Просто о сложном: пароли
«Да кому нужен пароль от моего почтового ящика??». На самом деле многим и причина очень проста. Особенно если вы используете один пароль для множества web сервисов. Эта статья о том, КАК помнить лишь один пароль и сохранять при этом высокую степень сохранности ваших личных данных. Из текста вы узнаете, что пароли со смыслом, еще хуже чем просто «слабые» пароли, какие пароли «сложные» и как рулить всем этим безобразием.
Сложно держать в уме множество разных паролей, ко всем web сервисам. Особенно когда их число переваливает за 3 – 5 шт. Поэтому многие используют один и тот же пароль для всего – почты, форума, блога. Недостаток такого метода очевиден, ведь из-за массовости явления «один пароль на все» цена раскрытия ваших данных на одном web сервисе становится фатальной. Злоумышленник в случае раскрытия пароля, например от блога, вероятно, не остановится на достигнутом, и попробует использовать тот же пароль и к вашей электронной почте.
Так кому же нужен ваш пароль. Ответ, по правде, прост и поэтому НЕ сильно очевиден. Пароль нужен всем – любому произвольно взятому взломщику.
А вот несколько простых причин «почему»:
- Да, вы точно знаете, что доступ к вашему почтовому ящику/блогу/форуму ничего/многого стоит. Но вся история из-за того, что злоумышленник об этом НЕ знает. Таким образом, получив доступ к множеству учетных записей, он в дальнейшем надеется получить выгоду хотя бы с одной из них. Ну а если заранее известно, что ваши учетные данные имеют ценность, то тут и объяснять ненадо. Интерес взломщиков рано или поздно гарантирован.
- Для рассылки спама. Действительно, злоумышленнику не очень удобно самому пользоваться ящиками, с которых он проводит нелегальную рассылку рекламы.
- Что бы вспомнить «пароли». У большинства web сервисов есть возможность вспомнить пароль, отправив его вам по почте. Далее сценарий предсказуем – «вспоминаются» все пароли от всех сервисов, зарегистрированных на данный e-mail.
Вы знаете, что «простой» пароль подбирается за 10 – 14 часов в зависимости от настроек web сервиса, «смысловой» пароль еще быстрее.
Настало время узнать что такое «простые» и «сложные» пароли и как их крадут.
Крадут очень просто. Два самых распространенных метода узнать ваш пароль:
- Используя уязвимость в web сервисе получить зашифрованные пароли пользователей и расшифровать их.
- Подобрать пароль, используя машинный перебор – перебор всех возможных вариантов сочетаний букв с помощью специализированных программ.
Стоит заметить, что все не так плохо. Т.к. подавляющее большинство современных web сервисов используют «хэши» - это ваши пароли зашифрованные необратимыми методами шифрования. Поясню. Необратимый метод значит, что ваш пароль превращается в набор символов, из которых в нельзя ваш пароль получить обратно.
Пример – для простоты наш пароль 123, зашифровав его по необратимому методу MD5 получаем набор «202cb962ac59075b964b07152d234b70». Таким образом web сервис получая от вас пароль 123 сначала применяет к нему метод MD5, а затем сравнивает с данными которые хранятся в базе данных пользователей.
Таким образом, даже при краже данных с данными о пользователях, взломщику так или иначе придется подбирать ту комбинацию символов которая, если следовать нашему примеру, при шифровании будет равна «202cb962ac59075b964b07152d234b70».
Логично, что чем длиннее и сложнее комбинация, тем дольше длится подбор. Получается, что злоумышленнику проще подыскать другую жертву, чем ОЧЕНЬ долго ждать подбора сложного пароля. Далее о том, что такое «простые» пароли и пароли со «смыслом» и самое главное – как помнить только один пароль, но сохранять высокую надежность данных.
Что такое простые пароли? Простыми паролями приятно называть пароли имеющие длину не более 5 символов и состоящими из букв латинского алфавита только в нижнем/верхнем регистре и цифр. Простота пароля обосновывается легкостью его подбора с помощью машинного перебора – когда компьютер перебирает все возможные комбинации из 5 символов. А подбирает он быстро. В случае сетевого ресурса скорость подбора зависит от скорости подключения к сети.
Что такое простые пароли с логическим смыслом? Это самые плохие из простых паролей. Это пароли, которые представляют собой, например, какое-то слово, год и т.д. Это пароли, которые несут смысловую нагрузку. Их самый главный недостаток в том, что количество слов значительно меньше, чем просто количество произвольных комбинаций из букв. Таким образом, для подбора таких паролей используется машинный перебор по словарю, который значительно эффективнее.
Что такое сложные пароли? Логично, что это пароли лишенные описанных выше недостатков. Вот характеристики сложных паролей:
- Большая длинна. От 8 символов.
- Использование букв в верхнем и нижнем регистре, цифр и спец символов.
- Отсутствие маски. Т.е. подразумевается, что последовательности символов генерируется случайно. Например, вот пароли с использованием маски «XXx99xX»: «AFb56dW», «GFc53tQ», «NHd91lH». Отсутствие маски усложняет задачу подбора пароля.
Как быть? Использовать менеджеры паролей – специальные программы, хранящие все ваш учетные данные (пары из имени пользователя и пароль), доступ к которым так же предоставляется по паролю. Таким образом, вам достаточно помнить ТОЛЬКО пароль от менеджера паролей, вся остальная информация уже содержится в нем. Плюс ко всему почти во всех программах подобного типа есть генератор сложных паролей – очень удобно когда лень выдумывать самостоятельно. Мне, например, всегда лень.
В рамках этой статьи я расскажу о программе, которую использую я – «Password Boss». Если захотите красивостей и наворотов, легко найдете альтернативы. Благо их много.
Итак, Password Boss - это программа для централизованного хранения ваших личных данных. Это могут быть всевозможные пары username/password.
«Фишки» программы:
- Бесплатна для жителей exСССР.
- С каждой записью можно ассоциировать дополнительно множество произвольных полей. По умолчанию можно привязать к паре имя/пароль поля: URL, файл, комментарий. Очень удобно, например, хранить вместе с паролем от блога и ссылку на него.
- Есть встроенный генератор паролей с возможностью настройки «сложности» генерируемых паролей. По умолчанию имеются три предустановленных шаблона – Low (пароль из 5 символов с использованием латинских букв обоих регистров и цифр), Strong (тоже самое, что и Low, но количество символов равно 10 и используются специальные символы) и ByMask (пароль по маске AAa9#9aA).
- Возможность использования на флешь носителях. Программа не использует реестр, а хранит конфигурацию в файлах в своей папке. Можно всегда носить пароли с собой, не опасаясь их разглашения.
- Интуитивно понятный интерфейс + Возможность менять «скины» + прост в использовании т.к. не перегружен слишком «продвинутыми» функциями.
Из бесплатных альтернатив отмечу «Password Commander» (www.pascom.ru), «Keepass» (http://keepass.info/), AI Roboform (http://www.roboform.com/ru/) .
Вместо заключения. В настоящий момент проблемы доступа личным данным касаются почти всех. Чем активнее вы пользуетесь различными публичными web сервисами, тем острее для вас встает вопрос защиты вашей «интернет» личности. Существуют готовые решения для данной проблемы. Которыми просто пользоваться.
Ссылки по теме:
Я умный – и умею хранить пароли. (http://habrahabr.ru/blog/i_am_clever/16553.html)
Я умный – поэтому не храню пароли. (http://habrahabr.ru/blog/i_am_clever/16553.html)