Вы уверены, что ваши аккаунты защищены надёжными паролями?
Проверьте, соответствуют ли они критериям информационной безопасности:
Даже один невыполненный пункт создает риск, что ваши аккаунты взломают. Эта статья поможет исправить ситуацию и создать безопасные пароли, удобные в использовании.
Михаил Шляпников,
начальник управления информационной безопасности Минцифры Оренбургской области,
эксперт статьи
«Порой требования информационной безопасности кажутся избыточными и невыполнимыми. Я прекрасно знаю это чувство замешательства: „Как прикажете делать такие сложные пароли и держать их все в голове?“ Чтобы решить эту проблему, я изучал методы взлома и защиты информации, исследовал поведение и привычки людей. Я пытался найти золотую середину между защищённостью и удобством для пользователей. Результатом стала методика создания простых и человечных паролей. Эти пароли соответствуют современным требованиям безопасности. При этом их легко запомнить и вводить каждый день»
Какой из этих паролей надёжнее?
Пароль | $vJn#йык | qwert12345 | 1КрасныйПамидор! |
---|---|---|---|
Время на подбор | 39 минут | 4 минуты | 1 бллн. лет |
Ответ: пароль «1КрасныйПамидор!» надёжнее других в этой группе.
Многие дают неправильный ответ — в этом нет ничего страшного. Это связано с тем, что устаревшая логика создания паролей продолжает активно продвигаться. Эта статья посвящена актуальной технологии.
Надёжность пароля зависит от трёх факторов:
Большинство сервисов делают акцент на последних двух факторах и заставляют пользователей вводить бессмысленные комбинации нечитаемых символов.
Требования Госуслуг. Если сложно придумать, сервис сгенерирует пароль. Выбирайте любой: 1e6=EJh~G7, HL_d8k7~!? или BBjw!7!P~2c
Яндекс доволен длиной пароля в 7 символов, но рекомендует добавить заглавные буквы и цифры
Официальный аккаунт безопасности «Вконтакте» подготовил для пользователей статьи, которые учат креативить и создавать сложные пароли, а потом сохранять их в Гугль-аккаунте, чтобы не запоминать
Такие правила создают иллюзию, что сложный нечитаемый пароль защитит от взлома. Люди придумывают непривычные для себя конструкции, силятся их запомнить и с трудом вводят, а эффекта от этого нет.
На самом деле важно наличие специальных символов, а не их количество и «сложность». Достаточно одной заглавной буквы и точки, чтобы пароль стал надёжным. Это связано с технологией взлома.
Пароли хранятся на сайтах в зашифрованной виде — их называют хешами. Украв хеши, мошенники не могут сразу войти в аккаунты пользователей — нужно разгадать шифр и узнать настоящие пароли.
Раньше мошенники пользовались технологией брутфорс — перебирали все возможные комбинации символов до тех пор, пока не узнавали пароль. Эта технология зависит от видов символов, которые используются в пароле. Если пароль состоит исключительно из цифр, у каждого символа есть 10 вариаций — от 0 до 9. Если помимо цифр используется хотя бы одна буква английского алфавита, количество вариаций каждого символа возрастает до 36. Если добавляется одна заглавная буква — вариаций становится 62.
Символы могут повторяться, буквы и цифры — идти по порядку. Это не влияет на скорость взлома. Каждый символ пароля — отдельная переменная, которая не зависит от других. Поэтому для каждой из них компьютер заново решает уравнение.
Чем переменных больше, тем дольше происходит расчёт. Технология брутфорса позволяет взламывать пароли до 8 символов в длину. Подбор более длинных комбинаций занимает слишком много времени.
