Как придумать надёжный пароль от почты, соцсетей и онлайн-банков
Что общего у электронной почты, социальных сетей, онлайн-магазинов и ещё множества интернет-сервисов, которыми мы ежедневно пользуемся? Конечно же, пароль — слово, а то и просто набор букв и цифр, открывающий доступ в онлайн-мир. Как придумать надёжный пароль, который и сам не забудешь, и который будет не по зубам злоумышленникам? Рекомендации читателям портала «Город Онлайн» дал специалист по информационной безопасности Юрий Сташевский.
Зачем нужны пароли
Создавая аккаунт в социальных сетях или на сайтах услуг, мы и так указываем множество конфиденциальной информации — от электронного почтового адреса до номера личного телефона. Зачем нужен ещё и пароль, который вечно то забывается, то теряется?
Ни номер мобильного, ни email-адрес не считаются доказательством нашей «реальности». Система защиты подавляющего большинства интернет-сайтов устроена так, что только пароль является подтверждением того, что действия на сайте совершаем именно мы.
Если на сайте мы ещё и заказываем товары или платные услуги, то есть, вводим данные типа номера банковской карты и CVC-кода, пароль становится ещё и защитой. Не менее важно и то, насколько сложным для постороннего человека будет сам набор букв, цифр и знаков, которые мы используем в качестве своего секретного ключа.
Юрий Сташевский, специалист по кибербезопасности:
«100-процентную защиту от киберпреступников не может гарантировать даже самый заковыристый пароль. Особенно сегодня, когда злоумышленники владеют множеством инструментов по взлому аккаунтов, среди которых как банальный перебор всех возможных вариантов и считывание информации с карты, так и специальные компьютерные программы для взлома. Однако унывать я бы всё же не стал. Способов защитить себя тоже немало».
Надёжный пароль — это какой?
Самый простой, но в то же время эффективный способ обезопасить себя, по мнению специалистов, — создать пароль по сложной схеме.
Он должен состоять как минимум из 10 символов, часть из которых буквы, часть — цифры, а часть — специальные символы, такие как ! @ % и др.
Юрий Сташевский, специалист по кибербезопасности:
«Самая распространённая ошибка — придумать в качестве пароля предсказуемый набор символов. Профессиональные интернет-взломщики достаточно легко угадывают даже даты рождения своих жертв, не говоря уже о банальных паролях qwerty123 или 12345. Пароль из пяти цифр, который человеку кажется достаточно сложным, для программного обеспечения — всего-навсего 100 000 вариантов, с которыми оно справится за несколько минут. Поэтому я всем рекомендую озадачиться сложной комбинацией. А еще придумать для каждого аккаунта свой уникальный пароль, который не будет повторяться. Тогда, даже получив доступ к вашей учётной записи, скажем, в онлайн-магазине, киберпреступники не смогут воспользоваться этой информацией, чтобы залезть ещё и в ваши соцсети или личный кабинет онлайн-банка».
Кибер-вдохновение
Есть несколько способов придумать хороший пароль.
Первый из них довольно прост, но эффективен. В качестве специального слова вы можете записать строчку, например, известного с детства стихотворения, однако для написания слов использовать не кириллицу, а латиницу, добавив в сочетание еще и особые символы: «Буря мглою небо кроет» — BuryaMg10uNeb0Kr0et.
Если в голову ничего не приходит, а пароль нужен прямо здесь и сейчас, можно прибегнуть к услугам менеджера паролей — особой программы, создающей и хранящей уникальные пароли для разных сайтов. Правда, здесь придется сначала придумать и выучить пароль для самого менеджера.
Юрий Сташевский, специалист по кибербезопасности:
«Я бы советовал проверить свой пароль по базам Топ-100, Топ-1000. Их легко найти в интернете. И, конечно же, не стоит пренебрегать двухфакторной аутентификацией, когда при попытке войти в аккаунт вы получите смс со специальным кодом, который нужно будет ввести. Да, это может раздражать, зато повышает уровень безопасности в разы.
И если сам сайт говорит вам, что ваш пароль небезопасный, то лучше не игнорировать сообщение, а придумать новый пароль».
Наконец, третьим способом может стать что-то, что знаете только вы и, возможно, ближайшие члены вашей семьи. Например, имя вашей первой кошки, ее цвет, порода, а где-то между ними год, когда она появилась в вашей семье: Murz1lk@20Ryzh21.
