Выбор надежного пароля
Надежный пароль - еще один залог безопасности в интернете. Для его создания нужно следовать нескольким несложным правилам, однако удивительно многие их игнорируют.
В ноябре 2009 более 10 тыс. паролей пользователей @hotmail.com, @msn.com и @live.com были украдены фишерами* и опубликованы в открытом доступе на сайте pastebin.com. Позднее выяснилось, что пострадали не только сервисы Microsoft, но и Gmail, Yahoo! и другие почтовые сервисы.
Самым популярным паролем оказался набор цифр "123456", на втором месте - более изобретательное сочетание "123456789" , а на 4-м - волшебное "111111". На 11-м месте в двадцатке самых популярных паролей стоял пароль "iloveyou". Кроме того, хозяева почтовых ящиков использовали пароли "1234567" и "12345678".
Многие пользователи выбирали в качестве паролей свои (или чужие) имена, причем эти имена тоже входили в список повторяющихся паролей - например, "alejandra", "alberto", "alejandro", "sebastian" и "roberto".
В декабре 2009 года в результате хакерской атаки популярного cервиса RockYou в руки злоумышленников попали данные уже о 32 миллионах паролей пользователей ресурса. Спустя некоторое время файл с паролями выложили в Сети. Специалисты компании iMPERVA, работающей в сфере IT-безопасности, провели анализ базы украденных паролей. Тройка самых популярных паролей: 123456 (290731 пользователь), 12345(79078 пользователей) 123456789 (76790 пользователей)
Как оказалось, 30% пользователей cервиса RockYou использовали пароли, длина которых составляет 6 или менее символов. Почти 50% "потерпевших" использовали в качестве паролей имена, сленговые, словарные слова, самые банальные пароли (известные, наверное, каждому). Также популярностью пользовались пароли, набранные с помощью находящихся рядом кнопок на клавиатуре (типа "QWERTY").
Почему важны пароли?
Если в 1984 году в Интернете насчитывалось всего около 1 тыс. пользователей, то сейчас рекорд в 1 млрд. оказался позади. Сегодня страна по имени "Internet" по числу жителей опережает все страны мира, за исключением Китая и Индии. Ежемесячно размер сети по оценкам экспертов увеличивается на 7-10%. Возможности использования глобальной сети также значительно расширились и включают электронные банковские услуги, онлайн-покупки и исследования, проводимые с помощью интернет-ресурсов. Кроме того, теперь мы рассматриваем виртуальное пространство как среду для общения. В последние годы в интернете появились социальные сети, такие как "Одноклассники.ru", "В контакте.ru" и др. Их участники обмениваются разнообразной информацией о своей личной жизни, а также музыкой, фотографиями и видеороликами.
К сожалению, чем больше пользователи сообщают о себе в сети, тем выше риск кражи их личных данных (identity theft) киберпреступниками, которые в дальнейшем мошенническим путем приобретают товары и услуги от имени пользователей и даже крадут деньги непосредственно с банковских счетов своих жертв.
Поскольку пароли защищают конфиденциальную информацию, их важность трудно переоценить. Все ваши учетные записи в интернете должны быть защищены паролями.
Пароль защищает ваши персональные данные от кражи, в том числе не позволяет злоумышленникам получить доступ к банковскому счету или другим электронным учетным записям и украсть ваши деньги.
Даже если у Вас банковского счета или электронного кошелька, Вашу учетную запись могут использовать преступники. Например, для рассылки личных сообщений внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru . . .). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом**. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам*** и банковским счетам. Или использовать Ваши данные для доступа в сеть интернет.
Какими способами могут получить мой пароль?
Преступники всегда проявляли интерес к новинкам техники. Компьютеры не стали исключением. Способов получения чужого пароля много. Это и фишинг, и внедрение вредоносного программного кода и перебор паролей.
Полный перебор (или метод "грубой силы" от англ. brute force) - метод решения задачи путем перебора всех возможных вариантов. Сложность полного перебора зависит от количества всех возможных решений задачи. Если в пароле используются 36 различных символов (латинские буквы одного регистра + цифры), а скорость перебора составляет 100 000 паролей в секунду, то для подбора пароля из 1 знака (36 вариантов), 2 знака (1296 вариантов), 3 знака (46 656 вариантов) - потребуется менее секунды. Тогда как для подбора пароля из 7 знаков (78 364 164 096 вариантов) потребуется 9 дней. Если использовать буквы разных регистров мы увеличиваем количество вариантов, а следовательно и время необходимое на подбор пароля. Можно в пароль добавлять и специальные символы.
