Присоединяйтесь к нашим группам
АКЦИИ СКИДКИ

ВКонтакте | ОдноКласники

Инстаграм и Фейсбук признаны террорестическими организациями на территории России




Как создать неподбираемый пароль

Стандартные пароли хакеры расшифровывают в мгновение ока. CHIP покажет, как быстро придумать надежные коды и удобно с ними работать.

Ваши пароли надежны? Чтобы убедиться в этом, пройдите тест на сайте howsecureismypassword. net. Если вы, к примеру, предпочитаете использовать в качестве пароля имя вашего ребенка, введите ненастоящее, например «karin» или «tobias». На этой веб-странице вы узнаете, сколько времени потребуется обычному компьютеру, чтобы с помощью специальной утилиты узнать ваш пароль методом полного перебора. Что касается имен, это происходит моментально. Немного больше времени, а именно семь часов, займет процесс, если вы добавите дату рождения, например «karin2401». Такой пароль, как «sKdfj4/ asl230!D_a%Up», однако, никогда не взломать даже с помощью чистой компьютерной мощи: машине понадобится примерно 35 секстиллонов лет. Проблема в том, что в обычной жизни такой чудовищный пароль никто

 

не сможет запомнить. Ситуация усугубляется тем, что, как правило, необходимо держать в уме множество таких кодов. Все чаще требуются пароли, максимально отличающиеся друг от друга: для Windows, почты, онлайн-магазинов и банкинга, eBay, Dropbox, Facebook и т. д.
Задачи повседневной жизни
Откуда же при необходимости быстро взять надежный пароль, который легко запомнить? Где сохранить данные доступа? Баг Heartbleed («сердечная уязвимость») показал, что порой за короткое время приходится обновлять целый ряд личных паролей. CHIP расскажет, как выработать стратегию создания паролей.
БЕЗУПРЕЧНЫЕ пароли
Существует много способов создать надежные пароли. Выберите подходящий вам метод.
1. Никакого повторного использования
Правило №1 банально, но, к сожалению, редко соблюдается. Оно гласит: используйте для каждой службы отдельный пароль. Если его подберут, пострадает только один аккаунт, а вы сможете быстро ограничить ущерб.
2. Идеальные добавки
Длина пароля должна быть не менее восьми символов, и чем больше, тем лучше. Хорошим компромиссом будет 10—12 знаков. Комбинация из заглавных и прописных букв является обязательным условием, а добавление цифр и специальных символов усложнит задачу хакерам, действующим методом полного перебора. На странице сервиса gaijin.at/olspwgen.php есть примеры таких паролей.
3. Рисунок вместо знаков
Карта паролей от Savernova выполняет роль бумажки с записанным кодом, однако гораздо надежнее. Скачать и распечатать матрицу можно с сайта en.savernova.com. По размеру не больше карточки с правами, она представляет собой таблицу с хаотическим набор букв и цифр (см. изображение справа). Для каждого сервиса нужно записать только стартовую точку, а в голове хранить последовательность. В примере справа рисунок начинается со строчки 7 столбца Е. Получаем пароль «Au8S4s7tP».
4. Индивидуальные принципы построения
Хранить много надежных паролей в голове позволяет только выработка личного принципа их построения. Пример: исходным пунктом является неизменное понятие, например название сайта, то есть для входа в Facebook — «Facebook». Уберите каждую вторую букву, получится «Fcbo». Теперь добавим дату, сначала день, затем месяц, в виде кавычек для последних букв. Для 03 мая получаем «0F3cb0o5». После каждой цифры вставьте специальный символ или цифру, то есть после «3» — «§» и так далее. Готовый пароль будет выглядеть следующим образом — «0=F3§cb0=o5%». Заучите сам принцип, а не пароль. Стратегию построения раз в год нужно менять.
5. Программное решение
Хорошим вариантом может стать менеджер паролей, сохраняющий их в зашифрованных контейнерах. Доступ к самому сейфу защищен мастер-паролем. Преимущество: нужно запомнить только мастер-пароль. Удачный выбор — бесплатная утилита Кее Pass .
6. Генераторы паролей
Такие менеджеры, как Кее Pass, могут генерировать случайные пароли. Для этого в меню «Tools» нажмите на «Password Generator».
СОВЕТЫ по работе с паролями
На практике при работе с паролями возникают дополнительные сложности: что делать со вторыми устройствами, пробными аккаунтами, а также при краже паролей?
1. Перенос на другие устройства
Если у вас несколько компьютеров, воспользуйтесь портативной версией бесплатного менеджера паролей KeePass (есть на нашем DVD). Предлагаемый файл ZIP можно разархивировать на USB-накопитель и взять с собой. Чтобы ваши пароли оказались и на компьютере, и на мобильных устройствах, выберите одну из предложенных ниже стратегий.
2. Синхронизация устройств
Существуют службы, автоматически синхронизирующие ваши пароли на различных устройствах, к примеру, LastPass или 1 Password. Синхронизация осуществляется либо через облачное хранилище, либо локально. Если вы пользуетесь на своем компьютере сейфом KeePass, вы можете бесплатно получить доступ к паролям с помощью приложений MiniKeePass(iOS) или KeePassDroid (Android), которые откроют базу данных на вашем смартфоне или планшете. Синхронизировать базы данных, однако, придется вам самостоятельно. Оба приложения могут импортировать пароли через Dropbox.