Какой выбрать пароль. Создание паролей: как придумать надежный пароль
Первый способ
Самая главная хитрость тут — это придумать ключевое слово, которое станет основой и шаблоном для всех ваших последующих вариантов паролей. Такое слово будет всегда оставаться неизменным и будет ставится в начале пароля. Например, таким словом будет — «sobaka ».
Теперь надо создать вторую, переменную часть пароля. Такой частью может быть первые 3-5 букв названия сайта, услугами которого пользуется человек. Например, если человек использует сайт КАКru.ru , то переменная часть может выглядеть так — «kak».
Соединив две части, поставив между ними, к примеру, нижнее подчеркивание, получится пароль — «sobaka_kak ».
Таким образом, все пароли будут разными, но составленными по одной, понятной схеме. Такие пароли очень легко будет запомнить.
Также важно знать, что при пароль должен включать в себя не менее восьми знаков и содержать не только буквы и цифры, но и символы. В данном случае — это нижнее подчеркивание.
Цифры можно добавить в шаблон (постоянную часть). Пусть, к примеру, это будет число дня Вашего рождения или что-то еще хорошо Вам известное. Пароль получится — «sobaka25_kak ».
Вот такой пароль подобрать или взломать будет крайне затруднительно, а запомнить — без особого труда.
Второй способ
Можно сделать простой и запоминающийся пароль в онлайн-генераторе. Например, использовать сайт passwords.lance.com.ua — пароли из 5-12 символов, произносимые и легко запоминающиеся. Для получения новых паролей нужно просто обновить страницу.
Третий способ
Пароль из словосочетания. Нужно придумать словосочетание. «Пушистыйкамень», или «Жидкаянога». Чем безумнее словосочетание, тем лучше оно откладывается в памяти. Такой пароль можно усложнить, просклонять составляющие слова. «Взрывнойклоунчик», «Рогоносенькийкот», уже достаточно надежны и при этом хорошо запомнятся.
Для пущей безопасности можно добавить цифры перед словосочетанием («12пушистыйкамень») или писать слова в разных раскладках («:blrfzнога »).
Четвертый способ
Пароль из фразы. Нужно взять запоминающуюся фразу, например «Какая гадость ваша заливная рыба!», или «Люблю грозу в начале мая». Такие фразы, ассоциативно связанные с темой пароля, очень легко запомнить. Теперь пишем две начальных буквы фразы – «Кагавазары», «Люгрвнама». Пишем в английской раскладке – «Rfufdfpfhs ». Получается сложный и непроизносимый пароль, который просто запомнить.
Пятый способ
Нужно случайным образом заменить буквы на цифры, например, flirt можно превратить в fl1r7.
Шестой способ
Нужно взять слово, и перевернуть его. Например, взять английское слово neighborhood и получить doohrobhgien.
Правила создания надежного пароля
- Каждые три месяца, в крайнем случае каждые полгода нужно менять пароли на всех своих аккаунтах!
- Нельзя использовать простые комбинации символов и чисел. Например, пароли 123, 321, 123456, qwerty, asdfg и другие подобные не подходят.
- Нельзя использовать личную информацию при создании пароля (имена родственников, домашних животных, даты рождения, номера телефонов, адреса, почтовые индексы и т.д.). Например, пароли Masha, Sasha21, Vasya 02071988 и другие подобные не подходят.
- Не использовать пароли, которые можно подобрать по словарю популярных паролей. Например, пароли love, cat, alfa, samsung, mercedes и другие подобные, а также их варианты и комбинации не подходят.
- Не использовать пароли, длина которых меньше 10 символов.
- Пароль должен состоять из больших и маленьких букв, чисел и специальных символов.
- Придумывая пароли, использовать свою фантазию и не думать шаблонно. Компьютер, подбирающий пароль, хорошо считает, но он не может мыслить и быть креативным.
Проверка пароля на надежность
Есть специальный онлайн сервис – The Password Meter (англоязычный ресурс), который проанализирует пароль и скажет, на сколько он надежный. Критереев оценки много, поэтому результат оценки объективен.
Вот вы, уважаемый читатель, наверняка свой дом, квартиру на щеколдочку, крючочек не закрываете. Входную дверь, да замок с ключом для жилья подбираете понадёжней, покрепче, чтобы никто не смог проникнуть внутрь без вашего ведома. И это правильно, и так должно быть! А иначе в какой-то момент времени, а точнее, день или ночь, можно лишиться всего того, что было нажито непосильным трудом.
