Това е проблем, с който се сблъсквам всеки път, когато се случи пробив в сигурността. Когато Heartbleed бе открит миналата пролет, хората масово бяха приканени веднага да променят паролите си. Е, това още е в списъка ми с неща за правене. Изпитвам физическа болка при мисълта, че може да ме хакнат, но не по-малка е болката от мисълта, че трябва да отделям време и психическа енергия да променям изцяло любимите си пароли.
Случайно и при вас ситуацията да е същата?
Ако имате своя система, с която да държите под контрол уникалните си, случайни, неразбиваеми пароли, сваляме ви шапка. Според някои статистики сте сред онези 8% от най-добре защитени потребители, които не използват многократно една и съща пароли.
Останалите все още продължаваме да търсим решение.
Знаем, че създаването на надеждна парола е жизненоважно, но как точно човек да запомни всички тези невероятно важни думи или съчетания от символи?
Предлагаме на вашето внимание начин за създаване на надеждна парола, която да не забравите още в следващия миг.
Анатомията на неразбиваемата парола
Колкото по-дълга е паролата, толкова по-трудна е за разбиване.
Най-добре е тя да е поне 12 символа. Избягвайте имена, места и думи от речника. Съчетавайте различни символи. Използвайте вариации в главните букви, цифри и пунктуационни знаци.
Спазването на тези три правила създава сериозни пречки пред хакерите при разбиването на паролите ви.
Стратегиите на разбивачите на пароли са се усъвършенствали невероятно, така че е изключително важно да мислите нетрадиционно.
Ето пример от експерта по сигурност Брус Шнайер, който разкрива до какви върхове са стигнали разбивачите на пароли:
"Хакерите използват различни речници: английски думи, имена, чужди думи, фонетични модели и т.н. Търсят корена на думата; въртят комбинации от по две цифри, пробват с дати, единични символи и т.н. за наставки след нея. Изпробват се различни места на поставяне на главните букви и чести замествания (например "@" за "a", "1" за "l" и т.н.) Тази стратегия на разгадаване бързо преодолява около две трети от всички пароли".
Скорошните пробиви в популярни сайтове като Adobe показаха колко ненадеждни са повечето от паролите. Ето списък с най-разпространените пароли, изтекли след пробива в Adobe. Вероятно няма нужда да поясняваме, че е желателно да ги избягвате.
123456
123456789
password
admin
12345678
qwerty
1234567
111111
photoshop
123123
1234567890
000000
abc123
1234
adobe1
macromedia
azerty
iloveyou
aaaaaa
654321
Ако се питате дали избраната от вас парола е достатъчно надеждна, може да я изпробвате в онлайн тестер за пароли като този в OnlineDomainTools.
За да подчертае колко е важна дългата, случайна и уникална парола, онлайн тестерът разполага с конкретни полета, показващи разнообразността на символите в паролата, присъствието й в речници и времето, необходимо за атака тип "изпробване на всички възможни варианти от символи поред", за да бъде разбита.
Четири метода за избор на неразбиваема парола
Единственият проблем със създаването на неразбиваема парола, е че точно тези случайни пароли са трудни за помнене.
Ако просто пишете символи без никаква логика или замисъл - абсолютно случайни - то вероятно ще ви е толкова трудно да си ги спомните, колкото и на тези, които се опитват да ги разгадаят.
Затова идеята е да използвате привидно случайна парола, която е почти непреодолима за разпознаване от софтуера за разбиване, но има смисъл или ви звучи познато по някакъв начин. Ето четири метода, които да пробвате.
Методът на Брус Шнайер
Експертът по сигурност Брус Шнайер е предложил метод за пароли през 2008 година, който препоръчва и досега. Той работи на следния принцип: вземате изречение и го превръщате в парола.
Изречението може да е каквото и да е лично и запомнящо се за вас. Вземете думите от изречението, съкратете ги и ги комбинирайте по уникални начини, за да получите парола. Ето четири прости изречения и пароли.
WOO!TPwontSB = Woohoo! The Packers won the Super Bowl!