Важно! Не оставляйте зашифрованный контейнер в Dropbox, а сразу удалите его после синхронизации.
3. Разовые пароли
Если вы часто тестируете различные веб-сервисы, можете использовать такие разовые пароли, как «0123аЬс». Подобные простые коды даже надежнее, чем часто предлагаемый вход через учетные записи Facebook и Twitter, поскольку так вы застрахованы от нежелательного доступа к вашим социальным сетям.
4. Двойная защита
Больше безопасности по сравнению с одним только паролем дает двухэтапная аутентификация: в этом случае для успешного входа вам потребуется не только пароль, но и второй код подтверждения, как правило, PIN. Он отсылается по SMS или генерируется с помощью приложения. например, Google Authenticator, и действителен лишь некоторое время. Такие службы, как почта Gmail, позволяют обезопасить себя этим образом. Для включения перейдите в меню «Конфиденциальность | Двухэтапная аутентификация».
5. Быстрое восстановление
Если все ваши данные размещены в менеджере паролей KeePass, сброс данных для входа пройдет очень быстро. Для этого в списке перейдите к записи атакованного аккаунта, щелкните правой кнопкой мыши и выберите «OpenURL(s)»
Как уберечь данные от кражи и «считывания»
Мало иметь защищенный пароль — нужно еще уметь его надежно защитить от кейлоггеров и других уловок’ злоумышленников, промышляющих в Сети.
Инструменты защиты в антивирусах
Современные антивирусы, наряду с другими функциями безопасности, обладают также и инструментами защиты от кейлоггеров — шпионских программ, считывающих пароли с клавиатуры и экрана. Например, в пакете Kaspersky Internet Security при вводе символов в поле пароля включается специальный защищенный режим. Этот антивирус также обладает функцией защиты вводимых данных при онлайн-банкинге. Другой продукт этой компании — Kaspersky CRYSTAL — помимо прочего имеет в своем составе менеджер паролей с функцией генератора набора символов. В нем также есть инструменты шифрования данных. В Norton Internet Security для работы с паролями имеется инструмент Identity Safe. Программу можно скачать и отдельно, не устанавливая антивирус (identitysafe. norton.com). Для частного использования она бесплатна.
Настраиваем браузер
Хранить пароли в браузерах небезопасно. Например, если злоумышленник получит доступ к файлам key3.db и signons.sqlite в папке Firefox, то затем ему не составит труда открыть профиль пользователя и воспользоваться его базой паролей. Аналогичные файлы базы паролей имеются в Opera и IE. Конечно, они зашифрованы, однако профи всегда найдут способ их взломать. Поэтому при входе в аккаунты соцсетей или почтовые сервисы всегда снимайте галочку с чекбокса «Запомнить пароль» или наоборот, в поставьте ее в поле «Чужой компьютер». В настройках Firefox в разделе «Приватность» оставьте пустым чекбокс «Помнить историю поиска и данных форм». А в разделе «Защита» не ставьте галочку в поле «Запоминать пароли для сайтов». В Chrome стоит активировать опцию «Включить защиту от фишинга и вредоносного ПО.
Очистка временных файлов
При работе с любыми браузерами в их кеше сохраняются временные файлы, в том числе сооkies. Это небольшие файлы, в которые браузер записывает данные с посещенных вами вебстраниц. Обычно сайты считывают сооkies, чтобы «узнать» посетителя ресурса, в частности, чтобы не спрашивать каждый раз его логин и пароль. Это удобно, так как позволяет сэкономить много времени — не нужно вспоминать учетные данные и заполнять различные поля. Однако для тех, кто опасается за их сохранность, желательно удалять эти файлы сразу по окончании сессии в браузере. Такую функцию можно настроить в установках браузера либо использовать каждый раз специальную чистящую утилиту, например, CCIeaner. Чтобы избавить себя от ручного ввода данных, рекомендуем использовать указанные выше менеджеры паролей.
Шифрование в облачных хранилищах
Как мы уже говорили выше, базы данных паролей удобно хранить в облачных хранилищах, чтобы иметь возможность синхронизировать их между различными устройствами. Однако из соображений безопасности в открытом виде, то есть без дополнительного шифрования, оставлять их там опасно. АНБ США и другие спецслужбы могут в любой момент запросить у провайдеров доступ к облачному хранилищу, а значит,
конфиденциальная информация может попасть в чужие руки. Программы — менеджеры паролей, такие как KeePassDroid или Identity Safe, уже используют для своих баз шифрование. Для большей уверенности можно заархивировать файл базы данных с шифрованием. Например, шифрование до 256 бит поддерживает мобильное приложение AndroZip (Android). Архивы совместимы с «настольными» архиваторами.
Источник статьи: CHip 11/2014