В этой статье речь пойдет о том, как создать безопасный пароль, каких принципов следует придерживаться при их создании, о том, как хранить пароли и минимизировать вероятность получения доступа к вашим сведениям и учетным записям злоумышленниками.

Данный материал является продолжением статьи «Как могут взломать ваш пароль» и подразумевает, что вы знакомы с материалом, изложенным там или и без того знаете все основные пути, которыми пароли могут быть скомпрометированы.

Создание паролей

Сегодня, при регистрации какого-либо Интернет аккаунта, создавая пароль, вы как правило видите индикатор надежности пароля. Практически везде он работает на основании оценки следующих двух факторов: длины пароля; наличия специальных символов, заглавных букв и цифр в пароле.

Несмотря на то, что это действительно важные параметры устойчивости пароля ко взлому методом перебора, пароль, который кажется системе надежным, не всегда таковым является. К примеру, пароль наподобие «Pa$$w0rd» (а здесь есть и специальные символы, и цифры), вероятнее всего, будет взломан очень быстро — в связи с тем, что (как было описано в предыдущей статье) люди редко создают уникальные пароли (менее 50% паролей уникальны) и указанный вариант с большой вероятностью уже есть в утекших базах, имеющихся у злоумышленников.

Как быть? Оптимальный вариант — использовать генераторы паролей (есть в Интернете в виде онлайн утилит, а также в большинстве менеджеров паролей для компьютера), создавая длинные случайные пароли с использованием специальных символов. В большинстве случаев, пароль из 10 и более таких символов просто не будет представлять интерес для взломщика (т.е. его софт не будет настроен на подбор таких вариантов) в связи с тем, что затраты времени не окупятся. Недавно встроенный генератор паролей появился в браузере Google Chrome.

В указанном способе главным недостатком является то, что такие пароли сложно запомнить. Если существует необходимость держать пароль в голове, есть еще один вариант, основанный на том факте, что пароль из 10 символов, содержащий заглавные буквы и специальные символы, взламывается методом перебора в тысячи и более (конкретные числа зависят от допустимого набора символов) раз проще, чем пароль из 20 символов, содержащий только строчные латинские символы (даже если взломщик знает об этом).

Таким образом, пароль, состоящий из 3-5 простых случайных английских слов будет легко запомнить и почти невозможно взломать. А написав каждое слово с заглавной буквы, мы возводим количество вариантов во вторую степень. Если же это будут 3-5 русских слов (опять же случайных, а не имена и даты), написанных в английской раскладке, убирается также гипотетическая возможность изощренных методов использования словарей для подбора пароля.

Однозначно правильного подхода к созданию паролей, пожалуй, нет: в различных способах есть достоинства и недостатки (связанные с возможностью запомнить его, надежностью и другими параметрами), однако основные принципы выглядят следующим образом:

• Пароль должен состоять из значительного количества символов. Наиболее часто встречающееся ограничение сегодня — 8 символов. И этого мало, если вам требуется защищенный пароль.
• По возможности, следует включить в пароль специальные символы, заглавные и прописные буквы, цифры.
• Никогда не включайте в пароль личные данные, даже записанные кажущимися вам «хитрыми» способами. Никаких дат, имен и фамилий. К примеру, взлом пароля представляющий собой любую дату современного юлианского календаря с 0-го года и по сегодняшний день (вида 18.07.2015 или 18072015 и т.п.) займет от секунд до часов (и то, часы получатся только из-за задержек между попытками для некоторых случаев).

Вы можете проверить, насколько надежен ваш пароль на сайте (хотя ввод паролей на каких-то сайтах, особенно без https — не самая безопасная практика) http://rumkin.com/tools/password/passchk.php. Если не хотите проверять свой настоящий пароль, введите подобный (из того же числа символов и с тем же их набором), чтобы получить представление о его надежности.

