Як захистити особисту інформацію від злому

Дуже багато людей використовують одні й ті ж паролі. І не тільки одну і ту ж комбінацію, але ще й таку, яку однозначно можна вважати легко підбираємо. Інтернет-експерт, директор компанії iFusion Labs і блогер Джон Позаджідес (John Pozadzides) розповів, які паролі можна використовувати, а які ні, і як можна зламати слабкий пароль.



Увага: це НЕ керівництво на тему «Як вкрасти пароль», а адаптований переклад «Руформатора» статті Lifehacker зі спробою пояснити, наскільки вразливим може бути ваш поточний пароль.





З точки зору статистики, 10 найпопулярніших паролів використовують 20% мережевого населення. Але не переживайте: якщо хакер не одержав ваш пароль зараз, то це означає, що йому просто треба трохи більше часу ...

Хакери, і я не говорю зараз про їх етнічної приналежності, розробили широкий набір різних інструментів, щоб вкрасти ваші персональні дані. Головною перешкодою на шляху цих шахраїв, як і раніше залишається пароль, який ви вибрали самі: за іронією долі, краща інформаційна безпека, яка є у людей, це та, до якої вони належать найменш серйозно.

Найпростіший шлях отримати чужий пароль - використовувати метод брутфорс (brut-force, «груба сила»), коли пароль підбирається фактично вручну за допомогою спеціальної програми.

Отже, як же зрозуміти, потрапляєте чи ви до групи ризику? Досить просто. Слідкуйте за моєї логічної ланцюжком:

- Ви використовуєте один і той же пароль кілька разів у різних місцях.

- Деякі важливі для мене сайти, такі як інтернет-банк або ваше робоче місце, підключений через VPN, володіють пристойним рівнем безпеки, так що я їх не буду чіпати.

- Однак, сайти на зразок сервісу листівок Hallmark, ваш улюблений онлайн-форум, інтернет-магазин, в якому закуповується, навряд чи захищені належним чином. Так що я спробую зробити що-небудь з ними.

- Таким чином, мій наступний крок - утиліти зразок Brutus, wwwhack, THC Hydra, які будуть застосовані до якого-небудь з подібних сервісів із зазначенням підібрати 10 тисяч (ну або 100 тисяч - неважливо) комбінацій користувача та пароль так швидко, як це взагалі можливо.

- Як тільки я отримаю пару логін-пароль, я можу спробувати її на інших сайтах.

- ЕЕ, стоп. Звідки я знаю, яким ви користуєтеся банком, і який логін ви частіше все використовуєте? По секрету - все це записано в куки-файлах (cookies), які зберігаються в браузері в незашифрованому вигляді і з відмінними, «говорящими» іменами.

Наскільки швидко вся ця схема може бути реалізована? Ну, це залежить від трьох речей: довжина і складність вашого пароля, потужність хакерського комп'ютера і швидкість його інтернет-з'єднання. Як правило, у хакерів досить потужна машина і швидкий інтернет, тому спробуємо оцінити приблизний час підбору пароля в залежності від його довжини, складності і з урахуванням всіх можливих поширених комбінацій. Зверніть також особливу увагу на регістр літер та спеціальні символи. Додавання тільки однієї букви або символу «*» привіт до того, що восьмісімвольний пароль буде підбирається не 2,4 дня, а два з гаком сторіччя.



Зверніть увагу, це лише приблизний час обчислення на середньому комп'ютері, і в даній таблиці передбачається, що використовується будь-яке слово зі словника. Якщо б Google підключила до роботи свої комп'ютери, то закінчила б роботу в 1000 разів швидше.

Тепер я можу годинами сидіти і намагатися вас поламати, щоб зробити вас зовсім нещасним - і 95% з цих методів використовують перш за все ваш слабкий пароль. То що ж вам заважає захистити себе краще і спокійніше спати вночі?

