Как решить проблему хранения паролей?
Оригинал взят у psmirnova в Как решить проблему хранения паролей?
Как решить проблему хранения паролей?
Есть у меня знакомая, которую я решил вывести в этой статье под псевдонимом Сима. До недавнего времени Сима чрезвычайно легкомысленно относилась к защите своей электронной почты и аккаунтов, которые она открыла в различных социальных сетях. Почти везде она вводила в качестве пароля свой день рождения. Когда я сказал ей, что так делать нельзя и что злоумышленники легко могут взломать её почтовые ящики и аккаунты, Сима только беззаботно махнула рукой в ответ: - Господи, да кому они нужны, мои секреты! Всё же я попробовал её вразумить, рассказал кому и для чего нужны чужие аккаунты, какими методами хакеры их взламывают и какими способами следует бороться с атаками на свой пароль. Способы эти такие:
1. Делать пароль достаточно длинным, не менее 6-8 символов.
2. Употреблять в пароле большие и малые символы, специальные знаки и цифры.
3. Не использовать для всех своих аккаунтов один и тот же пароль. Ведь в этом случае если злоумышленник узнает пароль на одном аккаунте, он может попробовать воспользоваться им на других аккаунтах.
4. Не употреблять в качестве пароля или его части свои личные данные: имя, фамилию, год рождения. Тот же запрет касается имён супруга или детей. Вообще постараться не вставлять в пароль слова родного языка. А вот иностранные слова вставлять можно, хотя и осторожно. Идеальное решение - генерировать для каждого аккаунта свой пароль, состоящий из случайного набора прописных и строчных букв, цифр и специальных символов.
5. Периодически менять все свои пароли.
6. Все пароли помнить на память. Никаких записей! Бумажка, на которой указаны пароли - находка для шпиона.
Здесь Сима прервала мои объяснения: - Ну, ты и скажешь! У меня же на работе и дома с десяток почтовых ящиков и аккаунтов наберётся. Что же мне, все пароли в голове держать? Да их и не запомнишь, хоть весь день учи! - Ты недооцениваешь свою память - ответил я Симе. - Любая случайная последовательность знаков запоминается, если её вдумчиво повторить от пяти до семи раз. Но к моим резонам она не прислушалась, неправильных паролей не поменяла. Месяца не прошло, как Сима пришла ко мне, вся в слезах и с просьбой о помощи.
Какой-то вражина в один и тот же день вскрыл её аккаунт в любимых «Одноклассниках», и в «Фейсбуке», и «ВКонтакте» тоже! Попытка вскрыть почтовый ящик Гугла у гада не удалась, а то и слёз было бы больше, и повозиться с восстановлением пришлось бы не шуточно. К счастью, никаких особенных секретов Сима в социальных сетях не хранила и откровенных фотографий в Интернете не держала. Так что отделалась она неприятными ощущениями, литром слёз, а также пониманием того, что пароль - самое важное достояние в нынешнем Интернете.
Обжегшись на молоке, дуют на воду. Когда мы стали вместе придумывать для неё систему паролей, Сима вдруг заболела паранойей. Она уже поверила в могущество злобных хакеров и даже в то, что они немножко читают мысли. Любой алгоритм, предлагаемый мной для того, чтобы можно было без труда запомнить пароли, отвергала как легко разгадываемый. Если же я предлагал ей абсолютно случайные последовательности символов, которые генерировались специальной программой, Сима говорила, что никогда не сможет их запомнить.
Ситуация казалась безвыходной. И тут я вспомнил рассказ одного человека, занимавшегося компьютерной безопасностью. За один только рабочий день ему приходилось использовать массу паролей для входа в несколько десятков компьютерных систем. Как специалист он понимал, что наиболее устойчивым к хакерской атаке является длинный ключ, состоящий из совершенно случайных символов. Имея профессиональную память, он мог бы легко запомнить несколько случайных последовательностей букв, цифр и спецсимволов.
Но несколько десятков? И при этом не запутаться? Наилучший выход в этом случае состоял в том, чтобы держать пароли перед глазами на специально изготовленной парольной карте. Парольная карта (Password Card) представляет собой прямоугольную таблицу, случайным образом заполненную большими и малыми латинскими буквами, цифрами и, возможно, специальными символами вроде _, #, $, %. Одна из таких парольных карт изображена на иллюстрации.
Эта карта имеет 11 строк и 22 столбца, обозначенных числами и буквами латинского алфавита соответственно. В результате получается таблица в 242 клетки. Если для «генерации» пароля использовать только английские буквы, большие и малые, и цифры, общее число возможных символов составит 54=22*2+10. Общее же возможное число парольных карт вычисляется как 54 в степени 242. Трудно представимое число, приблизительно равное 10 в степени 419! Как же «генерируется» пароль с помощью парольной карты?
