя логика.
Здесь же хочется предостеречь тех, кто ставит простые пароли для своего пользователя в ОС Windows взамен нулевого пароля. В том случае, если вы не собираетесь заходить на свой компьютер удаленно, нулевой пароль эффективнее, потому как системы семейства Windows устроены так, что при нулевом пароле удаленное подключение становится невозможным (и об этом пишут в Microsoft) .
Во вторую группу поместим пароли не столь очевидные, но простые.
Например, это может быть кличка собаки, имя футболиста или название торта. На первый взгляд может показаться, что если выбрать в качестве пароля фамилию любимого актера, например – ЧерезТридцатьТриЗабораНогиЗадерищенский, подбор займет чрезмерное время и взломать его будет сложно. Но это не так, потому что подбирать его перебором никто не станет.
Каждый раз, когда вы набираете пароль для доступа к удаленному сервису, он шифруется по специальному хэш-алгоритму и полученная после кодирования последовательность отправляется на сервер. Криптографические хэш-алгоритмы устроены так, что восстановить ваш пароль, зная его хэш-последовательность невозможно. Поэтому полученная после кодирования последовательность отправляется «открыто». Но никто не мешает злоумышленникам составить базу наиболее вероятных паролей, закодировать их и сравнивать перехваченный у вас пароль с имеющейся базой. Составить базу на все слова всех языков мира не составляет труда (это гораздо проще, чем подобрать перебором пароль из восьми символов).
Третью группу паролей назовем «коварными»
Автор паролей из этой группы убежден, что пароль его сложен и примитивными способами не определяется. В этой группе пароли вида «vfvftkfhfve»(мамаелараму), «абырвалГ», «моя@любимая.жена», а также слова с сознательно допущенной орфографической ошибкой, например, «тринитрАтолуол».
Правила, по которым сконструированы указанные пароли, далеко не плохи, но они настолько распространены, что базы хэш-кодов для подобных слов тоже существуют. Если вы читаете советы по созданию надежного пароля в Интернете, то советы эти уже устарели. Люди, к несчастью, склонны думать шаблонами, а на стороне взломщиков работают профессиональные психологи и лингвисты.
За комментариями о выборе надежного пароля и наиболее распространенных ошибках, сопровождающих этот процесс, TelNews.ru обратились к вирусному аналитику «Лаборатории Касперского» Виталию Камлюку. Прежде всего, он напомнил нам о проблеме одинаковых паролей для разных ресурсов: «Злоумышленник может получить пароль от примитивного, не очень критичного ресурса, однако из-за того, что пользователю лень делать разные пароли для разных ресурсов - злоумышленник таким образом может получить доступ ко всем остальным защищенным ресурсам пользователя, просто используя имеющийся пароль».
Кроме того, по мнению Виталия Камлюка, не стоит забывать о сложности перебора в ограниченном наборе символов (пароли, составленные только из букв + пробел) и в полном наборе (все печатные символы). Таким образом, важно использовать как можно более широкий набор символов. Для того, чтобы максимально эффективно использовать длину своего пароля, он должен быть неподбираемым по словарю.
«Например, у меня сейчас больше сотни различных ресурсов, которые требуют запоминания пароля для входа, – говорит Виталий Камлюк. - Ресурсы эти не так часто мной используются, по крайней мере, не каждый день - точно. Пароли везде, естественно, разные. Для того, чтобы решить проблему с запоминанием, могу предложить два решения, которыми пользуюсь сам. Где какое решение использовать - решать пользователю:
1. Использование сверхзащищенного хранилища паролей.
Предполагается, что пользователь помнит ОДИН сверхсложный для подбора пароль и использует надежное защищенное хранилище, которое открывается этим сверхсложным паролем, и в котором хранится база паролей от всех остальных ресурсов. Хранилище и способ доступа к нему в таком случае должны быть СВЕРХзащищенными, поскольку важность проблемы защиты в этом случае является суммой важности каждого хранимого в хранилище пароля.
2. Использование собственного алгоритма составления паролей.
Предполагается, что пользователь помнит ОДИН в достаточной мере сложный и уникальный алгоритм составления собственных уникальных паролей на основе своего постоянного уникального ключика и названия целевого ресурса. Т.е. пользователю следует придумать правило, как он будет генерировать пароль для любого ресурса.
Пример:
Пользователь выбирает постоянный секретный ключик, который он помнит везде и всегда: #мой_password
Потом ему нужно, например, вспомнить пароль для входа на некий ресурс. Пользователю не нужно хранить в памяти весь пароль, а лишь правило (использующее имя ресурса) для составления пароля. Правило должно быть не самым простым, но достаточно простым, чтобы использовать его без карандаша и бумаги.
Пример правила: Выбираем все согласные буквы в имени ресурса и переписываем ими согласные буквы в нашем секретном ключике справа налево. С гласными делаем тоже самое только слева направо. Лишние буквы игнорируются.
Тогда пароль для hotmail.com составляется так:
#мой_password + hotmail.com = #мoй_maclmith
Пароль для входа в Windows будет таким:
#мой_password + Windows = #мiй_poswdonW
Такая практика наиболее удобна, поскольку пользователь со временем и сам запоминает те пароли, которые он использует наиболее часто, а если вдруг забыл, то он всегда помнит правило, как их составить и потратит просто чуть больше времени на составление пароля. Взамен этой небольшой задержки он получает защищенность своих ресурсов.
Очень важно при таком подходе изобрести действительно уникальное правило».
Итак, каждый раз, когда вам вновь придется создавать надежный пароль, вспоминайте о перечисленных ранее группах, старайтесь думать нестандартно и не делитесь ни с кем ходом ваших мыслей. Ну а когда пароль будет придуман, его можно проверить скриптами по следующим адресам:
1. http://href.katka.ru/passacalia/checkpwd/
2. http://www.microsoft.com/rus/athome/security/privacy/password_checker.mspx
Такую проверку можно назвать необходимой, но не достаточной. То есть если скрипт признал пароль ненадежным, значит он и правда ненадежный, а если надежным, то это ничего не значит.
- 00.00.0000 в 00:00
- 2 голоса
- одобрить
- утопить
- 0 комментариев
Заработай деньги
на своём сайте!
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2
Обсуждаемые новости
Партнёры
 |
 |
 |
 |
 |
|
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |