Как придумать хороший пароль

Для того, что бы работать с онлайн-сервисами, от электронной почты до онлайн-банкинга — вам потребуется пароль. И что бы обезопасить себя и свои данные, необходимо использовать хорошие, надежные пароли. Рассмотрим варианты обезопасить себя, от простого к сложному.
Уровень 1 (никуда не годится)
Некоторые пароли оказываются слабее, чем другие. Особенно если они вписываются в один из распостраненных шаблонов. К таким паролям можно отнести пароли содержащие:
- пароли по умолчанию (admin, guest, password);
- имена (anton, jennifer, наташа);
- даты, цифры, знакомые числа или номера (23111991, 911, 112358, 89142347687);
- словарное слово (dragon, monkey, солнышко);
- распостраненные фразы (iloveyou, letmein);
- личные интересы (starwars, baseball, nirvana, spartak);
- имя питомца (oscar, tiger, рыжик, chewy);
- повторения (qweqwe, asasasas, hahaha, crabcrab);
- последовательности (123456, qwertyuiop, !@#$%^);
- слова с частичной заменой букв символами (p@ssw0rd, l3tm3in, g0ldf1sh);
- или их вариации (ivan10111991, petroviv91, password1, deer2020).
Уровень 2: (приемлемый)

Один из распостраненных способов создать хороший запоминающийся пароль — использовать парольные фразы. Рекомендации использовать парольные фразы недавно публиковали: Национальный институт стандартов и технологий США — в 2017 году, Министерство национальной безопасности США — в ноябре 2019 года, офис ФБР Портленда — в феврале 2020 года.
На примере генератора паролей vipnet, возьмем за шаблон следующую конструкцию (опять же исключительно для примера):
(цифра) (прилагательное) (существительное) (глагол) (существительное) и придумаем запоминающуюся фразу.
Например:
347 Неглупых Экономистов Посчитали Ликвидность
Возьмем первые три буквы каждого слова: 347 Неглупых Экономистов Посчитали Ликвидность, и наберем их на латинской раскладке, таким образом получим наш пароль:
347Ytu»rjGjcKbr
Запомнить такой пароль достаточно просто, взломать по словарю крайне сложно, а методом «грубой силы» практически невозможно. Схему можно менять как удобно, главное что бы она была легкозапоминаемой для вас. Количество букв и цифр можно варьировать и для более сложного пароля, достаточно брать не первые три символа, а например четыре или более, слова разделять спецсимволами и т.д. Увеличение длины пароля работает лучше, чем его усложнение, т.е. более длинный пароль будет более стойким, чем более сложный.
Один из распостраненных способов взлома пароля онлайн-аккаунта, является использование механизма сброса забытого пароля с использованием «секретных вопросов», поэтому в таких случаях становится возможным обойти сложный пароль, использовав простой ответ на «секретный вопрос». Исследователи из университета Карнеги-Меллона, в ходе исследования выяснили, что в 28% случаев ответы участников могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы.
В данном случае имеет смысл в качестве ответа на такой вопрос использовать случайно сгенерированный пароль, или фразу, которая не будет связана с самим вопросом, что бы исключить возможность сброса пароля через восстановление.
Уровень 3: (хардкорный)
Использовать сгенерированные, максимально сложные пароли, с символами из всех групп с энтропией 100+ бит.
Например:
bp/T#w»zG)=>du=Cv&;2
Пароль крайне надежный, но возникает проблема его запоминания или хранения, т.к. хранить пароль на компьютере, или записанным — плохая идея. Допустимо хранить записанный пароль, если вы планируете хранить его в доступном только вам месте (например в сейфе).
Уровень 4: (криптоман)
Здесь мы можем к использованию хардкорных паролей, добавить следующие рекомендации:
- используйте пароли с высокой энтропией, достаточной длины (15 символов и более) и с наличием символов из четырех групп (прописные и заглавные буквы, цифры, спецсимволы);
- не храните записи паролей на компьютере в открытом виде, используйте менеджер паролей, с надежным мастер-паролем основаным на парольной фразе и хранимым только в голове;
- увеличьте количество итераций шифрования базы парольного менеджера/криптоконтейнера, что бы усложнить возможный подбор пароля, т.к. если на каждую попытку будет уходить несколько секунд, в таком случае, на взлом даже по подходящему словарю уйдут триллионы лет;
- выставьте низкие таймауты на блокировку базы парольного менеджера, так будет снижена вероятность извлечения паролей из памяти, в случае компрометации или захвата устройства;
- храните чувствительную информацию в скрытом криптоконтейнере, зашифрованным открытым ПО прошедшем аудит с использованием надежных шифров, в идеале — базу парольного менеджера в том числе;
- используйте два (основной и резервный) usb-носителя (флешки) с файл-ключами для шифрования базы парольного менеджера, и криптоконтейнера;
- не используйте гибернацию, файл подкачки, если это возможно, т.к. существует риск извлечения ключей шифрования из этих файлов, если компьютер ушел в гибернацию с смонтированным криптоконтейнером или открытым менеджером паролей, и устройство в дальнейшем было захвачено;
- если возможно, используйте шифрование всех разделов, в том числе системных — на всех используемых устройствах;
- не используйте один и тот же пароль для разных онлайн-сервисов, т.к. при компрометации одного онлайн-сервиса, скомпрометированы будут все остальные;
- не используйте двухфакторную авторизацию основанную на смс-кодах, т.к. известны случаи когда такая 2FA обходилась неавторизованным перевыпуском SIM-карты;
- в случае банковских клиентов используйте push для 3DS, и крипто-ключи, там где это возможно;
- не используйте для резервного восстановления пароля почтовые ящики компаний российского происхождения;
- для e-mail’а используемого для резервного восстановления пароля используйте многофакторную авторизацию, например многофакторную авторизацию с крипто-ключами поддерживает gmail.com и outlook.com;
- не подвергайте компьютер вирусным или social-engineering угрозам, не запускайте незнакомое ПО, т.к. в случае если злоумышленник получит доступ к устройству, количество векторов атак заметно возрастает;
- не оставляйте криптоконтейнер смонтированным/менеджер паролей открытым/крипто-ключ и/или файл-ключ подключенным, когда вы с ними не работаете;
- имейте копии ключей и храните их в удаленном, надежном месте.
Уровень 5: (криптоманьяк)

