Простые сложные пароли

Как препятствовать взлому аккаунтов и создавать сложные, но запоминаемые пароли

29.01.2010
15:55
Дмитрий Бергер

Мне бы день продержаться,
Да ночь простоять…
Твой пароль

 

Заходя в ICQ или на «Одноклассники», уже никто не удивляется одному-двум, а то и десятку сообщений от друзей с просьбой перейти на какую-либо интернет-страничку, отправить СМС, проголосовать на форуме или выполнить еще какие-либо действия. Как оказывается позже – никаких ссылок и сообщений собеседники не присылали, а все это - спам, разосланный со «взломанной» учетной записи (аккаунта).

 

Возникает естественный вопрос: «Неужели эти популярные сервисы настолько уязвимы для мошенников, использующих наши аккаунты в своих личных целях? Неужели разработчики этих систем настолько беспечны и совершенно не заботятся о конфиденциальности и сохранности наших личных данных?». Конечно же, нет. Сервис, который не хочет потерять своих пользователей и изначально рассчитанный на огромную посещаемость и повсеместное использование, очень внимательно относится к вопросам безопасности личных данных клиентов, постоянно совершенствуя систему и применяя самые современные алгоритмы защиты. Так почему же тогда не прекращается поток спама от наших знакомых? Давайте разберемся по порядку…

 

Зачем взламывают аську?

 

Как ни странно, чаще всего взлом производится «просто так», исключительно для самоутверждения. Любой школьник, дорвавшись до интернета и скачав компьютерную игру с приложенным к ней «кряком», непременно начинает мнить себя хакером и пытаться «расти» в этом направлении. На определенном этапе доходит дело и до асек, аккаунтов почтовых программ, «Одноклассников» и т.д. Из-за обилия информации и специальных программ в Сети, обучиться подобному «хакерству» не представляет никакого труда.

 

Другой частой причиной взлома, более точечной и осмысленной, является любопытство. Если ревнивый молодой человек захочет почитать, что пишут его девушке собеседники (особенно мужского пола), то это как раз тот случай.

 

Еще одна довольно распространенная причина – так называемый «красивый номер». Если номер вашей аськи содержит несколько повторяющихся цифр или состоит из их легко запоминающихся комбинаций (например, 1231234 или 3335678), то велика вероятность, что кто-то эту аську «уведет».

 

Нечистоплотные люди не гнушаются взломом аккаунтов ради того, чтобы опорочить  владельцев, общаясь от их имени с их знакомыми, рассылая спам или вирусы, «раскручивая» свой или чей-то сайт предложениями пройти по ссылке и т.д.

 

Причины на самом деле могут быть разные, но ясно одно – взлом пароля аккаунта или программы мгновенных сообщений не несет ничего хорошего ни пользователям, ни владельцам этого сервиса.

 

Как происходит взлом?

 

Два самых распространенных способа раздобыть ваш пароль – это непосредственный взлом аккаунта с помощью специальных программ, выманивание пароля с помощью поддельных веб-страниц сервисов (фишинг) или программы-троянцы, работающие на вашем компьютере и отслеживающие нажатия клавиатуры во время ввода (клавиатурные шпионы, кейлоггеры).

 

С фишингом все понятно – в виде письма или сообщения от имени администрации сервиса приходит просьба ввести (подтвердить/обновить/восстановить случайно утерянные) личные данные. В письме от заботливой «администрации» так же содержится ссылка на специальную форму, которую нужно заполнить. Среди полей формы содержится и поле для ввода пароля, заполнив которое, вы дарите мошенникам полный доступ к своей учетной записи.

