От qwerty до криптонита: как создать и легко запомнить надёжный пароль

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com
| Гайд | Информационная безопасность, Законы, Программы, ПО, сайты

Пару раз в год мне в vk прилетает крик души такого вида «Край нужно 3500 на эту карту, завтра верну!».  Наверняка и вы получали что-то подобное. Понятно что аккаунт взломан и мошенник собирает (и соберёт) кассу… Очевидно, что надёжный пароль — первое средство сохранить аккаунт.  

Самое полезное для вас в том, что есть лёгкий способ сделать всего один надёжный пароль для всех аккаунтов и сервисов!  Одновременно универсальный для всех, и подходящий только к чему-то одному.  Такой чтобы и из кучи символов был, но и чтобы вспомнить можно было легко.  Этакое кольцо всевластия, которое управляет всем и делает вас невидимым.  

Глава первая. Вначале был «Йцукен» или добавьте воображения

Предлагаю напрячь память и вспомнить свой первый пароль.  Уверен что для многих это будет какая-то вариация из «qwerty \ 123456 \ password» или чего-то схожего, что вы сможете вспомнить и набрать даже когда одна замочная скважина до вечеринки превращается в три после. 

Можно ли взломать?

Да легко! Мошенники\хакеры отлично знают что почти все начинают именно с таких паролей, а многие с ними же в итоге и остаются. Таблицы таких самых популярных паролей содержат все подобные комбинации и если есть возможность\время их безнаказанно перебрать (это примитивное дело известно как брутфорс), то будьте уверены — ваш аккаунт не выстоит.  

К счастью, сейчас во многих сервисах есть защита от такого перебора и после нескольких неудачных попыток доступ блокируется (+ вам придет сообщение о попытке входа) и\ или включается капча.  Последнее тоже решаемо, но крайне маловероятно что хакер пойдет на это ради вашего аккаунта.

Дюжину лет назад именно таким способом я от скуки и выпотрошил от аккаунт моей знакомой.  Я был уверен в том что есть крайне небольшой перечень паролей и попеременно вводил их до успеха. 

Такой пароль хорош потому что:

  • Вообще не надо думать. 
  • Очень легко запомнить и набрать

Такой пароль плох потому что:

  • Все такие пароли известны

Какой пароль легче всего взломать? Да вот созданный именно по таком ленивому принципу. И все же он же вполне оправдан, когда вы уверены что «никому ваш аккаунт не нужен \ взлом не даст чего-то ценного». То есть — запаролить домашний комп или телевизор от детей, сделать гостевой пароль для wi-fi.

Как создать надежный ПИН-код для карты или телефона? Да по тому же принципу.  Не будьте очевидным. Выберите любую дату из истории, этого будет достаточно.  Получили кредитную карту — смело ставьте 1861 как пин-код, пусть напоминает вам о крепостном праве.  вы можете забыть цифры, но не событие.  А уж найти его дату в сети дело плевое. Если ПИН-код был выдан вам автоматом, то это аналогично работает.

Ошибки: Явно не стоит использовать такой пароль для почты\соцсетей или важных аккаунтов.

Глава вторая. Rfrjqcbkmysqgfhjkm или просто и надёжно. 

Хороший, простой и надежный способ создания паролей. Именно его я вам и советую. 

Итак, берется значимая для вас кодовая фраза или длинное слово. 

Что-то такое, что вы не забудете никогда:  сплит Пахмутовой\Темнозорь, кличка хомяка, девичья фамилия.  Дальше, все что вам остаётся это набрать ее на клавиатуре, переключив раскладку на латиницу.  И тогда из "пшёлвон" получится "gi`kdjy".   Неплохо, да? Кому кроме вас в голову придет такая комбинация?  

При желании, можно сделать пароль супер устойчивым.

  • хорошо: быласобака = ,skfcj,frf
  • очень хорошо: упопабыласобака = egjgf,skfcj,frf
  • невозможно взломать: упопабыласобакаонееубил = egjgf,skfcj,frfjytte,bk 

Сайт просит ещё цифр и заглавных букв. Отлично, добавляем в начало и конец, например, 1 и пишем первую букву с заглавной.  Ещё можно взять за принцип писать единицу вместо i в таких паролях.  

В итоге имеем нерасшифровываемое ассорти из 8 символов 1G1`kdjy. И это даёт 218 триллионов вариантов.

Можно ли взломать?

