Цифровая безопасность – тема, важная абсолютно для всех: от детей до стариков, даже для тех, кто с компьютером взаимодействует только в процессе протирания пыли с него. Все мы – обладатели цифровых хранилищ, где спрятаны наши персональные данные. Это страницы в соцсетях, личные кабинеты на Госуслугах, сайтах жилищно-коммунальных компаний, мобильных операторов, налоговой службы. Не говоря уже о ваших банковских учетных записях, дающих доступ к вашему кошельку. И двери во все эти хранилища необходимо надежно запирать, чтобы в них не проникли воры. Как именно? Этой теме был посвящен вебинар «Энциклопедия парольной защиты» для сотрудников СМИ со всей России, участие в котором приняла и журналист «Республики».
Провел вебинар директор по развитию направления «Кибербезопасность населения» группы компаний «Солар» (подразделение «Ростелекома») Олег Седов.
С чем изначально нужно смириться тем, кто хочет обеспечить свою кибербезопасность: словосочетания «надежная защита» и «легко и просто» – это, что называется, из разных опер. Если замок от вашего кошелька и персональных данных легко отпирать вам, с легкостью это сделают и злоумышленники.
– Стоит признать, что надежные логины и пароли – неудобны для пользователя. Но правило кибербезопасности гласит: то, что удобно, – небезопасно. Нам удобно подойти к квартире и открыть дверь, только ее толкнув. Но оставить квартиру без замков нам не приходит в голову. В реальной жизни мы понимаем, что у нас не может быть одного ключа на все случаи жизни: от машины, сейфа, квартиры, дачи – ключи должны быть разными, – привел сравнение Олег Седов. – Но вот с пониманием того, почему коды в киберпространстве должны быть разными, у пользователей возникают проблемы.
На ряде ресурсов аутентификация ради пущей безопасности бывает и двойной, и тройной. Когда кроме пароля надо ввести еще одноразовый код из СМС, капчу, которую с первого раза мало кому удается напечатать правильно. Или даже отпечаток пальца предъявить. Это неудобно, раздражает, зато надежно и безопасно.
А еще пароли нужно регулярно менять, поскольку всегда есть возможность их случайно «засветить». Например, когда вы, задумавшись, случайно путаете местами строки и вводите пароль вместо логина. Цифровой разум запоминает последовательность символов, и на некоторых сайтах при последующем входе может любезно подсказать варианты логина, чтобы вы не трудились, его вводя. В том числе – парольную комбинацию. И опытные взломщики, конечно, не преминут проверить, нет ли тут ключа от вашего личного кабинета.
Кстати, в большинстве случаев взламывать ваш пароль будет не человек. А искусственный интеллект, хакерская программа, которая проверит все места, где вы могли «наследить», проанализирует полученную информацию. Переберет и старые пароли, вдруг вы используете их, лишь немного видоизменив.
Беда в том, что и программе этой зачастую особо стараться не стоит. Есть список ста самых ненадежных популярных паролей, которые с редким упорством используют граждане. Среди них и простые цифровые комбинации типа 12345 или 77777, слов password, qwerty (или другой комбинации из букв, стоящих на соседних клавишах). Но и с менее популярными сочетаниями цифр и букв вы тоже идеально защищенным не будете. Особенно если пароль не слишком длинный.
Олег Седов привел пример. Представьте чемодан с кодовым замком на три цифры. Чтобы вскрыть его, не зная кода, надо вручную перебрать всего тысячу комбинаций. Для четырех цифр – десять тысяч, для пяти – сто тысяч. Чем длиннее код, тем более усложняется задача. Но если для человека найти нужную пятизначную композицию цифр методом брутфорса, то есть простым перебором вариантов, весьма трудно, то для программы-робота – никаких проблем. Даже если у вас в пароле не цифры, а буквы или и те, и другие вперемешку. Секунда уйдет на то, чтобы подобрать пароль длиной до трех символов. На пять символов потратится десять минут. На семь – девять дней. А вот пароли начиная с восьми символов уже надежнее, подходящую комбинацию хакерская программа будет подбирать 11 месяцев. Или быстрее, ведь у нее под рукой весь интернет со всеми словарями мира.
Так что, если у вас в качестве ключа длинное имя вроде «Константин», сложный термин из физики, диалектное выражение вроде «рассупониться» или даже редкое слово из наречия какой-нибудь малой народности – это значит, что у вас легкий пароль. Не помогает уже и уловка с набором русских слов в английской раскладке. Искусственный интеллект давно щелкает как орешки такие комбинации, как, например, jxtymckj;ysqgfhjkm (оченьсложныйпароль в «переводе» на русский). Замена букв похожими: «о» на 0 или «ч» на 4 – тоже уже давно не гарантия надежности.
