Для начала определимся, что такое комплексный пароль и о чем, собственно, будем говорить. Практически любой набор советов по информационной безопасности включает в себя совет придумывать сложные или комплексные пароли для доступа к своим сервисам и устройствам. Здесь имеется ввиду, что пароль должен создан с использованием букв, цифр и специальных символов одновременно. Кроме того, в нем не должно быть слов, несущих какую-то смысловую нагрузку и его длина должна быть, как правило, не меньше восьми символов. Хотя, в последнее время восьми символов уже явно недостаточно, так как на подпор такого пароля уходит уже гораздо меньше времени, чем несколько лет назад.
Зачем нужны сложные пароли
Занимаясь выдумыванием сложных паролей хотелось бы понимать, а что нам это даст. От чего может защитить такой пароль.
Допустим, мы хотим защитить свой почтовый ящик. Придумаем очень сложный пароль и, вероятно, защитим его от взлома методом перебора. Это справедливо при условии, что сам пароль вы хорошо помните и не храните его в месте доступном другим людям, например, на стикере, приклеенном к монитору или в обычном текстовом документе.
Если сервисов, доступ посторонних людей к которым надо ограничивать становится много, то и паролей должно быть много. Тогда возникает проблема запоминания или хранения паролей.
Так же нужно понимать, что с ростом производительности компьютеров, количество символов в пароле так же должно возрастать.
Поможет ли сложный пароль от взлома
Думаю, сегодня разве что хакеры-новички могут заниматься прямым взломом паролей методами перебора. Хотя не стоит забывать, что эти методы, так же совершенствуются и уже существует множество методов сократить диапазон перебора: шаблоны построения паролей, списки наиболее часто используемых слов, атаки по словарям и так далее.
Более продвинутые злоумышленники предпочитают пароль украсть. Трояны и кейлогеры, фишинговые сайты или массовые кражи паролей – вот основные пути утечек информации.
На сегодняшний день большинство систем и сервисов хранят пароли в зашифрованном виде. При этом методов дешифрации не существует. Это нужно для того, чтобы злоумышленник, добравшись до базы с паролями не смог увидеть пароли в открытом виде. Шифруются пароли с помощью так называемых ХЭШ-функций. Эти функции превращают все пароли в набор символов одинакового размера. Для получения пароля из этого шифра нужно будет воспользоваться известными алгоритмами и достаточно производительным оборудованием. То есть добыча вашего пароля для опытного взломщика усложнится на один шаг, но не убережет вас на 100%.
То есть, если мы хотим заставить взломщиков потрудиться, то конечно же стоит уделять внимание грамотному составлению паролей. Ведь дверной замок тоже может быть взломан, но мы же не оставляем дверь открытой из-за этого.
Основные рекомендации по составлению давно всем известны:
- При составлении пароля обращайте внимание не только на его длину, но и на его сложность. То есть используйте заглавные и строчные буквы, цифры и специальные символы.
- Не используйте в паролях слова из словарей или данные связанные с вами лично, например, дату рождения.
- Использование цифр схожих по написанию с буквами не усложняет пароль, так как взломщикам известны правила таких подмен.
Из всего вышесказанного получается, что даже очень сложный пароль не гарантирует защиты, но гарантирует головную боль. Но все-таки есть еще ряд правил, выполнение куоторых позволяет обеспечить высокий уровень безопасности.
Методы повышения безопасности
1. Не используйте один пароль для разных учетных записей или разных сервисов.
Это очевидное правило, почему-то, очень часто игнорируется. Если вы любите терять все и сразу, то тоже можете не обращать на него внимание. За то можете доставить радость злоумышленнику, который получит сразу несколько призов за один раз.
2. Меняйте пароли чаще
В некоторых организациях это правило работает автоматически. Система принуждает пользователя изменить пароль один раз в месяц или чаще для того, чтобы иметь возможность дальше пользоваться своей учетной записью. Пользователи обычно, крайне недовольны таким положением дел. Но так или иначе – это очень эффективная мера безопасности, особенно для крупных компаний, конфиденциальные данные которых стоят огромных денег.
3. Меняйте пароли, если вам пришлось их кому-то сообщить
Некоторые сервисы требуют от пользователя произвести какие-либо действия с паролем. Если вы столкнулись с такой ситуацией, сразу же смените пароль, несмотря на то, что сервис по вашему мнению безопасен.
4. Антивирус – наше всё
Не пренебрегайте антивирусным ПО. Защитите свою систему от внедрения в неё различных троянов и клавиатурных шпионов.
5. Двухфакторная аутентификация
Двухфакторная аутентификация – это аутентификация пользователя, как минимум по двум каналам (иногда больше). Чаще всего используется пароль и смартфон для отправки на него сообщения с одноразовым паролем. Иногда используются дополнительные специальные вопросы или физические ключи, флешки и тому подобное. Обычно с таким типом аутентификации мы сталкиваемся, когда работаем с финансовыми сервисами. Но хорошей практикой будет использовать двухфакторную аутентификацию везде, где это только возможно. Так вы сильно усложните жизнь потенциальным взломщикам.
6. Правила поведения в сети
Поведение в сети в контексте данной статьи подразумевает под собой привычку не передавать никому свои пароли или другие данные в интернете или, даже по телефону. Особенно это касается анонимных собеседников.
7. Ответственное хранение и утилизация информационных носителей
Думаю, стоит напомнить, что хранение паролей и кодов на листке бумаги в вашем кошельке является плохой идеей. Однако, хранение в телефоне или другом мобильном устройстве тоже потенциально опасно так как такие устройства часто бывают потеряны или украдены.
В качестве вывода
С нынешним уровнем производительности оборудования сложный пароль не является 100% защитой от утечек информации. Но, и пренебрегать им тоже не стоит. Главное помнить, что пароль хорошо действует, если вы в состоянии его запомнить и, если вы ответственно выполняете другие правила информационной безопасности.
About The Author
Виктор Карабедянц
ИТ директор (CIO), руководитель нескольких DevOps команд. Профессиональный руководитель проектов по внедрению, поддержке ИТ систем и обслуживанию пользователей.