Вітаю всіх! Досвідчені інвестори знають, що з метою диверсифікації ризиків потрібно працювати одразу з кількома компаніями, а отже в кожній треба реєструватися та використовувати надійний пароль. Для соцмереж, наприклад, також не завадить хороша захист… Загалом, тема більш ніж актуальна, тому сьогодні поговоримо про те, яким має бути достатньо складним для хакерів пароль, як його запам’ятати, а також як зберігати багато складних паролів зручно та в надійному місці.
Як хакери зламують паролі
Мені одразу згадується британський серіал “Шерлок”, де наш геніальний детектив за кілька спроб зміг розгадати досить нетривіальний пароль на телефоні Ірен Адлер:
Вибери вона будь-яку випадкову комбінацію з чотирьох літер і цифр – навряд чи навіть у Шерлока Холмса щось вийшло б. Взагалі, кінематографісти люблять вставляти такі сцени (згадайте будь-який інший фільм з вгадуванням пароля), але найцікавіше те, що і в житті подібне цілком працює. Такий метод злому називається логічним вгадуванням – і базується на відомій інформації про користувача.
Якщо зловмисник знає ім’я, прізвище і дату народження – він за кілька хвилин може перебрати можливі комбінації і зламати пароль, у якому використовується ця інформація. Ну що, точно ж використовуєте принаймні один такий? 🙂
До речі, а ви знаєте, які паролі трапляються найчастіше? Ось декілька популярних прикладів:
- 123456
- 123456789
- qwerty
- 111111
- 12345678
Як бачите, здебільшого це прості комбінації цифр і літер. Частота тут не вказана, але припустімо, якщо хоча б 1% користувачів використовує примітивний пароль 123456 – скільки акаунтів зможе зламати хакер на великому сервісі? А якщо прогнати всі відомі популярні паролі?
До речі, існують спеціальні словники паролів, які можна завантажити з Інтернету. На щастя, популярні сайти вже давно вимагають від користувачів хоча б мінімально ускладнювати введені дані – використовувати великі та малі літери, як мінімум пару цифр і перевіряють, щоб пароль не був у тих же словниках.
Проте, цього може бути недостатньо, якщо хакер має великі ресурси і спеціальні програми. Так званий метод грубої сили дозволяє вгадувати паролі простим перебором усіх можливих комбінацій, сучасні можливості комп’ютерів цілком це дозволяють.
Чим більше використовується різних символів (великі та малі літери, цифри, крапки/тире/коми тощо) і чим довший пароль – тим більше часу потрібно комп’ютеру, щоб перевірити всі можливі варіанти. Скільки ж? Припустімо, у паролі використовуються лише малі англійські літери і цифри, тоді ситуація така:
| Кількість символів | Кількість варіантів паролів | Час для перебору |
|---|---|---|
| 1 | 36 | < 1 секунда |
| 2 | 1,296 | < 1 секунда |
| 3 | 46,656 | < 1 секунда |
| 4 | 1,679,616 | 17 секунд |
| 5 | 60,466,176 | 10 хвилин |
| 6 | 2,176,782,336 | 6 годин |
| 7 | 7,836,416,4096 | 9 днів |
| 8 | 282,110,991*10^12 | 11 місяців |
| 9 | 1,015,599,501*10^14 | 32 роки |
| 10 | 3,656,158,400*10^15 | 1162 роки |
Як бачите, пароль менше 7 символів цілком можна зламати за один день, а 7-символьний зламується за тиждень, якщо хакеру пощастить – ще швидше. Загалом, приблизно так виглядає складність паролів для методу грубої сили, висновки, думаю, очевидні.
Наука про способи захисту інформації від сторонніх називається криптографією. Сучасний світ стоїть на її досягненнях, один із яскравих прикладів – використання в криптовалютах.
До речі, навіть якщо ви створите хороший, складний пароль, є й обхідні способи для його злому. Наприклад, на пошту приходить лист із фразою на кшталт “для виведення грошей надішліть свій пароль для перевірки”, звісно, цього робити ні в якому разі не варто! Адміністрація будь-якого сайту чи сервісу ніколи не буде питати ваш пароль, він і так є у них у базі даних.
Ще один спосіб отримати пароль – якимось чином “підгледіти” його. У дитинстві, коли я ходив до комп’ютерного клубу, це була реальна проблема – навколо багато людей і ввести пароль від свого ігрового акаунту так, щоб ніхто не підглянув, було непросто. Випадки крадіжки ігрової валюти та речей траплялися 🙂
Зловмисники також можуть посадити на ваш комп’ютер троянську програму, яка записує, що ви вводите з клавіатури. Для захисту від такої атаки, звісно, потрібно використовувати антивірус.
Ну ось, тепер ви знаєте найпростіші способи злому ваших даних. Як же від них захиститися і створити складний і надійний пароль?
