Как придумать безопасный пароль, который легко запомнить

Гид
автор: Олег Нечай  22 июля 2013

Недавно мы писали о том, почему даже не слишком квалифицированные злоумышленники с лёгкостью взламывают пароли большинства посетителей различных интернет-сайтов. Возникает закономерный вопрос: а можно ли придумать такой пароль, который, с одной стороны, был бы достаточно устойчивым ко взлому, а с другой — легко запоминаемым.

Прежде всего стоит помнить о том, что взломать (подобрать, угадать) можно абсолютно любой пароль. Вопрос лишь в ресурсах — вычислительных и временных. Поэтому устойчивость пароля имеет смысл оценивать с точки зрения оправданности затрат на его взлом: если в течение некоторого времени он не поддаётся вскрытию при помощи доступных ресурсов, то его можно считать безопасным.

password-1

Для различных категорий пользователей применяются принципиально разные критерии. Для взлома пароля аккаунта простой школьницы в социальной сети никто не будет задействовать столько же ресурсов, сколько для вскрытия учётной записи руководителя крупной фирмы или (тем более) для доступа к каким-то особо защищённым государственным и оборонным сетям. Пароль, который в первом случае можно считать практически абсолютно безопасным, в двух других может быть абсолютно уязвимым. При этом наша абстрактная школьница, разумеется, никогда не будет использовать генератор случайных паролей промышленного класса и менять пароль всякий раз после его ввода.

Поговорим о некоем «среднестатистическом» случае — то есть о пользовательских паролях для интернет-сервисов, которые, оставаясь достаточно стойкими для таких применений, не заставят человека вести образ жизни клинического параноика.

Длина — это главное

В отличие от многих других случаев, для пароля длина — это главное. Пароли длиной до шести символов включительно, составленные из 95 ASCII-символов (26 букв латинского алфавита в обоих регистрах, 10 цифр и 33 служебных символов), взламываются методом полного перебора («грубой силы») на обычном персональном компьютере при помощи «числодробилки» современной видеокарты буквально за считанные минуты. Но добавление даже одного–двух символов уже серьёзно усложняет задачу, удлиняя время перебора до нескольких дней и даже месяцев.

password-2

Однако длина — пусть и главный, но далеко не единственный критерий оценки стойкости пароля. Принципиальное значение имеет отсутствие какого-то предсказуемого шаблона в самом наборе и неслучайности в последовательности символов пароля. Мера непредсказуемости появления таких символов носит название «информационной энтропии», и эта величина, рассчитываемая в битах энтропии, позволяет со значительной степенью точности оценить сложность пароля. Так, энтропия на один символ для пароля из всех ASCII-символов составит порядка 6,56 бит; таким образом, сложность 6-символьного пароля будет составлять 39,36 бита энтропии, 7-символьного — уже 45,95 бит, а 8-символьного — 52,48 бит.

Чтобы взломать пароль 52-битной сложности методом перебора, потребуется количество попыток, равное 2 в 52-й степени. При использовании пары современных видеокарт класса GeForce GTX 570, способных подбирать по 1,5 миллиарда паролей в секунду, перебор всех возможных комбинаций займёт примерно пару месяцев непрерывной работы, что, в общем, и даёт представление о стойкости такого пароля.

password-3

Однако это касается исключительно паролей, не содержащих каких-то предсказуемых шаблонов, то есть сгенерированных машинно, с теоретически максимальной энтропией. Для поведения же человека типична предсказуемость, поэтому при составлении пароля он подсознательно будет использовать какие-то знакомые сочетания и комбинации цифр, символов и букв. Непроизвольно вспоминаются памятные даты, дни рождения, имена дорогих людей, названия знакомых мест и предметов.

На деле это означает значительно большую уязвимость, поскольку метод «грубого подбора» всегда применяется в комбинации с другими способами взлома, в частности со словарным подбором. При этом использование известных масок и шаблонов значительно упрощает задачу. Помимо обычных словарей и словарей реальных пользовательских паролей, «утёкших» со взломанных сайтов, широко известны маски на подстановку отдельных букв или добавление чисел, популярные числовые последовательности — шаблоны дат, телефонов, индексов, номеров социального страхования, а также многие другие уловки, напрасно кажущиеся их авторам чрезвычайно оригинальными.