Можно,  но сложно. И крайне сложно если у вас не то что даже 8, а, например дюжина символов. Больше бы я делать и не стал, сложно запомнить. Если в главе 1 перебор шёл по базе известных паролей, то символы надо тупо перебирать. А ведь, напомню, редкий сервис даст безнаказанно раз за разом вводить пароль.  

Впрочем, если у вашего недруга есть квантовый компьютер, то процедура сократиться на пару десятков лет.  К счастью, у него его нет...

Когда, опять-таки от скуки, я решил повторно ломануть упомянутый выше акк, выяснилось что теперь его защищал именно такой основанный на раскладке пароль. Подобрать мне не удалось, но...помог один популярный автоматический переключатель языка вводимых символов. Безобидная удобная прога имела на тот момент опцию (мб и сейчас имеет) записи всего вводимого с клавиатуры. Потом осталось лишь прошерстить найденное… Но! Сам пароль подобрать не получилось. 

Мораль: периодически проверяйте работающие программы и не пускайте кого попало за компьютер. 

Такой пароль хорош потому что:

  • Легко придумать на основе слова-якоря
  • На самом деле сложно взломать

Такой пароль плох потому что:

  • Если на клавиатуре нет кириллицы (виртуальная или зарубежом, придется набирать по памяти. 

 

Глава третья или Один за всех и все за одного

Ошибки: использовать 1 пароль для всех устройств и аккаунтов очень соблазнительно и очень опасно.  При взломе одного аккаунта, злоумышленник тут же начнет шерстить и другие известные ему. Как быть?

Итак, у вас есть 1G1`kdjy из главы выше.  О, да — хороший и устойчивый пароль, который вы помните.  Положим вы регистрируете аккаунт на ixbt.  Берём первую и последнюю буквы сайта, и добавляем их в пароль. Получается i1G1`kdjyt (или 11G1`kdjyt, если мы меняем i на 1). Можно брать только первую, только последнюю. Да как угодно. Главное — выработайте для себя принцип и следуйте ему.  Эта схема будет совершенно неочевидной для взломщика, а вы можете подгонять пароль абсолютно под любой сайт и сервис.  И в таком случае вам необходимо будет помнить только один пароль-основу. Все. 

Такой пароль хорош потому что:

  • Легко придумать на основе слова-якоря
  • Еще сложнее взломать (символов-то больше)
  • Доступ ко всему на основе лишь 1 пароля

Такой пароль плох потому что:

  • Если на клавиатуре нет кириллицы (виртуальная или зарубежом, придется набирать по памяти. 
  • Придется менять если сайт или приложение сменили адрес\имя 

Глава четыре или где хранить пароли

Вполне удобныменеджер паролей в браузере и хранение паролей в основном аккаунте от apple\google\xiaomi. Сайты-генераторы паролей или сервисы при создании пароля сделают вам чудовищную комбинацию. Да, ее невозможно взломать, но и встаёт вопрос как запомнить сложный пароль?  А вы ведь и не запоминаете, а просто синхронизируете пароль в браузере или смартфоне, чтобы заходить с любого устройства, там у вас уже куча совершенно таких разных паролей хранится, которые иначе и в жизнь не запомнить.  

Но попробуйте зайти с любого нового устройства, которое не помнит подсунутый вам dfj!RScsdajn!S~ Способ из главы выше позволит обойти этот вопрос. 

Бумага. Как ни глупо это звучит, но стоит записывать пароли или основу для паролей на бумаге. Случится может всякое.

Облако. Делаете текстовой файл с названием НЕ «пароли \ passwords».  Условно «Лечо от Нюськи» или «Замеры яркости фонариков».  Копируем из сети 3-4 абзаца чего-то схожего с темой, чтобы при открытии файла было видно только такой нейтральный текст.  А внизу уже лупим список паролей, и сохраняем в облаке вашего аккаунта.  Все, в случае острой нужды у вас будет возможность добраться до всех своих паролей.   Опять-таки, если вы воспользуйтесь способом из главы 3, то запомнить нужно будет лишь один пароль, основу, на которой строятся все основные. 

Программы для хранения паролей.  Хороши когда вы не хотите хранить пароли в браузере\аккаунте, но и вводить вручную каждый раз 30-40 символьные пароли (если у вас такая программа, то стоит ожидать паролей изрядной длины) непросто.  Такая программа упростит жизнь. Но, увы, лишь на том компьютере, где установлена. Да, и если она у вас есть — вы и так многое знаете том как создать надёжный пароль. 

Собственно все.  Возьмите на вооружение третий пункт, проверяйте не появились ли у вас на компьютере неустановленные программы и не подпускайте к нему посторонних.  Ну и универсальное правило — если вы с готовностью переходите по непонятным ссылкам, то, скорее всего, даже самый сложный пароль вам не поможет.

