Хотите сохранить свои скелеты в шкафу? Узнайте где хранить пароли!
Всем привет друзья. С вами на связи Иван Бурыкин.
По миру прокатился ряд скандалов со вскрытием паролей смартфонов и ПК, и публикацией личных голых фотографий звёзд Голливуда. У нас тоже это мелькало. У каждого из нас есть свой персональный скелет в шкафу, который не должен увидеть мир, никогда! Как и где хранить пароли, об этом сегодня и поговорим. Поехали…
По данным поисковых систем, самым популярным паролем в мире стал – 1234567… Улыбнуло? Вторым по популярности – password или key123. Понятно, что наши «умники» пишут то же самое, но по-русски – «пароль» или «ключ». Делают они это в английской раскладке, добавляют год рождения и чувствуют себя при этом гением шифрования. Эйнштейном криптографии! Так вот, взломщиками все эти комбинации, в том числе со сменой раскладок – проверяются в первую очередь.
Во вторую очередь дойдет до обыгрывания вашего имени, фамилии, клички домашнего любимца, но и тут будет добавляться год рождения. Меняют букву “о” на ноль, “з” на тройку… Часто применяют повторяющуюся одну цифру, например – 0000000. Что-то мне говорит, что с вероятностью в 90% я уже угадал ваш пароль. Извините, но все мы одинаковые и мыслим стандартно. Это не я такой умный, мозг у нас такой, он идет по пути наименьшего сопротивления.
Маленькое отступление от темы, просто не могу удержаться. Простите! Но я считаю, что в этом мире не может существовать понятие – голая принцесса. Это я сейчас об Эмме Уотсон говорю. Целое поколение выросло на фильмах о Гарри Потере с её участием. В копилку «Красавица и чудовище». Ну не могу я воспринимать её как принцессу, после того как её фото в голом виде гуляют по сети. При этом я ни разу не пуританин, и красивое женское тело у меня вызывает эстетическое благоговение. Но как принцессу – не могу принять и понять. Как не бывает голых королей, ты либо король, либо голый – разные понятия, несовместимые! Больше на её фильмы я не пойду и старые смотреть не буду, послевкусие сильное.
И хотя данное фото не было украдено, это она для модного издания снялась, но сути сказанного это не меняет. Тем более, что потом последовали снимки из ванной, украденные с её Айфона. Там всё гораздо жёстче и не эстетично.
Это я всё к тому, что не все наши секреты надо отрывать миру. Реакция, может стать крайне негативной для нас. Не только фотографии, это может быть наша личная или деловая переписка. Например, вы арт-директор студии веб-дизайна и ведёте клиентов в соцсетях. Или просто личная переписка в друзьями и подругами. Не стоит вашему любимому человеку читать ваши письма из прошлого, обращенные не ему. А конкурентам нельзя давать доступ к вашим клиентам, они могут скомпрометировать вас. И всё это завязывается на его Величество – Пароль! Про мораль я молчу.
Как злоумышленник может украсть ваш пароль?
Самое печальное, что он не может быть единым для всего и вся и на все времена. Даже если вы придумали нечто совсем уникальное и не вскрываемое. Поясню — почему? Дело в том, что программисты обслуживающие те сайты, на которых вы периодически бываете, и где требуется регистрация, периодически увольняются. При этом, они часто имеют крайне скверную привычку копировать базы ников и закрепленных за ними ключей доступа. Это крайне востребованный и дорогой товар на пиратском рынке. После первой продажи эти базы распространятся в сети со скоростью лесного пожара. После этого, любой желающий с легкостью вскроет не только привязку ника к вам лично, но и получит ваш «универсальный» код доступа, ко всему… Отсюда – разным сайтам разные коды, это аксиома! Периодичность смены – один раз в полгода, максимум — раз за год.
Другим способом украсть пароль является простой подбор, исходя из наших шаблонных представлений о «хорошем» коде доступа. Об этом я написал в начале – часто мы мыслим стереотипно, и это позволяет нас вскрывать.
Далее идет высший пилотаж из арсенала хакеров экстра-класса. Для этого нужно получить доступ к исходному коду регистрационной страницы и включить хакерскую программу генерации случайных знаков и символов в строке доступа и кнопки «ввод». При этом должна быть отключена защита от подобных действий. Помните R2D2 из «Звёздных войн»? Он действовал похожим способом. Спешу успокоить, таких умельцев единицы по всему миру и, как правило, их усиленно ловят. Вряд ли такой полезет к вам, в ваш аккаунт, у них масштаб иной – банки.
Как подбирать и где хранить
Как я уже говорил, как только мы включаем голову для подбора, мы сразу попадаем во власть стереотипов и наработанных алгоритмов. О которых, как выяснилось, прекрасно известно злоумышленникам. Поэтому, учитывая необходимость частой смены ключа и его разнообразия для различных ресурсов, разумный выход только один – генератор случайных ключей. Оптимальный размер – 8 символов, больше — излишне, менее — уязвимо. Данный генератор хорош тем, что предлагает на выбор несколько вариантов. При этом, он не знает – какой вы выберете.
Если вы параноик, а ничего страшного в этом нет, жизнь доказывает, что они живут дольше. То заходите на этот сайт с помощью анонимайзера, VPN сервисов или браузера TOR. В последнем случае помните о том, что данный браузер создавался с помощью министерства обороны США, а значит, что оттуда торчат ушки неизбывной АНБ. Спасибо, Сноудену! Поэтому, если вы собираетесь с его помощью шифровать секреты Родины. Этого делать не стоит. Ну, а ваша личная переписка с возлюбленной, их вряд ли заинтересует. Все эти сервисы призваны скрыть ваш IP-адрес и сервис генерации вас не сможет идентифицировать.
Как хранить?
Широко известной является сервис KeePass, программа хранит пароли на все ваши ресурсы. Может работать без установки на компьютер, стартуя напрямую с USB.
Параноикам, к которым я отношу частично и себя, советую записывать пароли в блокнот и на USB. Что позволит вам их не потерять, один вариант носите с собой, второй обязательно дома. Не советую носить ЭТО в бумажнике, барсетке или клатче, носите в кармане у сердца, так надёжнее. В случае утери, срочно всё меняем. Хранить ЭТО на компьютере или в смартфоне – это изощренный способ самоубийства и извращения. Тот, кто захочет, пробьется и скачает всё, что ему нужно, невзирая на все антивирусы и фаерволы.
Хотя… Есть исключения из правил. Например, я часто посещаю библиотеку и банк с аудиокнигами. Там и там требуется регистрация и код. Так вот я использую — простейший ник и ключ, так как если кто зайдет от моего имени туда, то много он там узнает? Читайте по губам – НИ-ЧЕ-ГО! Так что, использовать полученные сегодня вами знания надо, но с умом, чтобы лоб не расшибить.
До связи, Иван.
А я пользуюсь Kaspersky Password Manager. Очень удобно, позволяет не только сохранять пароли но и просто структурированные заметки (я, например, доступы к хостингам храню). Если отошел от компьютера срабатывает автоблокировка, есть клиент для андройд, тот же генератор паролей встроен. Вобщем удобно, и всегда под рукой, и думаю безопасность у касперского должна быть на уровне.