PPupmoarT@O@tgs = Please pick up more Toasty O's at the grocery store.
1tubuupshhh...imj = I tuck button-up shirts into my jeans.
W?ow?imp::ohth3r = Where oh where is my pear? Oh, there.
Методът Electrum
Управлението на Bitcoin портфейл изисква високо ниво на сигурност и при него надеждните пароли са задължителни. Точно тук се намесва Electrum. Портфейлът Electrum предлага код от 12 думи, позволяващ ви достъп до всичките ви Bitcoin адреси. Той служи като главна парола за вашите биткойни.
Този тип парола се нарича "фраза за достъп" и е донякъде нов начин на мислене за сигурността. Вместо труден за запомняне низ от символи, може да използвате вместо това дълга фраза. (Брус Шнайер обаче предупреждава, че софтуерът за разбиване на пароли вече съчетава разпространени думи от речниците, така че ако пробвате този метод, нека паролата да е максимално дълга).
Как да създадете сами код от 12 думи? Всъщност е толкова просто, колкото и изглежда. Просто измислете 12 произволни думи.
Започнете с фраза от рода на "Дори през зимата, кучетата се забавляват с метли и съседски шоколадови десертчета". Просто се уверете, че не е проста фраза или такава, взета от съществуващо литературно произведение. Може да вземете и 12 напълно случайни думи: "Шкаф патица памук капачка кърпичка самолет хъркане гребло Коледа локва дърво харизма".
Въведена в инструмент за проверка на пароли, фразата от 12 думи показва, че ще са нужни 238 378 158 171 207 квадрагинтилиона години за разгадаване с изпробване на всички възможни символи.
Методът ЛДО
Техниките за запомняне и мнемоничните трикове могат да ви помогнат при запомнянето на неразбиваема парола. Поне това е теорията, формулирана от учените от университета "Карнеги Мелън", предлагащи да използвате метода "лице-действие-обект" (ЛДО) за създаване и съхранение на неразбиваемите ви пароли.
ЛДО се прочу покрай бестселъра на Джошуа Фоер "Лунната стъпка с Айнщайн". Методът работи така:
Изберете образ на интересно място (примерно Маунт Ръшмор). Изберете снимка на позната или прочута личност (Бионсе). Представете си някакво случайно действие със случаен обект (Бионсе се вози във формичка за кекс по Маунт Ръшмор).
Методът за запомняне има когнитивни предимства; мозъкът ни помни по-добре, ако прави асоциация с визуални ориентири и абсурдни, необичайни ситуации. След като създадете и запомните няколко ЛДО сюжети, може да ги използвате за създаване на пароли.
Например може да вземете първите три букви от "вози" и кекс". Направете същото и с другите три сюжета, съчетайте всички измислени думи и имате 18-символна парола, която ще изглежда напълно случайна за други хора, но ще е позната за вас.
Фонетична мускулна памет
Харесвам тази моя система за пароли, която съм използвал, за да получа някои странни, необичайни и случайни пароли в миналото. Моят метод залага на две полезни средства за помнене: фонетика и мускулна памет. Ето как работи той:
Посетете случаен сайт за генериране на пароли.
Създайте 20 нови пароли с дължина поне 10 символа, използващи цифри и главни букви (и препинателни знаци, ако сте достатъчно смели).
Прегледайте ги, търсейки фонетична структура - общо взето се опитайте да откриете пароли, които да ви звучат произносимо. Примерно: drEnaba5Et или BragUtheV5 (brag you the V5).
Напишете фонетичните пароли в текстов файл, отбелязвайки си колко лесни са за изписване и колко бързо може да ги въведете. Лесните за писане пароли се запомнят по-бързо в мускулната памет.
Запазете фонетичните пароли, удобни за въвеждане, и се отървете от останалите.
Отпечатайте си текстовия файл с паролите.