Компания «Хайв Системс» ежегодно проводит замеры времени на подбор разных паролей. По данным на 2022 год, пароль менее 6 символов в длину взламывается мгновенно, вне зависимости от его сложности. Согласно таблице, если пароль «Памидор23» переделать на «П*мидор23», мошенники будут возиться с ним не три недели, а пять месяцев. Но от добавления новой буквы эффект сильнее, и пароль «оПамидор23» мошенники будут подбирать три года
С появлением ССД технология взлома паролей обновилась и стала быстрее. Новый метод радужных таблиц позволяет заранее рассчитать возможные вариации перевода паролей в хеши и составить из них таблицы соответствия. Каждый пользовательский хеш сравнивается с таблицей — когда находится идентичный хеш, мошенник определяет, какая комбинация символов ему соответствует, и узнает пароль.
Технология радужных таблиц ускорила массовый взлом, поэтому мошенникам стали доступны пароли длинной в 10—12 символов.
Использование спецсимволов — усложняет работу мошенников, но не обеспечивает даже минимальную безопасность пароля. При одинаковой длине простой пароль с одной заглавной буквой и небуквенным символом обеспечивает такую же защиту, как и бессмысленное сочетание символов, цифр и букв разного регистра.
Пароли 1КрасныйПамидор! и QeRtY1234!@_P456 обеспечивают одинаковую защиту, потому что имеют одинаковую длину и содержат цифры, заглавные и строчные буквы, небуквенные символы.
Надёжный пароль содержит от 12 символов. Такая норма учитывает возможность роста технологий. Ещё пару лет назад потолком для мошенников были 8 символов. Сейчас они взламывают десятизначные пароли. Пароль, в котором более 12 символов, даёт уверенность в том, что ваши аккаунты будут под защитой, даже если технологии усилятся.
Почему «помидор» через «а». Чтобы сократить время на взлом, мошенники используют перебор по словарю. «Словарная атака» работает только с паролями, состоящими из одного слова. Если в нём допущены ошибки, подбор по словарю не эффективен. «Памидор» — это пример защиты от этого метода.
Правила надёжных паролей:
Но мало придумать один хороший пароль. У каждого сайта он должен быть уникальным. Далее мы расскажем, как это сделать.
Когда один пароль подходит для нескольких сервисов, каждый из них защищён плохо. Мошенники сначала взламывают один сайт, а затем используют найденный пароль, чтобы получить доступ к другим. Так, взломав «Вконтакте», мошенники получат доступ к почте, Госуслугам и другим ресурсам.
Многие знают это правило, но соблюдают его единицы. Михаил выступает с лекциями по информационной безопасности. Когда доходит до темы паролей, спрашивает у зрителей: «Есть ли среди вас те, у кого пароли хотя бы в двух сервисах повторяются?» Руки поднимают практически все.
Мы понимаем, что придумать и запомнить разные пароли кажется невыполнимой задачей. Но есть методика, которая поможет создавать уникальные пароли, не ломая голову.
Что будет, если мошенники взломают аккаунт в Госуслугах? Они смогут продать паспортные данные на чёрном рынке. Смогут оформить несколько компаний, а потом взять на них кредиты. Подобные ситуации — это реальные истории из практики Михаила.
А что, если взломают аккаунт в Пинтересте? Максимум — удалят пины и испортят ленту.
В зависимости от потенциального ущерба сервисы можно разделить на три группы:
Критически важные сервисы
Это сервисы, на которых хранятся:
— паспортные данные,
— доступы к рабочим аккаунтам,
— данные банковских карт.
Пример:
— Госуслуги,
— электронная почта,
— интернет-банк.
Сервисы умеренной критичности
Это сервисы, на которых хранятся:
— номер мобильного телефона,
— адрес места жительства,
— номер банковской карты.
Пример:
— социальные сети,
— hh.ru,
— «Авито».
Второстепенные сервисы
В этих сервисах может храниться ФИО, дата рождения — не больше.
С их помощью нельзя размещать публичные заявления, вести диалоги и сохранять личные данные.
Пример:
— библиотеки,
— агрегаторы,
— новостные порталы.
Условно пароль можно разделить на две части: тело и изменяемую часть. Тело — это словосочетание или порядок символов, которые повторяются от пароля к паролю.