 

Опознать фишинг «в лицо» внимательному человеку несложно: администрации многих сервисов предупреждают пользователей, что они не рассылают письма с просьбами о сообщении личных данных. Еще одна характерная отличительная особенность – имя домена в ссылке на веб-форму для ввода данных немного отличается от ссылки на сервис (например, вместо домена icq.com в ссылке может быть написано isq.com или icp.com и т.п.). При беглом прочтении глаз «не цепляется» за различие в написании, чем мошенники и пользуются. Поэтому внимательнее читайте письма, обращая особое внимание на то, куда «уводят» ссылки! Этим вы значительно обезопасите себя от незапланированных «подарков» парольным вымогателям.

 

Что такое клавиатурные шпионы и как с ними бороться, мы уже рассказывали в статье «Когда все тайное становится явным», поэтому в этой статье мы немного подробнее остановимся на непосредственном взломе и методах защиты.

 

Грубая сила

 

В Сети существует масса программ, предназначенных для взлома всевозможных сервисов. Но наиболее эффективными из них являются приложения, реализующие так называемое «угадывание» - перебор всевозможных значений по словарям, содержащим слова из разных языков, имена, часто употребляемые комбинации букв и цифр. Например, в первых строчках таких словарей обычно идут значения «qwerty», «111», «john85» и т.д.

 

Вторым по распространенности идет метод «брутфорс», или просто «брут» - взлом «грубой силой» (brute-force). Метод представляет собой перебор всего множества значений, проще говоря, составляется «полный словарь» из всех возможных вариантов сочетаний символов алфавита заданной длины и они «подсовываются» сервису. Например, словарь, составленный с помощью мини-алфавита из двух цифр – «1» и «2», длиной 3 символа будет содержать значения: 111,112, 121, 122, 211, 212, 221 и 222.

 

Вы даже не представляете, какое количество людей не отягощают себя мыслью поставить на свой аккаунт пароль, длиннее 8 символов. Многие попросту боятся его забыть и «отделываются» простыми словами или наборами символов, надеясь, что программы по взлому их до сих пор не знают. Достаточно пройти по одной бухгалтерии и почитать пароли на желтеньких стикерах, традиционно приклеенных к краям мониторов. Наверняка обнаружится, что добрая половина заходит в компьютер с паролем 111 или 123, добрая часть с паролем подлиннее – «qwerty», и обязательно найдется несколько «оригиналов», использующих в качестве пароля собственное имя, дату рождения или номер мобильного телефона.

 

Подобную беспечность людей давно и успешно используют специалисты-пароледобытчики. Более того, можно смело предположить, что пока люди будут так относиться к своим личным данным, эти методы еще долго останутся доминирующим. 

 

Итак, при «разборе полета» получается, что в том, что «увели аську» или «взломали одноклассники», сервисы-то и не виноваты. А вот низкая осведомленность об элементарных правилах безопасности – заслуга, причем довольно сомнительная, самих пользователей. И выход тут один: изучить и применять хотя бы простейшие методы защиты своих личных данных.

 

Броня против снаряда

 

Достаточно применять несколько основных правил, чтобы снизить вероятность взлома аккаунтов. Их немного, и они настолько просты, что выполнять их не составит труда даже самому начинающему пользователю.

 

Правило первое: Каждому сервису – свой пароль.

 

Не используйте один и тот же пароль для входа в несколько аккаунтов. Взломав один аккаунт, злоумышленник «бонусом» получает еще несколько, чем он, поверьте, не преминет воспользоваться.

 

Правило второе: Не сохраняйте пароли стандартными средствами операционной системы.

 

Для сохранения паролей лучше воспользоваться специальными программами или банальным бумажным блокнотом. Последний способ тоже имеет массу недостатков, но, во всяком случае, пароли хранятся в недоступном для сетевых мошенников месте.

 

Правило третье: Никому не сообщайте свои пароли.

 

А тем более, не пересылайте их в открытом виде через сервисы мгновенных сообщений, почту или «приваты» в форумах и чатах.

 

Правило четвертое: Время на взлом пароля растет экспоненциально с каждым дополнительным символом.

