Что такое хороший пароль?

Aug 26, 2014 10:03



Шифрование - это обмен большого секрета на маленький секрет. Этот маленький должен размещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.
Инь-Фу-Во
Чем больше наших дел из забав переносится в виртуальное пространство, тем важнее становится одна маленькая штучка, открывающая дверку в волшебную страну Интернета, пароль. Нам  все чаще грозит опасность оказаться в роли недалекого Карабаса Барабаса, у которого мерзкий Буратино похищает золотой ключик. Похищает, чтобы злонамеренно проникнуть в его, лично Карабасову, волшебную страну. Как сохранить волшебную мечту от того, кто сует повсюду свой длинный нос?

Если злоумышленники не применяют так называемую «социальную инженерию» (то есть не выкрадывают пароль тем или другим способом), то пароли чаще всего попросту подбирают. Существуют специальные программы, которые перебирают всевозможные сочетания букв и цифр. В свободном доступе находится программа John the Ripper. Она проверяет миллионы паролей за одну секунду. Хотите - проверьте. А есть программы подбора кодов еще более скоростные.

Программы для взлома паролей до того, как начать тупо перебирать сочетания букв, цифр и специальных знаков, генерируют возможные ключи, используя для их подбора специальные словари. Если злоумышленник каким-то образом узнал, что в пароле использован логин и дата рождения пользователя, он поместит эти данные в словарь первыми, и программа мгновенно отыщет требуемое сочетание. Как видим, дополнительная информация резко сократила время работы программы, которой пользовались злоумышленники. Информация избавляет от лишних переборов. Отсюда же следует: самые стойкие к перебору пароли - сгенерированные случайно и по возможности длинные.

Умные люди, специалисты по криптографии,  составили умные правила о том, какими должны быть пароли, чтобы  угадать их было невозможно. Не то чтобы совсем невозможно, но чтобы разгадка пароля заняла слишком много времени.

Итак, хороший пароль должен:
  1. Иметь длину по крайней мере 15 символов
  2. Включать в себя маленькие буквы
  3. Включать в себя большие буквы
  4. Включать в себя цифры
  5. Быть отличным от предыдущих паролей
  6. Не содержать логин или имя/фамилию пользователя.
  7. Не содержать имена членов семьи и друзей
  8. Не содержать слова, которые можно найти в словаре
  9. Не содержать буквы, располагающиеся в том же порядке, как они располагаются на клавиатуре (qwerty, asdfghjkl, 12345678)
  10. Включать символы вроде ` ! " ? $ ? % ^ & * ( ) _ - + = { [ } ] : ; @ ' ~ # | \ < , > . ? /
Существуют онлайн генераторы паролей, которые могут создать случайные пароли любой длины.  Беда в том, что случайные длинные пароли сложно запомнить. Правда можно попытаться запомнить один случайно сгенерированный пароль и вводить его на всех сайтах. Однако специалисты и тут на чеку, чтобы снова затруднить нашу жизнь. "Так делать нельзя!" - Говорят они. - "Если кто-то подсмотрит Ваш пароль, он сможет зайти на все Ваши сайты".

Да, с этими ребятами не мудрено впасть в параною!  Как же все-таки защитить свое житье-бытье в Интернете и при этом остаться в рамках критического разума, который столь ценил знаменитый философ И.Кант?

Лучший способ - генерировать пароли по определенному алгоритму. Запоминать не длинный бессмысленный пароль, а порядок действий, по которым этот пароль создается, гораздо легче!

Алгоритмов генерации паролей может быть много. Вот один из них, который каждый при желании может заменить на аналогичный.

1. Для начала разобьем будущий пароль на три части, условно говоря, приставку, корень и суффикс. Договоримся приставку и корень разделять символом @, а корень и суффикс - символом %.

2. В качестве приставки будем использовать случайное число из четырех цифр. Это число можно сгенерировать одним из онлайн генераторов случайных чисел и запомнить. 4 цифры запомнить не так уж и трудно.

Есть еще один вариант. Все мы помним наизусть номер своего мобильного телефона. Возьмите 4 последние цифры этого номера, или 4 первые, или 4 любые последовательные цифры. Число возможных комбинаций из четырех последовательных цифр для 10-значного номера телефона равно 6. Есть разгуляться где на воле!

Вариант для мужчин, служивших в армии: вместо номера мобильника взять номер приписанного Вам автомата. Его Вы запомнили на всю жизнь, и врагам его ни за что не узнать. В отличие от номера Вашего мобильника.

