Допустим, хакер узнал пароль от вашей основной почты. Вот что он может сделать:
- Сменить ваши пароли от всех соцсетей. Попросить от вашего имени денег у всех ваших друзей.
- Изменить ваш пароль от Айклауда или Гугл-плея. Далее украсть у вас деньги или заблокировать ваш смартфон.
- Изучить вашу переписку, из которой хакер наверняка вытащит ваши паспортные данные и номер карты. Из соцсетей он легко достанет девичью фамилию вашей матери.
- Зная ваши паспортные данные и номер карты, хакер поменяет пароль от интернет-банка, сменит контактный номер телефона и сможет свободно распоряжаться всеми вашими деньгами.
- Если хакер достанет в почте скан вашего паспорта, он сможет взять на ваше имя кредит в недобросовестной кредитной организации и к вам придут коллекторы.
И всё это — из-за одного ненадежного пароля от почты. В этой статье расскажем, какие пароли ненадежные и как их сделать надежными.
Ненадежно: слова и последовательности цифр
Для почты, банка и соцсетей нельзя использовать в любых комбинациях:
- простые словарные слова: sexy, love, hello, password;
- последовательность цифр подряд: 1234, 123456789, 9876543210;
- дату рождения: 21041988, 2104;
- какой-либо год: 2015, 2010, 1988;
- свое имя: ilya;
- имена своих родственников и домашних животных: mama, papa, murka, stepka;
- название сервиса, на котором вы регистрируетесь: mailru.
Комбинации этих слов будут давать ненадежные пароли, которые на обычном компьютере подбираются за минуты и часы:
- sex — 5 секунд;
- love1980 — 3 минуты;
- password1234567890 — 3 минуты;
- sex2010 — 10 минут;
- murzik12345 — 2 часа;
- mailru987654321 — 2 часа;
- iriska12 — 2 часа;
- petya1 — 3 часа.
Надежно: цифры, буквы, знаки препинания
Хороший пароль состоит из заглавных и строчных букв, цифр и знаков препинания. Например:
- xJ462&b-vr01.8^5h;
- hs#lzkAc~6oifL0xwT;
- {|%SJbB7AN~T.
Хорошие пароли сочиняют коты, когда ходят по клавиатуре:
- s7777,.LW/g000---5255;
- GBz.vURHDG>923ub4grz.34;
- #$:*(Tg;9729htgbz1114.
Если просто несколько раз бросить руки на клавиатуру, получится надежный пароль:
- p${ghPHg5g79;
- 4ghu;DSsl@vnQwi4;
- vd.Kjbk.j4uies$.
Такие пароли невозможно подобрать с помощью словаря, а на перебор уйдут месяцы и годы — за это время вы успеете сменить пароль,ящик и гражданство.
Как сочинить и запомнить надежный пароль
У каждого человека собственная техника запоминания пароля. Если у вас нет, попробуйте такую:
- Возьмите простую фразу, которую вы точно запомните. Например, «картошка с грибами». Напишите ее: kartoshka s gribami.
- Представьте, что произносите эту фразу с акцентом. Как бы вы ее тогда написали? Например, с итальянским акцентом: kartOshka s gribammi.
- Замените пробелы на какой-нибудь знак: тире, точку, запятую или похуже что-нибудь: kartOshka.s.gribammi.
- Замените какие-нибудь буквы на цифры — но так, чтобы запомнить, что вы меняли. Например, a на @, i на 1: k@rtOshk@.s.gr1b@mm1.
Лучше всего пароль запоминается тогда, когда вы его часто вводите. Если вы только сочинили пароль, отключите в почте или соцсетях галочку «запомнить меня», и вам придется вводить его каждый день. Так ваши руки научатся вводить его автоматически. Через неделю можно снова включать «Запомнить меня».
Сильный пароль: альтернативный метод
Пару месяцев назад я уже рассказывал о методе, чтобы придумать надежный пароль.
- Берете слова любимой песни. Например, «Это не шутки, мы встретились в маршрутке под номером один, едем и молчим».
- Берем первые буквы: эншмввмпн1еим.
- Переводим в английскую раскладку: enshmvvmpn1eim.
- Делаем заглавными первые буквы ударных слов: EnSHmvvMpn1eiM.
- Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29.
- Получилось 19 символов — легко влезет в пароль для Тинькофф-банка.
Как записывать пароли
Специалисты по безопасности не советуют записывать пароли в открытом виде, даже если вы будете держать их в сейфе. Если вам необходимо записать пароль, сделайте это так, чтобы только вы знали, как его прочитать.
Возьмите старый ежедневник, откройте его где-нибудь посередине или ближе к концу и запишите на полях карандашом «Картошка с грибами. По-итальянски, по почте, 1 порция». Эта записка поможет вам вспомнить, как вы меняли исходную фразу, а посторонним будет непонятно, как из нее получить ваш пароль.
Ни в коем случае не держите пароли на стикерах на мониторе. Не носите их в бумажнике. Не записывайте в заметки в телефоне.
Как не рассекретить пароль
Даже с надежным паролем вас могут взломать: например, если кто-то подсмотрел, как вы вводите пароль; если на компьютере, с которого вы заходите в почту, стоит программа-шпион. Как обезопасить себя от таких случаев:
- Не используйте один и тот же пароль в почте, банке, соцсетях и мессенджерах. Меняйте хотя бы треть пароля, чтобы его было сложно подобрать.