Як створити та запам’ятати надійний пароль
Як ми вже з’ясували, довжина пароля має бути не менше 8 символів, причому дуже бажано, щоб у ньому використовувалися різні типи символів:
- малі літери – a,b,c…;
- великі літери – A, B, C…;
- цифри – 0,1,2…;
- розділові знаки – кома, тире, знак питання…;
- спеціальні символи – @, #, $, %…
Перевірити складність пароля можна на сервісі https://www.security.org/, для прикладу використаємо комбінацію pAfG78№4942amp3, що відповідає всім рекомендаціям:
Пароль необов’язково створювати вручну, існує купа сайтів, де це можна зробити, просто введіть у пошуковій системі запит “генератор паролів” – вам видасть великий список. Звісно, виникає питання – а чи не записує конкретний сайт введені паролі? Навіть якщо так, ще потрібно знати логін, та й невідомо ж, де ви будете застосовувати отриману комбінацію.
Щоб все ж таки заспокоїти свою параною, можна згенерувати пароль на сайті, а потім змінити в ньому кілька символів – складність не зміниться, а ризик злому грубим перебором залишиться дуже низьким.
Проблема зі згенерованими паролями одна – запам’ятати хоча б один досить важко, а в ідеалі ж для кожного сайту потрібен унікальний. Один із найкращих способів спростити собі завдання – використовувати слова рідною мовою в англійській розкладці, розбавляючи їх цифрами та знаками.
Ось приклад нескладного для запам’ятовування, але дуже навіть якісного пароля. Візьмемо іменник “залізо” і логічно не пов’язане з ним дієслово “летить”. Як цифри, допустимо, буде рік народження Тараса Шевченка – 1814. Ну і додамо знак оклику!
Отримуємо такий пароль – pfkspj18!ktnbnm14. Я записав українські слова з використанням англійської розкладки, рік народження розбив на 2 частини і підставив у кінець кожного слова, а посередині поставив знак оклику. Нічого дуже складного, але пароль виходить досить якісним:
Можна придумати й інші схожі способи створення пароля – всі вони дадуть чудовий результат. Проте, це все одно не допомагає дотримуватися правила 1 сайт – 1 пароль, складно запам’ятати більше п’яти комбінацій і не почати їх використовувати по кілька разів. Виходить, необхідне місце для зберігання важливих даних.
Програми для зберігання паролів
Окремо хочу сказати, що записувати на папірці та приклеювати до монітора – ідея не дуже 🙂
Можна, наприклад, записувати паролі в зошит, але це не дуже зручно – кожен раз потрібно вводити пароль вручну та ще й носити його повсюди з собою. Та й будь-хто, хто побачить вас, заглядаючого в зошит і вводячого щось на комп’ютері, швидко зрозуміє що до чого і може спробувати його вкрасти.
Все ж таки більш практично, на мою думку, використовувати спеціалізовану програму для зберігання паролів. По-перше, їх можна зберігати прямо в браузері – після першого введення вас запитують, потрібно зберігати чи ні:
Це досить зручно, та й отримати доступ до сховища не так вже й просто – головне вчасно оновлювати браузер, вразливості усуваються постійно. Звісно, є і свої мінуси – якщо комп’ютером користується ще хтось, він може легко використати збережені паролі.
У браузері цілком можна зберігати не особливо важливі дані – від якихось акаунтів на форумах чи безкоштовних сервісів, злам яких не завдасть вам особливої шкоди.
Більш цінні дані варто зберігати як мінімум з додатковими засобами захисту. Для браузерів є спеціальне розширення LastPass, яке робить приблизно те ж саме, що і сам браузер, але краще. Саме сховище можна заблокувати паролем, вам потрібно буде придумати всього один за методом “піднімається залізо” і запам’ятати його.
Мінус LastPass у тому, що ваші паролі все ж таки знаходяться на сторонніх серверах, і якщо їх зламають (а історії зі зломами найбільших корпорацій говорять про те, що ніхто не застрахований), дані потраплять до зловмисників.
Більш оптимістичний досвід я отримав, працюючи зі звичайною програмою для зберігання паролів під Windows – KeePass. Вона безкоштовна та заснована на відкритому коді, а отже багато програмістів її перевіряли і не знайшли прихованих ходів, що дозволяють викрасти дані.
Вона англомовна, мабуть, це єдиний мінус, який я виявив досі. Сенс такий – усі паролі знаходяться в базі даних, яка захищена окремим паролем та файлом-ключем. Головний пароль (Master Password) має бути дуже складним, але оскільки він один – запам’ятати його легше. У мене є кілька груп паролів – Пошта, Соцмережі, Сайти, у кожній з них зберігаються різні записи. Загалом, усе влаштовано досить просто.
А на цьому все! Ось ви й дізналися основи створення та зберігання надійних паролів.
Друзі, взагалі ви як, відповідально ставитеся до паролів? Чи вважаєте, що не варто занадто забивати голову, заморочки того не варті й можна обійтися досить простими? Залишайте свої думки в коментарях.
До зустрічі в нових статтях! Зима близько… будь ласка, не хворійте.