По ходу ввода символов, сервис вычисляет энтропию (условно, количество вариантов, для энтропии в 10 бит, количество вариантов равно 2 в десятой степени) для заданного пароля и приводит справку по надежности различных значений. Пароли с энтропией более 60 почти невозможно взломать даже во время целенаправленного подбора.

Не используйте одинаковые пароли для разных учетных записей

Если у вас отличный сложный пароль, но вы его используете везде, где только можно, он автоматически становится совсем не надежным. Как только хакеры взломают любой из сайтов, где вы используете такой пароль и получат доступ к нему, будьте уверены, он тут же будет опробован (автоматически, с помощью специального ПО) на всех других популярных почтовых, игровых, социальных сервисах, а может и в онлайн-банках (Способы посмотреть, утек ли уже ваш пароль приведены в конце предыдущей статьи).

Уникальный пароль для каждого аккаунта — это сложно, это неудобно, но обязательно нужно, если эти аккаунты представляют хоть какую-то важность для вас. Хотя, для каких-то регистраций, не имеющих никакой ценности для вас (то есть вы готовы их потерять и не станете переживать) и не содержащих личной информации, можно и не напрягаться с уникальными паролями.

Двухфакторная аутентификация

Даже надежные пароли не гарантируют того, что в ваш аккаунт никто не сможет зайти. Пароль можно тем или иным способом украсть (фишинг, к примеру, как наиболее частый вариант) или вызнать у вас.

Почти все серьезные онлайн компании включая Google, Яндекс, Mail.ru, В контакте, Microsoft, Dropbox, LastPass, Steam и другие со сравнительно недавнего времени добавили возможность включения двухфакторной (или двухэтапной) аутентификации в учетных записях. И, если вам важна безопасность, настоятельно рекомендую ее включить.

Реализация работы двухфакторной аутентификации незначительно отличается для различных сервисов, но основной принцип выглядит следующим образом:

1. При входе в аккаунт с неизвестного устройства, после ввода правильного пароля вас просят пройти дополнительную проверку.
2. Проверка происходит с помощью кода по смс, специального приложения на смартфоне, посредством заранее подготовленных распечатанных кодов, сообщения E-mail, аппаратного ключа (последний вариант появился у Google, эта компания вообще передовик в том, что касается двухфакторной аутентификации).

Таким образом, даже если злоумышленник узнал ваш пароль, он не сможет зайти в вашу учетную запись, не имея доступа к вашим устройствам, телефону, электронной почте.

Если вам не до конца понятно, как работает двухфакторная аутентификация, рекомендую почитать статьи в Интернете, посвященные этой теме или описания и руководства к действию на самих сайтах, где она реализована (просто подробную инструкцию в эту статью мне включить не удастся).

Хранение паролей

Сложные уникальные пароли для каждого сайта — отлично, но как их хранить? Навряд ли все эти пароли удастся держать в голове. Хранение сохраненных паролей в браузере — рискованная затея: они не только становятся более уязвимыми для несанкционированного доступа, но и попросту могут потеряться в случае сбоев системы и при отключенной синхронизации.

Оптимальным решением считаются менеджеры паролей, в общих чертах представляющие собой программы, которые хранят все ваши секретные данные в зашифрованном защищенном хранилище (как оффлайн, так и онлайн), доступ к которому осуществляется с использованием одного мастер-пароля (дополнительно можно включить двухфакторную аутентификацию). Также большинство таких программ оснащено инструментами генерации и оценки надежности паролей.

Пару лет назад я писал отдельную статью про Лучшие менеджеры паролей (ее стоит переписать, но получить представление о том, что это такое и какие программы пользуются популярностью из статьи можно). Некоторые предпочитают простые оффлайн решения, наподобие KeePass или 1Password, хранящие все пароли на вашем устройстве, другие — более функциональные утилиты, представляющие также возможности синхронизации (LastPass, Dashlane).

