Как защитить пароль от взлома

Статьи
02 ноября 2011

Сегодня значительную роль в жизни человека играют пароли. Всюду в Интернете, на каждом сайте, каждая учётная запись должна иметь свой пароль, для того, что бы пользователь получил доступ к её данным. Потеря или взлом пароля зачастую могут вылиться в большую проблему и головную боль.

В данной статье речь пойдёт о паролях, методах взлома и создания паролей.

Как ломают пароли?

Всегда существует как минимум два способа взломать пароль. Это банальный подбор (что занимает огромное количество ресурсов и времени, но при должном везении, а вернее при должной наивности пользователя не займёт и часа) и не менее банальная «атака домашних любимцев».

Подбор пароля

Признайте ведь где-нибудь, хотя бы раз вы ставили банальный и всем известный пароль qwerty. Это конечно хорошо, если он стоит у вас не на почтовом ящике, через который можно взломать почти все существующие ваши пароли. Подбор пароля это набор случайных цифр в поле пароль и он подразумевает необходимость знать саму учётную запись. На некоторых сайтах это очевидно, на других скрыто. Это всё вопросы безопасности самого сайта, но вот, что можем сделать мы, чтобы не быть взломанным? Об этом вы узнаете в следующем разделе, где сможете прочитать рекомендации по созданию паролей.

Атака домашних любимцев (pet attack)

На многих сайтах вы можете наблюдать такую вещь, как форма восстановления пароля. Зачастую там встречается около 10 стандартных вопросов, в ответ на которые вы должны ввести ключевое слово. Так вот, если злоумышленник знает вашу учётную запись то, прежде всего, он испробует этот способ атаки. Проверит в форме восстановления пароля, какой именно вопрос установлен у вас. А потом напишет вам, якобы познакомиться и постарается выудить из вас этот ответ. Поверьте, ничего не подозревающий пользователь часто делает глупость, давая злоумышленнику ключ в такой расслабленной и дружеской беседе.

Однако способ застраховаться есть. И он до боли просто и некоторые опытные специалисты по вопросам защиты информации называют его откровенно идиотским. Но именно в этом и ключ к решению такой вроде трудной задачи. Попробуйте дать ответ на другой вопрос из списка, не тот который выбрали. И помните всегда, что «Кличкой вашего первого питомца» была «Девичья фамилия матери», как бы его не звали на самом деле.

Рекомендации к паролям и их составлению

Собственно, что бы осложнить процесс взлома пароля выделяют большое число рекомендаций применимых к его выбору и составлению, мы постараемся привести лишь некоторые, самые важные из них, но разобрать их с ног до головы.

Борьба с qwerty

Опустите глаза на клавиатуру и посмотрите, как расположены эти клавиши. Нет сомнений, вы заметили, что они идут подряд. Так вот никогда не делайте таких глупостей. Ни в коем случае не допускайте больше двух символов идущих подряд в своём пароле. Так, например пароли вроде qwinto или abscuro будут довольно эффективны (их называют стойкими, то есть такими, которые сложно взломать), а вот пароли вроде qwento или abco будут неэффективными, на их взлом уйдёт намного меньше времени. Подбирая пароль, старайтесь избегать чередующихся символов (по алфавиту или по раскладке клавиатуры) это может спасти вас от взлома подбором.

Коллизии – что это и как их избежать

Придумывая ключ для шифрования старайтесь избежать таких глупостей, как повторение символов. Само по себе слово Коллизия уже является паршивым паролем, в нём мы имеем две буквы Л идущие подряд. При шифровании это даст немалое количество повторяющихся символов. А повторение одного и того же символа в пароле намного упрощает его подбор. Поэтому как бы ни хотелось, постарайтесь избегать повторных символов и использования одних и тех же букв в своём паролем.

