Яким не повинен бути пароль
У попередній публікації сайту йшла мова про те, яким повинен бути пароль. Основний висновок, який ми зробили - на надійність паролю в основному впливають два чинники: його довжина і кількість використаних в паролі "алфавітів". Однак, довжина і алфавіт це ще не все.
Як підбираються паролі? Таких основних способів два: т.зв. "брутфорс" (brute force) - перебір усіх можливих комбінацій букв-цифр-символів і підбір по словнику, тобто за заздалегідь відомим списком комбінацій тих самих букв-цифр-символів, які можуть бути паролем. Перебір усіх можливих комбінацій - справа довга, нудна і часто невдячна, а от перевірити по словнику, чи не підходить якась комбінація зі списку як пароль - для комп'ютера не проблема.
Але звідки ці списки беруться?
Перше джерело - світовий досвід. Наприклад, компанія SplashID, яка випускає утиліти, призначені для роботи з даними, щорічно аналізує опубліковані в мережі хакерами різних країн списки зламаних ними паролів.
Підсумковий "хіт-парад" 2013 року представлений на малюнку:
Як бачимо, найчастіше зустрічаються паролі, що являють собою послідовну чи повторювальну комбінацію цифр (123456, 111111), букв (qwerty - на англійській клавіатурі, azerty - ті самі клавіші на французькій клавіатурі) та осмислені слова (password, iloveyou, тощо). Зрозуміло, що підібрати такий пароль для досвідченого хакера - секундна справа.
Друге джерело - Ви самі. Мова іде не про записаний Вами на листочку паперу пароль і прикріплений, щоб не загубився, скотчем до монітору - це вже найвищий ступінь головотяпства, а про ваші персональні дані. Яку інформацію про себе люди часто використовують як паролі? Це може бути номер телефону, дата народження, кличка улюбленої кішечки, серія та номер паспорта, ідентифікаційний код, марка комп'ютера і т.д., і т.п. Перш ніж підбиратися до Вашого паролю хакер спочатку збере про Вас якнайбільше особистої інформації. Якщо щось із цього було використано як пароль - все, game over!
Третє джерело - спеціальні хакерські прийоми. Це можуть бути т.зв. кейлогери (keylogger) - програми, заслані на ваш комп'ютер для того, щоб зчитати і запам'ятати комбінацію клавіш у момент введення паролю. Для захисту від таких шпіонів слід мати антивірус у повній бойовій готовності, а вводити паролі від, наприклад, банківських рахунків, краще за допомогою віртуальної клавіатури. До речі, деякі банки уже розміщують віртуальні клавіатури просто на своїх сайтах. Наприклад, віртуальна клавіатура цього банку не вимагає навіть натискання на клавішу миші - просто підведіть її вказівник до цифри і затримайте. Ще одну можливість примусити Вас видати пароль надає, наприклад, фішинг - спосіб вивідати у користувачів комп'ютерів особисту або фінансову інформацію за допомогою шахрайських повідомлень електронної пошти чи підставних веб-сайтів. Перелік цих хакерських "примочок" можна продовжувати, а тому будьте пильними!
Отже, підводимо підсумок.
Яким не повинен бути пароль?
- пароль не повинен бути легкодоступним;
- пароль не повинен бути коротким;
- пароль не повинен складатися тільки з цифр або тільки з букв;
- пароль не повинен бути послідовною комбінацією символів;
- пароль не повинен містити повторів;
- пароль не повинен бути осмисленим словом будь-якої мови;
- пароль не повинен містити особистої інформації.
Все. Тепер можна і чаю.
А про те, як створити надійний пароль та ще й не забути його - наступного разу.