По оценкам Национального института стандартов и технологий США (NIST), энтропия первого символа из букв нижнего регистра и цифр в паролях, придуманных человеком, составляет 4 бита, последующих семи — 2 бита, а применение верхнего регистра и служебных символов добавляет ещё 6 битов, что в сумме даёт всего 24 бита, то есть в два с лишним раза меньше по сравнению с теоретическим максимумом для заданного набора символов и длины. То есть время подбора такого пароля даже методом «грубой силы» уменьшается вдвое, в реальности же «гибридная» атака позволит злоумышленнику добиться успеха намного быстрее.

И здесь мы снова возвращаемся к длине: сложность пароля длиной 14 символов теоретически составит 91,84 бита, а длиной 20 символов — уже 131,2 бита, и на взлом таких паролей только методом перебора при существующих вычислительных мощностях уйдёт несколько десятков, а то и сотен лет. Гибридные методики, разумеется, значительно снижают стойкость подобных кодов, а «человеческий фактор» делает их ещё уязвимее. Тем не менее длина делает своё дело: для обычного пользовательского пароля, даже если в нём есть не слишком явные шаблоны, рекомендуемое количество символов на сегодня должно быть не менее 14. Такой пароль будет намного безопасней, чем «суперстойкие» когда-то пароли из 6–8 символов.

Не будьте предсказуемы

После рассуждений о предсказуемости как свойстве человеческой натуры такой совет может прозвучать странно, и тем не менее. Для составления достаточно безопасного пароля вовсе не обязательно устанавливать генераторы и пытаться потом запомнить абракадабру. Можно просто попытаться стать чуть более «внезапными».

password-4

Среди самых банальных рекомендаций — не используйте псевдопароли и комбинации псевдопаролей вроде QWERTY, 123456 и тому подобных. Даже если часть такой последовательности будет присутствовать в вашем пароле, это кардинально снизит его безопасность. Недопустима повторяемость отдельных символов и их сочетаний: как цифр, так и чисел, как букв, так и слов.

Самое глупое, что можно придумать, — это вводить в качестве паролей русские слова в латинской раскладке. Если даже пресловутый Punto Switcher способен в реальном времени переключать раскладку, то странно ожидать отсутствия такой возможности у специализированного ПО.

Не используйте предсказуемые числа — даты, номера телефонов и индексы, номера соцстраховок и автомобилей. Поскольку профессиональные взломщики всё-таки отчасти математики, не стоит применять в паролях и какие-то хорошо известные константы — например, число «пи». Числовые последовательности (например, числа Фибоначчи) тоже вряд ли станут хорошей идеей.

Подстановка «похожих» символов в словарные слова не даст никакого эффекта, поскольку все взломщики давно в курсе, что «@» может заменять «a», а «5» — «s». Гораздо более эффективный вариант — исковеркать известные слова каким-то только одному вам понятным способом. Например, превратить «password» в «p&sUprtDt» — типичный шаблон тут отсутствует, поэтому словарный подбор ничего не даст, а если пароль будет достаточно длинным, то и метод «грубой силы» окажется малоэффективным.

password-5

В общем, проявите творческий подход, и у вас всё получится. Оценить результаты своих усилий можно, к примеру, на сайте GRC.com, который, в отличие от пародийного интеловского «калькулятора» даёт реальное представление об устойчивости пароля. Разумеется, оценив, придётся придумывать новый пароль — если вы действительно печётесь о безопасности.

Стёпка, хочешь щец?

Даже если вы придумали отличные пароли (а они — в целях вашей же безопасности — должны быть индивидуальны абсолютно для каждого интернет-сервиса), возникает проблема, как же их все запомнить. Конечно, можно воспользоваться встроенной в любой браузер функцией запоминания паролей, но если злоумышленник каким-то образом получит доступ к вашей машине, это будет означать, что он сможет залезть не только на вашу страничку в соцсети, но и, например, в ваш интернет-банкинг.

