ЯК ПРИДУМАТИ ПАРОЛЬ?

Пароль — це рядок символів, який використовується для підтвердження особи користувача під час процесу аутентифікації. Зазвичай цей набір знаків використовується разом із іменем (логіном чи електронною адресою) користувача. Саме паролі дозволяють користувачам сайтів і сервісів, а також власникам гаджетів, отримувати доступ до певного функціоналу чи до своїх пристроїв, а отже, до особистих даних.

Про що йде мова?

• Навіщо потрібні паролі?
• Типові помилки при створенні пароля
• Основні способи злому пароля та як запобігти цьому
• Як придумати пароль?
• Для чого використовувати менеджер паролів?
• Як перевірити надійність пароля?
• Висновки

Навіщо потрібні паролі?

Здавалось би, питання аутентифікації особи стосується лише цифрової сучасності. Ми постійно стикаємося з необхідністю захистити особисту інформацію, робочі дані, цінні файли та важливі документи. Навіть бонусні бали та адреси доставки в особистому кабінеті інтернет-магазину не можуть розголошуватися стороннім особам. Про це свідчить політика конфіденційності майже будь-якого веб-ресурсу.

Однак насправді паролі використовувалися і у давнину. Вартові вимагали назвати кодове слово від прибулих на певну територію. Знання такого вербального ключа являло собою своєрідний квиток для особи чи групи людей.

Коли виникла обчислювальна техніка, почали використовуватися паролі у сучасному розумінні слова. Першою комп’ютерною системою, яка реалізувала вхід за допомогою пароля, була операційна система Compatible Time-Sharing System (CTSS) (Массачусетський технологічний інститут, 1961 р.).

Наразі імена користувачів та паролі використовуються під час входу фактично у будь-яку систему. Це і мобільний банкінг та в цілому функціонал смартфона, планшета чи ПК, і банкомати та термінали, і численні застосунки, соціальні мережі, програми, онлайн-сервіси та сайти. Середньостатистичний споживач використовує паролі для отримання електронної пошти, доступу до робочого програмного забезпечення, оплати рахунків і ін.

Як правило, чим більш масштабною є компанія, тим суворіші вимоги вона ставить до безпеки даних користувачів. Інколи настільки суворі, що сам користувач не в змозі повернути свій доступ.

Типові помилки при створенні пароля

У 2013 році компанія Google опублікувала список найпопулярніших серед користувачів пошукової системи паролів. Оскільки вгадати їх дуже просто, використовувати такі поширені комбінації символів небезпечно.

• Ім’я дитини чи іншого члена сім’ї.
• Кличка домашньої тварини.
• Важлива дата.
• Місце народження.
• Назва улюбленого свята.
• Слово, пов’язане з улюбленою спортивною командою.
• І, здавалося б, найбезглуздіший, однак теж досить популярний варіант — «пароль».

До списку популярних і абсолютно ненадійних паролів увійшли також «qwerty», «qwertyui» та «123456». Останнім наразі користується близько 23 мільйони власників облікових записів.

Щоб влучити в ціль та визначити, наприклад, дату народження, ім’я дитини чи кличку домашнього улюбленця, зловмисники проводять дослідження особи в соціальних мережах.

Хоча занотовування доступів на папері вважається не надто безпечним методом, це краще, ніж зберігання їх в окремому файлі на комп’ютері, в нотатках на телефоні, або, тим більше, розсилання в месенджерах чи електронною поштою.

«Іноді для розповсюдження паролів використовують електронну пошту, але це, як правило, небезпечний метод. Оскільки більшість електронних листів надсилається у вигляді відкритого тексту, повідомлення, що містить пароль, може бути прочитане без зусиль під час транспортування будь-яким підслуховуючим пристроєм. Крім того, повідомлення зберігається у вигляді відкритого тексту щонайменше на двох комп’ютерах: у відправника та одержувача. Якщо воно проходить через проміжні системи під час своєї подорожі, воно, ймовірно, буде зберігатися і там, принаймні деякий час, і може бути скопійоване в резервну копію, кеш або файли історії на будь-якій з цих систем». — «Password», Wikipedia

Згідно з дослідженнями, переважну більшість паролів складають набори символів обсягом від 6 до 10 знаків, серед них переважають ті, що утворені виключно з малих літер або лише з цифр.

