На пръв поглед е много лесно, правим го постоянно. В поредната форма ни се показва поленцето за парола, пишем, повтаряме в следващото поленце, enter и готово. Разчитаме, че никой зложелател никога няма да се досети, че сме използвали годината, в която папа Григорий IX издава своя труд Liber extra – 1234. И вярваме, че данните ни са защитени, докато изведнъж се оказва, че сме изгубили профила си. Или от банковата ни карта са изтеглени доста пари от Малдивите, макар отдавна да не сме ходили по-далеч от Околовръстното. Изборът на парола е едно от първите базови правила, които трябва да усвои всеки интернет потребител, ако не иска да страда горко. И в него няма никаква доза изкуство, важно е просто да знаете основните правила и да намерите своята система, която да работи и да е достатъчно сигурна. Можете да я изберете от вариантите, които ще намерите по-долу. Но първо – какво е задължително да избягвате.
Цели 10% от хората използват леко усложнен вариант на годината, свързана с папа Григорий – 123456, за своя парола, показва мащабно проучване на бази данни с 275 милиона регистрации. С малко по-нисък процент идват 123456789, паролата password и други очевидно много трудно пробиваеми варианти. Ако сте сред тях, време е да се замислите дали това е добра идея. Защото по-малко от секунда отнема на всеки, който има достатъчен мотив, да „пробие“ най-популярните варианти, които слагаме за защита тогава, когато просто не ни се е мислело и сме бързали за регистрация. Така започваме с първото задължително правило.
1. Излезте от речника!
В никакъв случай не използвайте интуитивни комбинации като тази по-горе, а също и думи, които могат да бъдат намерени в някакъв речник. Дори да са професионални и никой да не знае значението. Причината за това идва от най-честия подход, с който хакерите опитват да пробият защитата ни, а именно – речниковата атака (dictionary atack). При него се използва своеобразен речник – списък с думи, включващ всички най-често използвани пароли и с всеки от тези ключове, един по един, крадецът се опитва да отвори ключалката ви.
Разбира се, днес повечето сайтове позволяват ограничен брой опити, но това почти винаги може да бъде заобиколено. Можете да разчитате, че дори паролата ви да бъде уцелена, това няма никакво значение, защото имате 2-факторна автентикация (трябва да получите и есемес, за да се логнете), но и в този случай хакерите имат определени решения. Така че силната парола е задължителна.
Не бива да пропускаме и други случаи – например, ако с паролата е защитен ваш файл, попаднал в грешните ръце. Тогава въпросните грешни ръце имат цялото време на света и безброй опити за отключване.
2. Повторението е майка на… проблема
Точно толкова задължително е и да не използвате една и съща парола в няколко сайта, а още повече – за всичките си профили в стотици страници. Да, днес се смята за правило, че никой сайт не съхранява паролите на потребителите си директно, те са криптирани и не могат да бъдат възстановени до това, което сте въвели. Но първо – не можете да сте сигурни, че всеки сайт спазва това правило и второ – винаги има риск да въведете паролата във фалшива страница и така тя да попадне не където трябва. После за хакера не е никакъв проблем да влезе в друг от акаунтите ви и стъпка по стъпка отново да ви причини много сериозни проблеми.
Освен това, дори паролата да е съхранявана в криптиран вид, това има смисъл само ако се използват системи за криптиране, които са достатъчно сигурни. Много от най-популярните преди десетилетие подходи днес са лесни за разгадаване… а това има за какво да ни кара да се замислим по отношение на днешните системи след още няколко години. Но криптирането е огромна и прелюбопитна тема, на която скоро ще посветим специален пост в рубриката за киберсигурност на ZETTAHOST.bg.
Още една фатална грешка – понякога за удобство ни се дава временна парола, която да използваме, докато си създадем своя… Е, тя е еднаква за всички, трябва ли да навлизаме в подробности защо идеята да не я сменим не е добра?
2. Размерът има (огромно!) значение
След речниковата атака идва един от най-използваните подходи за пробиване на паролите онлайн, който носи недвусмисленото име „брутална сила“. При него няма никаква елегантност – опитват се всички пароли една по една. Започва се с малко на брой знаци и постепенно се въртят всички възможни комбинации, елементарна комбинаторика от девети клас. Въпросът е, че колкото и да ни впечатлява скоростта, с която компютрите днес правят всичко, тази част от математиката не им е толкова силна. Въртенето на комбинация след комбинация е процес, който отнема много от ресурсите им, особено ако броят на комбинациите стана сериозен.
Накратко: всеки следващ знак, който добавите, би отнел много повече време на този подход, за да разбие паролата. В резултат, 12 символа е пълният разумен минимум, под който не би трябвало да падате. Защото се смята, че всяка парола от 9 знака може да бъде пробита за няколко часа от средномощен компютър, специализиран в това. А всеки допълнителен знак многократко увеличава времето, което е необходимо.
3. Цифри, букви, знаци
Понякога подценяваме и друга от защитите – въпросите за сигурност. Както добре знаете, много сайтове ви задължават като вариант за възстановяване на изгубената парола да отговорите на въпрос от типа как се е казвало кучето на дядо ви. Е, и тук 1234 не е добро име за домашния любимец, защото всеки по-старателен хакер лесно ще елиминира по този начин дори най-сложно създадената ви парола.