Некоторые люди обладают фотографической памятью на символы, и для них не составляет труда запомнить даже самую нелепую абракадабру. Другим же приходится пользоваться иным способом, который описан в заголовке этой части статьи. Автор вовсе не сошёл с ума, просто в этом заголовке приведена часть мнемонического правила для запоминания глухих согласных в русском языке: «СТёПКа, ХоЧеШь ЩеЦ? — Фи!» Мнемотехника облегчает запоминание любой информации при помощи ассоциативных связей, подменяя абстрактные данные яркими образами.

Даже самый сложный пароль можно запомнить, используя мнемотехнику, особенно какую-то близкую вам тематику. К примеру, «AsTKp2eshe:)»: «Аркадий съел большую тарелку каши, попросил две ещё, улыбнулся» и т. п. Фразы не обязательно должны быть осмысленными: напротив, чем они абсурднее, тем легче запоминаются. Техник запоминания огромное множество, и если вы освоите хотя бы некоторые из них, они пригодятся вам не только для паролей. И повторим, что это отличный способ запомнить множество сложных паролей.

* * *

Пароли — лишь одно из средств защиты информации, пусть и из числа самых распространённых. Но даже с хорошими паролями нужно уметь правильно обращаться. Среди главных правил «парольной гигиены» — не использовать одинаковые пароли на разных ресурсах и регулярно их менять. Для интернет-сервисов достаточно проводить такую замену раз в два–три месяца, если не считать экстренных ситуаций с утратой компьютера, его взломом или взломом веб-аккаунта.

Не вводите свои пароли на чужих компьютерах, особенно тех, к которым имеет доступ большой или неограниченный круг людей. Даже если коварные злоумышленники не установили там кейлоггеры, запоминающие все нажатия клавиш, в настройках системы, браузера или ПО может быть по умолчанию предусмотрено запоминание всех вводимых паролей, неочевидное для пользователя. Если же вам всё-таки пришлось воспользоваться таким компьютером, поспешите заменить пароль с безопасной машины.

Наконец, никогда и никому не высылайте свои пароли ни электронной почтой, ни через службы мгновенных сообщений: никакой интернет-сервис никогда не потребует от вас прислать ваш же пароль. Если понадобилось переслать пароль знакомым, надиктуйте его голосом по телефону либо пришлите фотографию с мобильного. И снова — в целях безопасности — при возможности сразу же поменяйте такой пароль на новый.

Поделиться
Поделиться
Tweet
Google
Читайте также
5 способов совместить возможности популярных веб-сервисов
5 способов совместить возможности популярных веб-сервисов
Как создать фальшивую личность в интернете и зачем вам это надо
Как создать фальшивую личность в интернете и зачем вам это надо
Уходим от слежки: 6 бесплатных VPN-сервисов
Уходим от слежки: 6 бесплатных VPN-сервисов
  • Numenori

    Хорошее напоминание о правилах безопасности, спасибо.
    Периодическое тыканье носом заставляет не расслаблять булки.
    Но, всё это бесполезно, если хранить пароли на бумажке под клавиатурой.
    Можно повторять такую статью раз, скажем, месяца в три, чтобы с такой периодичностью менять все свои пароли?

    • Sergey Kachalov

      Куда потенциальному взломщику проще получить доступ: к Вашему ЖД или к бумажке под клавиатурой?

      • http://fsw.su/ jno

        от взломщика зависит, однако…

  • http://fsw.su/ jno

    жуть какая…

    бОльшая часть паролей — пароли ко всяким соцсетям и прочим форумам.

    иначе говоря — к онлайновым ресурсам невысокой ценности.

    потому, юзайте, граждане LastPass.com — соорудите себе один пароль по изложенным правилам, а остальные — генерируйте программно.

    ЗЫ. для тех, кто в танке: пароли от вашего БАНКА там хранить не надо!

  • Саша

    Sin^2(x)+Cos^2(x)=1 каждый школьник знает, забыть невозможно, взломать — спецсимволы, прописные и строчные, 19 символов.
    Fe+H2SO4=FеSO4+Н2 аналогично, только 17 символов.

    Такого добра в голове у каждого специалиста в любом ремесле, инженеру — уравнение моментов балки, программисту — первая строчка «Hello World» на любимом языке, бухгалтеру — формула балансовой прибыли и т.д.

    • http://prikhodko.blogspot.com/ Aleksey Prikhodko

      Перечитайте статью заново.