Для чего может пригодиться парольная карта?
Как генерируется пароль с помощью парольной карты? Очень просто. Выбираем любую клетку в таблице случайных символов, размещённой на карте, и движемся от неё вправо, влево, вверх или вниз на количество символов, равное длине пароля, получая, таким образом, достаточно длинную строку, составленную из совершенно случайных символов. Запомнить при этом надо совсем немного: начальную точку, направление движения и длину пароля.
Допустим, мы решили, что все пароли у нас будут состоять из 9 символов. Предположим также, что для входа в почтовый ящик Google мы выбрали пароль, начинающийся в точке G8 и идущий от этой точки налево. В этом случае мы получаем строку из 9 абсолютно случайных символов, Wwjxta4vD. (В данном случае, дойдя до левого края таблицы, мы начали движение с противоположного, правого, конца той же строчки в направлении налево.) Как видим, пароль определяется тремя параметрами, которые несложно запомнить.
Если мы захотим «сгенерировать» другой пароль для другого своего аккаунта, поменяв при этом только один из этих трёх параметров, мы получим совершенно случайный пароль, никак не связанный с первым. Например, выберем в качестве начальной точку G1. Тогда при прежней длине пароля (9 символов) и прежнем направлении его считывания (справа налево) мы получаем другую строку из 9 символов, абсолютно никак не связанную с первой - Zpxd2kHn1.
Таким образом, если враги каким-то способом выведают пароль к одному аккаунту, они не смогут вскрыть пароль для другого аккаунта, потому что никакой связи между ними нет. Это гораздо лучше, чем открывать все тайные дверцы одним ключом, как это прежде делала Сима. На самом деле нет никаких ограничений в движении по парольной карте от начальной точки. Можно перемещаться не по горизонтали или по вертикали, а в четырех диагональных направлениях, а можно и по пути, напоминающему пилу, лесенку или ход шахматного коня. Более того, не обязательно читать все символы, встретившиеся на пути. Можно, к примеру, пропускать каждый второй. Тогда для получения 9-символьного пароля придется пройти 18 символов. Не обязательно также двигаться только по одной линии.
Дойдя до края, можно переходить на следующую строчку (столбец) и продолжать движение в том же направлении, как если бы мы читали книгу. А можно, дойдя до края, перейти на следующую строчку (столбец) и двигаться по ней уже в противоположном направлении. В общем, «твори, выдумывай, пробуй».
Создать парольную карту можно самому, но в этом нет нужды. Если ввести в поисковую систему слово Password Card, можно отыскать множество компаний, которые создадут для вас парольную карту бесплатно. Эту карту можно распечатать в нескольких экземплярах и хранить рядом с рабочим или домашним компьютером. Неплохое решение - наклеить её на обратную сторону клавиатуры. Или распечатать по размеру кредитной карты и хранить в кошельке.
Хранить парольную карту как зеницу ока не нужно. Обычно на сайте, где карта генерируется, пользователю сообщают номер карты, цепочку из десятичных или шестнадцатиричных цифр. Если сохранить этот номер и ввести его повторно, то по нему система сгенерирует ту же парольную карточку ещё раз. Неплохое решение, не правда ли? По крайней мере, Симе парольная карточка понравилась. В самом деле, её всегда можно носить с собой, а значит, Сима может получить доступ к любому сайту или к любой службе в любой момент и откуда угодно.
Кроме того, никто не мешает ей повесить парольную карту на видном месте на работе или дома. Ведь никто, кроме неё, хозяйки, ни одного пароля с карты прочесть не сумеет. Как известно, лист легче всего спрятать в лесу. Как уже было сказано, парольных карт может быть очень много и все они будут разные. На сайтах парольные карты создаются только в момент обращения пользователя к системе и нигде не сохраняются. Поэтому украсть парольную карту конкретного пользователя невозможно. Если Сима потеряет парольную карту, никто не сможет воспользоваться этой находкой. Ведь нашедший не будет знать ни сайты, куда заходит Сима, ни её имена на этих сайтах, ни алгоритм, с помощью которого она «считывает» пароль с карты. В результате у Симы будет достаточно времени, чтобы заменить парольную карту на новую и обновить все пароли.
Кстати, Сима отыскала для парольной карты ещё одно применение. Цветными точками она отметила на ней цифры секретных кодов (PIN-кодов) своих кредитных карточек, которые хранятся в том же кошельке. Секретные коды нужны, например, для получения наличных из банкомата или для подтверждения покупки в некоторых магазинах. Поскольку цветных точек много и система их размещения известна только Симе, она утверждает, что в случае, если она потеряет кошелёк с кредитными карточками, никто не успеет быстро разгадать секретные коды и воспользоваться её кредитками до их отмены. Мне кажется, что благодаря парольной карте она вылечилась от паранойи и снова поверила в людскую честность и порядочность.