Глава пятая или «А если я забыла пароль?»

Важный момент, который может свести на нет всю возню с паролями. 

Позабытый пароль легко можно восстановить.  Плохо то, что для восстановления обычно предлагают одни и те же контрольные вопросы. 

Девичья фамилия матери? Город где вы родились? Прозвище в школе? Серьёзно?!

Как вы думаете, легко ли будет заинтересованному человеку найти ответ на этот вопрос. Ещё раз, проявите немного изобретательности и создайте свой вопрос с известным лишь вам ответом.  А, в идеале, ставьте двухфакторную аутентификацию — чтобы ещё и СМС приходило, и письмо на заведённый только для восстановления аккаунтов ящик.  

Если у вас есть замечания или какой-то свой проверенный способ создать надёжный пароль — пишите в комментариях! 

21 комментарий

A
Что за бред? Любой осмысленный пароль, даже с заменами символов взламывается на раз по базам языка. Никто же не будет делать такой пароль длиной с Войну и мир, а короткое все есть в специальных словарях, да и Толстой тоже… Нет никаких методов, кроме одного: пароль — это набор случайных символов достаточной длины. Случайность не может задаваться одним человеком — бесполезное занятие.
B
«Что за бред?.. а короткое все есть в специальных словарях» — не бред, если это фраза с числом и «своей» опечаткой. Ни в каком словаре такого не будет. Никогда.
p
У генераторов паролей есть фундаментальный плюс — ты его не знаешь. А сохранение базы — вопрос технологический — синхронизация в облака, на телефон и т.д. Ввводить 20- символов на каждом важном сайте — увольте. Вопрос в нормальном пароле для самой базы паролей. но тут как раз подойдет указанный алгоритм.
A
Не знаете — не говорите. Опечатки там тоже есть. Это вовсе не так много вариантов, как кажется. Вопрос лишь в том, что вшивые соцсети профессионалы не ломают, если это не сеть какого-нибудь президента. Правда, умные президенты в соцсетях информацию не держат.
B
Не знаете — не говорите. Опечатки там тоже есть
Еще как знаю. Есть, но далеко не все. Комбинаторика позволяет довольно легко оценить безумность «полного словаря фраз с опечатками». Даже без единой цифры в последовательности. :-)
То, о чем вы говорите — крошечная часть реальности, с расхожими сочетаниями, не намного лучше списка «100 частых паролей».
B
Все верно, давно уже использую нечто подобное. Удобно, надежно.
Добавлю: имеет смысл иметь 2 системы паролей — одну попроще и покороче, для всяческого почти безответственного.
И другую — для серьезных и денежных ресурсов.
469917932@vkontakte
Отличные советы, спасибо :)
R
Вопросы для восстановления паролей везде стандартные. Но кто вам мешает отвечать на них не стандартно?
1448014290@facebook
Еще 15 лет назад я использовал пароль « ДиНаМоКиЕв » в английской раскладке.
« LbYfVjRbTd »
R
Поищите LbYfVjRbTd просто в Гугле.) Спасут от жуликов только неправильные восклицательные знаки и сайт, который не даст долго перебирать.
narmattaru
и что? поисковик исправил транслит. как это увязано с подборкой пароля
R
«только неправильные восклицательные знаки».)))
С
Например, гугл предлагает сам делать пароль для любых сайтов и сам же его сохраняет. Т.о., вам нужен только один пароль от гугла и мультифакторной проверкой.
t
Посоветуйте менеджер паролей с мобильными и десктопными приложениями на свой хостинг.
116936303099876807088@google
Можно набрать последовательность из первых букв слов любимой песни/стихотворения
113349801397026670787@google
Давно придумываю пароли на английской раскладке русскими буквами с добавлением нижнего подчёркивания, дефиса и цифр. Да и ещё — буквы беру из разных рядов клавиш, храню на бумажном носителе, есть спецблокнот. Вот так и живу в этом мире… недоверия.))
А
Пробовали подчеркнуть сверху? «Нижнее подчеркивание» — масло маслянное.
113349801397026670787@google
Пробовали подчеркнуть сверху? «Нижнее подчеркивание» — масло маслянное.

Попробуйте, может у вас лучше получится...)
B
Нижнее _
среднее –
верхнеe ͞
Если хотите, можете их называть ПОДчеркивание, НАДчеркивание и ЗАчеркивание :-)

Добавить комментарий