- Включите двухфакторную авторизацию везде, где можно. Тогда, даже если ваш пароль попадет в руки мошенников, для входа в почту или банк им потребуется еще и ваш телефон.
- Старайтесь не вводить пароли на чужих компьютерах, особенно если компьютер общий: в интернет-кафе или библиотеке. Вы не знаете, какие на них могут стоять программы-шпионы.
- Защитите паролем домашнюю беспроводную сеть.
- Если у вас есть подозрение, что ваш пароль мог утечь к злоумышленникам, меняйте его в безопасной среде и с безопасного устройства. Например, дома с планшета.
- Держите при себе телефон, и, если вдруг ваша симка перестала работать, срочно звоните оператору и меняйте симку в салоне связи. Неработающая симка может означать, что кто-то изготовил дубликат.
Как специалист ежедневно касающийся в своей работе информационной безопасности, могу заявить ,что статью писал новичок, который не знает сути энтропии и как её увеличивать простыми способами.
Складывается стойкое ощущение, что идеальный пароль должен содержать весь возможный набор символов (цифры, строчные и заглавные буквы латинского алфавита и спецсимволы). Но на практике, пароль «@Vy[o8!B» может быть легко забыт, хотя он и достаточно надежен от взлома простым перебором.
Здесь более компромиссным вариантом будет пароль, состоящий из бессвязных на первый взгляд слов, примерно такого вида: «Match-Spoon-Balalaika-Freedom», который куда более стойкий для взлома и гораздо проще для запоминания (если вы хоть немного знакомы с английским). Достаточно представить в голове сценку, в которой связаны эти 4 вещи и вы уже никогда их не забудете - это простая психология, принципы запоминания нашего мозга связаны с образами.
P.S. И еще, интересно посмотреть на автора, как он запомнит хотя бы 10 различных паролей, где какой символ и на что он изменил в своей фразе.
Я могу оценить ваш пароль. Просто киньте сюда имейл и пароль, что бы я посмотрел насколько они похожи
Tinkoff, пытался в вашем банковском приложении поменять пароль, придуманный по вашему же сценарию. Приложение не даёт, говорит: двоеточие использовать нельзя. Во всех сервисах главное можно, а у вас нельзя)
Предлагаю ещё вариант ошибки: "Ваш пароль слишком сложный, придумайте пароль с более простыми символами"
Запомнить пароль? У меня их десятки, если не сотни. Я не киборг же.
"Добавляете свой любимый смайл и возраст, в котором у вас был первый секс: EnSHmvvMpn1eiMX-D29."
Илья, 29? 29?! :-/
Максим, сарказм? Не, не слышал)
На что ты вообще тратил свои лучшие годы?!
Было бы интересно узнать мнение редакции о менеджерах паролей и рисках их использования.
Сегодня существует много сервисов, для генерации и схранения паролей с шифрованием. 1Password, Dashline, например
sviperm, после истории с LastPass параноидально отношусь к сторонним сервисам хранения паролей (https://habr.com/ru/company/defconru/blog/260383/). Пользуюсь локальным KeePass вместо них. Синхронизирую через Dropbox.
Реально прошлый век господа. Используйте защищённый менеджер паролей. Например тот же Enpass. Или аналоги. Как правило такие менеджеры хранят пароль в зашифрованном файле. И вам только надо помнить только один пароль от этого файла. Даже если его украдут то дешифровать такой файл невероятно сложно.
Кстати, незнаю надежно ли это, но можно пользоваться техникой ввода паролей, похожий на создание ников в видеоиграх: ту же самую "картошку с грибами" можно латиницей, имитируя кириллицу, записать как KaPToLLIKa_C_rPuBaMu
Как то так; единственная проблема что не все буквы можно латиницей записать
Роман, достаточно добавить пару цифр в ваш пример: KaPT0LLIKa_C_rPu6aMu
Но и это не панацея, нужно еще уметь записывать таким образом, а потом уехать в отпуск на 2 недели вернуться и вспоминать было там "a" или "A" :(
Запомнить те сотни паролей которые у меня есть (пользуюсь правилом: один сервис - один пароль). не реально. Поэтому использую Ластпас с 2х факторной авторизацией и сложным (20+ символов, в том числе и спец) мастер-паролем. Хотелось бы мигрировать на что-то более безопасное (keepass, 1password), но пока не определился куда податься.
меняю периодически
Вот вы чудаки... Используйте менеджер поролей типа кипас и будет вам счастье
Серьёзно? Менеджер паролей наше всё, особенно если база хранится локально или где-то на вашем сервере (не путать с облачным хранилищем), а доступ к базе осуществляется посредством ключа и мастер-пароля от 12 символов, в котором также имеются спец-символы.
я ожидал что статья про менеджеры паролей, а тут ерунда какая-то
месяц назад... но в течении месяца я просматриваю и меняю пробел на символ или же под настроение которое у меня на момент замены пароля...
Я часто это делаю, так как теряю прежние) А ещё люблю несмешно пошутить))
В мобильно приложении или в декстопе?
Давно
неделю назад
недавно
2020 году
в 2020 году
сегодня
меньше полугода назад
год назад
год назад
От почты пять дней назад,
от соцсетей месяц назад.
месяц назад
Вчера
недавно
не так давно
не меняла
Недавно
Меняю часто, потому что я их забываю
Недавно
давно
Только что
3 года назад
Писал статью про пароли, и сослался на вашу статью.
https://dewil.notion.site/e89c98cf12574fd68064c94bc34193f7
6 месяцев назад