Основні способи злому пароля та як запобігти цьому

Розробники комп’ютерних систем намагаються сприяти захищеності користувацьких даних. Поширеною практикою є візуальне приховування паролів під час їх введення. Це запобігає запам’ятовуванню пароля сторонніми особами, проте водночас збільшує ймовірність помилок, зроблених через стрес чи неуважність самими користувачами. Багато хто надає перевагу слабким паролям, оскільки боїться забути складну комбінацію символів чи ввести її неправильно у режимі приховування. У такому випадку необхідною є функція показу введеного паролю.

Деякі системи встановлюють тайм-аут після певної кількості невдалих спроб введення пароля. Іншим подібним способом захисту даних від професійних зломщиків є обмеження загальної кількості можливих вгадувань. Наприклад, після 5-ти неправильно введених кодів система вимагає зміни паролю, про що сповіщає користувача за допомогою SMS чи електронного листа.

Велика кількість сучасних сервісів використовують двофакторну авторизацію. Для входу в таку систему потрібно вводити код, який власник паролю отримує на свій телефон у вигляді SMS-сповіщення.

Звісно, найкращим способом захистити будь-що у цифровому форматі є використання різних паролів для кожного сайту, сервісу чи гаджета. І якщо злом все-таки відбудеться, під загрозою буде обмежений обсяг інформації. Тобто, якщо хакер увійде у ваш особистий кабінет на освітній платформі, він не зможе одразу після цього скористатися вашими кредитними картками.

Як придумати пароль?

У своїй статті «Запам’ятовуваність і безпека паролів» Джефф Ян та його колеги дослідили дієвість поширених порад користувачам щодо правильного вибору пароля. На думку науковців, ефективним рішенням є створення паролів на основі перших літер чи фрагментів фраз.

«Користувачі повинні бути проінструктовані щодо вибору мнемонічних паролів, оскільки вони так само добре запам’ятовуються, як і наївно підібрані паролі, але їх так само важко вгадати, як і випадково вибрані. Таким чином, вони є найкращими порівняно з обома іншими варіантами». «The memorability and security of passwords — some empirical results», — Джефф Ян та ін.

Слід пам’ятати, що чим легше власнику запам’ятати пароль, тим простіше зловмиснику його вгадати. Інший бік медалі такий, що паролі, які дуже важко запам’ятати, можуть зменшувати безпеку системи, оскільки користувачам може знадобитися зафіксувати такий набір символів в електронному вигляді чи на папері. Окрім цього, імовірно, їм доведеться часто змінювати пароль і повторно використовувати його для різних облікових записів. Тож надто складні правила генерування паролю будуть зайвими. А серед багатьох факторів найчастіше спеціалісти виділяють довжину паролю. Його обсяг повинен бути не меншим, ніж 8 знаків, і це правило точно не можна ігнорувати.

Ви можете придумати пароль на основі перших літер крилатої фрази або вірша та цифр без прив’язки до конкретної дати чи важливого для вас числа. Ефективним вважається метод створення секретного «ключа» за формулою, котра складається з 4-х частин.

1. Слово, яке легко записується латиницею та містить не менше 5 символів. Для прикладу португальське «saudade» — емоційний стан, подібний до ностальгії.
2. Комбінація з кількох цифр, бажано різних та у неправильній послідовності.
3. Перші 3-4 символи назви сайту чи сервісу, котрий використовується.
4. Будь-який спецсимвол, наприклад, «#» чи «?».

Після цього ви можете розташувати компоненти пароля у будь-якому порядку, зокрема, розірвавши слово спеціальним символом чи цифрою.

Наприклад:

saudade + 42 + goo (від Google) + ? = sa?udade42goo

Пароль, створений за аналогією до «sa?udade42goo», є досить зрозумілим для користувача, але достатньо складним, до того ж, він унікальний за рахунок частинки назви сайту чи сервісу.

