Каждый человек, активно использующий многочисленные веб-сервисы, рано или поздно сталкивается с проблемой хранения паролей. Использовать везде один и тот же пароль противоречит правилам безопасности, а запоминать для каждого сервиса уникальный сложный пароль просто не возможно…
В этом случае пользователь начинает подбирать подходящее решение, призванное обеспечить надежное хранение и облегчить использование паролей.
Кто-то использует встроенные в браузер средства, другие устанавливают специальные программы – менеджеры паролей, третьи – используют онлайновые сервисы.
Сегодня я хочу вас познакомить с еще одним способом управления паролями, который занимает несколько особое положение среди известных решений.
Supergenpass – это специальный букмарклет, который устанавливается в Firefox, Safari, Opera или IE и служит для генерации безопасных паролей. Создание паролей производится на основе мастер-пароля и адреса сайта, для которого вы его создаете. Таким образом, вам достаточно помнить только один главный пароль, а все другие пароли нигде не сохраняются, а генерируются по вашему запросу на основе адреса сайта.
Давайте рассмотрим небольшой пример. Вы уже установили букмарклет Supergenpass в свой браузер и теперь, допустим, вам нужно зарегистрироваться на популярном спортивном сайте Endomondo. Для этого надо заполнить стандартную форму, содержащую адрес электронной почты и пароль. Когда доходит дело до ввода пароля щелкаем букмарклет Supergenpass и вводим главный пароль. На основе этого пароля и адреса сайта, скрипт генерирует уникальный пароль для этого сервиса и вводит в нужные поля.
На рисунке: 1 – форма регистрации; 2 – Supergenpass; 3 – сгенерированный пароль; 4 – мастер пароль.
После того, как вы зарегистрировались на сервисе, для входа вам достаточно щелкнуть букмарклет и ввести свой мастер-пароль. Supergenpass опять сгенерирует пароль для этого сайта и по возможности введет в нужные поля. Таким образом, благодаря этому букмарклету для каждого сайта будут генерироваться уникальные сложные пароли, которые не надо держать в голове – достаточно помнить только один главный шифр.
У подобного метода наверняка найдутся как последователи, так и противники. К достоинствам можно отнести легкость и удобство использования, отсутствие необходимости хранения паролей на локальной машине или онлайновом сервисе. Противники, несмотря на клятвенные уверения разработчиков о надежности и мощных алгоритмах шифрования, наверняка укажут на возможные уязвимости. Мне лично кажется, что Supergenpass вполне может быть использован для управления паролями, кроме доступа к вашей критически важной, например финансовой информации.
7 способов управления вашими паролями
Для тех из нас, память которых короче памяти супермена, мы можем предложить несколько способов безопасной работы с именами и паролями.
- Текстовый файл. Это самый простой способ. Каждый раз при заведении нового пароля поместите его в текстовый файл, таблицу Excel или любой другой формат, удобный для вас. Проблема такого подхода очевидна: если файл попадёт кому-то в руки, все пароли и явки будут засвечены. Однако вы можете зашифровать файл, например с помощью TrueCrypt, на всякий случай.
- Позвольте браузеру всё запомнить самому. Современные браузеры способны запоминать ваши пароли и подставлять их автоматически при посещении сайтов. Но в таком случае вы привязаны к конкретному экземпляру браузера. Обойти это в Firefox можно пользуясь портативной установкой, либо с помощью passwordexporter, либо положившись на экспериментальные возможности Mozilla Weave.
- Используйте специальное хранилище. Приложения вроде CiphSafe для OS X или PassKeeper для Windows, разработаны специально для предоставления безопасного хранения паролей на клиентской машине. Это гораздо удобнее шифрования файла вручную, однако здесь могут возникать вопросы несовместимости между разными ОС.
- Используйте менеджер паролей. Такие программы помогают и сгенерировать, и сохранить и автоматически подставить ваши пароли. Для Windows можно предложить RoboForm, а для OS X – 1Password. Проблема такогоподхода понятна: сложно синхронизировать несколько компьютеров.
- Генерируйте пароли по необходимости. Подобной стратегии придерживается PasswordMaker. Данная программа доступна для Firefox, Windows, Mac OS и других способов доступа, включая виджеты. Пароль в данном случае генерируется на основании мастер-пароля и url сайта, защищаемого этим паролем.
- Используйте online-хранилища. Приложения вроде Clipperz или my1Password (бета) хранят все ваши пароли как зашифрованные данные, доступные только по вашему мастер-паролю. Для получения нужного пароля нужно будет зайти на сайт и ввести мастер-пароль. Решение проблем совместимости на лицо, однако удобство таких решений – вопрос личных пристрастий.
- Используйте Proxy-сервис. Такой подход реализован в , который позволяет вам зарегистрировать одну учётную запись, а затем с помощью неё входит в различные Web-приложения. Данный сервис сохраняет для вас имена и пароли, вопрос состоит лишь в том, насколько вы доверяете их собственной безопасности.
Самые ненадёжные пароли
Компьютерщик Брюс Шнайдер на сайте Wired опубликовал список самых популярных и самых ненадёжных паролей в Интернете. Пользователи зачастую ленятся придумать оригинальный пароль и выбирают самое простое слово или комбинацию букв и цифр. Также на выбор слишком простого слова пользователей толкает страх забыть свой пароль.
Исследование было проведено с помощью фишеров – профессиональных взломщиков интернет-паролей. Была создага поддельная страница сайта MySpace, куда доверчивые посетители вводили свои данные – логин и пароль. На основании полученных данных был составлен рейтинг самых популярных паролей. Исследователи рекомендуют сменить свой пароль в том случае, если вы обнаружили его в этом списке.
