Каким должен быть надёжный пароль?

Несмотря на то что от взломанных паролей за последние годы пострадало огромное число пользователей Интернета, эффективной альтернативы этому способу защиты личных данных пока нет. Каким образом злоумышленники получают доступ к секретным словам и фразам, как защититься от атак взломщиков?

Каким должен быть надёжный пароль?

Большинству из нас известны простые советы, усложняющие пароль. Во-первых, он должен быть уникальным, во-вторых, достаточно длинным, и в-третьих, в нём необходимо использовать не только строчные и прописные буквы, но и различные символы и цифры.

Пользователи осознают наличие угрозы и стремятся обеспечить свою информационную безопасность. Но их подводит память. Как на практике выполнить распространённую рекомендацию не записывать, а запоминать секретное слово? Неужели существуют люди, способные удержать в голове множество странных сочетаний разрозненных символов?

Несомненно, такие люди если и есть, то их очень мало. Рядовые юзеры придумали простой выход. Они запоминают пару кажущихся им сложными выражений, модифицируя сочетание от регистрации к регистрации, либо по настоянию админа сайта несколькими буквами, цифрами или знаками в начале или конце. Казалось бы, требования выполнены: пароль уникальный, длинный и сложный. Но надёжность такого метода низкая.

Как злоумышленники узнают пароли?

Время, когда где-то кто-то сутками напролёт стучал по клавиатуре, пытаясь подобрать пароль, давно прошло, если вообще когда-то было. Периодически появляются сведения, что очередной интернет-гигант обнаружил утечку информации — базы данных паролей своих пользователей. Пароли воруют. Причём не по одному, а тысячами и миллионами, получив тем или иным способом доступ к базе данных популярного сайта.

Несмотря на то что представители атакованных компаний уверяют пользователей, что никто не понёс ущерба, так как база данных паролей хранится в зашифрованном виде, действительность несколько отличается от публичных заявлений.

Каким должен быть надёжный пароль?

Конечно, просто так взломать похищенную базу, даже обладая значительными вычислительными мощностями, способными перебирать миллиарды вариантов за несколько часов, очень и очень трудно. Практически невозможно. Но, благодаря самим пострадавшим, задача злоумышленников зачастую легче, чем кажется.

Всегда найдутся пользователи, которым безразлична судьба аккаунта. Их пароли — типа 12345, qwerty и пр. — подбирают первыми. С помощью методов криптографии, сопоставляя значения в открытом и зашифрованном виде, злоумышленники получают представление об алгоритмах шифрования, что упрощает им задачу автоматизированного подбора остальных секретных слов.

За простыми паролями «сдаются» псевдосложные, состоящие из использованных ранее в других местах сочетаний, дополненных парой предсказуемых знаков.

Несомненно, уникальные и сложные пароли устоят, их никогда не расшифруют. Но многие внешне неприступные стены мощных фортеций падут, оказавшись на деле лишь разрисованными акварельными красками иллюзорными картинками.

Каким должен быть пароль?

В американском Университете Карнеги-Меллон создана группа исследования паролей. Её члены видят свою задачу в выяснении методов, применяемых злоумышленниками для расшифровки секретных слов, и разработке чётких критериев надёжности защиты.

Каким должен быть надёжный пароль?

После серии онлайн-тестов, в которых приняли участие более 50 тыс. человек, и изучения практических паролей студентов и профессоров университета группа пришла к выводу, что пользователи очень часто считают надёжными выражения, таковыми не являющиеся.

Среди ошибок — составление длинных сочетаний из распространённых слов или выражений (например, passwordpassword) и изменение старого пароля добавлением лишнего символа. Нередко для создания «надёжных» секретных слов последовательно нажимают несколько соседних клавиш клавиатуры — 1qaz2wsx3edc — или используют слэнг определённых сообществ. Ненадёжны и такие методы, как замена в слове буквы «о» цифрой «0» или «а» символом «@».

Разрабатывая пароль, исследователи из Карнеги-Меллон советуют опираться на следующие рекомендации:

  • выбирайте пароль длиной не менее 12 знаков;
  • используйте знаки 2−3 различных типов: прописные и строчные буквы, цифры, специальные символы;
  • размещайте символы разных типов вперемежку, не применяйте заглавные буквы исключительно в начале выражения, равно как цифры и символы только в конце;
  • избегайте имён людей и кличек домашних животных, названий мест, в которых вы живёте, брендов, спортивных команд, дат рождения и пр.;
  • не используйте распространённые фразы, тексты песен, стихи и цитаты;
  • откажитесь от шаблонов, «подсказанных» расположением клавиш на клавиатуре;
  • не применяйте один и тот же пароль в разных местах;
  • хороший способ создания надёжного пароля — придумать оригинальное предложение и использовать одну или две начальных буквы каждого слова, разбавляя их другими символами;
  • если выражение трудно запомнить, запишите его или используйте диспетчер паролей, но не отказывайтесь из-за удобства от безопасности информации.