Сергей Слесарев - Вся правда о паролях

весьма удобно. С другой стороны, это не может не вызывать опасение, ведь для доступа ко всем  существующим учетным записям, приложениям, данным достаточно знать один мастер-пароль. Если троянская программа перехватит управление вашим компьютером, или кто другой узнает ваш главный ключ, вы потеряете всю охраняемую информацию разом. Единственным верным решением будет запускать данные программы на виртуальной машине через браузер.

6. Пароли тоже можно наследовать

Вы когда-нибудь задумывались, что происходит в случае смерти владельца защищенных аккаунтов и данных. Сайты, адреса электронной почты, онлайн доступ к банку - все это можно наследовать. С юридической точки зрения данный вопрос не представляет особых трудностей, а вот с технической - может быть затруднительно. Что делать, если наследник не знает данных доступа или был вообще не в курсе интернет-активности, которую вел умерший в глобальной сети. Для этого сегодня существуют специализированные службы, они обеспечивают законный (контролируемый) доступ к цифровым данным в случае смерти их владельца. В качестве примера приведу сервис SecureSafe (www.securesafe.com).

7. Использование экзотических символов

Сразу хочу сказать, это весьма неудобно, но очень надежно. Наибольшую ценность представляют пароли, состоящие из символов, которые нельзя ввести нажатием одной кнопки на клавиатуре. Подбор методом «грубой силы» уведет хакера по ложному пути, поскольку включение в пароль специального символа существенно увеличивает количество перебираемых вариантов. Такой результат дает, например, введение знака ® путем последовательного нажатия на цифровой клавиатуре комбинации «0174» при зажатой клавише «Alt» (пять нажатий для одного символа). В таблице приведены примеры кодов для ввода некоторых специальных знаков.

В принципе, при помощи кодов с «Alt» могут быть введены любые ASCII- символы. Их использование не только усложняет взлом посредством полного перебора, но и делает неэффективными классические словарные атаки. Препятствием для этого способа защиты может быть то, что ввести некоторые символы не всегда возможно (например, в мобильных телефонах их набор ограничен).

8. Даже надежные ключи можно вычислить

Даже если вы все сделали правильно, опасность может возникнуть при вводе пароля. При работе на чужом компьютере он способен сохранить ключевое слово и выдать его злоумышленникам. Программу-кейлоггер можно обмануть, используя для ввода пароля экранную клавиатуру Windows (для ее вызова введите «osk» в командной строке). Также шпионское ПО может делать снимки экрана, поэтому пароль всегда должен скрываться звездочками. Да, взломать (подобрать, угадать) можно абсолютно любой пароль. Вопрос лишь в ресурсах - вычислительных и временных. Поэтому устойчивость пароля имеет смысл оценивать с точки зрения оправданности затрат на его взлом: если в течение некоторого времени он не поддаётся вскрытию при помощи доступных ресурсов, то его можно считать безопасным. Другими словами, нужно соблюдать элементарные правила безопасности при выборе пароля, чтобы не стать жертвой обычного любителя.

9. Надежные пароли вечны

Теоретически, если вы создали очень надежный ключ, вам не потребуется менять его в будущем. Однако некоторые службы, например, банковские системы, настаивают на регулярной смене кодового слова. Основанием для этого служат риски, которые возникают при вводе паролей на странице пользователя. Принудительная смена ключа призвана свести их к минимуму. Но администраторы, которые требуют ее слишком часто, оказывают себе медвежью услугу: нередко реакцией на это становится использование менее надежных и легко запоминающихся комбинаций, которые проще взломать.

10. Тест. Надежен ли ваш ключ

Вы можете самостоятельно оценить свой пароль. Для начала необходимо выяснить, из каких символов он составлен. В качестве примера возьмем полностью числовой пароль, например, PIN-код. Рассматриваем числа от 0 до 9, то есть всего 10 цифр.

Предположим, что ваш пароль состоит из шести символов. Вы можете самостоятельно подсчитать количество возможных вариантов: 6 символов это 106-т.е. миллион комбинаций. В пункте номер 2 я говорил о --">