Придумайте три непохожих друг на друга тела пароля для каждой группы сервисов. Даже если мошенники получат пароль одной группы, две оставшиеся группы сервисов будут в безопасности.
Соблюдайте рекомендации, о которых мы писали выше:
Тело — основа системы паролей. Не используйте его без изменяемой части в качестве самостоятельного пароля, никому и никогда не передавайте, не записывайте в электронном или бумажном виде
Изменяемая часть добавляется к телу и делает получившийся пароль уникальным.
2-3 символа — достаточная длина для изменяемой части.
Логика изменяемой части может быть любой.
Это может быть шифр. Например, каждому сервису в группе присваивается номер, который влияет на изменяемую часть: первому паролю в группе добавляется «1А», второму — «2B».
Можно использовать приём наследования, когда к каждому паролю добавляет признак сайта, для которого предназначен этот пароль. Например, для «Вконтакте» — «VK», для Госуслуг — «GU».
Старайтесь не ставить изменяемую часть в начало или конец пароля. Лучше «разрывать» ей тело пароля, встраивая изменяемую часть в центр.
Изменяемая часть в центре пароля
Почему это работает? Алгоритмы, которые подбирают пароли, не анализируют логику, по которой они составлены. Подобрав пароль от одного сервиса, машина не станет его изучать и пытаться подобрать изменяемую часть — это слишком дорого для массового взлома.
Зайдите на каждый сайт, начиная с самого критичного уровня, и измените пароли на те, которые составили ранее.
Петроченкова Ксения,
редактор статьи
заменила пароли по методике Михаила
«Может казаться, что это долгая утомительная работа. Я более полугода откладывала замену паролей — думала, что выделю выходной и разберусь с этой непосильной задачей. На деле же всё оказалось гораздо проще: 10 минут у меня ушло на то, чтобы придумать три тела и разработать логику изменяемой части, ещё 15 минут — на замену критически важных сервисов и сайтов средней важности. На многих второстепенных сайтах у меня стояли предложенные пароли, сохранённые в браузере — я не стала их менять, смирившись с тем, что могу потерять к ним доступ»
Не сохраняйте пароли в браузере. Это перечеркнёт все усилия по защите аккаунтов. Мошенникам понадобится взломать одну лишь почту, к которой привязан браузер, чтобы получить доступ ко всем паролям. Далее мы расскажем, как безопасно записать пароли, чтобы их не приходилось запоминать.
Алгоритм обновления паролей:
Наверно, вам хотя бы раз говорили, что нельзя записывать пароли. На самом деле вы можете записать пароли на стикер, прикрепить его на монитор рабочего компьютера или отдать в руки недруга, и ваши аккаунты останутся в безопасности. Главное, владеть приёмом обфускации.
Запишите тело пароля.
Добавьте в начало, середину и конец по паре символов или букв. Важно, чтобы они не выделялись, казались частью пароля. Так вы получите безопасный обфусцированный пароль.
Обфусцированный пароль бесполезен для мошенника, ведь он не откроет доступ к аккаунту. Понять, какие символы лишние, а какие относятся к телу пароля, практически невозможно.
Поставьте себя на место мошенника и попробуйте выделить настоящий пароль из обфусцированного:
1234Ddobroye!0Utro5678
Исходный пароль — 23DdobroyeUtro6
Вероятность угадать — минимальная. Ни один мошенник и недоброжелатель не станет этим заниматься. К тому же в большинстве сайтов используется защита от перебора, и после двух—трёх неверных паролей доступ блокируется.
Совет
Пользуйтесь автодополнением браузера, чтобы не запоминать логины
Когда браузер предложит, выберите «Сохранить пароль». Затем перейдите в настройки и измените сохранённый пароль на любую комбинацию символов. Так браузер будет автоматически заполнять поле логина, а пароль вы будете вписывать самостоятельно.
Теперь вы знаете, как сделать пароли надёжными. Поделитесь этими знаниями с близкими.
Памятка
На странице используются шрифты семейства Монтсерат (Montserrat).