 

Современные компьютеры, да еще и с хорошим интернет-каналом, способны подобрать пароль к онлайн-ресурсу, состоящий из 6 букв латинского алфавита одного регистра, за несколько секунд. На 8 знаков уйдет уже несколько часов. И только самые упорные дождутся взлома 10-значного пароля. Сделайте работу таких программ невозможной или хотя бы затрудните ее по-максимуму – не отгораживайтесь паролем менее 8-ми, а еще лучше 10-11-ти символов. Это не значит, что пароль 111 достаточно заменить на 1111111111 и все будет в порядке :). Использование символов разного регистра, цифр и спецсимволов намного усложняет подбор пароля.

 

Правило пятое: Никогда не переходите по ссылкам и не открывайте присланные незнакомцами файлы.

 

Перейдя по ссылке можно запросто нарваться на веб-страничку, содержащую вредоносный код, а под видом «прикольной флешки к празднику» может скрываться и программа-троян, незаметно ворующая пароли.

 

Правило шестое: Не используйте рабочие аккаунты в компьютерных клубах и интернет-кафе.

 

Процент «угонов» паролей после таких посиделок с «компьютера общего пользования» намного выше, так как неизвестно, кто сидел там до вас и что установил на компьютер. Обычно подобные заведения, укомплектованные молодыми, только начинающими сетевыми администраторами, являются рассадниками и инкубаторами всякой интернет-живности. «Черви» и «кони» обычно представлены в широком ассортименте.

 

Правило седьмое, последнее: Доверяй, но проверяй… Постоянно!

 

Всем понятна тяга человека к экономии собственных средств. Очень многие не разделяют понятия, где можно сэкономить и где следует это делать. Отсюда и пиратство буйным цветом и многочисленные программисты, взламывающие или каким-то образом обходящие защиту программ от нелицензионного использования. Но на сегодняшний день стоимость лицензии на антивирусные программы снизилась настолько, что ради собственной безопасности потратить одну тысячу рублей в год не грех. Запомните: затраты на самого себя – самые окупаемые, поэтому не поскупитесь на хороший антивирус, а еще лучше – и файрвол (firewall) в придачу. Это позволит уберечься от подсовывания вам программ-троянов и еще множества всякой гадости, коей кишит интернет.

 

Если с деньгами совсем беда или пара походов в Макдональдс важнее безопасности, используйте хотя бы бесплатные средства защиты – некоммерческие версии антивирусов или проверяйте присланные файлы и ссылки с помощью специальных онлайн-ресурсов, сканирующих на вирусы.

 

Один инструктор по вождению как-то сказал своим ученикам: «Запомните всего одну простую вещь – на дороге все хотят вас убить». Все правильно поняли, что он имел в виду, и после этих слов водить стали как-то аккуратнее, держать дистанцию, соблюдать скоростной режим, притормаживать у горок и поворотов… Про интернет можно сказать чуть иначе: «Все взломщики сети хотят заполучить ваши данные». Неважно, кто вы и чем занимаетесь, красивый номер у вашей «аськи» или нет, много в ней контактов или почти пусто. Взломщику наплевать, через чей аккаунт слать спам или зловредные ссылки. «Параноить» по этому поводу не стоит, но хотя бы вышеприведенные простые правила соблюдать нужно.

 

Как составить сложный пароль?

 

Набор символов для составления паролей содержит в себе все строчные и прописные буквы латинского алфавита, цифры от нуля до десяти и некоторые спецсимволы, такие как .,:;()[]{}#$%. Как становится понятно, количество вариантов паролей, составленных из этого набора символов, невероятно огромно. Почему же никто не пользуется этим набором, а придумывает «банальные» для брут-программы пароли из 3-6 символов?