«Згідно з дослідженням Carnegie Mellon, найбільшим фактором, що визначає надійність вашого пароля, є його довжина. Цифри, великі літери та спеціальні символи — це все бонуси, але короткий пароль, який використовує всі ці трюки, все одно буде набагато легше зламати, ніж довгий пароль зі справжніми словами». «The Easy Way to Make Strong Passwords», — Suzanne Kantra

Відомо, що середньостатистичний сучасний інтернет-користувач має близько 100 паролів. Звісно, користується він не всіма одночасно, більшість може бути створено для одноразового використання певної програми чи сервісу, наприклад, його демо-версії.

Та краще 100 записаних у блокноті паролів, аніж один і той самий для всіх сайтів і застосунків. Витік даних в одному обліковому записі може спричинити втрату доступів до інших, а також призвести до більш серйозних наслідків, зокрема, отримання злочинцями доступу до банкінгових систем та оформлення на ім’я користувача кредитів.

Одним із найзручніших та найбільш надійних рішень є використання менеджерів паролів. У цьому випадку вам доведеться вдало придумати та запам’ятати лише головний пароль менеджера паролів. Про інші доступи подбає ваш електронний сейф, тобто спеціалізована програма чи сервіс.

Для чого використовувати менеджер паролів?

Менеджер паролів — це інструмент, який зберігає будь-яку кількість паролів користувача у безпечному цифровому хмарному сховищі. Завдяки цьому зникає необхідність запам’ятовувати їх чи записувати на папері.

Для створення такого сховища потрібно встановити мобільний застосунок, завантажити на комп’ютер відповідну програму або увімкнути розширення для браузера. Після цього для доступу до диспетчера паролів знадобиться єдиний майстер-пароль. Про те, як його створити, йтиме мова у наступній частині статті.

Розглянемо переваги менеджера паролів:

• Доступ до паролів з будь-якого місця. Синхронізація даних дозволяє власникам менеджерів паролів користуватися доступами з різних пристроїв та працювати в різних операційних системах.
• Економія часу за рахунок автозаповнення форм на сайтах, анкет, опитувань і ін.
• Можливість перегляду та оцінки рівня надійності паролів. Наприклад, у менеджері паролів від Google всі паролі користувача містяться у розділі «Автозаповнення».
• Отримання попереджень про фішингові сайти. Досить часто посилання на шкідливі веб-ресурси містяться у спамових електронних листах, які без диспетчера паролів важко відрізнити від законних повідомлень.
• Перевірка паролів для сайтів та додатків.

Наприклад, якщо ви раніше створювали паролі самостійно, згодом синхронізувавши їх з менеджером Google, система визначить зламані, повторно використані та ненадійні паролі.

Як перевірити надійність пароля?

Для перевірки якості пароля існують різноманітні сервіси, одним з яких є Security.org.

Спробуємо з його допомогою оцінити надійність банального «qwerty». Бачимо, що цей набір символів буде зламаний миттєво.

Дещо інший результат дала перевірка ще одного дуже простого пароля — імені користувача «ksenia». Комп’ютер відгадає його всього за 7 мілісекунд, що не надто відрізняється від попереднього результату.

Додавши цифри, ми отримали пароль «ksenia2420», який, згідно з аналізом Security.org, комп’ютер може зламати за 1 день.

Спеціалісти не радять використовувати у якості кодів доступу рідкісні слова. Наприклад, те ж «saudade» відгадується комп’ютером за 200 мілісекунд.

А тепер спробуємо перевірити пароль «sa?udade42goo», згенерований за описаною вище у статті формулою. На його зламування комп’ютеру знадобиться чимало часу — 33 тисячі років.

Висновки

Паролем називають унікальний код доступу, секретний набір символів, що служить для підтвердження особи користувача перед входом у певну систему. Це може бути мобільний застосунок, банкінг, акаунт у соціальній мережі чи особистий кабінет в інтернет-магазині. На сьогодні інтернет-користувач може мати близько 100 паролів, і звісно, запам’ятати всі — нереально.

Придумати один пароль та використовувати його для різних сайтів та сервісів — це погана ідея. Якщо зламають один акаунт, така ж доля чекатиме і на інші. Тому радимо дотримуватися правила: «Один акаунт — один пароль».

Щоб не придумувати паролі самостійно та не записувати їх у блокноті чи, ще гірше, у нотатках на телефоні, використовуйте менеджер паролів. У такому випадку доведеться за допомогою власної формули створити єдиний «майстер-пароль» і запам’ятати його.

Відповіді на запитання