Для усиления локальной безопасности и предотвращения похищения паролей при их вводе и генерации, рекомендуется:
- использовать генераторы широкополосного радиошума, для предотвращения радиоразведки / противодействия потенциальным аппаратным «закладкам»;
- использовать зашторенные окна с тройными стеклопакетами, или помещение без окон, для противодействия внешнему наблюдению;
- использовать для работы оборудование не подключенное к сети Интернет либо к локальным и беспроводным сетям;
- не использовать другие электронные устройства в помещении или использовать контейнер использующий принцип клетки Фарадея для экранирования сигналов таких устройств.
Несмотря на все предосторожности, всегда существует возможность силового воздействия или как его еще называют — «метод терморектального криптоанализа».
При возникновении такого сценария, предполагается, что второй крипто-ключ и второй файл-ключ хранятся в надежном месте, а их оригиналы, во время возникновения угрозы, уничтожаются методом физического разрушения, для аккаунта google / других аккаунтов, выполняется выход со всех устройств, компьютер штатно выключается (для корректного демонтирования криптоконтейнера в случае использования). Для смартфона выполняется сброс на заводские настройки.
Таким образом, даже зная пароль, получить доступ к базам паролей, криптоконтейнеру, онлайн-аккаунтам защищенным многофакторной авторизацией, будет невозможно. Определенно, это потребует времени, но как показывает практика, при готовности реагировать быстро, время на такие действия почти всегда найдется.
Интересные факты
- самая распространенная цифра в паролях: «1»;
- 24% всех паролей состоят из 6 символов;
- более 60% всех паролей содержат только строчные символы;
- 90% паролей могут быть взломаны менее чем за 6 часов;
- 10% всех паролей в мире, состоят из 20 типичных словарных паролей;
- две трети людей используют не более двух паролей для всех своих онлайн-аккаунтов;
- самые распространенные пароли в сети: «password» и «123456»;
- количество возможных вариантов пароля длиной 15 символов, в котором использованы все группы символов, составит четыреста шестьдесят три октиллиона вариантов (10^27);
- пароль «самого разыскиваемого хакера», использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: «Chewy 123»;
- пароли владельца Silk Road Росса Ульбрихта хранились в открытом виде на компьютере;
- пароль Кена Топмсона найденный в исходниках BSD 3 и зашифрованный слабым алгоритмом на базе DES, взломали за пять дней, это оказался ход пешкой в шахматной описательной нотации: «p/q2-q4!».
Полезные ресурсы
Kaspersky Secure Password Check (аудит пароля на стойкость):
https://password.kaspersky.com/ru/
Google’s Password Checkup (аудит сохраненных паролей Google):
https://passwords.google.com/checkup/start
Have I been Pwned (проверка на наличие пароля в публичных базах/утечках):
https://haveibeenpwned.com/
ViPNet Password Generator (генератор паролей на основе парольных фраз):
https://infotecs.ru/downloads/besplatnye-produkty/vipnet-password-generator.html
Lastpass Password Generator (онлайн генератор паролей):
https://www.lastpass.com/ru/password-generator
Keepass XC (кросс-платформенный менеджер паролей):
https://keepassxc.org/
VeraCrypt (шифрование диска и криптоконтейнеров):
https://www.veracrypt.fr/en/Downloads.html