Перебор по словарям - метод решения задачи путем перебора вариантов из словарей.(слова, сленг, имена …)
Еще один важный момент способ хранения пароля. Пароль записанный на стикере и прикрепленный к монитору далеко не редкость. Это далеко не самый надежный способ хранения пароля, особенно если компьютер находится на работе. Хранить пароли в виде текстового файла на "Рабочем столе" или в папке "Мои документы" - это тоже не лучший способ обезопасить пароль. Пароль сохраненный в браузере облегчает жизнь, но делает пароль уязвимым для вредоносного программного обеспечения. Были случаи, когда пароль для доступа в интернет похищали из АДСЛ модема. И это только по тому, что проводилась настройка модема неквалифицированными специалистами.
Какие рекомендации по составлению пароля?
1.Используйте не менее 6 символов.
2 Выбирайте пароли, которые вам будет легко запомнить и не придется записывать (в том числе вносить в файл на вашем компьютере). Такой файл может быть стерт, поврежден или украден.
3 Не используйте в качестве пароля простые и жаргонные слова, которые можно найти в словаре, названия известных городов, фирм.
4 Используйте буквы как нижнего, так и верхнего регистра, а также цифры и другие символы - например, знаки препинания (хотя использование последних не всегда разрешено).
5 Не прибегайте к "ротации" паролей, когда "пароль1", "пароль2", "пароль3" и т.д. используются попеременно для разных учетных записей. А тем более не используйте один пароль к разным учетным записям.
6 Не используйте для защиты своих данных очевидные пароли, которые легко угадать: имя вашего супруга (супруги), ребенка, домашнего животного, регистрационный номер машины, почтовый индекс, номер ICQ, телефона, дату рождения и т.п
7 Не используйте в качестве пароля только название логина, ваш nickname (псевдоним).
8 Не используйте в качестве пароля только многократный ввод одного символа (11111, qqqqqq,=====).
9 Не используйте в качестве пароля только набор символов, полученных путем последовательного нажатия клавиш (12345, qwerty, апрол, qweasd) или буквы, расположенные в алфавитном порядке (abcd, опрст)
Как хранить пароль?
1 Не сообщайте никому свой пароль. Если с вами связался (например, по телефону) представитель некой организации и попросил сообщить ваш пароль, не раскрывайте свои личные данные: вы не знаете, кто на самом деле находится на другом конце провода.
2 Если онлайн-магазин или веб-сайт прислал вам по электронной почте сообщение с подтверждением регистрационной информации и новым паролем, как можно скорее зайдите на соответствующий сайт и смените пароль.
3 Убедитесь в том, что установленное на вашем компьютере программное обеспечение для защиты от интернет-угроз блокирует попытки перехвата или кражи.
4 Не храните пароль в незащищенном файле на компьютере.
5 Записанный на бумажном носителе пароль храните в надежном месте.
А можно примеры составления надежного пароля?
Можно придумать запоминающееся правило. Например, использовать сотовый телефон как ключ к шифру. 2(adc) 3(def) 4(ghi)… А 0 и 1 придумать символ или действие. Закодировать дату рождения и имя.
Можно использовать смену раскладки клавиатуры. Например: 1Анна2Кирилл преобразуется 1Fyyf2Rbhbkk. Для повышения надежности разделить восклицательным знаком. 1Анна!2Кирилл или 1Fyyf!2Rbhbkk
Можно использовать фразы. На одном сайте есть такой пример: предложение "This little piggy went to market" (Этот маленький поросенок пошел на базар) преобразуют в пароль "tlpWENT2m".
Можно использовать пароли и такого типа: I7aPoJ7b
Лучше конечно придумать свой способ составления запоминающихся паролей.
*Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов
**Редирект или перенаправление URL (URL redirection, URL forwarding, domain redirection, domain forwarding) - техника, применяемая для перенаправления посетителя с одного адреса на другой.
***Аккаунт и эккаунт ( англ. account - учётная запись, личный счёт, (редко) бюджет) - запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе. Учётная запись, как правило, содержит сведения, необходимые для идентификации пользователя при подключении к системе, информацию для авторизации и учёта. Это имя пользователя и пароль
Болтов Евгений Иванович
