Надежный пароль — каким он должен быть и как это проверить?

При регистрации на каком-либо сайте пользователям рекомендуют придумать сложный и надежный пароль. И к этим рекомендациями стоит относиться серьезно, чего, к сожалению, делает далеко не каждый пользователь, создавая легкий для запоминания и, значит, слабый и неустойчивый к взлому пароль, который был придуман еще 5-10 лет назад.

Почему в наше время не следует использовать парольные фразы, совсем недавно считавшиеся надежными? Какой пароль может считаться сильным и как определяется его надежность? Как создать пароль, устойчивый к взлому? Где хранить все мои сложные пароли, если запомнить их невозможно? Ответим на эти вопросы.

 

Почему надежные пароли перестают быть надежными?

Обычный номер телефон или какая-нибудь 8-значная цифра с парой букв в начале или конце – такой пароль несколько лет назад считался достаточно надежным и устойчивым к взлому. Но с развитием технологий и, как следствие, мощностей вычислительной техники парольные фразы, считавшиеся совсем недавно сильными, перестают быть таковыми. Причина простая – основные программные и/или программно-аппаратные средства взлома паролей также становятся все более мощными.

Наиболее известный и часто использующийся метод взлома паролей – брутфорсинг – предполагает перебор всех возможных символов – до тех пор, пока не будет подобрана подходящая их комбинация. Примерно то же самое происходит и при использовании метода «атаки по словарю», но вместо того, чтобы перебирать символы, используется большой список заранее подготовленных паролей или их хэшей (т.н. «Радужные таблицы»). В любом случае, чтобы добиться результата, может потребоваться очень и очень много времени. Но время это уменьшается пропорционально увеличению вычислительных мощностей оборудования, при помощи которого осуществляется взлом. К примеру, если раньше для взлома пароля вроде «16875321qwe» требовалось потратить (допустим) пару лет, то сегодня для этого потребуется всего пара дней, а то и несколько часов.

Именно поэтому пароли, которые использовались для регистрации на сайтах или шифрования каких-нибудь важных данных несколько лет назад, рекомендуется время от времени менять, делая их более сложными и устойчивыми к взлому методами перебора.

 

Как определяется сложность пароля?

Сложность парольной фразы определяется информационной энтропией, которая измеряется в битах. Чем бит энтропии содержит пароль, тем сложнее его взломать. К примеру, созданный вновь пароль имеет битность в 20 единиц. Чтобы взломать его методом перебора символов, потребуется перебрать 2²⁰ или 1048576 вариантов. Однако с довольно высокой вероятностью взлом может быть осуществлен раза в два быстрее – все зависит от того, с какой позиции начался перебор.

Есть специальный алгоритм оценки энтропии и, как следствие, сложности пароля (в данном случае алгоритм оценки энтропии применяется для паролей, состоящих исключительно из чисел и/или строчных букв английского алфавита):

• Первый символ парольной фразы имеет энтропию в 4 бита.
• Следующие 7 символов добавляют еще 14 бит энтропии (по 2 бита на каждый символ), т.е. 8-значный пароль имеет 18-битную энтропию (4 бита первого символа плюс 14 бит последующих 7 символов).
• Следующие 12 символов (от 9-го до 20-го) увеличивают общую битность энтропии еще на 18 бит (по 1,5 бит за каждый символ). Исходя их этого, 20-значный пароль имеет общую сумму энтропий всех символов, которая составит 32 бита.
• Дальнейшие символы (21-й и далее) увеличивают энтропию на 1 бит. Так, 25-значный пароль будет иметь 37-битную энтропию, и для его отгадывания путем перебора придется сделать 137 млрд. 438 млн. 953 тыс. 472 попытки.

Увеличить сложность пароля (для этого конкретного случая) можно за счет использования в нем неалфавитных символов (спецсимволов, которые можно напечатать на обычной клавиатуре) и букв в верхнем регистре (заглавных букв). В этом случае энтропия дополнительно вырастит на 6 бит.

Таким образом, сложность пароля определяется количеством и типом символов, из которых он состоит.

 

Зачем мне сложный пароль, если на сервере предусмотрена защита от взлома?

Практически все современные веб-системы оснащены системой защиты, автоматически блокирующей аккаунты при нескольких (обычно 3-5) неудачных попытках авторизации подряд. Это означает, что такие методы взлома, как брутфорс и атака по словарю/радужным таблицам, малоэффективны. Сервер, на который осуществляется атака, просто заблокирует учетную запись, и все последующие попытки авторизации будут проигнорированы системой.