Что же делать? Во-первых, сделать пароль длинным. Во-вторых, это должен быть набор символов, являющийся заведомой абракадаброй или имеющий значение исключительно для вас. В первом случае перед вами встает вопрос, как же это самому безошибочно набрать? Особенно если паролей много. Написать на листке? Тогда хранить нужно в очень надежном и неожиданном месте. Олег Седов привел в пример американского физика Ричарда Фейнмана, который хранил листок с паролями в сейфе. Но не на полке, а в дверце, точнее во внутренней части замка.
Если вам в голову не приходит оригинальная идея, куда можно спрятать список паролей, его можно сфотографировать и хранить среди других снимков в телефоне. Правда, тут уж надо быть уверенным, что ваш сотовый не настроен так, что сохраняет все фотографии в облачных хранилищах, их тоже можно взломать. Ну и оставлять без присмотра телефон в таком случае тоже не стоит, тем более не заблокированный. Опасно сохранять пароли в заметках телефона, даже закодированных.
На вопрос журналиста «Республики», имеет ли смысл попытаться обмануть злоумышленников, подсунув им неправильный пароль (написать его на бумажке и положить возле компьютера, сохранить в папке «пароли» на видном месте), Олег Седов ответил, что в некоторых случаях это действительно работает. Например, граждане, опасающиеся, что у них похитят пластиковую банковскую карту, иногда небрежно пишут на ее обороте неправильную комбинацию цифр, якобы пин-код. Вор (или просто недобросовестный гражданин, нашедший утерянную карту) идет к банкомату, чтобы снять деньги, радуясь «наивности» владельца карты. Вводит пин-код раз, второй, третий, думая, что неправильно ввел или разглядел цифры. После чего банкомат благополучно «глотает» карту, оставляя преступника ни с чем. Но в случае, когда у злоумышленника есть время и возможность бесчисленное количество раз перебирать пароли с помощью искусственного интеллекта, это не вариант.
Достаточно надежен вышеупомянутый вариант, когда пароль выглядит бессмысленным для робота, а вы его при этом легко запоминаете. Специалист по кибербезопасности предложил, к примеру, взять фразу, которую вы точно не забудете. Например, ту, с помощью которой дети запоминают последовательность цветов в радуге: «Каждый охотник желает знать, где сидит фазан». Возьмите по паре первых букв из каждого слова, на ваше усмотрение сделайте их в порядке, который можете запомнить, строчными или прописными, а потом разбавьте каждую пару символами по вашему вкусу. Можно еще и в латиницу эту конструкцию перевести. Стойкость такого пароля, пояснил Олег Седов, до 204 миллионов лет.
Также он посоветовал людям, которые с легкостью читают ноты, применять в качестве пароля кусочек хорошо знакомой мелодии, вместо значков используя буквенные сочетания. Подойдут гитарные аккорды, к примеру. Участники вебинара на это резонно возразили, что ноты в интернете сейчас тоже во всеобщем доступе, поэтому недалек тот час, когда искусственный интеллект научится справляться и с этой уловкой. Еще один вариант: для людей, которые на «ты» с химией, использовать для создания паролей хорошо знакомые формулы (не самые короткие, конечно). Правда, тоже не в чистом виде, придется «похимичить» и «долить» немного дополнительных символов.
Многие считают, что надежно запереть устройства можно посредством биометрии, например, при помощи программы распознавания лица. Но Олег Седов отметил, что это не гарантия – в гаджетах, используемых нами в обиходе, обычно установлены самые простые сканеры, которые вполне могут перепутать вас с чужаком. Графические ключи тоже не панацея, поскольку и здесь проблема в людской предсказуемости – большинство чертит простой рисунок слева направо и сверху вниз. К тому же не отключает функцию «шлейфа», так что графический пароль легко подглядеть и запомнить. Ну и характерные следы, оставшиеся на экране смартфона от пальца, – тоже хорошая подсказка для злоумышленника. Пользуетесь этим методом – рисуйте «руны» посложнее и экран салфеткой протирайте почаще.
Но даже если к созданию пароля вы подошли просто с невероятным креативом, его все равно нужно периодически менять, раз в полгода хотя бы. Потому что у любого из нас можно украсть пароль, было бы желание и технические возможности.
А главная ошибка, по словам Олега Седова, это быть уверенным, что ваш аккаунт уж точно не взломают, что такое случается только с неопытными пользователями – пенсионерами, которые только-только осваивают глубины интернета, или детьми, беспечно лазающими по подозрительным сайтам. Однако эти категории лишь на третьем месте среди самых распространенных жертв хакеров. На втором – молодые женщины, одинокие или сидящие дома с ребенком. А на первом – граждане, которые считают себя продвинутыми пользователями, современными и хорошо знающими все правила безопасности. Самоуверенность их и губит. А если гражданин при этом обеспеченный и статусный, то и мошенникам он интереснее, чем пенсионеры или домохозяйки, поскольку добыча после взлома его цифровых хранилищ будет покрупнее.
Анна ПОТЕХИНА
Фото Купавы ВОЛКОВОЙ
Оставьте первый комментарий для "Формула пароля"