Една по една, сменете паролите си на сайтовете, които посещавате. Няколко пъти е нужно да въведете тези нови пароли, преди да ги запомните напълно, но достатъчно честото им изписване би трябвало да ги запечата стабилно в паметта ви. Аз все още помня пароли отпреди години, базирани на този метод.
Следващата най-важна стъпка за надеждна парола
След като създадете свръх-защитената си парола, остава още една огромна, свръх-важна стъпка: никога да не използвате една и съща парола на друго място.
Представям си, че много от вас направо се парализират, когато чуят това. Създаването и запомнянето на уникална парола е достатъчно сложно само по себе си, за да го правите многократно. Ако се регистрирате в нов уеб сайт или услуга веднъж дневно, това означава 30 нови пароли всеки месец... Има ли човешки мозък, който да може да помни всичко това?
Как да създадете уникални пароли, никога да не ги използвате многократно и все пак да влизате бързо и ефективно (при това без да натискате връзката "забравена парола")?
Точно тук въпросът за сигурността и удобството на употреба става особено болезнен. За щастие и тук има няколко различни подхода как да преодолеете този проблем.
Използвайте инструмент за управление на пароли
Най-добрият вариант при сигурността, базирана на пароли, е да се възползвате от нещо като LastPass или 1Password. Тези инструменти съхраняват паролите ви (и дори осигуряват случайни нови пароли при нужда). Нужно е само да запомните една главна парола, която ви дава достъп до записаните данни. След като веднъж въведете главната си парола, инструментът за управление на пароли прави всичко останало.
Някои от тези инструменти за управление на пароли се интегрират удобно с браузър или мобилни устройства.
Криптираните данни се съхраняват надеждно (инструментите са толкова защитени, колкото е възможно, когато сте онлайн) и паролите от тях се употребяват с лекота. В почти всеки случай, мениджърът на пароли е най-добрият вариант. Може да усетите неудобство, само когато влизате от непознато устройство или място, където нямате достъп до услугата (доста редки ситуации).
Запазете оригиналните пароли за най-важните инструменти, приложения и уеб сайтове
Използвайте оригинални пароли за важните сайтове като имейл, Facebook, Twitter и онлайн банкиране. Използвайте обща (но трудна за разбиване) парола за всички по-маловажни места.
Рискът, естествено, е че ако в един от не толкова важните ви сайтове има пробив, всичко останало е изложено на риск.
Най-важните ви пароли за имейли, социални мрежи и банкиране са в безопасност, което е чудесно, но хакнатият ви акаунт в Disqus примерно може да публикува спам от ваше име, което не е добре.
Хибриден метод: управление на пароли плюс запаметяване
Ами ако съчетаете двата метода? Да помните паролите за най-важните и често използвани инструменти и да използвате LastPass или 1Password за останалите?
Може дори да разделите нещата по такъв начин, че да помните паролите, които използвате най-често на места, където LastPass и 1Password на най-недостъпни - например мобилни приложения, в които влизате редовно.
В крайна сметка е важно да помните, че дори сложните пароли не са непреодолими, и не бива никога да се считате за абсолютно защитени, само защото паролата ви е по-дълга от шест знака.
Нужно е трезво мислене и здрав разум, за да избегнете phishing измами и други разпространени техники, които да провалят защитата на акаунтите ви. И винаги трябва да използвате двуфакторната идентификация, когато такава е достъпна като опция.
Най-добрите пароли са напълно случайни върволици от букви, числа и символи. Какво правя аз: генерирам си 20-30 пароли с някоя програмка (има много генератори на пароли), които ползват възможно най-много символи. Всички са с дължина 12 да кажем и почвам да ги оглеждам, за да си харесам тези, които ми напомнят на нещо или в момента на четенето усещам, че имат някакъв ритъм, който бих запомнил. Помня ги паролите без да ги пиша никъде и си ги ползвам. Ако трябва да сме фанатици на тема случайни числа: Записвам няколко минути бял шум от радио ефира, махам контейнера на аудиофайла, за да няма повтарящи се структури в данните и суровото аудио го подавам като сийд файл на някой генератор на пароли. От там горната процедура пак.