      • Саша

        Что ж, раз Вы попросили, перечитал. В чем пойнт?

        По grc.com Massive Cracking Array Scenario на первый пароль уйдет 1.21 hundred trillion centuries, на второй всего лишь 13.44 billion centuries.

        • ursusrussus

          Поинт в том, что любая осмысленная фраза имеет меньшую степень энтропии, чем случайный набор символов той же длины. К тому же, любой осмысленный пароль с большой вероятностью уже приходил в голову кому то ещё и уже включён в словари перебора.

          • Саша

            Я правильно понял, что все формулы во всех вариациях включены в словари, все металлы со всеми кислотами?

            Проверил случайно сгенерированный пароль fay38gaWky#Brad27wo — разницы между Sin^2(x)+Cos^2(x)=1 разницы grs.com не видит, проверьте сами, если угодно. Или утверждение автора, что он «даёт реальное представление об устойчивости пароля» не соответствует действительности. По всему судя, тригонометрия не является «осмысленной фразой», а ее даже запоминать не надо, ибо школьные годы чудесные.

            Ладно, воспользуюсь тестом, который показывает энтропию в явном виде https://www.cygnius.net/snippets/passtest.html И что?
            fay38gaWky#Brad27wo entropy: 69.019
            Sin^2(x)+Cos^2(x)=1 entropy: 104.478

            Так пойнт-то в чем?

          • http://fsw.su/ jno

            поинт — в использовании фенек, вроде lastpass’а — стойкие случайные пароли для всякого мусора, которые при этом не надо запоминать :)

          • Саша

            Нее, это не пойнт. Тут персонаж один просил перечитать статью, которая называется NB! «Как придумать безопасный пароль, который легко запомнить». Ластпасс в ней не упоминается. Вдруг я что-то важное в статье не понял, а оппоненты ушли, бросив в недоумении.

    • unk32

      Большинство сайтов, требующих регистрации, нужны пользователям чтобы зайти и убедиться что они не туда попали. Если на каждый создавать вот такое, то лично для меня проблема через пол года вспомнить что именно я вводил (даже приблизительно, формулу реакции железа с серной кислотой или упругости балки из сопромата). Хотя вполне можно и прикрутить параноическую теорию что некоторые сайты тупо существуют для накопления паролей.

      • ursusrussus

        Капитан Очевидность подсказывает — говорить о надёжности паролей имеет смысл в приложении к ресурсам, доступом которыми вы дорожите. Если вам бесконечно дорог каждый аккаунт, созданный чтобы задать единственный вопрос на тематическом форуме, или скачать единственный файл с какого-нибудь варезника — это, конечно, проблема :) Я в таких случаях создаю аккаунт с паролем querty123 и не парюсь.

      • Саша

        >лично для меня проблема через пол года вспомнить что именно я вводил
        Вопрос в легком запоминании множества стойких паролей, а не во вспоминании какой из них следует ввести на каком из ресурсов :)

  • Николай

    То есть время подбора такого пароля даже методом «грубой силы»
    уменьшается вдвое, в реальности же «гибридная» атака позволит
    злоумышленнику добиться успеха намного быстрее.

    2^54/2^24 2
    Дальше можно и не читать…

    • Tor

      +1

  • Василий Щепетнев

    Можно создать пароль-ринг: взломавший его погибает в ближайшую полночь. Вот только стоит ли?

    • Vladimir Medvedev

      Одно время я использовал пароль вроде e4e5Nf3Nc6Bc4Nf6Ng5d5exd5Nxd5Nxf7.
      Легко запомнить, трудно забыть :))

      • Сергей Кропачев

        Я на ночь глядя не очень врубаюсь: в чем прикол? :) Просветите.

  • Evtomax

    К веб-сервисам даже короткие пароли задолбаются перебирать, т.к. на проверку каждого пароля будет уходить неприлично много времени, особенно если у веб-сервиса защита — не давать следующей попытки, пока не пройдёт хотя бы 5 секунд.

  • Slava

    Так я не понял, лучше длинный или толстый? В начале автор утверждает «длина — это главное», потом предлагает запомнить короткий толстый шифр вместо того, чтобы вводить всю пассфразу: «AsTKp2eshe:)»: «Аркадий съел большую тарелку каши, попросил две ещё, улыбнулся»

    Вроде бы Шнайер рекомендовал пассфразы в виде строк из стихов/песен.