Автор: Марк Блау
Как решить проблему хранения паролей?
Есть у меня знакомая, которую я решил вывести в этой статье под псевдонимом Сима. До недавнего времени Сима чрезвычайно легкомысленно относилась к защите своей электронной почты и аккаунтов, которые она открыла в различных социальных сетях. Почти везде она вводила в качестве пароля свой день рождения. Когда я сказал ей, что так делать нельзя и что злоумышленники легко могут взломать её почтовые ящики и аккаунты, Сима только беззаботно махнула рукой в ответ: - Господи, да кому они нужны, мои секреты! Всё же я попробовал её вразумить, рассказал кому и для чего нужны чужие аккаунты, какими методами хакеры их взламывают и какими способами следует бороться с атаками на свой пароль. Способы эти такие:
1. Делать пароль достаточно длинным, не менее 6-8 символов.
2. Употреблять в пароле большие и малые символы, специальные знаки и цифры.
3. Не использовать для всех своих аккаунтов один и тот же пароль. Ведь в этом случае если злоумышленник узнает пароль на одном аккаунте, он может попробовать воспользоваться им на других аккаунтах.
4. Не употреблять в качестве пароля или его части свои личные данные: имя, фамилию, год рождения. Тот же запрет касается имён супруга или детей. Вообще постараться не вставлять в пароль слова родного языка. А вот иностранные слова вставлять можно, хотя и осторожно. Идеальное решение - генерировать для каждого аккаунта свой пароль, состоящий из случайного набора прописных и строчных букв, цифр и специальных символов.
5. Периодически менять все свои пароли.
6. Все пароли помнить на память. Никаких записей! Бумажка, на которой указаны пароли - находка для шпиона.
Здесь Сима прервала мои объяснения: - Ну, ты и скажешь! У меня же на работе и дома с десяток почтовых ящиков и аккаунтов наберётся. Что же мне, все пароли в голове держать? Да их и не запомнишь, хоть весь день учи! - Ты недооцениваешь свою память - ответил я Симе. - Любая случайная последовательность знаков запоминается, если её вдумчиво повторить от пяти до семи раз. Но к моим резонам она не прислушалась, неправильных паролей не поменяла. Месяца не прошло, как Сима пришла ко мне, вся в слезах и с просьбой о помощи.
Какой-то вражина в один и тот же день вскрыл её аккаунт в любимых «Одноклассниках», и в «Фейсбуке», и «ВКонтакте» тоже! Попытка вскрыть почтовый ящик Гугла у гада не удалась, а то и слёз было бы больше, и повозиться с восстановлением пришлось бы не шуточно. К счастью, никаких особенных секретов Сима в социальных сетях не хранила и откровенных фотографий в Интернете не держала. Так что отделалась она неприятными ощущениями, литром слёз, а также пониманием того, что пароль - самое важное достояние в нынешнем Интернете.
Обжегшись на молоке, дуют на воду. Когда мы стали вместе придумывать для неё систему паролей, Сима вдруг заболела паранойей. Она уже поверила в могущество злобных хакеров и даже в то, что они немножко читают мысли. Любой алгоритм, предлагаемый мной для того, чтобы можно было без труда запомнить пароли, отвергала как легко разгадываемый. Если же я предлагал ей абсолютно случайные последовательности символов, которые генерировались специальной программой, Сима говорила, что никогда не сможет их запомнить.
Ситуация казалась безвыходной. И тут я вспомнил рассказ одного человека, занимавшегося компьютерной безопасностью. За один только рабочий день ему приходилось использовать массу паролей для входа в несколько десятков компьютерных систем. Как специалист он понимал, что наиболее устойчивым к хакерской атаке является длинный ключ, состоящий из совершенно случайных символов. Имея профессиональную память, он мог бы легко запомнить несколько случайных последовательностей букв, цифр и спецсимволов.
Но несколько десятков? И при этом не запутаться? Наилучший выход в этом случае состоял в том, чтобы держать пароли перед глазами на специально изготовленной парольной карте. Парольная карта (Password Card) представляет собой прямоугольную таблицу, случайным образом заполненную большими и малыми латинскими буквами, цифрами и, возможно, специальными символами вроде _, #, $, %. Одна из таких парольных карт изображена на иллюстрации.
Эта карта имеет 11 строк и 22 столбца, обозначенных числами и буквами латинского алфавита соответственно. В результате получается таблица в 242 клетки. Если для «генерации» пароля использовать только английские буквы, большие и малые, и цифры, общее число возможных символов составит 54=22*2+10. Общее же возможное число парольных карт вычисляется как 54 в степени 242. Трудно представимое число, приблизительно равное 10 в степени 419! Как же «генерируется» пароль с помощью парольной карты?
Для чего может пригодиться парольная карта?