Это говорит о том, что взлома даже относительно слабых (с низким уровнем энтропии) паролей будет весьма затруднителен. Если, конечно, атакующий не подберет парольную фразу за то немногое количество попыток, которое разрешено конкретным сервером.

Однако это не повод пренебрегать рекомендациями по созданию сложных паролей с высокой энтропией. Киберпреступники, к примеру, могут завладеть какими-либо данными, хранящимися на сервере в зашифрованном виде. Для их расшифровки потребуется цифровой ключ, созданный на основе заданного пользователем пароля при регистрации в той или иной веб-системе. И в этом случае количество попыток подбора пароля уже не будет ничем и никем ограничено – злоумышленнику просто останется дождаться, пока его брутфорс-программа закончит свою работу по взлому похищенной зашифрованной информации.

Поэтому никогда не стоит надеяться на присутствующую на том или ином сайте систему защиты от брутфорса и атаки по словарям. Всегда лучше перестраховаться, создав такой пароль, который не удастся взломать за короткое время даже при использовании мощной вычислительной техники.

 

Каким должен быть пароль, устойчивый к взлому?

Существуют общие рекомендации по созданию устойчивых к брутфорсу паролей. Конечно, со временем они будут пополняться все новыми и новыми пунктами – ведь, как мы уже выяснили, считавшийся очень надежным пароль вчера уже завтра может потерять этот свой статус. Но на ближайшие несколько лет будут оставаться актуальными нижеследующие рекомендации по созданию сложных парольных фраз:

Эти рекомендации, впрочем, могут считаться соблюденными и в случае таких паролей, как, например: «1/8/2000Qwerty». Вроде бы все в пароле присутствует и большие/маленькие буквы, числа и спецсимволы (в данном случае слеши «/»). И состоит он из 14 знаков. Однако на счет надежности подобных парольных фраз можно поспорить. Все дело в том, что даже соответствующие всем правилам создания парольные фразы могут оказаться неустойчивыми ко второму способу взлома – перебору по словарю/радужным таблицам.

К счастью, жизнь хакерам можно сильно усложнить, создав пароль, соответствующий следующим рекомендациям:

• Не используйте в парольных фразах общеизвестные (словарные) слова – такие быстро взламываются методом атаки по словарю. Также следует избегать использования имен, кличек животных, географических названий – в общем, любых слов, о существовании которых известно очень широко.
• Даже при комбинировании словарных слов с любыми числами не сделает пароль устойчивым к взлому. Не поможет и замена букв символами, схожими с написанием с заменяемыми буквами. Речь идет о таких паролях, как, например, «c@lcul@t0r». В распоряжении киберпреступников, однозначно, имеются словари и/или радужные таблицы, содержащие подобные написания обычных слов (даже если словарей нет, их несложно сгенерировать путем замены букв).
  • Однако использовать словарные слова в целях запоминания пароля можно, но их должно быть несколько написанных подряд, разделенных цифрами и/или спецсимволами. Конечно же, не забываем про буквы в верхнем регистре. Замена букв похожими на них символами тоже возможна (при соблюдении остальных рекомендаций). Вот, к примеру, сильный пароль: «1TrEe#Car#Sun#T@ble1»
• Не используйте никакие последовательности букв, о которых можно легко догадаться. Сюда относится, например, чередование букв в алфавитном порядке («abcdefg» или в обратной последовательности) либо в порядке их расположения на клавиатуре – «uytrewq», «zxcvbnm».
  • Если все-таки последовательности нужно использовать для лучшего запоминания пароля, тогда их можно, к примеру, разбавить цифрами и/и спецсимволами: «#aS12dF13gH14jK15l#».
• Не используйте широко известные наборы цифр, даже если они комбинируются со спецсимволами и/или буквами: номера телефонов, серийные номера документов, регистрационные номера автомобилей, даты и т.п. Пароль вроде «01/15/1985», «54-05-123456» или «A123AB197» легко подбирается при использовании соответствующих алгоритмов генерации словарей.
  • Если и нужно использовать наборы цифр, то просто следуем описанным выше рекомендациям. Также можно, к примеру, комбинировать наборы друг с другом, разделяя их какими-нибудь словами: «A123AB197mashina01/15/1985».

И еще кое-что. Старайтесь использовать на разных сайтах разные пароли. В противном случае, если злоумышленнику удастся взломать какой-нибудь один сайт, полученный в ходе атаки пароль, он обязательно будет использовать в попытках зайти на другие сайты.

 

Как создать сложный и запоминающийся пароль?

Касательно запоминающихся паролей мы уже рассмотрели несколько способов их создания при использовании комбинаций слов, последовательностей символов и комбинацией наборов номеров. Но если и масса других вариантов по созданию запоминающихся и, главное, надежных парольных фраз.

