Сегодня все больше информации хранится как на персональных компьютерах, так и в Internet, а участившиеся атаки требуют все более надежных паролей. Пароли — это своего рода ключи, с помощью которых вы ограничиваете доступ к личным данным на персональном компьютере или в учетных записях Internet. Злоумышленники могут использовать эти данные при осуществлении атаки на ваших знакомых в Internet, и доказательство вашей невиновности может отнять массу времени и сил.

Для корпоративных пользователей существует немало способов защиты. Это и одноразовые пароли, и использование сертификатов, и системы многофакторной аутентификации. Но все это требует не только денег, но и соответствующей инфраструктуры. А как быть домашнему пользователю? В данной статье речь пойдет о некоторых правилах создания надежных паролей, ведь зачастую от их выполнения зависит не только ваш кошелек, но и репутация.

Что такое надежный пароль?

Надежный пароль — это случайный или псевдослучайный набор символов, который, с одной стороны, легко запомнить, а с другой — сложно угадать. Давайте рассмотрим правила создания надежного пароля.

  • Используйте пароль, содержащий не менее 10 символов. Оптимальная длина пароля — не менее 14 символов, а то и более;
  • пароль должен включать символы не менее чем из трех наборов из четырех существующих. Четыре набора символов — большие и маленькие буквы, цифры и специальные символы. Т. е. пароль должен содержать, например, буквы, цифры и спецсимволы;
  • так как многие системы позволяют включать знак пробела в создаваемый пароль, можно представить пароль в виде фразы (предложения) из нескольких слов, включая знаки препинания.

Внимание!

  • Чем меньше разных символов вы используете, тем больше должна быть длина пароля! Идеальный пароль должен не только состоять из различных символов, но и иметь большую длину.
  • Используйте различные символы клавиатуры, а не только часто используемые.

Давайте рассмотрим надежность парольной защиты на примере пароля Windows XP, подбирая нужное значение с использованием атаки по словарю и атаки методом прямого перебора. Для определения надежности парольной защиты мы будем использовать программы подбора паролей.

Следует обратить внимание на то, что длинные пароли, состоящие из восьми и более символов, как правило, более надежны, однако их применение приводит к увеличению числа ошибок при вводе паролей и, как следствие, к увеличению числа заблокированных учетных записей, а следовательно, затрудняет работу. Использование длинных паролей фактически приводит к тому, что пользователи начнут записывать их, следовательно, уровень безопасности снизится.

Параметры компьютера

Исследование проводилось на компьютере с параметрами, приведенными в таблице 1 и таблице 2, с помощью программного обеспечения Saminside 2.5.5.1.

При этом скорость перебора паролей составляла 14 524 829 паролей в секунду.

Если перебор паролей осуществляется с указанной выше средней скоростью, то максимальное время, необходимое для взлома соответствующего пароля (в сутках) будет таким, как показано в таблице 3.

Как можно увидеть из приведенных таблиц, максимальной устойчивости пароля мы можем добиться, если будем использовать в качестве пароля фразу, содержащую цифры, большие и маленькие буквы и специальные символы. Например: «Пете 4 года. Он большой мальчик!». Фраза легко запоминается и содержит все необходимые символы. Однако необходимо помнить о том, что данная фраза не должна иметь ничего общего ни с вами, ни с вашей семьей, чтобы ее нельзя было угадать, используя методы социальной инженерии.

Итак, рассмотрим этапы создания надежного и легко запоминаемого пароля.

Надежный пароль

  1. Придумайте предложение, которое вы однозначно не забудете. В то же время это предложение не должно прямо или косвенно указывать на вас. Оно и будет основой для надежного пароля. Пример: «Пете 4 года. Он большой мальчик!»
  2. Убедитесь что система аутентификации, для которой вы выбираете пароль, допускает применение идентификационных фраз. Если у вас есть возможность использовать в качестве пароля фразу — сделайте это.
  3. Если использование фразы в пароле в данной системе недопустимо, составьте новое слово, набирая буквы во фразе через одну. В нашем примере получится «Пт4гд.нблшймлчк». Угадать такое сочетание символов достаточно сложно.
  4. Если данный пароль вам все же покажется ненадежным, его можно усложнить, выбрав вместо некоторых маленьких букв большие или намеренно допустив орфографические ошибки.
  5. Можно заменить отдельные символы на близкие по начертанию. Например, цифру 4 заменить на букву ч или букву а на символ @ и т.д.
  6. Проверьте свой новый пароль с помощью программы проверки паролей, например, с сайта http://www.microsoft.com/rus/protect/yourself/password/checker.mspx (см. экран 1).

Вместе с тем необходимо помнить о том, чего категорически нельзя делать при составлении паролей.

Для создания надежного пароля запрещается делать следующее:

  • использовать повторяющиеся символы, например «2222222222» или «ddddddddddd»;
  • использовать последовательные комбинации символов, например «1234567890» или «йцукенгшщз»;
  • избегайте только замен похожих символов и цифр, используйте подобные замены лишь в сочетании с другими методами усиления паролей.
  • вводить свое имя в качестве пароля;
  • избегайте использования словарных слов на любом языке. С помощью атаки по так называемому «частотному» словарю такой пароль будет вскрыт менее чем за несколько секунд;
  • использовать один и тот же пароль для нескольких приложений;
  • ни в коем случае не храните пароли в Internet. Злоумышленник, получив доступ к вашим паролям в Internet или локальной сети, получает доступ ко всей вашей информации!