Известные менеджеры паролей в целом рассматриваются как очень безопасный и надежный способ их хранения. Однако, стоит учитывать и некоторые детали:

• Для доступа ко всем вашим паролям нужно знать всего лишь один мастер-пароль.
• В случае взлома онлайн хранилища (буквально месяц назад взломали самый популярный в мире сервис управления паролями LastPass) вам придется менять все ваши пароли.

Как еще можно сохранить свои важные пароли? Вот пара вариантов:

• На бумаге в сейфе, доступ к которому будете иметь вы и члены вашей семьи (не подходит для паролей, которые требуется часто использовать).
• Оффлайн база данных паролей (например, KeePass), сохраненная на долговечном накопителе информации и продублированная где-либо на случай утраты.

Оптимальным на мой взгляд сочетанием всего вышеописанного является следующих подход: самые важные пароли (основной E-mail, с помощью которого можно восстановить другие аккаунты, банк и т.п.) хранятся в голове и (или) на бумаге в надежном месте. Менее важные и, одновременно, часто используемые следует поручить программам — менеджерам паролей.

Дополнительная информация

Надеюсь, сочетание двух статей на тему паролей кому-то из вас помогло обратить внимание на некоторые аспекты безопасности, о которых вы не задумывались. Конечно, все возможные варианты я не учел, но простая логика и некоторое понимание принципов, поможет самостоятельно решить, насколько безопасно то, что вы делаете в конкретный момент. Еще раз, некоторые упоминавшиеся и несколько дополнительных пунктов:

• Используйте разные пароли для разных сайтов.
• Пароли должны быть сложными, сильнее всего увеличить сложность вы можете, увеличив длину пароля.
• Не используйте личных данных (которые можно узнать) при создании самого пароля, подсказок к нему, контрольных вопросов для восстановления.
• Используйте двухэтапную аутентификацию там, где это возможно.
• Найдите оптимальный для себя способ безопасного хранения паролей.
• Опасайтесь фишинга (проверяйте адреса сайтов, наличие шифрования) и шпионских программ. Везде, где просят ввести пароль, проверяйте, действительно ли вы его вводите именно на нужном сайте. Следите, чтобы на компьютере не было вредоносного ПО.
• По возможности, не используйте ваши пароли на чужих компьютерах (если это необходимо, делайте это в «режиме инкогнито» браузера, а еще лучше набирайте с экранной клавиатуры), в публичных открытых Wi-Fi сетях, особенно при отсутствии шифрования https при соединении с сайтом.
• Возможно, не стоит хранить самые важные, действительно представляющие жизненную ценность, пароли на компьютере или онлайн.

Как-то так. Думаю, поднять градус паранойи мне удалось. Я понимаю, что многое из описанного кажется неудобным, могут возникать мысли наподобие «ну уж меня-то это обойдет стороной», но единственным оправданием лени при следовании простым правилам безопасности при хранении конфиденциальной информации может быть только отсутствие ее важности и ваша готовность к тому, что она станет достоянием третьих лиц.

Взлом паролей, какие бы пароли это ни были — от почты, онлайн-банкинга, Wi-Fi или от аккаунтов В контакте и Одноклассников, в последнее время стал часто встречающимся событием. В значительной степени это связано с тем, что пользователи не придерживаются достаточно простых правил безопасности при создании, хранении и использовании паролей. Но это не единственная причина, по которой пароли могут попасть в чужие руки.

В этой статье — подробная информация о том, какие методы могут применяться для взлома пользовательских паролей и почему вы уязвимы перед такими атаками. А в конце вы найдете список онлайн сервисов, которые позволят узнать, был ли уже скомпрометирован ваш пароль. Также будет (уже есть) вторая статья на тему, но начать чтение я рекомендую именно с текущего обзора, а уже потом переходить к следующему.

Обновление: готов следующий материал — Про безопасность паролей, в котором описано, как в максимальной степени обезопасить свои аккаунты и пароли к ним.

Какие методы используются для взлома паролей

Для взлома паролей используется не такой уж и широкий набор различных техник. Почти все они известны и почти любая компрометация конфиденциальной информации достигается за счет использования отдельных методов или их комбинаций.