Примечательно, что эта житейская истина справедлива и для аккаунтов в онлайн-сервисах.
Их тоже нужно закрывать, и хорошо закрывать ключом — паролем — от посторонних. Ведь охочих позариться на профили, учётные записи в платёжных системах, онлайн-играх, социальных сетях, да где угодно (интернет большой!), хоть отбавляй. И не нужно себя успокаивать в процессе регистрации на очередном веб-ресурсе мыслями типа «Да кто меня тут знает… », «Кому мой профиль нужен… » и т.д. Хрупкая надежда на «авось» в данном случае может обернуться неприятностями. Причём большими, если, например, речь идёт о денежных средствах на счету в интернет-банкинге.
Из этой статьи вы узнаете, как придумать надёжный пароль, как его запомнить и как безопасно хранить на компьютере.
Сложный пароль — гарантия конфиденциальности
Почему нужно придумать хороший пароль? Да потому, что он является самым первым и самым важным уровнем защиты ваших личных данных. Компьютерные злоумышленники множество пользовательских профилей «вскрывают» методом подбора пароля при помощи специальных программ. Лёгкие символьные ключи для них находка.
Раз — и готово! Особо трудиться над взломом не нужно.
Чтобы ещё больше прояснить эту ситуацию статистическими доводами, воспользуемся специальным веб-сервисом https://howsecureismypassword.net/. Он сообщает, сколько времени может понадобиться на взлом указанного пользователем пароля. То есть оценивает степень его устойчивости к взлому.
Итак, предположим, что мы решили придумать пароль, используя расположение букв на клавиатуре — qwerty (ну очень тривиальная комбинация). Спрашиваем у сервиса.
Теперь попробуем протестировать ключ длиной в 6 знаков, состоящий из маленьких английских букв и цифр — ty23ds.
Результат тоже неутешительный: 54 миллисекунды. Конечно, за такой отрезок времени «разгадать» последовательность можно исключительно автоматизированным методом. Однако в большинстве случаев взломщики используют именно такую технологию.
Усложним комбинацию: добавим большие буквы в набор и увеличим длину ключа до 11 знаков. Вводим — eYtou349i93.
Вот так уже куда лучше: 41 год придётся злодею-взломщику корпеть над подбором ключа (конечно, теоретически!).
Но можно придумать пароль и посложней: ещё увеличить длину, к примеру, до 18 знаков, и наряду с буквами и цифрами использовать спецсимволы. Что-то вроде — ew$yu*ow)RweQ23&tT.
Результат просто «космический» (между прочим, на радость пользователю): расчётное время необходимое для подбора — 7 квадриллионов лет. А в 1 квадриллионе, как известно, 15 нулей. В общем, без комментариев.
Бдительные читатели, тут же, конечно сразу зададут вопрос: «Подбор подбором, а как же трояны? Они же воруют пароли?». Да, инструментарий злоумышленников обширен: это и вирусы, и социнженерия, и специальный софт. И сложный пароль, безусловно, это не безупречная панацея от взлома учётной записи. Но его смело можно назвать мощным защитным препятствием на пути взломщиков к конфиденциальным данным.
Правила составления пароля
В ходе создания символьной комбинации для входа на сайт, в независимости от его функционала и предназначения, в обязательном порядке учитывайте следующие моменты:
1.
Избегайте простых комбинаций. В частности:
- логических последовательностей — abcde, 1234;
- клавиатурной раскладки по вертикали, горизонтали, диагонали и т.д. — asdfg, qscwdv.
2. Не используйте в «чистом виде» (без добавления других символов, цифр) словарные слова. В особенности такие, как «parol», «password», «admin», «my_parol».
3. Не применяйте в качестве ключа личные данные, которые есть в открытом доступе, например, на личной страничке в соцсети или в профиле на форуме. Даже с добавлением цифр! В том числе номер телефона, дату рождения, адрес почтового ящика, имя, фамилия, отчество, клички домашних питомцев.
5. Не вводите русские слова в английской раскладке (пример: вход — d}
Как создавать надежные пароли и запоминать их: Полное руководство
И это тоже не сложно.
Простой трюк состоит в том, чтобы создать уникальные пароли , чтобы запомнить их и избежать дурной привычки использовать одни и те же учетные данные для входа в несколько учетных записей.
