Компьютерная безопасность: как правильно создавать и хранить пароли?

Категории
Категории
Раиса Гибнер, Екатерина Мартиросян
  • 8 мин
  • 290

Адаптированный перевод: Екатерина Мартиросян, специалист Online-Media.

Текст отредактировала: Гибнер Раиса, специалист Online-Media.

Источник: Ключевые идеи аудио-беседы о паролях с главным исследователем Sophos Полом Даклином. В рубрике Techno портал Sophos рассказывает о компьютерной безопасности. 

Существует множество мифов относительно безопасности паролей, в которые продолжают верить люди. К сожалению, сейчас не всегда выдаются ожидаемые результаты. В двух словах, мы обсудим сброс пароля, его сложность и повторное использование.

Нужно ли постоянно менять пароли?

Раньше считалось, что принудительная смена паролей, практикуемая во многих организациях — это хорошая идея для поддержания безопасности.

Смена паролей широко использовалась на практике, но в основе лежала идея, которая была неправильно применена. Вернемся назад в 80-ые. Большой проблемой являлась причина, по которой мы начали сбрасывать пароли — на системах Unix они хранились в упрощенном виде: текстовом файле системы, доступном для чтения. Это означало, что любой, кто имел доступ к системе, мог взломать эти пароли и получить доступ к чужим учетным записям и информации.

Даже во времена маломощных компьютеров из-за способа хранения паролей и количества людей, которые могли иметь доступ к такой важной информации о вашем пароле (например, хэш-пароли), их срок службы был непродолжительным.

Идея регулярных изменений заключалась в том, чтобы ваши пароли для других стали более недостижимыми. Но в наши дни хэши не так легкодоступны, без применения гораздо более серьезных методов атаки.

Кроме того, нас всех учили использовать более сложные пароли; ведь чем сложнее пароль, тем труднее его взломать.

Придерживаться идеи, что раз в один-два месяца вы должны менять свой пароль, — плохая затея. Это приводит к тому, что люди начинают выбирать слабые и шаблонные пароли, а следовательно, они становятся более предсказуемыми.

В то же время сложный пароль тоже трудно запомнить, что и приводит к созданию многочисленных простых паролей.

Менять пароль нужно лишь тогда, когда вы подозреваете, что он стал доступным кому-то. А менять его в силу привычки — плохая затея.

Если вы потеряли ноутбук и злоумышленник может получить доступ к вашим хэшам, то лучше сменить пароли. Но заставлять всю организацию регулярно менять свои пароли, — это значит вырабатывать у них дурную привычку. Например, из какой-то фирмы каждый третий вторник текущего месяца поступают запросы на изменения пароля. Кто-то, узнав об этом, может специально позвонить в IT-службу поддержки под предлогом того, что забыл измененный пароль.

Также вы подвергаете свои аккаунты ненужному риску, добавляя туда день вашего рождения или дни рождения членов семьи; или меняя 2021 год на 2022 в конце пароля.

Как сделать сложный пароль, если его трудно запомнить?

Установка определенных требований к сложности заключает в себе противоречие.

Если взять к примеру номерные знаки, они должны состоять из 6 символов. Если вы произведете расчеты, то получится какое-то очень большое число, но стандартные номерные знаки на самом деле имеют следующую последовательность: буква-цифра-цифра-цифра-буква-буква. И если вы перемножите все эти варианты, общее количество номерных знаков будет значительно меньше, чем если вписать их в определенную схему. Как мы написали выше, первая буква и вторая цифра и далее. Получится меньшее количество произвольных комбинаций, чем возможно составить из 6 символов. То же самое относится и к паролям.

Многие специалисты по информационной безопасности преподносят нам такую практику к использованию по сложности паролей, которую трудно реализовать; учитывая то количество паролей, которое приходится запоминать.

Если мы вернемся к математике, то, взяв пароль из 10 символов с добавлением пунктуации и случайных чисел (которые «проповедуют» многие из нас), на выходе получается пароль, который почти невозможно взломать.

Однако можно достичь той же цели, просто сделав пароль длиннее. Конечно, использование сложных слов и пунктуации — это классно, но чтобы писать руководства по политике создания паролей, нужно отметить требования к длине пароля как самый сильный фактор. Потому что даже сам алфавит на латинице (если учитывать возможность написания в нижнем и внешнем регистре) включает 52 комбинации.

Часто люди думают усложнить свой пароль, используя вместо 0 букву o, но большинство приложений для взлома паролей, да и сами злоумышленники могут сразу же попытаться использовать такие комбинации, так как они знают, что люди полагаются на это мнимое чувство усложнения пароля.

