10 ноября 2016 27612

Как легко запомнить сложный пароль. Авторское руководство по защите цифровой жизни

Опытный программист и системный администратор Алексей Бучаков из компании «АДМИС» разработал свою систему работы с паролями и согласился поделиться ей с читателями «Мы ESET». 



Эксперты по информационной безопасности не устают повторять, что каждая учетная запись должна иметь уникальный пароль. Однако рядовой пользователь зарегистрирован на десятках и сотнях сайтов и сервисов. Как держать в голове такое количество паролей сразу?

На самом деле, в этом нет необходимости. Любому пользователю достаточно запомнить всего 8-10 паролей (всего-то! — прим. ред). Ниже я расскажу, как это сделать, но сначала отвечу на часто задаваемые вопросы:



Не проще ли хранить все пароли в специальной программе?


Хранить, конечно, проще, но сохранить — сложнее. Любая программа имеет уязвимости. Посмотрите новости о крупных утечках баз данных или почитайте биографические очерки о команде Кевина Митника (особенно часть про взломы с помощью социальной инженерии).



Почему нельзя записать пароли в блокнот и хранить под подушкой в надежном месте?


Можно, но вы никогда не узнаете, кто его найдет и прочитает, а затем сделает копию, которая пойдет дальше. Как мы знаем из голливудских фильмов, ваши данные могут быть использованы против вас.



Что если придумать один очень-очень надежный пароль для всех учетных записей?


Плохая идея. В информационной безопасности есть такой термин — компрометация. Если вы использовали свой надежный пароль на слабо защищенном или сомнительном ресурсе — вы этот пароль скомпрометировали. Получив доступ к паролю на таком сайте, злоумышленники обязательно проверят, не подходит ли он к вашим аккаунтам в соцсетях или e-mail.



Что же делать?

Чтобы запомнить десяток уникальных паролей, нужно выделить три контура безопасности.


Первый контур


E-mail, на который зарегистрированы все важные учетные записи, — самая важная часть вашей цифровой жизни. У обычных пользователей редко бывает больше двух таких почтовых ящиков.


Правило №1: Пароль к основной электронной почте должен быть уникальным.


Также сюда входят ваши платежные данные и пароль, блокирующий экран смартфона, с которого можно подтверждать банковские операции. Кроме того, я рекомендую использовать традиционный, а не графический пароль.


Кстати, SIM-карту тоже можно запаролить, потому что ее всегда можно переставить в незащищенный смартфон. Эта мера предосторожности актуальна для транзакций, требующих подтверждения по SMS.




Еще не запаролили свой телефон? Расскажу небольшую историю из жизни. Постучалась ко мне бывшая девушка — что-то у нее случилось, негде было переночевать. Приютил. Утром на пробежку отправился и, конечно, оставил дома и телефон, и платежные карты.

Мне повезло, что решилась она не сразу, а где-то минут через 40. Сначала пыталась снять деньги с почти пустой карты Сбербанка, затем переключилась на вторую карту, но сделала несколько ошибок в подтверждении операций (видимо, нервничала). В итоге из 9 попыток транзакций успешно прошла только одна. Как потом рассказала служба безопасности банка, она скидывала деньги на свой QIWI-кошелек, параллельно стирая SMS-оповещения от банка на моем телефоне.





Второй контур

Сюда входят социальные сети, Skype или другие мессенджеры. Во-первых, они содержат большое количество личных данных, которые могут быть использованы против вас. Во-вторых, любой аккаунт имеет цену на черном рынке и может быть использован для мошенничества или рассылки спама.


Правило №2: Отключите сохранение паролей в браузере. Запомните пароли самых важных аккаунтов (ниже я расскажу, как это легко сделать).



Третий контур


Все остальные учетные записи на сайтах, сервисах, форумах и других ресурсах относятся к третьему контуру безопасности. Сюда входят любые логины и пароли, потеря которых не нанесет вам ущерб. Например, данные аккаунта интернет-магазина, в котором вы однажды совершили покупку. Часть паролей из этой категории можно держать в дополнительном почтовом ящике.



Таким образом я выстроил собственную политику безопасности, которая образует простую и эффективную систему:

  • Первый контур: два основных почтовых ящика, личные кабинеты двух банков и смартфон защищены сложными уникальными паролями.

  • Второй контур: аккаунты ВКонтакте, Facebook и Skype защищены уникальными паролями, но попроще. Сюда же относятся 4 дополнительных почтовых ящика, которые я использую для разных целей.

  • Третий контур: два пароля на менее важные учетные записи.

Всего я держу в голове 12 паролей (на самом деле чуть больше, но это к делу не относится).


Как легко запомнить сложные пароли


  • Трудно поверить, но основной принцип создания пароля — он должен хорошо запоминаться. Придумайте звучное сочетание, образующее несуществующее слово. Например, турболопух или тринитродивиденд.

    Сервис требует только латинские буквы? Просто наберите эти же слова на английской раскладке клавиатуры, получится «neh,jkjge[» и «nhbybnhjlbdbltyl» (турболопух или тринитродивиденд соответственно).

Правило №3: Используйте словосочетания для дополнительной защиты важных учетных записей. Такой пароль значительно устойчивее ко взлому методом простого перебора.

  • Используйте вычисляемые значения. Например, день рождения вашей бабушки 19.11.1932, а университет вы закончили в 2005 году, значит ваш пароль — «38319423660»! Запоминать его не нужно, достаточно умножить одну дату на другую: 19111932 х 2005 = 38319423660.

    Слишком много цифр? Переходим к следующему пункту!

  • Используйте дополнительные математические операции. Открываем калькулятор (Пуск — Все программы — Стандартные), переходим в режим «Программист» (переключается во вкладке Вид), вводим 19111932 х 2005 = 38319423660 и переводим в шестнадцатеричную систему исчисления (устанавливаем точку в пункт Hex) — получается 8ec0400ac. Такой пароль легко выучить, набрав его на клавиатуре десяток раз.

  • Записывайте подсказки, а не сами пароли. Даже если кто-то получит к ним доступ, расшифровать их не удастся.

  • На основе моих советов придумайте свой способ создания паролей, которые легко запомнить :)

Алексей Бучаков, АДМИС



*Мнение автора может не совпадать с мнением редакции

Комментарии

2
Оставьте комментарий!
Dmitriy Barulin 4 октября 2017 в 15:43 #
Спасибо за полезные советы! Со всем согласен, кроме ввода русскоязычного пароля при включенной английской раскладке. С таким паролем могут возникнуть трудности при вводе его с мобильного устройства.
Андрей Устьянцев 5 октября 2017 в 20:41 #
Я пароли храню в текстовом файле. Толко для каждого пароля справа и слева дописываю два произвольных незначащих знака
Т.о., если пароль qwerty, то в текстовом файле он записан geqwertyij
Ну, конечно же, для каждого пароля разные "лишние" символы справа и слева.
Идею, надеюсь, все уловили ;-)
Таким же образом у меня в телефоне записаны пин-коды карт. 
Пример : пинкод 7823
В телефоне это записано как абонент "С". Телефон 35782389

Кто захочет воспользоваться - не используйте правило "по два лишних символа справа и слева" прямо в таком виде.
Дуализм любого правила защиты информации заключается в том, что это одновременно и инструкция по "подлому" :-)
Удачи !