Вот лишь один пример:

Таким образом, мы создали устойчивый к взлому любыми методами пароль, который довольно легко запомнить и затем воспроизвести в любой момент.

 

Как проверить надежность пароля?

В интернете также можно найти множество сайтов, предоставляющих возможность проверки надежности любой введенной парольной фразы. Например, это можно сделать на сайте антивируса Касперского. Перейдите на эту страницу (https://password.kaspersky.com/ru/) и впишите/вставьте в текстовое поле «Проверьте свой пароль» проверяемую парольную фразу:

 

Как узнать, был ли скомпрометирован пароль?

Иногда даже самые сложные пароли могут оказаться ненадежными. Киберпреступники время от времени взламывают сайты и веб-системы, вследствие чего к ним в руки попадают огромные базы данных логинов и паролей зарегистрированных там пользователей. Похищенные данные обычно выставляют на продажу в темном сегменте интернета (даркнете), их может приобрести любой.

Если вы проверяли свой пароль вышеуказанным способом на сайте Касперского, тогда вы заметили такое сообщение – «Ваш пароль не встречается в базах утекших паролей». Эти «утекшие базы» и есть те самые похищенные логины и пароли (не все, конечно, а только те, что попали в руки добросовестным людям). Если же вы увидите на этом сайте сообщение – «Этот пароль засветился в базах утекших паролей» – значит, введенная вами парольная фраза была ранее скомпрометирована, т.е. о ее существовании знаете не только вы.

 

Подобные списки украденных логинов и паролей – находка для злоумышленников, использующих для взлома метод атаки по словарям. Поэтому перед тем, как зарегистрироваться где-нибудь в интернете, проверьте пароль – вдруг, он был скомпрометирован. Не мешает проделать то же самое и с уже используемыми парольными фразами.

 

Где надежнее хранить пароли?

Одно из правил кибербезопасности – не использовать один и тот же пароль в разных местах – потребует от пользователя где-то хранить создаваемые им сложные парольные фразы. Хранить их все в голове – под силу единицам. Пользователям без феноменальной памяти приходится использовать другие средства, и хранение паролей в обычном текстовом файле на компьютере – наверное, худший вариант.

Не очень надежно их хранить и в браузере, используя соответствующую функцию. Причин этому несколько. Во-первых, чтобы "вытащить" логины и парольные фразы из браузера не нужно даже запускать сам веб-обозреватель, т.к. тот хранит эти данные в обычном незашифрованном файле (защитить файл шифрованием можно, но браузер не предлагает сам этого сделать, а пользователи и не догадываются, что такое вообще возможно). Во-вторых, если кто-то получит доступ к компьютеру, то он сможет войти на все сайты, логины и пароли от которых сохранены в браузере (и для этого не нужно быть хакером или даже знать, где веб-обозреватель хранит подобные данные).

Еще один способ – хранение паролей в электронном документе, поддерживающем шифрование. К таким документам относятся, к примеру, PDF, DOCX (MS Word) или XLSX (MS Excel).

И всегда можно воспользоваться функцией шифрования файлов, присутствующей в арсенале любых программ-архиваторов. С их помощью любой файл – даже простой текстовый документ – можно защитить собственным паролем.

Оба последних способа, несомненно, надежны (если для шифрования использовать сильный пароль), но довольно неудобны.

И последний способ – использование специализированных программ для хранения паролей. Таких приложений сегодня много. К их числу относятся не только программы для Windows (или других ОС), но и мобильные приложения и расширения к браузерам.

Возьмем, к примеру, менеджер паролей MultiPassword. У него есть 3 самостоятельные версии: десктопная (т.е. для Windows), мобильная (Android и iOS) и браузерная. Так выглядит основная вкладка программы MultiPassword для Windows, в которой можно ознакомиться с количеством сохраненных паролей с той или иной степенью надежности:

 

Использовать программу довольно просто. Чтобы добавить пароль в базу, нужно кликнуть по кнопке «Новая запись»:

 

Обратите внимание, что при вводе сохраняемого пароля программа MultiPassword автоматически определяет его сложность. А если кликнуть по кнопке с изображением игральных костей, на экране отобразится генератор паролей:

 

Те, кто привык пользоваться стандартной браузерной функцией автоматического сохранения логинов/паролей и заполнения ими веб-форм на сайтах, могут установить расширение MultiPassword (доступно для скачивания из официальных магазинов браузеров).

В программу MultiPassword можно импортировать пароли из других подобных программ либо браузеров (предварительно нужно выполнить экспорт паролей из этих программ и/или веб-обозревателей).