Повірте мені, я розумію, що більше різних складних паролів важче запам'ятати. Але спробуйте хоча б для початку зробити такий пароль, який хоч і буде простим для запам'ятовування вами, але ніколи не прийде в голову іншим. І ось вам ще кілька порад на цю тему:

1. Замініть частину символів схожими на них. Наприклад, «o» можна замінити на «0» або «@». Приміром, «koza» стане виглядати як «k03a».

2. Частина літер в паролі капіталізує, як це роблять школярі «В Контакте»: наприклад M0dIfIeD.

3. Подумайте про ім'я якого-небудь близького вам людини. Але не використовуйте це ім'я саме по собі - краще додайте до імені словникове слово, і це буде найпростіша захист від брутфорс.

4. Улюблене місце, марка машини, враження від відпустки, улюблений ресторан теж підійдуть.

5. Вам правда потрібно використовувати різні комбінації логіна-пароля скрізь. Запам'ятайте, з технічної точки зору можна вломитися куди завгодно, якщо знати, що ви використовуєте стандартні паролі. Ця фішка не спрацює, якщо ви використовуєте різні паролі скрізь.

6. Оскільки важко запам'ятати, які паролі і де ви використовуєте, рекомендую зберігати їх у спеціальних крипто-програмах, наприклад, Roboform для Windows. Вона зберігає всі ваші паролі в зашифрованому вигляді, і треба знати тільки один майстер-пароль для доступу до них усіх. Також Roboform автоматом заповнює форми на веб-сторінках і його навіть можна встановити на КПК, мобільному телефоні або на флешці. (Читачі Lifehackers люблять використовувати програму KeePass з відкритим вихідним кодом, що служить тим же цілям, і до того ж крос-платформовую.) Користувачі Mac і iPhone можуть використовувати утиліту 1Password.

7. Подумали про новий пароль? Спробуйте утиліту Microsoft Password Checker і перевірте, наскільки він хороший.

Інший аспект, який би мені хотілося зачепити - це те, яке значення ви надаєте паролів. Ті, про яких ви думаєте як про малозначущих, можуть насправді означатиме дуже багато. Наприклад, пароль від поштової скриньки - багато хто думає, що це нісенітниця, тому що там нічого особливо важливого немає. А те, що e-mail пов'язаний з вашим аккаунтом в інтернет-банк - наприклад? Якщо я виламаю вашу скриньку, то зможу отримати доступ до вашого банківського рахунку - сказавши, що забув свій пароль і попрошу його вислати. Ви все ще вважаєте, що це неважливо?

Багато людей думають, що вони захищені своїм роутером або файрволл, якщо зберігають всі свої паролі будинку. І звичайно ж, вони ніколи не міняють паролі від своїх пристроїв по замовчуванню! Тому будь-яка людина може під'їхати до будинку, сісти з ноутбуком на сходовому майданчику і порушити безпеку бездротової мережі, а потім зайнятися брутфорс, поки не отримає повний контроль над вашою мережею.

Кожен день ми стикаємося з людьми, які надмірно роздмухують ту чи іншої проблему, роблячи з мухи слона. Але повірте - це не той випадок. Є ще півсотні різних невигідних для вас варіантів, які можуть вас скомпрометувати за допомогою слабкого пароля. Я їх навіть не хочу згадувати. Я також розумію, що більшості людей просто пофігу на це все - природно, до тих пір, поки їм не преподадут хороший урок. Але зробіть ласку мені, та і собі теж - витратьте трохи часу й підсильте захист своїх паролів! Щоб я знав, що мої слова не були марними.


Вибрані коментарі до оригіналу статті

Barts: «Оскільки я багато читаю, то використовую паролі, які мають коріння у забутих або східноєвропейських мовах, і їх простіше їх запам'ятати, якщо ці слова мають якесь значення для мене. Я можу додати до них ще й «зірочку» або знак підкреслення, але я впевнений, що мої паролі неможливо вгадати. Приміром, номер мого диплома або номер ув'язненого, який мій дід мав у концтаборі.