Но, учитывая множество приложений и веб-сайтов, которые люди используют сегодня, и все они требуют учетных данных для входа в систему, как это достижимо? Мы слышим, как вы спрашиваете.
По данным LogMeIn, организации, стоящей за менеджером паролей LastPass, , если вы посчитаете все свои социальные сети, потоковое вещание, банковские счета и приложения, у вас может быть как минимум 85 паролей для всех ваших учетных записей .
С другой стороны, слабые пароли могут иметь серьезные последствия
, такие как мошенничество с идентификацией, финансовые потери и многое другое. Например, в 2019 году компании объявили о 5183 случаях утечки данных, в результате которых были раскрыты конфиденциальные данные, такие как домашние адреса и учетные данные, которые злоумышленник может использовать для взлома вашей личности или совершения мошенничества.
И это меркнет по сравнению с более чем 500 миллионами скомпрометированных паролей, выпущенных хакерами в даркнете с 2017 года.
Сегодня пользователям Интернета недоступна защита идентификации среды после ввода пароля . Таким образом, вам необходимо рассмотреть возможность развертывания передовых методов кибербезопасности, чтобы снизить риск раскрытия вашей информации в первую очередь.
Хотите знать, как создать надежный пароль в 2021 году для защиты от киберугроз? Или вы можете не знать, как создать надежный пароль для интернет-банкинга, чтобы сохранить свои финансы в безопасности.
Не волнуйтесь. Это руководство расскажет вам, как разработать правильные пароли для ваших учетных записей и получить предупреждение, если они взломаны. Вы также найдете важные советы, которые сделают ваши входы в систему еще более безопасными.
(Unsplash)Абсолютный минимум, которому вы можете следовать при создании паролей, которые легко запомнить, но трудно угадать , это следовать трем правилам:
Длина пароля : Придерживайтесь паролей длиной не менее 8 символов.
Желательно иметь больше символов в пароле, так как взломщику требуется больше времени, чтобы взломать его. Обычно те, у которых 10 и более символов, сильнее.
Комбинации : Использование заглавных букв, произношения, процентов и комбинаций пунктуации делает ваши пароли невзламываемыми.
Сложность паролей: Ваш пароль должен содержать хотя бы один символ любого из следующих классов:
- Буквы в нижнем регистре
- Буквы в верхнем регистре
- Символы
- Разные символы
- Следуйте «правилу 8-4» (правило восьми-четырех), то есть
8 = Минимальная длина 8 символов.
4 = 1 нижний регистр + 1 верхний регистр + 1 специальный символ + 1 цифра.
Для многих простое соблюдение «Правила 8 4» может принести достойные изменения. Это автоматически улучшит ваши пароли , даже если вы не будете следовать каким-либо правилам при их создании.
Если «Правило 8 4» не применяется в отношении паролей вашего банка и других финансово важных веб-сайтов, вам следует немедленно рассмотреть возможность обновления этих паролей с вашей стороны, чтобы они соответствовали «Правилу 8 4».
Парольные фразы, которые вы можете запомнить, но которые не может разгадать даже АНБ
I СТАНОВИТСЯ ПРОЩЕ для защиты вашей цифровой конфиденциальности. iPhone теперь шифрует большое количество личной информации; жесткие диски на компьютерах Mac и Windows 8.1 теперь автоматически блокируются; даже Facebook, сколотивший состояние на открытом обмене информацией, обеспечивает сквозное шифрование в мессенджере WhatsApp. Но ни одна из этих технологий не обеспечивает такой надежной защиты, как вы думаете, если вы не знаете, как придумать хорошую парольную фразу.
Кодовая фраза похожа на пароль, но длиннее и надежнее. По сути, это ключ шифрования, который вы запоминаете. Как только вы начнете больше заботиться о своей конфиденциальности и улучшите свои привычки в области компьютерной безопасности, одним из первых препятствий, с которым вы столкнетесь, станет необходимость создания парольной фразы. Без него многого не обезопасишь.
Например, при шифровании жесткого диска, USB-накопителя или документа на компьютере шифрование диска часто настолько надежно, насколько надежна ваша парольная фраза.
Если вы используете базу данных паролей или функцию сохранения паролей в своем веб-браузере, вам нужно установить надежный главный пароль для их защиты. Если вы хотите зашифровать свою электронную почту с помощью PGP, вы защищаете свой закрытый ключ парольной фразой. В своем первом письме Лоре Пойтрас Эдвард Сноуден написал: «Пожалуйста, подтвердите, что ни у кого никогда не было копии вашего закрытого ключа и что в нем используется надежный пароль. Предположим, ваш противник способен сделать один триллион догадок в секунду».
