Для того, что бы работать с онлайн-сервисами, от электронной почты до онлайн-банкинга - вам потребуется пароль. И что бы обезопасить себя и свои данные, необходимо использовать хорошие, надежные пароли. Рассмотрим варианты обезопасить себя, от простого к сложному.

Уровень 1 (никуда не годится)

Некоторые пароли оказываются слабее, чем другие. Особенно если они вписываются в один из распостраненных шаблонов. К таким паролям можно отнести пароли содержащие:

  • пароли по умолчанию (admin, guest, password);
  • имена (anton, jennifer, наташа);
  • даты, цифры, знакомые числа или номера (23111991, 911, 112358, 89142347687);
  • словарное слово (dragon, monkey, солнышко);
  • распостраненные фразы (iloveyou, letmein);
  • личные интересы (starwars, baseball, nirvana, spartak);
  • имя питомца (oscar, tiger, рыжик, chewy);
  • повторения (qweqwe, asasasas, hahaha, crabcrab);
  • последовательности (123456, qwertyuiop, !@#$%^);
  • слова с частичной заменой букв символами (p@ssw0rd, l3tm3in, g0ldf1sh);
  • или их вариации (ivan10111991, petroviv91, password1, deer2020).
Уровень 2: (приемлемый)

Один из распостраненных способов создать хороший запоминающийся пароль - использовать парольные фразы. Рекомендации использовать парольные фразы недавно публиковали: Национальный институт стандартов и технологий США - в 2017 году, Министерство национальной безопасности США - в ноябре 2019 года, офис ФБР Портленда - в феврале 2020 года.

На примере генератора паролей vipnet, возьмем за шаблон следующую конструкцию (опять же исключительно для примера):
(цифра) (прилагательное) (существительное) (глагол) (существительное) и придумаем запоминающуюся фразу.

Например:

347 Неглупых Экономистов Посчитали Ликвидность

Возьмем первые три буквы каждого слова: 347 Неглупых Экономистов Посчитали Ликвидность, и наберем их на латинской раскладке, таким образом получим наш пароль:

347Ytu”rjGjcKbr

Запомнить такой пароль достаточно просто, взломать по словарю крайне сложно, а методом “грубой силы” практически невозможно. Схему можно менять как удобно, главное что бы она была легкозапоминаемой для вас. Количество букв и цифр можно варьировать и для более сложного пароля, достаточно брать не первые три символа, а например четыре или более, слова разделять спецсимволами и т.д. Увеличение длины пароля работает лучше, чем его усложнение, т.е. более длинный пароль будет более стойким, чем более сложный.

Один из распостраненных способов взлома пароля онлайн-аккаунта, является использование механизма сброса забытого пароля с использованием “секретных вопросов”, поэтому в таких случаях становится возможным обойти сложный пароль, использовав простой ответ на “секретный вопрос”. Исследователи из университета Карнеги-Меллона, в ходе исследования выяснили, что в 28% случаев ответы участников могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы.

В данном случае имеет смысл в качестве ответа на такой вопрос использовать случайно сгенерированный пароль, или фразу, которая не будет связана с самим вопросом, что бы исключить возможность сброса пароля через восстановление.

Уровень 3: (хардкорный)

Использовать сгенерированные, максимально сложные пароли, с символами из всех групп с энтропией 100+ бит.

Например:

bp/T#w”zG)=>du=Cv&;2

Пароль крайне надежный, но возникает проблема его запоминания или хранения, т.к. хранить пароль на компьютере, или записанным - плохая идея. Допустимо хранить записанный пароль, если вы планируете хранить его в доступном только вам месте (например в сейфе).

Уровень 4: (криптоман)

Здесь мы можем к использованию хардкорных паролей, добавить следующие рекомендации:

  • используйте пароли с высокой энтропией, достаточной длины (15 символов и более) и с наличием символов из четырех групп (прописные и заглавные буквы, цифры, спецсимволы);
  • не храните записи паролей на компьютере в открытом виде, используйте менеджер паролей, с надежным мастер-паролем основаным на парольной фразе и хранимым только в голове;
  • увеличьте количество итераций шифрования базы парольного менеджера/криптоконтейнера, что бы усложнить возможный подбор пароля, т.к. если на каждую попытку будет уходить несколько секунд, в таком случае, на взлом даже по подходящему словарю уйдут триллионы лет;
  • выставьте низкие таймауты на блокировку базы парольного менеджера, так будет снижена вероятность извлечения паролей из памяти, в случае компрометации или захвата устройства;
  • храните чувствительную информацию в скрытом криптоконтейнере, зашифрованным открытым ПО прошедшем аудит с использованием надежных шифров, в идеале - базу парольного менеджера в том числе;
  • используйте два (основной и резервный) usb-носителя (флешки) с файл-ключами для шифрования базы парольного менеджера, и криптоконтейнера;
  • не используйте гибернацию, файл подкачки, если это возможно, т.к. существует риск извлечения ключей шифрования из этих файлов, если компьютер ушел в гибернацию с смонтированным криптоконтейнером или открытым менеджером паролей, и устройство в дальнейшем было захвачено;
  • если возможно, используйте шифрование всех разделов, в том числе системных - на всех используемых устройствах;
  • не используйте один и тот же пароль для разных онлайн-сервисов, т.к. при компрометации одного онлайн-сервиса, скомпрометированы будут все остальные;
  • не используйте двухфакторную авторизацию основанную на смс-кодах, т.к. известны случаи когда такая 2FA обходилась неавторизованным перевыпуском SIM-карты;
  • в случае банковских клиентов используйте push для 3DS, и крипто-ключи, там где это возможно;
  • не используйте для резервного восстановления пароля почтовые ящики компаний российского происхождения;
  • для e-mail’а используемого для резервного восстановления пароля используйте многофакторную авторизацию, например многофакторную авторизацию с крипто-ключами поддерживает gmail.com и outlook.com;
  • не подвергайте компьютер вирусным или social-engineering угрозам, не запускайте незнакомое ПО, т.к. в случае если злоумышленник получит доступ к устройству, количество векторов атак заметно возрастает;
  • не оставляйте криптоконтейнер смонтированным/менеджер паролей открытым/крипто-ключ и/или файл-ключ подключенным, когда вы с ними не работаете;
  • имейте копии ключей и храните их в удаленном, надежном месте.
Уровень 5: (криптоманьяк)

Для усиления локальной безопасности и предотвращения похищения паролей при их вводе и генерации, рекомендуется:

  • использовать генераторы широкополосного радиошума, для предотвращения радиоразведки / противодействия потенциальным аппаратным “закладкам”;
  • использовать зашторенные окна с тройными стеклопакетами, или помещение без окон, для противодействия внешнему наблюдению;
  • использовать для работы оборудование не подключенное к сети Интернет либо к локальным и беспроводным сетям;
  • не использовать другие электронные устройства в помещении или использовать контейнер использующий принцип клетки Фарадея для экранирования сигналов таких устройств.

Несмотря на все предосторожности, всегда существует возможность силового воздействия или как его еще называют - “метод терморектального криптоанализа”.

При возникновении такого сценария, предполагается, что второй крипто-ключ и второй файл-ключ хранятся в надежном месте, а их оригиналы, во время возникновения угрозы, уничтожаются методом физического разрушения, для аккаунта google / других аккаунтов, выполняется выход со всех устройств, компьютер штатно выключается (для корректного демонтирования криптоконтейнера в случае использования). Для смартфона выполняется сброс на заводские настройки.

Таким образом, даже зная пароль, получить доступ к базам паролей, криптоконтейнеру, онлайн-аккаунтам защищенным многофакторной авторизацией, будет невозможно. Определенно, это потребует времени, но как показывает практика, при готовности реагировать быстро, время на такие действия почти всегда найдется.

Интересные факты
  • самая распространенная цифра в паролях: “1”;
  • 24% всех паролей состоят из 6 символов;
  • более 60% всех паролей содержат только строчные символы;
  • 90% паролей могут быть взломаны менее чем за 6 часов;
  • 10% всех паролей в мире, состоят из 20 типичных словарных паролей;
  • две трети людей используют не более двух паролей для всех своих онлайн-аккаунтов;
  • самые распространенные пароли в сети: “password” и “123456”;
  • количество возможных вариантов пароля длиной 15 символов, в котором использованы все группы символов, составит четыреста шестьдесят три октиллиона вариантов (10^27);
  • пароль “самого разыскиваемого хакера”, использовавшего полное шифрование дисков, Джереми Хэммонда, был именем его кошки: “Chewy 123”;
  • пароли владельца Silk Road Росса Ульбрихта хранились в открытом виде на компьютере;
  • пароль Кена Топмсона найденный в исходниках BSD 3 и зашифрованный слабым алгоритмом на базе DES, взломали за пять дней, это оказался ход пешкой в шахматной описательной нотации: “p/q2-q4!”.
Полезные ресурсы

Kaspersky Secure Password Check (аудит пароля на стойкость):
https://password.kaspersky.com/ru/

Google’s Password Checkup (аудит сохраненных паролей Google):
https://passwords.google.com/checkup/start

Have I been Pwned (проверка на наличие пароля в публичных базах/утечках):
https://haveibeenpwned.com/

ViPNet Password Generator (генератор паролей на основе парольных фраз):
https://infotecs.ru/downloads/besplatnye-produkty/vipnet-password-generator.html

Lastpass Password Generator (онлайн генератор паролей):
https://www.lastpass.com/ru/password-generator

Keepass XC (кросс-платформенный менеджер паролей):
https://keepassxc.org/

VeraCrypt (шифрование диска и криптоконтейнеров):
https://www.veracrypt.fr/en/Downloads.html