1. password
2. 123456
3. qwerty
4. abc123
5. fuckyou
6. iloveyou
7. monkey
8. letmein
9. princess
10. (имя пользователя).
Ненадежные пароли предоставляют злоумышленникам легкий доступ к компьютерам и сети, в то время как надежные пароли значительно труднее взломать, даже с помощью современного программного обеспечения для взлома паролей.
Для взлома паролей используются все более изощренные программы и мощные компьютеры. В программном обеспечении для взлома паролей используется один из следующих трех подходов: интеллектуальное угадывание, атака перебором по словарю и атаки методом автоматического подбора, в которых перебираются все возможные комбинации символов.
Имея достаточное количество времени, можно взломать любой пароль методом автоматического перебора. Однако надежные пароли взломать гораздо труднее, чем ненадежные. На защищенном компьютере все учетные записи пользователей имеют надежные пароли.
Ненадежный пароль:
- пустой;
- содержит имя пользователя, действительное имя или название компании;
- содержит полнозначное слово. Например, Пароль — это ненадежный пароль.
Надежный пароль:
- состоит как минимум из семи символов;
- не содержит имени пользователя, действительного имени или названия компании;
- не содержит полнозначного слова;
- значительно отличается от паролей, использовавшихся ранее. Последовательность паролей, составленная по принципу: Пароль1, Пароль2, Пароль3 и т.д., состоит из ненадежных паролей;
- содержит символы, относящиеся к каждой из следующих четырех групп.
О группе Примеры:
Прописные буквы
A, B, C …
Строчные буквы
a, b, c …
Цифры
0, 1,2, 3, 4, 5, 6, 7, 8, 9
Символы, указанные на клавишах клавиатуры (не все такие символы определяются как буквы или цифры)
` ~ ! @ # $ % ^ & * ( ) _ + - = { } | \ : " ; ' < > ? , . /
Надежный пароль может выглядеть следующим образом: J*p2leO4>F.
Пароль может соответствовать практически всем условиям надежного пароля, но при этом оставаться ненадежным.
Например пароль Hello2U! достаточно ненадежен, даже несмотря на то, что он обладает почти всеми признаками надежного пароля, а также соответствует требованиям сложности политики паролей.
Пароль H!elZl2o является надежным паролем, поскольку в этом примере полнозначное слово разбито на части символами, цифрами и другими буквами.
Неофициальная статистика
О информации, слитой на одном закрытом форуме по «информационной безопасности», использование лёгких паролей среднестатистическими пользователями это не бред. Посмотрите на диаграмму. Это статистика (в процентах) паролей российских пользователей от своей электронной почты в 2011м году.
Ярко-красный: только цифры
Оранжевый: только маленькие латинские буквы
Жёлтый: сочетание цифр и маленьких латинских букв
Светло-зелёный: латинские буквы разного регистра или только большие латинские буквы
Зелёный: цифры и (латинские буквы разного регистра или только большие латинские буквы)
Тёмно-зелёный: используется что-то кроме латинских букв и цифр.
Треть пользователей используют в качестве пароля только цифры.
Впечатлило?
Расшифровки диаграмм внизу аналогичны той, что сверху. Диаграммы справа: количество символов в пароле: «меньше четырёх» (цвет зелёного чая), «четыре» (зелёный), «пять» и так далее до «больше 12и» (чёрный).
4.5% всех паролей это русские слова/сочетания слов…
Рекомендации по установке паролей:
-
Никогда не делайте пароль состоящий из одних цифр. Вариантов подбора такого пароля немного и взломщик с помощью специального софта без труда справится с этим.
-
Пароль не должен быть словом русского или английского словаря. Большинство генераторов паролей имеют неплохую словарную базу.
-
Пароль не должен иметь прямого отношения к вашим друзьям или родственникам, и уж тем более к вам. Такой пароль легко подобрать.
-
Чтобы иметь практически стопроцентную гарантию по защите пароля делайте его из букв верхнего и нижнего регистра и/или состоящий из цифр и букв одновременно.
-
Не ставьте одинаковые пароли на разные сервисы, например, одноклассники и вашу рабочую почту.
-
Понятно, что запомнить сложные пароли тяжело (ведь на то они и сложные), можете придумать для себя хитрый алгоритм. Пример, навскидку, алгоритма такой: берете первую букву и седьмую сайта (computerstory.ru — «c» и «e»). «c» – третья буква в алфавите, «e» - шестая. 36 + сочетание букв «hg77hg9i». И так делать на любом сайте. Теперь вам нужно будет лишь запомнить сочетание букв, усложняющее взлом и придуманный вами же алгоритм. Алгоритм я привел очень простой(придется проявить фантазию), но это всё же лучше паролей вида olya1983.
-
Также довольно сложно поддаются взлому фразы вида «Дядя Коля скушал грушу и она запала в душу». Долго набирать — воскликнут некоторое, но пусть они вспомнят сколько лишних слов они набирают в аське и задумаются.
-
Никогда, не сохраняйте в браузерах или клиентах для общения типа icq свои пароли.
Лучше лишний раз их введите — ведь в этом есть большой плюс: так вы не забудете свой пароль.
-
Не перебирайте все ваши пароли на одном сайте. Если забыли — лучше восстановите его и смените.
-
Секретные вопросы на почте никогда не делайте такие, которые там предложены по умолчанию. Если и придумываете вопрос, то ответ на него должен быть известен и очевиден вам и только вам.
Самый главный совет: не отключайте антивирус при работе в интернете.
Комментариев нет:
Дорогие читатели!
Мы уважаем ваше мнение, но оставляем за собой право на удаление комментариев в следующих случаях:
- комментарии, содержащие ненормативную лексику
- оскорбительные комментарии в адрес читателей
- ссылки на аналогичные проекту ресурсы или рекламу
- любые комментарии связанные с работой сайта