 

Как уже было сказано выше, многие не составляют сложных паролей по одной простой причине – они боятся их забыть. Понятное дело, что с возрастом память имеет тенденцию к ухудшению, постоянный обильный поток информации делает нашу память «короткой» и очень избирательной – вне зависимости от степени важности что-то врезается так, что насилу потом не выкинешь, а что-то тут же влетает из головы, как будто и не было. Странное дело получается – все боятся забыть несколько пусть даже 8-значных сочетаний символов, но зато помнят длиннющие стихи, заученные второпях в школе на перемене перед уроком литературы (а вдруг спросят?).

 

Стихи… Ну, пускай будут стихи. Сейчас мы познакомим вас с одним из самых простых методов составления сложных, но легко запоминающихся паролей. Вообще-то, для них ничего и не нужно запоминать – вы и так все, что нужно, уже помните.

 

Итак, перед вами пустая строка для ввода пароля и вы уже занесли палец над заветной кнопкой с цифрой 1… Остановитесь на минуту и вспомните фрагмент какого-нибудь стихотворения или куплет песни. Мне почему-то сейчас вспомнилась песенка из мультфильма про Вини-Пуха, про гостей прямо с утра. Вот на этой песенке и потренируемся в «изготовлении» паролей разной степени сложности:

 

Кто ходит в гости по утрам,

Тот поступает мудро!

Тарам-парам, парам-тарам,

На то оно и утро!

 

Сложный пароль. Оставляем первые буквы каждого слова из песни в присущем им регистре (как они пишутся в куплете). В итоге получаем:

 

Кхвгпу

Тпм

Тппт

Нтоиу

 

Составим в одну строку: КхвгпуТпмТпптНтоиу. Это и есть наш пароль. Набранный в латинской раскладке, он дает нам 18-тисимвольное R[dugeNgvNggnYnjbe. При наборе можно даже тихонечко мурлыкать себе под нос песенку. Несложно, правда? И это можно делать с любыми стихами и песнями, поверьте!:)

 

Очень сложный пароль. Пример тот же, просто давайте оставим знаки препинания, встречающиеся в стихотворении. Получается 23-символьное непереводимое словечко из жаргона роботов-пришельцев: Кхвгпу,Тпм!Тп,пт,Нтоиу! Что в переводе в другую раскладку будет выглядеть так: R[duge,Ngv!Ng,gn,Ynjbe!

 

Очень-очень сложный пароль. Для его составления все-таки придется кое-что запомнить, а именно – систему правил замены некоторых символов на похожие. Воспользуемся методом фишеров, не все же им нас обманывать :). Количество правил, используемых для усложнения пароля, может быть любым, все зависит от вашего желания. Внимательно посмотрев на получившийся пароль, можно заметить, что символ «g» похож на цифру 9, символ «v» похож на римскую цифру 5, символ «b» похож на цифру 6, восклицательный знак – на цифру 1 и т.д., все зависит от фантазии. Например, можно придумать правило - заменять переход строки на новую символом тире и нижним подчеркиванием через раз и еще много разных правил. Но, используя даже эти, из нашего пароля получается уже нечто совсем невообразимое и 26-тисимвольное: R[du9e,-Ng51_N9,9n,-Ynj6e1.

 

Для генерации сложных паролей некоторые рекомендуют использовать специальные программы. Но тогда, учитывая особенности нашей памяти, хранение сгенерированных паролей придется доверить другой программе. И никак иначе - попробуй-ка запомнить с десяток непроизносимых сочетаний символов! Программный метод хорош до первой переустановки системы или до момента, когда нужно подключиться к сервису с чужого компьютера.

Как видно из примера, «стихотворный» метод совершенно прост в использовании, причем «на выходе» получаются пароли высокой сложности, но при этом легкие в наборе. Нужно лишь помнить ассоциативную связку «Имя сервиса - песня». Для нашего примера эта ассоциация будет следующей: «mail.ru - Утренняя песня Винни Пуха». Если все же надежды на память нет, то хоть в блокноте, хоть на стикере можно смело написать ассоциативную связку. Даже если кто и увидит, то не обратит внимания или не поймет, что это – ключ ко всем вашим личным тайнам.