Россияне придумывают слишком простые пароли. Согласно результатам исследования, проведенного аналитиками сервиса DLBI (Data Leakage & Breach Intelligence), самыми популярными комбинациями за прошлый год оказались «123456», «йцукен», «пароль», «любовь» и «привет», сообщает газета «Известия». И хотя все знают, что такие коды легко взломать, многие опасаются использовать длинные шифры – их тяжелее запоминать, а хранить на бумажных и электронных носителях небезопасно.
MIR24.TV спросил у экспертов по кибербезопасности, какие пароли считаются более надежными и как лучше всего хранить сетевые ключи.
По словам специалиста отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрия Овчинникова, существует два основных способа взлома паролей:
«Первый механизм – это атака по словарю. При использовании данной механики в качестве пароля подставляются наиболее популярные у пользователей слова, часто используемые выражения или цифры из заранее сформированного словаря. Второй механизм – это взлом пароля перебором, он же bruteforce. При этой механике производится перебор всех возможных комбинаций букв и цифр».
Эксперт также поясняет: «На информационных ресурсах, которые заботятся о безопасности своих пользователей, стоит защита от перебора в виде блокировки учетной записи при нескольких неправильных попытках ввода пароля. Однако она не дает стопроцентной защиты, а только усложняет работу злоумышленникам. Кроме того, умные злоумышленники зачастую сужают круг поиска пароля, используя общедоступную информацию о потенциальной жертве».
«Пароль должен быть длиннее 12 символов, он должен содержать в себе строчные и заглавные буквы, цифры и специальные символы», – считает Дмитрий Овчинников.
Кроме того, специалист напоминает: «Пароль никогда не должен содержать в себе имя пользователя, слова целиком или последовательность символов, типа «qwerty» или «12345». Пароль не должен содержать в себе общедоступную информацию: дату рождения, имя домашнего любимца, номер телефона или любую другую информацию о пользователе».
Любопытный факт приводит генеральный директор ITGLOBAL.COM Security Александр Зубриков: «Пароли, состоящие из 4-8 букв в одном регистре взламываются мгновенно. Но пароли, состоящие от 11 букв в разных регистрах с цифрами и символами, взламываются за 34 года! Вывод: чем сложнее пароль, тем дольше их взламывать».
Тем временем руководитель направления технического сопровождения продаж компании «Гарда Технологии» Дмитрий Горлянский рекомендует использовать в качестве пароля «неудобные» признания. «Базовая фраза – основа пароля и его модификаций – должна быть такой, чтобы ее было невозможно или стыдно, или опасно произнести на людях. Это будет дополнительным барьером для защиты от того, чтобы пароль выдать кому-то самостоятельно», – поясняет эксперт.
Придумать сложный пароль – только половина дела. Гораздо сложнее надолго запомнить множество комбинаций от разных сервисов, сайтов и приложений, которых с каждым годом становится все больше. Как не запутаться в кодовых сочетаниях? Специалисты делятся несколькими проверенными способами запоминания и хранения паролей.
Строчка любимой песни. «Можно создать пароль на основе строчки из любимой песни, детской считалки или другой фразы. Например, фразу «Example for creating a single complex password» можно представить в виде пароля: «E*4Ca1pw!», – предлагает Александр Зубриков.
Комбинации кодовой фразы. «Для создания и запоминания паролей есть методика, которая описана еще в культовом руководстве администратора Unix (операционная система), состоящая из нескольких шагов: придумывается фраза, далее берется каждая третья буква из составляющих ее слов – это и есть пароль. Через два месяца меняем начало пароля: берем каждую третью букву, только начиная со второго слова фразы. Еще через два месяца сдвигаем пароль еще на 3 буквы», – делится рекомендацией Дмитрий Горлянский.
Менеджер паролей. «Есть специальные программы – менеджеры паролей, которые позволяют для каждого приложения иметь свой стойкий пароль и регулярно его менять. Пользователю в этом случае достаточно придумать и запомнить единственный мастер-пароль к такому приложению», – рассказывает заместитель генерального директора компании «Гарда Технологии» Рустэм Хайретдинов.
Возможности браузера. «Не сильно важные пароли, которые легко восстановимы, я обычно храню в сервисах Google – когда браузер предлагает их сохранить. Более важные можно хранить в аналогичных сервисах Яндекс или специальных программах», – говорит начальник отдела IT Промышленной Группы «ВЕКПРОМ» Игорь Рыбалов.
Помимо сложных паролей и надежных способов их хранения, большинство экспертов также рекомендуют использовать дополнительные меры для обеспечения безопасности данных. Например, двухфакторную аутентификацию.
«Также рекомендуем использовать двухфакторную аутентификацию (2FA). Например, для входа вы вводите пароль и код из SMS-сообщения. Таким образом создается дополнительная преграда для злоумышленника, даже если он узнает ваш пароль», – отмечает Александр Зубриков.
Специалист также советует не пользоваться «бессмертными паролями», которые никогда не меняются. «Со временем пароли теряют свою сложность, а вероятность того, что он будет скомпрометирован – возрастает. Часто менять пароли тоже не стоит. Это приведет к использованию хоть и сложных паролей, но очень похожих, что также снижает безопасность», – уверен эксперт.