Использование пустого пароля

Использование пустого пароля предполагает, что ваш компьютер надежно физически защищен и никто, кроме вас, не может получить к нему доступ. Вместе с тем необходимо понимать, что использовать пустой пароль на мобильном компьютере нельзя.

Хранение паролей

Не забывайте, что ваша информация защищена паролем лишь в той мере, в какой защищен сам пароль. Отнеситесь к хранению паролей с той же ответственностью, с какой вы относитесь к информации, защищаемой этими паролями!

Выполняйте следующие правила.

  • Никому и никогда не сообщайте ваши пароли! Держите пароли в секрете даже от своих близких.
  • Храните пароль в надежном месте, а лучше не записывайте вообще, а запоминайте! Не оставляйте записи с паролем там, где они могут быть доступны посторонним!
  • Никогда не пересылайте свой пароль при помощи электронной почты, Instant Messaging или SMS. Ведь любое сообщение, в котором вас просят назвать ваш пароль, может быть просто атакой злоумышленника. При фишинг-атаках используются мошеннические сообщения электронной почты, обманом заставляющие раскрыть имя пользователя и пароль и позволяющие злоумышленникам завладеть личными данными и т. п.
  • Регулярно меняйте пароли! Чем надежнее пароль, тем дольше вы сможете использовать его. Однако своевременная смена пароля позволит вам держать свою информацию в секрете.
  • Помните о том, что нельзя вводить пароль на общедоступных компьютерах в Internet-кафе, на конференциях и т. д. Такие компьютеры годятся лишь для обработки неконфиденциальной информации.

Но иногда нам приходится работать на общедоступных компьютерах. Что же делать в этом случае?

Общедоступные компьютеры

  1. Не сохраняйте свои учетные данные регистрации в системе. После завершения работы на Web-узле обязательно завершите сеанс работы. Просто ввести другой адрес или закрыть окно недостаточно. Многие программы (особенно программы для мгновенного обмена сообщениями) имеют функцию автоматической регистрации в системе, сохраняющую имя пользователя и пароль. Отключите эту функцию, чтобы никто, кроме вас, не смог зарегистрироваться.
  2. Не оставляйте без присмотра компьютер с конфиденциальными или просто важными для вас данными на экране. Закончив работу с конфиденциальной информацией на общедоступном компьютере, выйдите из системы и закройте все окна, в которых могла отображаться конфиденциальная информация.
  3. Не забудьте о безопасном серфинге! В Internet Explorer, впрочем, как и в других браузерах, сохраняются сведения о пароле пользователя и посещенных им Web-страницах, даже если пользователь закрыл окно и завершил сеанс работы системы.

Поэтому перед открытием страниц в Internet Explorer отключите функцию сохранения паролей. Для этого в обозревателе Internet Explorer откройте меню «Сервис» и выберите пункт «Свойства обозревателя». Откройте вкладку «Содержание» и нажмите кнопку «Автозаполнение». Снимите оба флажка, имеющие отношение к паролям (см. экран 2).

Затем удалите временные файлы Internet и очистите журнал пользования Internet. В обозревателе Internet Explorer откройте меню «Сервис» и выберите пункт «Удаление истории обзора». Нажмите кнопку «Удалить все».

Не забудьте поставить галочку, чтобы удалить файлы и параметры, сохраненные надстройками.

Корпоративные порталы

Если для просмотра внутренних документов компании вы пользуетесь корпоративным Web-узлом, значит, можете непреднамеренно сохранить важные документы на общедоступном компьютере. Необходимо сделать следующее:

  • удалите все файлы из временной папки своей учетной записи пользователя, находящейся по адресу C:Documents and Settingsимя_пользователяLocal SettingsTemp. (в Windows XP) или в C:Usersимя_пользователяAppDataLocalTemp (в Windows Vista);
  • если в компании используется сервер Microsoft Office SharePoint Portal Server, очистите временную папку (My DocumentsSharePoint Drafts).

Следите за тем, чтобы вам не заглядывали через плечо. Ведь работая за общедоступным компьютером, вы можете не увидеть, как мошенник наблюдает за вами в то время, как вы вводите секретные данные.

Не вводите важные сведения на общедоступном компьютере. Эти меры обеспечат некоторую защиту от хакеров-любителей, которые могут воспользоваться компьютером после вас.

Однако профессиональный мошенник может установить на общедоступном компьютере специализированное программное обеспечение, которое будет записывать каждое нажатие клавиши, а затем отправлять ему эту информацию по электронной почте.

В таком случае мошенники все равно получат доступ к данным, даже если вы не сохранили их или стерли следы. Чтобы действительно быть в безопасности, не вводите номер кредитной карты, а также любые другие финансовые или иные важные сведения на общедоступном компьютере.

Если пароль похищен

Если пароль похищен, потребуется после его немедленной смены отслеживать всю информацию, которая была им защищена. Следует помнить, что надежные, легко запоминаемые пароли не являются абсолютной защитой! Если система, в которой хранится пароль, взломана, ваш пароль станет добычей злоумышленников.

Надеюсь, что соблюдение этих несложных рекомендаций позволит вам почувствовать себя более уверенно. Однако помните — атаки злоумышленников совершенствуются с каждым днем, так что расслабляться не стоит!


Максимальное число вариантов паролей на заданном наборе символов

Время взлома пароля (в сутках)

Программа проверки надежности пароля

Настройки автозаполнения в Internet Explorer для паролей