И, разбира се, дори паролата да е много по-дълга, ако всички знаци са еднакви или следват прекалено логична последователност, както с числата, това я прави лесна за разбиване.
На доста места ще видите, че е задължително паролата да съдържа едновременно цифри, големи и малки букви, специални знаци, при това обикновено се очаква да е такава, стане ли дума за плащане. Причината отново е същата – добавянето на допълнителен тип знаци прави по-трудно отгатването само с комбинации, защото броят им рязко расте нагоре.
Ето защо, колкото повече знаци съдържа паролата, колкото по-разнообразни са те и колкото по-нелогични, толкова по-добре – с това обобщаваме събраното до момента. Е, добре, ще си кажете, би било прекрасно на всеки сайт да сложите различна парола от 100 символа, включваща всички групи, която, на всичкото отгоре, няма никакъв смисъл. Само че идва следващата дреболия – някой трябва и да ги помни тези пароли. Никак не е удобно за всеки следващ от десетките сайтове всеки ден да възстановявате нещо подобно, а, ако случайно успявате, то със сигурност вие сте интелектуален феномен, който може да спечели луди пари в информационните технологии… или пък в цирка, помнейки 78978 поредни карти една след друга. Не, има и по-прости решения, които същевременно са достатъчно сигурни, за да сведат до минимум риска паролата ви да бъде разбита.
4. Алгоритъм с ритъм
Този вариант е на първо място, но е добра идея само за хората, които обичат логическите главоблъсканици.
Криптирането стои в основата на сигурността онлайн днес. А на прост език, това ще рече технологията, с която превръщаш нещо разбираемо в пълен хаос и обратното. Да шифрираш нещо важно, без да има шанс то да бъде дешифрирано.
Битката между хората, които се опитват да скрият информация, и тези, които дават всичко, за да я разкрият, е стара колкото човешката история. Вторите винаги настигат първите, но за кратко. Смята се, че до голяма степен това има решаващо значение и за развръзката на Втората световна война… но нас ни интересува практичното. Затова основният ни съвет гласи – комбинирайте в добрата парола няколко неща – шифър, който само вие ще запомните, обща основа и нещо специфично, което ще ви помогне да асоциирате паролата, която сте използвали, за конкретен сайт.
Пример? Ще го дадем, но само не го използвайте буквално, а намерете нещо свое. Падам си по поезията, ще се регистрирам в сайт, от който ще си поръчам очила и първата буква от домейна му е „c“. Използвам един и същи алгоритъм за всичките си пароли, но той е достатъчно свързан с индивидуалните ми преживявания, за да не може да бъде уловен. Имам ли любимо стихче, което асоциирам с очи, на Яворов. „Две хубави очи. Душата на дете в две хубави очи. Музика. Лъчи.“ Започвам с паролата, като вземам само първите букви – DhoDndvdhoML. Разделям изреченията със специален символ, който съм си избрал – Dho*Dndvdho*M*L. Първата буква на сайта е „c“, отговаря на 3, ако беше двуцифрено число, щях да го редуцирам до едноцифрено. Затова на всяка 3-а цифра започвам да добавям числата от рождената си дата, но не в интуитивен ред, а месеца, годината и датата. Ако са нужни повече цифри, повтарям. Резултатът: Dho0*Dn3dvd1ho*9M*L. Ето че вече имам нещо достатъчно дълго и неразбираемо, което мога да възпроизведа. Да, първите пъти може и да губя време, но бързо ще свикна. А и в наше време не е нужно постоянно да въвеждате паролите си, повечето сайтове го искат сравнително рядко.
Ето че стигаме и до третия възможен подход за разбиване на паролата – обратното инженерство, или, както по-често ще го срещнете – reverse engineering. При него логиката се търси на базата на вече постигнатия резултат. С други думи, стане ли дума за разбиването на пароли, тук мислим за песимистичния вариант, в който хакерът вече има достъп до няколко ваши пароли, които сте ползвали в несигурни, малки и съмнителни сайтове, за да схване логикатазад тях и да намери пътя към банковата ви сметка. Или пък ще се поинтересува персонално от вас и научавайки, че пекинезът ви се казва Кетцалкоатъл Тридесетишести Чърчил, може би разни варианти на това име на латиница са вашата парола. Именно затова не разчитайте на една-единствена логика, а комбинирайте поне две, както в примера по-горе.
5. Забавя, но не забравя
Винаги може да прибегнем и до аналогови решения. Ето още една идея – тетрадка, в която на всяка от буквите в името на сайта съответстват една или няколко думи, които нямат никаква логическа връзка с „ключа“. Офлайн ли е? Безспорно, заради което си струва да я пазите добре. А причината да се избират думи вместо букви идва именно от това, което ви разказахме за атаката с брутална сила – всеки знак повече драстично затруднява пробива.