В этом посте я описываю простой способ придумать простые для запоминания, но очень безопасные парольные фразы. Это последняя запись в продолжающейся серии историй, предлагающих решения — частичные и несовершенные, но полезные решения — многих проблем, связанных со наблюдением, о которых мы активно сообщаем здесь, в The Intercept .
Оказывается, придумать хорошую парольную фразу, просто придумав ее, невероятно сложно, и если ваш противник действительно способен угадывать один триллион раз в секунду, вы, вероятно, плохо с этим справитесь.
Если вы используете совершенно случайную последовательность символов, это может быть очень безопасно, но также мучительно запоминать (и, честно говоря, пустая трата умственных способностей).
Но, к счастью, этого компромисса между удобством использования и безопасностью быть не должно. Существует метод генерации парольных фраз, которые невозможно угадать даже самым могущественным злоумышленникам, но которые очень легко запомнить людям. Этот метод называется Diceware и основан на простой математике.
Возможно, ваш трюк с секретным паролем не очень умный
Люди часто выбирают какую-нибудь фразу из поп-культуры — любимый текст песни или любимую фразу из фильма или книги — и слегка искажают ее, меняя заглавные буквы или добавляя знаки препинания или используя первую букву каждого слова из этой фразы. Некоторые из этих фраз-паролей могут показаться хорошими и совершенно неугадываемыми, но легко недооценить возможности тех, кто занимается угадыванием фраз-паролей.
Представьте, что ваш противник взял слова из каждой когда-либо написанной песни, сценарии из каждого фильма и телешоу, текст из каждой книги, когда-либо оцифрованной, и каждую страницу Википедии на всех языках, и использовал это как основу для своих предположений. список. Сохранится ли ваша кодовая фраза?
Если вы создали свою парольную фразу, просто пытаясь придумать хорошую, существует довольно высокая вероятность того, что она недостаточно хороша, чтобы противостоять мощи шпионского агентства. Например, вы можете придумать: «Быть или не быть/ВОТ В ЧЕМ ВОПРОС?» Если это так, я могу гарантировать, что вы не первый человек, который использует эту слегка искаженную классическую цитату Шекспира в качестве парольной фразы, и злоумышленники знают об этом.
Причина, по которой цитата Шекспира не годится в качестве парольной фразы, заключается в том, что в ней отсутствует нечто, называемое энтропией . Вы можете думать об энтропии как о случайности, и это одно из самых важных понятий в криптографии.
Оказывается, люди — это разновидность паттернов, и они не способны делать что-либо по-настоящему случайным образом.
Даже если вы не будете использовать цитату, а вместо этого придумаете фразу из головы, ваша фраза все равно будет далеко не случайной, потому что язык предсказуем. Как говорится в одном исследовательском документе по этой теме, «пользователи не могут выбирать фразы, состоящие из совершенно случайных слов, но на них влияет вероятность того, что фраза встречается на естественном языке», что означает, что выбранные пользователем парольные фразы не содержат как много энтропии, как вы думаете, они могли бы. Ваш мозг имеет тенденцию продолжать использовать общие идиомы и правила грамматики, которые уменьшают случайность. Например, он непропорционально решает следовать за наречием с глаголом и наоборот, или, если привести один реальный случай из вышеупомянутой исследовательской работы, поставить слово «фест» после слова «колбаса».
Парольные фразы, происходящие из поп-культуры, фактов о вашей жизни или всего, что исходит непосредственно из вашего разума, намного слабее, чем пароли, пропитанные реальной энтропией, собранной из природы.
Это короткое, но поучительное видео с бесплатного онлайн-курса по криптографии Академии Хана хорошо иллюстрирует эту мысль.
Создайте безопасную парольную фразу с помощью Diceware
После того, как вы признали, что ваши старые парольные фразы не так безопасны, как вы себе представляли, вы готовы к технике Diceware.