Таким образом, здесь мы опять сталкиваемся с проблемой номерного знака, когда у нас есть, казалось бы, большое пространство для действия, но мы используем лишь малую его часть.

Поражает, что идея использовать длинный пароль, который нельзя найти в словаре, и использовать одни буквенные комбинации (особенно когда речь идет о телефоне или планшете, где менять раскладку на цифры трудно), — не такая уж и плохая идея. Особенно учитывая, что в таких случаях нажимать на кнопки приходится одной рукой.

И последнее — это новый фронт «борьбы» с паролями. У нас были сложности с паролями в интернете, а теперь прибавились еще больше из-за их использования на устройствах iPhone и Android. Не понятно, почему многие сайты ограничивают длину пароля и указывают, что он должен включать от 12 до 16 символов.

Мы уже упоминали про хэши. Самое хорошее в них то, что вы можете ввести 1 или 1000 символов, и получить предсказуемое значение, которое выходит с другой стороны хэша. Так что если вы правильно храните пароли в приложении, на сайте, в базе данных (БД) и т.п. — нет никаких причин ограничивать их длину. Не нужно отказывать себе, если вы захотите иметь пароль вроде: «Tri devitsy pod oknom pryali pozdno vecherkom», так как из БД он все равно выйдет в виде значения.

Можно ли использовать пароли повторно?

Все знают, что нельзя использовать один и тот же пароль для всего. Но существует множество людей, которые рассуждают так: «Для обычных сайтов я буду использовать один и тот же пароль, потом у меня есть пароль среднего уровня, который я буду использовать для всех остальных сайтов, и только для действительно важных сайтов, которых у меня мало, я буду использовать сильные пароли». И они убедили себя, что такое повторное использование паролей (так как вы не используете один пароль для всех ресурсов) — хорошее решение.

Но представьте, что вы используете этот пароль на огромном количестве сайтов, а потом он «сольется». Информация, которую могут собрать при входе на эти сайты, просто пугает. Например, один сайт потребовал от вас сведения о дате вашего рождения, адресе и номере домашнего телефона; другой — e-mail-адрес; третий — еще что-то. А теперь все эти учетные записи находятся под угрозой. Теперь они могут собрать не только информацию о вашей активности в интернете, но еще и украсть личные данные.

В идеальном мире вам нужно иметь сложный, уникальный пароль для каждого сайта.

У обычного человека вполне может найтись 400-500 сайтов, которые запрашивали для входа его учетные данные. Как тут избежать использования одной и той же комбинации? Можно использовать для Yahoo пароль Yahoo_site, а для Google — Google_site. Но такие варианты явно предсказуемы для того, кто знает вашу поведенческую схему при создании пароля.

Когда дело доходит о данных по вашим действиям в интернете, или о ваших персональных данных, не может быть ничего неважного.

Менеджер паролей

Чтобы решить вышеперечисленные проблемы, вы обращаетесь на помощь к менеджеру паролей. Среди них есть много вариантов — от хороших, до тех. что похуже. Менеджер паролей может придумывать за вас сложные комбинации. Но помните ли вы, какой пароль от какого сайта? Не приводит ли это нас опять к проблеме того, что у нас один пароль от всего? Потому что если кто-то получит ваш мастер-пароль, то у него будет доступ ко всем остальным.

Конечно, такой риск существует. Есть одна позиция, согласно которой такие записи, как учетные данные от финансовых инструментов, не должны храниться в менеджере паролей. Другая позиция заключается в создании новых, уникальных паролей, которые полностью отличаются друг от друга.

Подводя итоги

Что работает

  • Сбрасывайте пароли, когда считаете это действительно необходимым. Не принуждайте к изменениям ради самих изменений.
  • Не задавайте определенных требований к сложности, просто поощряйте пользователя к использованию определенных трюков.
  • Самое важное — помните о том, что не существует такого понятия как неважный пароль. Для каждого сайта подбирайте отдельные комбинации. Если вам сложно это делать, подумайте об использовании менеджера паролей и повышенной предосторожности при использовании главного пароля.
  • Дополнительный совет: меняйте пароль на свежую голову. Попробуйте сразу, установив пароль, зайти и выйти в аккаунт. Постепенно ваши пальцы сами запомнят пароль.

Что не работает

  • Принудительный сброс пароля.
  • Попытка выставить требования к сложности паролей для упрощения действий пользователей.