Фишинг

Самый распространенный способ, которым на сегодняшний день «уводят» пароли популярных почтовых сервисов и социальных сетей — фишинг, и этот способ срабатывает для очень большого процента пользователей.

Суть метода в том, что вы попадаете на, как вам кажется, знакомый сайт (тот же Gmail, ВК или Одноклассники, например), и по той или иной причине вас просят ввести ваш логин и пароль (для входа, подтверждения чего-либо, для его смены и т.п.). Сразу после ввода пароль оказывается у злоумышленников.

Как это происходит: вы можете получить письмо, якобы от службы поддержки, в котором сообщается о необходимости войти в аккаунт и дана ссылка, при переходе на которую открывается сайт, в точности копирующий оригинальный. Возможен вариант, когда после случайной установки нежелательного ПО на компьютере, системные настройки изменяются таким образом, что при вводе в адресную строку браузера адреса нужного вам сайта, вы на самом деле попадаете на оформленный точно таким же образом фишинговый сайт.

Как я уже отметил, очень многие пользователи попадаются на это, и обычно это связано с невнимательностью:

• При получении письма, которое в том или ином виде предлагает вам войти в ваш аккаунт на том или ином сайте, обращайте внимание, действительно ли оно было отправлено с адреса почты на этом сайте: обычно используются похожие адреса. Например, вместо [email protected], может быть [email protected] или нечто подобное. Однако, правильный адрес не всегда гарантирует, что все в порядке.
• Прежде чем куда-либо ввести свой пароль, внимательно посмотрите в адресную строку браузера. Прежде всего, там должен быть указан именно тот сайт, на который вы хотите зайти. Однако, в случае с вредоносным ПО на компьютере этого недостаточно. Следует также обратить внимание на наличие шифрования соединения, которое можно определить по использованию протокола https вместо http и изображению «замка» в адресной строке, по нажатии на который, можно убедиться, что вы на настоящем сайте. Почти все серьезные ресурсы, требующие входа в учетную запись, используют шифрование. 

Кстати, тут отмечу, что и фишинговые атаки и методы перебора паролей (описано ниже) не подразумевают сегодня кропотливой муторной работы одного человека (т.е. ему не нужно вводить миллион паролей вручную) — все это делают специальные программы, быстро и в больших объемах, а потом отчитываются об успехах злоумышленнику. Более того, эти программы могут работать не на компьютере хакера, а скрытно на вашем и у тысяч других пользователей, что в разы повышает эффективность взломов.

Подбор паролей

Атаки с использованием подбора паролей (Brute Force, грубая сила по-русски) также достаточно распространены. Если несколько лет назад большинство таких атак представляли собой действительно перебор всех комбинаций определенного набора символов для составления паролей определенной длины, то на данный момент всё обстоит несколько проще (для хакеров).

Анализ утекших за последние годы миллионов паролей показывает, что менее половины из них уникальны, при этом на тех сайтах, где «обитают» преимущественно неопытные пользователи, процент совсем мал.

Что это означает? В общем случае — то, что хакеру нет необходимости перебирать несчетные миллионы комбинаций: имея базу из 10-15 миллионов паролей (приблизительное число, но близкое к истине) и подставляя только эти комбинации, он может взломать почти половину аккаунтов на любом сайте.

В случае целенаправленной атаки на конкретную учетную запись, помимо базы может использоваться и простой перебор, а современное программное обеспечение позволяет это делать сравнительно быстро: пароль из 8-ми символов может быть взломан в считанные дни (а если эти символы представляют собой дату или сочетание имени и даты, что не редкость — за минуты).