Сначала возьмите копию списка слов Diceware, который содержит 7776 английских слов — 37 страниц для тех, кто печатает дома. Вы заметите, что рядом с каждым словом стоит пятизначное число, где каждая цифра находится между 1 и 6. Вот небольшая выдержка из списка слов:
24456 эо 24461 эп. 24462 епа 24463 эпический 24464 эпоха
Теперь возьмите несколько шестигранных кубиков (да, настоящие реальные физические кубики) и бросьте их несколько раз, записывая выпавшие числа. Вам понадобится в общей сложности пять бросков кубиков, чтобы найти первое слово в вашей фразе-пароле. Что ты здесь делаешь генерирует энтропию , извлекая из природы настоящую случайность и превращая ее в числа.
Если вы выбросите число два, затем четыре, затем снова четыре, затем шесть, затем три, а затем посмотрите в списке слов Diceware 24463, вы увидите слово «эпический». Это будет первое слово в вашей парольной фразе. Теперь повторите. Вам нужно придумать парольную фразу из семи слов, если вы беспокоитесь о том, что АНБ или китайские шпионы когда-нибудь попытаются ее угадать (подробнее о логике этого числа ниже).
Используя Diceware, вы получаете фразы-пароли, которые выглядят как «кепка, лиз донна, демон, я», «поезд с ручкой, нитью, воздуховодом» и «веревка бдительной тревоги, уэльский фосс, звенящая сфера». Если вам нужна более надежная парольная фраза, вы можете использовать больше слов; если для ваших целей подходит более слабая кодовая фраза, вы можете использовать меньше слов.
Насколько надежны пароли Diceware?
Надежность парольной фразы Diceword зависит от того, сколько слов она содержит. Если вы выберете одно слово (из списка 7776 слов), у злоумышленника будет один шанс из 7776 угадать ваше слово с первой попытки.
Чтобы угадать ваше слово, злоумышленнику потребуется как минимум одна попытка, максимум 7 776 попыток, а в среднем 3 888 попыток (поскольку существует 50-процентная вероятность того, что злоумышленник угадает ваше слово к тому времени, когда он пройдет половину списка слов).
Но если вы выберете два слова для парольной фразы, размер списка возможных парольных фраз увеличится в геометрической прогрессии. По-прежнему существует один шанс из 7776 правильно угадать ваше первое слово, но для каждого первого слова есть также один шанс из 7776 правильно угадать второе слово, и злоумышленник не узнает, правильно ли первое слово, не угадывая всю парольную фразу.
Это означает, что для двух слов имеется 7 776 90 135 2 90 136 , или 60 466 176 различных потенциальных паролей. В среднем парольную фразу Diceware, состоящую из двух слов, можно было угадать после первых 30 миллионов попыток. И парольную фразу из пяти слов, которая будет иметь 7 776 5 возможных парольных фраз, которые можно угадать в среднем после 14 квинтиллионов попыток (14 с 18 нулями).
Величина неопределенности парольной фразы (или ключа шифрования, или любого другого типа информации) измеряется в битах энтропии . Вы можете измерить, насколько безопасна ваша случайная парольная фраза, по количеству битов энтропии, которые она содержит. Каждое слово из списка Diceware стоит около 12,92 бит энтропии (поскольку 2 12,92 составляет около 7776). Итак, если вы выберете семь слов, вы получите кодовую фразу примерно из 9 слов.0,5 бита энтропии (поскольку 12,92 умножить на семь равно примерно 90,5).
Другими словами, если злоумышленник знает, что вы используете парольную фразу Diceware, состоящую из семи слов, и выбирает семь случайных слов из списка слов Diceware, чтобы угадать, существует один шанс из 1 719 070 799 748 422 591 028 658 176, что каждый из них угадает вашу парольную фразу. пытаться.
При одном триллионе попыток в секунду — согласно предупреждению Эдварда Сноудена в январе 2013 года — на угадывание этой кодовой фразы уйдет в среднем 27 миллионов лет.
Не так уж плохо для кодовой фразы типа «болт-чан резвый брелок земля туманно-жесткий», которую большинство людей вполне может запомнить. Сравните это со случайным паролем «d07;oj7MgLz’%v», который содержит немного меньше энтропии, чем кодовая фраза Diceware из семи слов, но его значительно труднее запомнить.
Парольная фраза из пяти слов, напротив, будет взломана менее чем за шесть месяцев, а парольная фраза из шести слов займет в среднем 3505 лет при триллионе попыток в секунду. Помня о законе Мура, компьютеры постоянно становятся все более мощными, и вскоре 1 триллион догадок в секунду может показаться медленным, поэтому хорошо дать вашим парольным фразам передышку безопасности.