    Для «говносайтов», где пароль надо легко запоминать — надо придумать правило извращения адреса сайта, например Comppu1337. Энтропия невысока, но от банальной подстановки в другие сервисы поможет. А если Вас будут пасти службы — правило быстро поймут и найдут всё, что им надо.

  • Junker

    Хардварный менеджер паролей типа флэшки с активацией по отпечатку пальца здорово бы усложнил взлом. Хотя от трояна ничто не спасет…

    • Alex Sherbakov

      Потерялся/сломался — и что тогда?

  • Сергей

    дарю бесплатно свой способ генерации легко запоминаемых паролей, придуман еще в школе, когда слова компьютер в русском языке не было (было слово ЭВМ)

    берем любимое стихотворение, или не любимое, лишь бы легко запомнилось, берем по первой букве каждого слова, набираем в латинской раскладке — вот и пароль

    если его подобрали и надо быстро сменить — берем по второй букве, заново запоминать надо только то, что используется вторая буква

    берем какую-то дату, которую хорошо помним, числа месяца и дня, добавляем к паролю — готово

    О, сколько нам открытий чудных
    готовит просвещенья Дух!
    И опыт — сын ошибок трудных,
    И гений — парадоксов друг.

    JcyjxUgLBjcjnBugl237

    на самом деле, хватит и первых двух строк, или вторых

  • KOLANICH

    У меня давным давно появилась идея. Есть пароль, есть строка, предоставляемая сервисом (соль), и медленная хеш-функция. Итого — если сервер взломают и поставят логгер, то пароли от других сервисов не пострадают, так как пароль вообще на сервер не передаётся, передаётся его хеш. Словарный перебор работать не будет, так как хеш-функция медленная. Для большей защиты следует сделать функцию супермедленной и реализовать аппаратно. Тогда брутфорсерщику не помогут даже асики.

  • Alex Sherbakov

    Потерять все дубликаты — не проблема.

  • Junker

    А не надо носить все дубликаты на одной связке.

  • Serg V.

    А если человек трусов не носит? ;)

  • disqusashto

    Если знаешь ссылку, зачем отправляешь в гугл? Или это новая URI scheme такая — http, ftp и google:// ?

  • Сергей

    а зачем же популярные? у меня есть друзья барды, я из их песен беру, которые хорошо помню, или даже из своих стихов, которых немного, но на пароли хватает

  • http://fsw.su/ jno

    кстати, давно пора :)

  • http://fsw.su/ jno

    тогда и пароли ему ни к чему — новый дивный просрачный мир!
    эксгибиционисты, мля…

  • neon1ks

    Взлом сайта Apple Developer Center: http://www.opennet.ru/opennews/art.shtml?num=37479
    Официальный форум проекта Ubuntu подвергся взлому: http://www.opennet.ru/opennews/art.shtml?num=37472
    Эх, с одним паролем не безопасно сейчас.

  • http://fsw.su/ jno

    у сбера — 25 рублей в день (при аренде на год) за самую мелкуя ячейку в отделении…
    и что? всякая фигня стОит того, чтобы башлять за неё 200 еврей в год?

  • http://fsw.su/ jno

    зато число Х (это там вместо звёздочек) — случайное :)

  • http://fsw.su/ jno

    а пример Вы, значит, специально привели, чтобы лохов развести покруче, да? :)

  • http://fsw.su/ jno

    1. небезопасно с дурным паролём. и даже с кучей дурацких паролей.

    2. см. «для тех, кто в танке».

  • Сергей

    пример, чтобы было видно, какого вида пароли получаются

    но тот, кто это четверостишье начнет использовать — лох, в натуре, да…

  • Саша

    Нет. Я, как неИТшник, всю вашу братию люблю :)
    Это у вас там вечные войны на уничтожение саппорт vs админы, админы vs программисты, все vs ИБшники… Жуть!

    А касаемо программерских паролей, тут всяко может быть do i=1,10 print*,i**2 end do (извините за Фортран) без пробелов или что еще. Есть замечательный язык Брейнфак…

«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"
© ООО "Компьютерра-Онлайн", 1997-2014
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"