Обратите внимание: если вы используете один и тот же пароль для различных сайтов и сервисов, то как только ваш пароль и соответствующий адрес электронной почты будут скомпрометированы на любом из них, с помощью специального ПО это же сочетание логина и пароля будет опробовано на сотнях других сайтах. Например, сразу после утечки нескольких миллионов паролей Gmail и Яндекс в конце прошлого года, прокатилась волна взломов аккаунтов Origin, Steam, Battle.net и Uplay (думаю, и многих других, просто по указанным игровым сервисам ко мне многократно обращались).

Взлом сайтов и получение хэшей паролей

Большинство серьезных сайтов не хранят ваш пароль в том виде, в котором его знаете вы. В базе данных хранится лишь хэш — результат применения необратимой функции (то есть из этого результата нельзя снова получить ваш пароль) к паролю. При вашем входе на сайт, заново вычисляется хэш и, если он совпадает с тем, что хранится в базе данных, значит вы ввели пароль верно.

Как несложно догадаться, хранятся именно хэши, а не сами пароли как раз в целях безопасности — чтобы при потенциальном взломе и получении злоумышленником базы данных, он не мог воспользоваться информацией и узнать пароли.

Однако, довольно часто, сделать это он может:

1. Для вычисления хэша используются определенные алгоритмы, в большинстве своем — известные и распространенные (т.е. каждый может их использовать).
2. Имея базы с миллионами паролей (из пункта про перебор), злоумышленник также имеет и доступ к хэшам этих паролей, вычисленным по всем доступным алгоритмам.
3. Сопоставляя информацию из полученной базы данных и хэши паролей из собственной базы, можно определить, какой алгоритм используется и узнать реальные пароли для части записей в базе путем простого сопоставления (для всех неуникальных). А средства перебора помогут узнать остальные уникальные, но короткие пароли.

Как видите, маркетинговые утверждения различных сервисов о том, что они не хранят ваши пароли у себя на сайте, не обязательно защищают вас от его утечки.

Шпионские программы (SpyWare)

SpyWare или шпионские программы — широкий спектр вредоносного программного обеспечения, скрытно устанавливающегося на компьютер (также шпионские функции могут быть включены в состав какого-то нужного ПО) и выполняющего сбор информации о пользователе.

Помимо прочего, отдельные виды SpyWare, например, кейлоггеры (программы, отслеживающие нажимаемые вами клавиши) или скрытые анализаторы траффика, могут использоваться (и используются) для получения пользовательских паролей.

Социальная инженерия и вопросы для восстановления пароля

Как говорит нам Википедия, социальная инженерия — метод доступа к информации, основанный на особенностях психологии человека (сюда можно отнести и упоминавшийся выше фишинг). В Интернете вы можете найти множество примеров использования социальной инженерии (рекомендую поискать и почитать — это интересно), некоторые из которых поражают своей изящностью. В общих чертах метод сводится к тому, что почти любую информацию, необходимую для доступа к конфиденциальной информации, можно получить, используя слабости человека.

А я приведу лишь простой и не особенно изящный бытовой пример, имеющий отношение к паролям. Как вы знаете, на многих сайтах для восстановления пароля достаточно ввести ответ на контрольный вопрос: в какой школе вы учились, девичья фамилия матери, кличка домашнего животного… Даже если вы уже не разместили эту информацию в открытом доступе в социальных сетях, как думаете, сложно ли с помощью тех же социальных сетей, будучи знакомым с вами, или специально познакомившись, ненавязчиво получить такую информацию?

Как узнать, что ваш пароль был взломан

Ну и, в завершение статьи, несколько сервисов, которые позволяют узнать, был ли ваш пароль взломан, путем сверки вашего адреса электронной почты или имени пользователя с базами данных паролей, оказавшихся в доступе хакеров. (Меня немного удивляет, что среди них слишком значительный процент баз данных от русскоязычных сервисов).

• https://haveibeenpwned.com/
• https://breachalarm.com/
• https://pwnedlist.com/query

Обнаружили ваш аккаунт в списке ставших известных хакерам? Имеет смысл поменять пароль, ну а более подробно о безопасных практиках по отношению к паролям учетных записей я напишу в ближайшие дни.