Все частішими стають повідомлення про те, що той чи інший популярний онлайн-ресурс зазнав хакерської атаки, а зловмисники заволоділи особистими даними його користувачів. Якщо ви коли-небудь опинялися в такому нещасливому списку, то, ймовірно, отримували листа від «потерпілого» сайту з проханням терміново змінити пароль. Внаслідок таких інцидентів, мільйони мешканців інтернету періодично змушені ламати голову над видумуванням нових паролів до своїх акаунтів на улюблених веб-сайтах.

The word passwords on red business binder on a deskОднак, проблема полягає в тому, що комп’ютерні системи та їхні користувачі переважно мають зовсім різне уявлення про досконалий пароль. Пересічні користувачі асоціюють пароль із якимось особистим секретним словом. Вони не здогадуються, що це слово зазвичай дуже легко відгадати за допомогою комп’ютера, просто перебираючи усі можливі комбінації символів, або ж використовуючи слова зі спеціалізованого словника. Не секрет, що сучасні комп’ютери без особливих труднощів можуть «розгадувати» паролі зі швидкістю 1–100 млрд спроб за секунду, залежно від конкретного випадку.

Тому, щоб убезпечити своїх користувачів від таких атак, деякі сервіси вимагають, щоби пароль:

  • містив як великі, так і малі літери (іноді також цифри чи спецсимволи);
  • відрізнявся від паролів, що будь-коли раніше використовувалися у цій системі;
  • складався щонайменше з N символів;
  • не перевищував M символів (я думаю, у пеклі неодмінно повинно бути місце для тих, хто ставить таку вимогу, проте, інколи і з нею мусимо миритися).

eleks-pass1

То як бути?

В залежності від вашого особистого досвіду та вподобань, ви зараз користуєтеся одним із цих двох підходів:

  1. Маєте один-два «ідеальні» паролі, які відповідають традиційним вимогам і застосовуєте їх для більшості веб-сторінок. Перевагою є те, що ви бездоганно пам’ятаєте ці паролі та вмієте вводити їх зі швидкістю світла. Однак зауважте: якщо хоча б один із цих сайтів зазнає атаки, і ваш пароль розшифрують, хакери автоматично отримають доступ до ваших даних на решті сайтів. Частково ця проблема вирішується шляхом мультифакторної автентифікації, проте, надто мало сервісів її сьогодні підтримує.
  2. Створюєте унікальні, але випадкові та беззмістовні паролі для різних сервісів (як наприклад ew3%10Dc+#320_g). Зрозуміло, що вони не мають шансу надовго затриматися у вашій пам’яті, тому ви одразу ж записуєте їх у надійному місці: наприклад, на криптоносії або в програмі-менеджері паролів, такій як KeePass. Щоправда, тепер, щоразу, коли вам потрібно увійти на той чи інший сайт, ви змушені зазирати на свій носій, якого у потрібний момент під рукою може не виявитися. Окрім цього, що частіше ви користуєтеся менеджером паролів, то більша імовірність, що в якийсь із цих моментів вашу базу зламають — наприклад, за допомогою шпигунського програмного забезпечення, яке робить знімки екрану або слідкує за клавіатурою чи буфером обміну.

eleks-pass2

Якщо вам справді легко запамятати такий пароль, то, може, позичите мені 1 ГБ вашої памяті?

Отже, ідеальна схема управління паролями така:

  • використовувати унікальний пароль для кожного окремого сервісу;
  • створювати паролі, які повністю відповідають вимогам того чи іншого сайту;
  • легко придумувати нові паролі;
  • регулярно оновлювати усі існуючі паролі;
  • застосовувати паролі, які миттєво і надовго запам’ятовуються;
  • робити це все без зайвих зусиль і з приємністю.

То який шлях обрати?

Хочу поділитися з вами одним із моїх власних методів, яким я успішно користуюся вже більше п’яти років. Він базується на трьох принципах:

  • людський мозок погано запам’ятовує випадкові набори символів;
  • однак він легко справляється із запам’ятовуванням змістовних фраз;
  • асоціативна пам’ять працює значно краще, ніж довільна; більше того, тренуючи своє асоціативне мислення, ви вдосконалюєте власну креативність.

eleks-pass3

А ось, власне, і сам метод:

  • Коли ви реєструєтеся на веб-сайті, спробуйте згадати фразу, яка напряму асоціюється у вас із даним ресурсом. Це може бути цитата з фільму, рядок із пісні, прислів’я, фразеологізм та будь-що інше, що легко врізається у пам’ять.
  • Трансформуйте цю фразу, щоби вона більше «сподобалася» комп’ютеру — додайте літер, цифр і спецсимволів. При цьому, завжди трансформуйте усі свої паролі за однаковою схемою — так вам легше буде їх запам’ятати. Ось деякі варіанти:
  1. замість пробілів між словами використовуйте дефіси чи нижні підкреслення;
  2. заміняйте останню літеру цифрою, яка відповідає кількості слів у цьому слові;
  3. нехай друга літера кожного слова буде великою;
  4. заміняйте кожну літеру «e» на решітку «#»
  5. … або придумайте будь-який інший, зручний для вас спосіб.
  • Зберігайте усі свої паролі у менеджері паролів (на випадок, якщо таки забудете котрийсь із них).
  • Приблизно кожні 12 місяців змінюйте паролі. Придумуючи нові, дотримуйтеся пунктів 1–3.

А тепер до практики

Припустимо, вам потрібно створити пароль для системи онлайн-банкінгу:

  • Ви поміркували хвилинку і згадали цитату з фільму «Леон-кілер» (1994).

«Тоні: Ей, це твої гроші, і я їх зберігаю. Як банк. Тільки краще. Тому що банк можуть пограбувати, але ніхто не пограбує старого Тоні.»

  • Отже фраза «Ніхто не пограбує старого Тоні» — це основа для вашого паролю. А тепер покрутіть її трохи — і отримаєте щось на зразок «НІхто_н#_пОграбує_сТарого_ТОн5».
  • Запишіть «НІхто_н#_пОграбує_сТарого_ТОн5» у системі управління паролями.

Що відбулося?

  • Щойно ви придумали унікальний пароль, який до того ж дуже стійкий до атак методом перебору.
  • Ваш мозок створив асоціативний зв’язок між веб-сайтом і фразою. Імовірність того, що ви забудете цей пароль після того, як введете його щонайменше два рази, дуже мала. Принаймні я не забуваю своїх паролів у 95% випадків, при тому, що маю більше 70 онлайн-акаунтів.
  • Дійте за цією схемою і на інших сайтах. Це ваш мозок і ваші асоціації. Якщо потрібно змінити пароль, просто підшукайте нову релевантну фразу.
  • Ви добряче підживили своє асоціативне мислення. До того ж тепер у вас буде ще один стимул переглянути з десяток хороших фільмів.
  • Як тільки ви увійдете в смак, то зможете вводити такі паролі швидко і легко. Ваші друзі будуть вражені вашою майстерністю. Повірте.

Будьте в безпеці і насолоджуйтеся роботою в мережі!

Автор: Юрій Гуц, R&D-інженер та архітектор програмних рішень компанії ELEKS

адаптація оригінальної статті – Марта Чавага