Длинна против эффективности

Некоторые люди считают, что названия исландских вулканов представляют из себя отличные пароли. А давайте будем честны, вы готовы запоминать по 15 символов текста, о который можно язык сломать? Да и зачастую коллизий и упорядоченности символов в этих названиях более, чем много. Сравните по приведённым выше параметрам 2 простых пароля (условно простых, конечно же):

1) Верный

2) Йокалатаракойль

Если вы сейчас подумали, что второй пароль лучше, то перечитайте раздел по новой. Давайте посмотрим, что мы имеем в обоих случаях и какие недостатки в них мы можем увидеть:

1) Малое число символов, использован один алфавит, нет цифр. Однако все символы довольно разбросаны по алфавиту и раскладке. И в пароле мы имеем 6 эффективных символов.

2) Большое число символов, один алфавит, отсутствуют цифры. Однако мы имеем в данном пароле по две буквы «к», «й», «о» и «л». Имеем сразу четыре буквы «а». Поэтому, по сути, в нашем пароле 6 символов.

Не нужно быть семи пядей во лбу, что бы сообразить, что эти пароли надёжны одинаково, невзирая на количество символов, которые использованы во втором. Поэтому можно смело сказать, что пароль это такая штука, где количество очень редко переплетается с качеством.

Использование цифр

Но как же сделать наш первый пароль эффективнее? Усложнить процесс его взлома и сделать так, что бы он оказался еще сложнее и эффективнее? Довольно просто, как вы можете понять из заголовка – достаточно добавить к нему цифры. Если вам интересно, можете поискать в учебниках по мат.анализу формулы и посмотреть сколько же комбинаций дадут 32 и 42 символов и насколько значительной будет разница.

Имейте в виду, что добавить к слову «Верность» что-то вроде «11111» или «666» это, конечно решение, но вообще-то бестолковое. Вносим больше символов для запоминания, а эффективность повышаем лишь на единицу. Поэтому лучше всего следуя правилам применимым к буквам подобрать 3-4 цифры. Так, например, пароль «Верность1859» будет содержать 10 эффективных символов (если вы достали учебник, то посмотрите сколько комбинаций с повторениями составят эти 10 символов и поймёте, что, даже подобрав буквы, человек будет мучиться дальше).

Бессмысслицы

Довольно эффективными паролями являются бессмысленные наборы букв и цифр, которые подобраны посредством "катания лицом по клавиатуре" и последующим редактированием. Не знаю, кто сказал мне когда-то эту глупость. Если пароль будут взламывать, то злоумышленник не будет сидеть и сам нажимать каждую букву, он поручит это программе вроде “BrutForce”. А программе, открою по секрету, осмысленные слова не известны, она просто будет перебирать варианты. Поэтому не морочьте себе голову запоминанием кучи бессвязных символов, а подберите что-то в соответствии с рекомендациями.

Опасности взлома

Собственно говоря, что бы вы поняли, чем может закончиться взлом, например почтового ящика, вашему вниманию представлен случай из практики одного человека. Он работал через Интернет и многие контакты у него были завязаны на электронной связи (почта и icq). И вот однажды его довольно примитивно взломали выудив из него девичью фамилию матери. На следующий день ему перезвонил друг и спросил зачем ему нужны 5 у.е. на чьём-то чужом кошельке. Спохватившись человек понял, что остался без icq и почты, а с его номера более, чем 50 человек получили просьбу «Отправить 5 у.е. на такой-то кошелёк» с обещанием потом вернуть. Сколько именно человек повелось на обман не удалось узнать и по сей день, но его невнимательность хорошо обогатила злоумышленника.

Поэтому имейте в виду. Всегда ответственность лежит на вас. Составляя пароль, вы можете сделать элементарную глупость, сказав его кому-то постороннему. Что знают двое – знают все, руководствуйтесь этим принципом и старайтесь не сообщать никому личных паролей. Также старайтесь следовать элементарной логике. Если вы не сбережёте свой пароль, то никакие хитрости и тонкости не помогут вам этого сделать.