3. Другой вариант: число π, которое, как известно, состоит из бесконечного количества цифр после запятой. Однако существуют специальные мнемонические правила, позволяющие запомнить большое количество цифр после запятой. Например, псевдостихотворение: «Три, четырнадцать, пятнадцать, девяносто два и шесть» позволяет запомнить 7 цифр после запятой. Хотите узнать другие мнемонические стихотворения? Введите в поисковую строку Гугла или Яндекса «это я знаю и помню прекрасно» или, еще проще, «пи». После этого написать число π с десятью, а то и с двадцатью цифрами после запятой не составит труда.

Одну из возможных последовательностей из 4 цифр в числе «пи» можно выбрать в качестве приставки: 3141, 1415, 4159 и так далее до бесконечности.

4. Перейдем к корню. В качестве корня возьмем какое-нибудь слово длиной не менее 6-7 символов. Это может быть русское слово, записанное латинскими буквами. Но ничто не мешает нам воспользоваться онлайн переводчиком на любой из языков. Например, переведем на итальянский язык русское слово «оса» - «Vespa» . Так называлась, кстати, первая марка мотороллера. Условимся, что корень всегда будет начинаться с заглавной буквы.

5. А в качестве суффикса возьмем три первые буквы сайта, на который мы собираемся входить. Например, Gma для gmail, Vko для «ВКонтакте», Fac для «Фейсбука», Yan для Yandex. Первую букву суффикса тоже условимся писать заглавной.

6. Соединим теперь приставку, корень и суффикс вместе, не забыв про разделительные символы @ и %.  3141@Vespa%Gma - это пароль для входа на сайт gmail.com. А пароль для входа в социальную сеть «Одноклассники» будет 3141@Vespa%Odn

Сгенерированные таким образом пароли удовлетворяют всем вышеперечисленным требованиям, предъявляемым к хорошим паролям. Для каждого сайта, где нужна будет регистрация, у нас будет свой пароль. При этом не надо ничего записывать, чтобы не забыть и даже запоминать почти ничего не надо.

Придет пора сменить пароль? Нет ничего проще. Можем заменить приставку, вместо 3141 станет 1416. Можем заменить корень. Как будет «оса» по-испански? «Аvispa». Похоже? Ничего удивительного! Испанский и итальянский - два близких друг другу романских языка. Для большей непохожести нового пароля на предыдущий поменяем и приставку и корень: 1416@Avispa. Теперь для входа на mail.ru надо будет набирать 1416@Avispa%Mai.

Естественно, что перед этим надо будет не забыть зайти на соответствующий сайт со старым паролем и поменять его на пароль новый.

Прежде чем радоваться и торжествовать, примем меру предосторожности, чтобы в любом случае не забыть свой пароль. Откроем на одном из сайтов бесплатной электронной почты (например, на Hotmail) почтовый ящик с каким-нибудь неприметным логином. Сюда пошлем краткое сообщение 1416@Avispa. Даже если враги перехватят письмо, они ничего не поймут. А мы будем знать - перед нами приставка и корень, а суффиксы изменяются в зависимости от сайта, на который мы заходим.

Подобная мера предосторожности хороша еще и тем, что оставляет нам «летопись» изменений пароля. Иногда бывает, что каким-либо аккаунтом давно не пользовались и давно не изменяли на нем пароль. При наличии списка старых паролей (конечно, не самих паролей, а их «полуфабрикатов») можно попробовать несколько паролей из этого списка, а не обращаться к службе восстановления. Вот только не забыть бы логин и пароль для входа в этот почтовый ящик!

Но правильно ли я сделал, что публикую сейчас этот алгоритм? Не сведет ли данная публикация на нет высокую степень секретности? Ни капельки!  Кто мешает моему читателю, даже если он не шибко грамотный,  взять в качестве корня пароля слово «солнце» в переводе на экзотический хинди, «Suraja»? Ведь переводчик Гугл знает множество языков и всегда готов прийти к нам на помощь. Серию паролей, которую читатель после этого образует в соответствии с открытым для всех алгоритмом, угадать будет невозможно. Quod erat demonstrandum! Вы еще не закрыли Гугл? Так переведите же эту фразу немедленно!

Статья опубликована на сайте Школа жизни


Полезные ссылки:
  1. Как придумать пароль?
  2. Как пароли могут изменить жизнь (англ.) (рус.)
  3. Как придумать стойкий пароль? (Школа жизни)
  4. Как придумывать пароли
  5. Как придумать адский пароль, который легко запомнить?
  6. Н.Н.Федотов. Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками.
  7. Гугл отвечает на вопрос "Как придумать пароль?"
  8. Информация о паролях о 5 млн. ящиков Google и Яндекс
  9. Девичья фамилия матери
  10. Хороший пароль: легко запомнить, невозможно взломать
  11. ПарольКарта - еще один способ получения надежного пароля


книга об Интернете, пароль, школа жизни, компьютеры

Previous post Next post
Up