Перейти к основному содержанию

Как придумать хороший пароль?

Security

Мы все пользуемся паролями. Не потому что нам это нужно, а потому что нас заставляют это делать. Хочешь завести адрес электронной почты — придумай пароль. Хочешь страничку в соцсети — придумай пароль. Естественно, мы не хотим усложнять себе жизнь и пытаемся указать простенький пароль. Естественно, нам не дают указать такой пароль, и начинается:

  • У Вас пароль слишком короткий, удлините его!
  • В Вашем пароле нет прописных букв, добавьте КаПсА!
  • В пароле не найдены цифры, должно быть много цифр!
  • В вашем пароле нет спецсимволов, это пр0$т0 пр0вал$#%!
  • Вы забыли про эмоджи: ?✨?!
  • И т.д.

А что происходит в офисах? В офисной среде всё то же самое, даже ещё хуже. Рано или поздно контора привлекает к работе специалиста по информационной безопасности, который внедряет парольную политику, и снова начинается:

  • Ваш пароль смахивает на предыдущие 200 паролей.
  • В Вашем пароле используется три символа, которые идут подряд на клавиатуре, раздвиньте пальцы.
  • Ваш пароль, это набранный задом наперёд предыдущий ьлорап.
  • Срок действия пароля истёк. Забудьте старый пароль и придумайте новый.
  • И т.п.

Я всё понимаю. Люди делают свою работу, чтобы вашу учётную запись не могли взломать. Всё направлено на то, чтобы усложнить ваш пароль, но при этом никто не задумывается, что сложный пароль не всегда может быть хорошим.

Что такое Хороший Пароль?

Хороший пароль должен удовлетворять нескольким требованиям:

  • Пароль не должен подобрать другой человек.

Именно поэтому не стоит использовать в пароле дату своего рождения. И именно поэтому вопрос "Девичья фамилия вашей матери?" в почте mail.ru помог мне лет десять назад восстановить учётную запись товарища, который забыл свой сложный пароль со всеми цифрами и спецсимволами.

  • Пароль должно быть сложно подобрать методом перебора.

Брутфорс, брут или перебор паролей — обычно этим способом роботы подбирают пароли к учётным записям. Метод прост и туп, просто по очереди подбираются все возможные комбинации паролей. Усложнить жизнь брутфорсерам можно двумя способами: использовать спецсимволы и буквы разного регистра, увеличить длину пароля. Именно по этой причине я сказал "пока" известному сервису ICQ, который запретил мне указывать пароль длиннее восьми символов. По какой-то непонятной мне причине все методы усиления пароля направлены на первый способ, увеличить длину пароля никто не предлагает. Кстати, требование парольной политики "не должно быть трёх и более символов, которые идут подряд на клавиатуре" не увеличивает возможное количество вариантов перебора паролей при брутфорсе, а уменьшает! Это печально.

  • Пароль должен быть уникальным.

Требование логичное. Если сайт, на котором вы используете пароль, взломают, то ваш пароль станет известен злоумышленникам. Под угрозой окажутся и другие сайты, на которых вы используете такой же пароль. Держать в голове много разных паролей сложно. Для таких целей есть специальные сервисы хранения паролей, для входа в которые достаточно помнить только один мастер-пароль. У таких сервисов тоже есть минусы. Известны случаи взлома таких сервисов. Если вы забудете мастер-пароль, то потеряете доступ ко всем своим паролям. Если кто-то узнает ваш мастер-пароль, то получит доступ ко всем вашим паролям.

А теперь я подкину условие, о которых мало кто из безопасников или веб-разработчиков задумывается.

  • Пароль должен легко запоминаться.

Пароль нужно не только придумать, но и запомнить. Иногда даже пароль должен легко восприниматься по телефону. Требования к повышенной сложности пароля приводят к тому, что люди записывают пароли в записные книжки или приклеивают стикер с паролем прямо на монитор. Безопасность торжествует, злоумышленники тоже.

Если всё обобщить, то пароль должен быть сложным и легко запоминаемым. Отличный пример такого пароля встречается в книге Сергея Лукьяненко "Фальшивые зеркала":

Сорок тысяч обезьян в жопу сунули банан 

Этот пароль невозможно угадать и подобрать перебором, при этом он запоминается с одного прочтения.

Как придумать Хороший Пароль

Допустим, нам нужно придумать и запомнить хороший пароль. Для этого существует прекрасный метод визуализации. Берём три или четыре любые картинки.

pass

У нас здесь лошадка, чёрная дыра и мем "узбагойся". Записываем подряд ассоциации, которые возникают при взгляде на картинки. При этом намеренно допускаем орфографические ошибки. Как известно, пароли у двоечников взламываются хуже. У меня получилось:

лошатьдыркаузбагойсся

Нет больших букв, нет спецсимволов и цифр. Я даже пробелы не стал ставить. Длина больше 20 символов, перебор не поможет. Картинки можно распечатать, при взгляде на них пароль вспомнится моментально. Пару раз введёте пароль и картинки больше не понадобятся.

А теперь воспользуемся сервисом для проверки сложности полученного пароля:

https://password.kaspersky.com/ru/

pass

Думаю, комментарии излишни.

 

Похожие материалы

Зачем нужен антивирус?

Данная статья ни в коей мере не призывает удалить всё антивирусное ПО с вашего компьютера. Просто хочется заострить ваше внимание на некоторых аспектах, связанных с использованием антивирусной защиты. Зачем вам антивирус?

Red Hat Enterprise Linux — поддержка работы сайтов с российскими сертификатами

Многие учреждения начинают переходить на использование российских сертификатов. Такие сертификаты не поддерживаются по умолчанию в Linux.