Впрочем, не е никак случайно, че в света на криптовалутите именно поредицата от случайно подредени думи, която веднъж ви е била показана, е вариантът да възстановите изгубена парола – заради принципите на този тип технологии анонимността е на първо място и имейлът не е начин за връзка. Мнемониката е система, с която лесно помните уж случайна поредица от думи, която може да е полезна и докато си измисляте пароли. Чудесно ще е, ако се сещате как за всеки сайт можете да си спомните много поредни думи, които нямат никаква логична връзка помежду си и да ги ползвате като пароли.
Оттук нататък, разбира се, остава да пазите паролата и от всякакви посегателства, особено що се отнася до социалното инженерство – друга важна темата в киберсигурността, за която ви разказахме наскоро.
Още един жокер: ползвайте не дума, а изречение, което ви е лесно да запомните – тогава изведнъж можете да „вкарате“ в главата си много знаци, което успешно се бори с техниките за разбиване. Можете да разделяте думите с главни букви, символи, цифри – още един допълнителен щрих от защитата.
6. Въпрос на вкус
Има и други подходи, при това безброй. Всъщност изборът на решение и подход е доста интелектуално занимание. Единственият минус е, че няма как да се похвалиш пред приятелите колко оригинална криптираща система си си избрал.
Има и още нещо. Всеки път, когато се регистрирате на нов сайт, днешните браузъри ще ви предложат уникално генерирана парола, която те да пазят. Да, удобно е да не губите време и на практика никога да не въвеждате парола, всичко да се помни и набира само, да е уникално сложно и същевременно запомнящо се. Обаче, има няколко риска. Все пак, смисълът на паролата е, да не я доверявате никому, а… я доверявате на браузера.
Да, тези програми днес са основата на целия интернет, обаче все пак самата идея да споделите нещо, чиято идея е никога да не бъде споделяно някак не е добра. Казва ли ви някой как се съхраняват и как за защитени паролите от съответния браузър? Има ли нещо подобно на абсолютна сигурност в света онлайн? Прекрасно би било. Но няма как да бъде проверено, а съответно – и човек да се довери напълно. Сървърът винаги има, макар и минимален, риск да бъде превзет от зложелатели. Технологията на криптиране винаги може със следващата стъпка в техниката да бъде надмината. И, не на последно място – опитът до момента показва, че дори много сериозни компании са ставали жертва на хакерска атака. Така че, колкото и да звучи примамливо, поне ние ще опитаме следващия път, когато браузърът поиска да ни измисли паролата и да я запомни, да му откажем любезно.
7. Доверявай, но проверявай!
Някои сайтове ви канят да опитате доколко е силна паролата ви? Да, има и работещи такива, основната им идея обикновено е да проверят комбинацията от символи, които сте избрали, за това колко бързо би била пробита при използването на „брутална сила“. Но все пак, имайте едно наум. Ако някой иска да провери колко е добра паролата ви… звучи като да иска да провери дали добре помните цифрите от кредитната си карта (социалното инженерство, както казахме, е сериозна опасност).
Основно в професионалните среди, през последните години за решаването на големия паролен проблем се използват и сайтове, който вършат цялата работа, а властелин в тази област е 1password.com. Идеята е, че често много хора трябва да споделят едни и същи пароли, защото работят в една и съща фирма. А същото важи и тогава, когато е удобно да запомните една особено сложна, дълга, поетична, драматична, нелогична… да, дълга парола, и зад нея да скриете всички останали. Да, в някаква степен тук ги има рискове от предишната точка, но все пак имате сигурността на специализиран софтуер, чиято грижа е конкретно, само и единствено да запази онези пароли, които сте му делегирали.
Нека не ви зареждаме с песимизъм – мениджърите на пароли като цяло са добро решение, доказаните варианти са със сериозна защита, която не би трябвало да ви създаде проблеми, дори да бъде пробита. Както винаги в света на киберсигурността – много е трудно човек да остане на границата между небрежността и параноята, а именно – в територията на здравия разум.
8. На ръба на бръснача
И така, идеално решение няма. Във времената, в които не се налага на помним дори телефона на гаджето си, си струва да намерим достатъчно сигурно решение за себе си, а ние поне се надяваме да сме ви дали добри идеи. Само ви молим, забравете за годината, свързана с папа Григорий, и нейните събратя.
Темата е сериозна, но… нека я завършим с усмивка. Ето един доста популярен виц, който поне нас всеки път ни кара да се усмихнем.
Моля, въведете вашата парола!
„рози“
Недостатъчен брой символи!
„розови рози“
Паролата трябва да съдържа поне една цифра!
„1 розова роза“
Паролата не трябва да съдържа празни полета!
„1розовароза“
Паролата трябва да съдържа поне 10 различни символа!
„1скапанарозовароза“
Паролата трябва да съдържа поне една главна буква!
„1СКАПАНАРОЗОВАРОЗА“
Паролата трябва да съдържа поне една малка буква!
„СкапанаРозоваРоза“
Паролата трябва да съдържа поне една цифра!
„1розоваРозаДаТиСеНеВиди“
Тази парола вече е заета!
А след като знаете вече доста повече за паролите, можете да познаете защо последното изречение показва, че сайтът от анекдота не ползва добри практики. 🙂