Как генерируется пароль с помощью парольной карты? Очень просто. Выбираем любую клетку в таблице случайных символов, размещённой на карте, и движемся от неё вправо, влево, вверх или вниз на количество символов, равное длине пароля, получая, таким образом, достаточно длинную строку, составленную из совершенно случайных символов. Запомнить при этом надо совсем немного: начальную точку, направление движения и длину пароля.
Допустим, мы решили, что все пароли у нас будут состоять из 9 символов. Предположим также, что для входа в почтовый ящик Google мы выбрали пароль, начинающийся в точке G8 и идущий от этой точки налево. В этом случае мы получаем строку из 9 абсолютно случайных символов, Wwjxta4vD. (В данном случае, дойдя до левого края таблицы, мы начали движение с противоположного, правого, конца той же строчки в направлении налево.) Как видим, пароль определяется тремя параметрами, которые несложно запомнить.
Если мы захотим «сгенерировать» другой пароль для другого своего аккаунта, поменяв при этом только один из этих трёх параметров, мы получим совершенно случайный пароль, никак не связанный с первым. Например, выберем в качестве начальной точку G1. Тогда при прежней длине пароля (9 символов) и прежнем направлении его считывания (справа налево) мы получаем другую строку из 9 символов, абсолютно никак не связанную с первой - Zpxd2kHn1.
Таким образом, если враги каким-то способом выведают пароль к одному аккаунту, они не смогут вскрыть пароль для другого аккаунта, потому что никакой связи между ними нет. Это гораздо лучше, чем открывать все тайные дверцы одним ключом, как это прежде делала Сима. На самом деле нет никаких ограничений в движении по парольной карте от начальной точки. Можно перемещаться не по горизонтали или по вертикали, а в четырех диагональных направлениях, а можно и по пути, напоминающему пилу, лесенку или ход шахматного коня. Более того, не обязательно читать все символы, встретившиеся на пути. Можно, к примеру, пропускать каждый второй. Тогда для получения 9-символьного пароля придется пройти 18 символов. Не обязательно также двигаться только по одной линии.
Дойдя до края, можно переходить на следующую строчку (столбец) и продолжать движение в том же направлении, как если бы мы читали книгу. А можно, дойдя до края, перейти на следующую строчку (столбец) и двигаться по ней уже в противоположном направлении. В общем, «твори, выдумывай, пробуй».
Создать парольную карту можно самому, но в этом нет нужды. Если ввести в поисковую систему слово Password Card, можно отыскать множество компаний, которые создадут для вас парольную карту бесплатно. Эту карту можно распечатать в нескольких экземплярах и хранить рядом с рабочим или домашним компьютером. Неплохое решение - наклеить её на обратную сторону клавиатуры. Или распечатать по размеру кредитной карты и хранить в кошельке.
Хранить парольную карту как зеницу ока не нужно. Обычно на сайте, где карта генерируется, пользователю сообщают номер карты, цепочку из десятичных или шестнадцатиричных цифр. Если сохранить этот номер и ввести его повторно, то по нему система сгенерирует ту же парольную карточку ещё раз. Неплохое решение, не правда ли? По крайней мере, Симе парольная карточка понравилась. В самом деле, её всегда можно носить с собой, а значит, Сима может получить доступ к любому сайту или к любой службе в любой момент и откуда угодно.
Кроме того, никто не мешает ей повесить парольную карту на видном месте на работе или дома. Ведь никто, кроме неё, хозяйки, ни одного пароля с карты прочесть не сумеет. Как известно, лист легче всего спрятать в лесу. Как уже было сказано, парольных карт может быть очень много и все они будут разные. На сайтах парольные карты создаются только в момент обращения пользователя к системе и нигде не сохраняются. Поэтому украсть парольную карту конкретного пользователя невозможно. Если Сима потеряет парольную карту, никто не сможет воспользоваться этой находкой. Ведь нашедший не будет знать ни сайты, куда заходит Сима, ни её имена на этих сайтах, ни алгоритм, с помощью которого она «считывает» пароль с карты. В результате у Симы будет достаточно времени, чтобы заменить парольную карту на новую и обновить все пароли.
Кстати, Сима отыскала для парольной карты ещё одно применение. Цветными точками она отметила на ней цифры секретных кодов (PIN-кодов) своих кредитных карточек, которые хранятся в том же кошельке. Секретные коды нужны, например, для получения наличных из банкомата или для подтверждения покупки в некоторых магазинах. Поскольку цветных точек много и система их размещения известна только Симе, она утверждает, что в случае, если она потеряет кошелёк с кредитными карточками, никто не успеет быстро разгадать секретные коды и воспользоваться её кредитками до их отмены. Мне кажется, что благодаря парольной карте она вылечилась от паранойи и снова поверила в людскую честность и порядочность.
Автор: Марк Блау