При такой системе совершенно не важно, что список слов, из которого вы выбираете, является общедоступным. Даже не имеет значения, какие слова в списке (двухбуквенные слова так же безопасны, как и шестибуквенные). Все, что имеет значение, это длина списка слов и уникальность каждого слова в списке.
Вероятность угадывания фразы-пароля, состоящей из этих случайно выбранных слов, экспоненциально уменьшается с каждым добавленным словом, и, используя этот факт, можно создавать фразы-пароли, которые никогда нельзя будет угадать.
Мне действительно нужно играть в кости?
Это более длинное обсуждение, но краткий ответ таков: использование физических кубиков даст вам гораздо более надежную гарантию того, что ничего не пошло не так. Но это отнимает много времени и утомительно, и использование компьютера для генерации этих случайных чисел почти всегда достаточно.
К сожалению, похоже, что нет доступного удобного программного обеспечения, которое поможет людям генерировать парольные фразы Diceware, только различные проекты Diceware, работающие только из командной строки, на GitHub, которые могут проверить опытные пользователи. Следите за будущим постом об этом.
Как запомнить сумасшедшую фразу-пароль (и не сойти с ума)
После того, как вы сгенерировали фразу-пароль, следующим шагом будет ее запоминание.
Я рекомендую вам записать новую парольную фразу на листе бумаги и носить его с собой столько времени, сколько вам нужно. Каждый раз, когда вам нужно напечатать его, попробуйте сначала напечатать его по памяти, но при необходимости посмотрите на бумагу. Предполагая, что вы печатаете его пару раз в день, не должно пройти более двух или трех дней, прежде чем вам больше не понадобится бумага, после чего вы должны ее уничтожить.
Регулярный ввод парольной фразы позволяет вам запомнить ее с помощью процесса, известного как интервальное повторение, согласно многообещающим исследованиям высокоэнтропийных парольных фраз.
Теперь, когда вы знаете парольные фразы, вот когда их следует избегать
Парольные фразы Diceware отлично подходят, когда вы вводите их на свой компьютер, чтобы расшифровать что-то локально, например, ваш жесткий диск, ваш секретный ключ PGP или базу данных паролей.
Они не так уж и нужны для входа на веб-сайт или что-то еще в Интернете.
В таких ситуациях вы получаете меньше пользы от использования кодовой фразы с высокой энтропией. Злоумышленники никогда не смогут угадать триллион раз в секунду, если каждое предположение требует связи с сервером в Интернете. В некоторых случаях злоумышленники будут владеть или завладевать удаленным сервером — в этом случае они могут получить парольную фразу, как только вы войдете в систему, и отправить ее, независимо от того, насколько сильна или слаба она криптографически.
Для входа на веб-сайты и другие серверы используйте базу паролей. Мне нравится KeePassX, потому что он бесплатный, с открытым исходным кодом, кроссплатформенный и никогда ничего не хранит в облаке. Затем заблокируйте все свои пароли мастер-паролем, созданным с помощью Diceware. Используйте свой менеджер паролей, чтобы сгенерировать и сохранить разные случайные пароли для каждого веб-сайта, на который вы входите.
Как мы используем Diceware для защиты наших источников
В The Intercept мы запускаем сервер SecureDrop, систему подачи осведомителей с открытым исходным кодом, чтобы сделать связь с нами более простой и безопасной для анонимных источников.
Когда новый источник посещает наш веб-сайт SecureDrop, ему присваивается кодовое имя, состоящее из семи случайных слов. После отправки сообщений или документов они могут использовать это кодовое имя, чтобы снова войти в систему и проверить ответы наших журналистов.
Под капотом это кодовое имя не только действует как кодовая фраза для шифрования источника, но и на самом деле просто кодовая фраза, сгенерированная с использованием метода Diceware, но с цифровым криптографически безопасным генератором случайных чисел, а не с игрой в кости. Словарь SecureDrop состоит всего из 6800 слов (разработчики удалили из исходного списка слов некоторые слова, которые можно считать оскорбительными), в результате чего каждое слово стоит около 12,73 бит энтропии. Но этого все же достаточно, чтобы никто не смог просто угадать кодовое имя источника, если только он не обладает огромными вычислительными ресурсами и несколькими миллионами лет.
Другими словами, простые случайные парольные фразы так же хороши для защиты следующего разоблачителя-шпиона, как и для защиты вашего ноутбука.