Я, наприклад, почав з арамейської варіанту мого імені: «Бартоломью» (Bartholomew) - в оригіналі це ім'я звучало як «Бар Толмаі» (Bar Tolmai), син Птолемея (математик чи астроном). Бар Толмаі можна представити у вигляді B4r T01m4i, 84r-T01m4i або B4r_ +01 m41 (але це вже для маніяків). І вуаля - 10-значний пароль готовий. Якщо мені потрібно зробити ще більш безпечний пароль, я можу додати цифру 5669, це останні цифри з номера старої машини моїх батьків у Польщі, коли ця країна була ще частиною зони радянської окупації (і до речі, це не справжні цифри). А для менш значущих сайтів, наприклад, ігрових або просто комп'ютерних форумів, я використовую час від часу більш прості паролі, наприклад, Sekigahara1600 - просто тому, що мені зручно запам'ятати дату і час цієї історичної битви.

p.s. я НЕ використовую ні один з цих паролів в реальності:) »

kityglitr: «Я відмінно захищений, всі мої паролі унікальні і змінюються щомісячно ... чуваки, це мене з розуму зводить. Нічого не вдієш, правда, потрібно менше паритися про це ».

minealone6: «¿ʚоvоʚwіɔ хıqʇʎнdǝʚǝdǝu єі ʇіоʇɔоɔ але іvɔǝ, qvоdɐu qʇɐdgо6оu ʇʎJоw ıqdǝʞɐх ɐ»

DharmaLab: «Можна ще, наприклад, подвоювати кожну букву, навіть при використанні слабких паролів - не qwerty, а qqwweerrttyy. Подвоювати слово, можна навіть з капіталізацією букв: «passwordPASSWORD. Також можна малювати віртуальні форми на клавіатурі: скажімо, квадрат 2х2. І теж з капіталізацією - 12qw! @ Qw ».

ultraaman: «А мій пароль точно ніхто не підбере! Тому що я використовую марку моєї улюбленої іграшкової машини, коли мені було не скажу скільки років. Гарний у мене вибір, правда? »

ragincajunnyc: «На додаток до вищесказаного, хотів би зауважити, що не всюди дозволяються унікальні логіни. Є купа сервісів, які використовують в якості логіна адресу e-mail типу netflix@domain.com, newegg@domain.com і так далі. Підбирати паролі в такому випадку стає багато простіше, особливо при наявності комп'ютера з потужним процесором ».

heckler95: «А мені подобається використовувати перші букви пропозицій, фраз або слова пісень, включаючи пунктуацію і числа в належній мірі. Наприклад, пароль, заснований на слогані компанії UPS («What can brown do for you?») Буде виглядати так: UPSWcbdfy. Ніяких словникових слів. Регістри, спецсимволи, числа. Але головне - щоб не забути потім все це ».

John Steele: «Стаття дуже цікава ... з теоретичної точки зору. Але як бути з практикою? Окей, давайте припустимо, що я використовую пароль з п'ятьма символами різного регістру. Припустимо, що у мене є аккаунт на Hallmark. І швидкий інтернет. Що, невже Hallmark не помітить, якщо з однієї IP послати тисячі запитів протягом 10 годин? Багато системи не допускають більше чотирьох спроб за дві хвилини ».

Jsmorley: «Я особисто використовую всього 4 пароля. Один з них - на сайтах, які не особливо важливі для мене, їх приблизно 80% від загального числа. Один я використовую ТІЛЬКИ для свого банківського облікового запису. Один я використовую в Google, включаючи свій публічний скриньку Gmail. І один пароль - для приватного скриньки Gmail. Всі вони сильні в тій мірі, в якій це необхідно. І при такому підході жодного разу ще у мене не було проблем з вкраденим паролем; вони, може бути, не «на віки», але «на роки», - абсолютно точно ».

Toothball: «А я використовую серійні номери з моїх гаджетів. Наприклад, у мого МР3-плеєра 12-значний серійник. Просто і ефективно - якщо забуду пароль, то просто переверну плеєр і подивлюся на його нижню сторону ».