Общая информация

14:52 22-05-2010

smartuz

Всем привет! fellow

Искал для себя полезную информацию и нашел один интересный материал.
Изучив решил представить на сайте в качестве совета тем кто беспокоится за сохранность вашей личной информации, таких как пароли для входа на ресурсы и так далее.

Сисадмин желал подобрать себе стойкий пароль для централизованной авторизации через radius-сервер. Он обратился за советом к Инь Фу Во.
— Как вы думаете, Учитель, пароль «史達林格勒戰役» стойкий?
— Нет, — ответил мастер Инь, — это словарный пароль.
— Но такого слова нет в словарях...
— «Словарный» означает, что это сочетание символов есть в wordlists, то есть «словарях» для перебора, которые подключаются к программам криптоанализа. Эти словари составляются из всех сочетаний символов, которые когда-либо встречались в Сети.
— А пароль «Pft, bcm» подойдёт?
— Вряд ли. Он тоже словарный.
— Но как же? Это же...
— Введи это сочетание в Гугле — и сам увидишь.
Сисадмин защёлкал клавишами.
— О, да. Вы правы, Учитель.
Через некоторое время Сисадмин воскликнул:
— Учитель, я подобрал хороший пароль, которого не может быть в словарях.
Инь Фу Во кивнул.
— Я ввёл его в Гугле, — продолжал Сисадмин, — и убедился, что в Сети такого сочетания нет.
— Теперь есть.
Н. Н. Федотов.
«Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его учениками»
Прежде, чем мы займёмся шифрованием хранимых и передаваемых данных, давайте научимся создавать и запоминать пароли.

Самое первое правило: пароль должен быть длиииииииииииииииинным! Чем длиннее, тем лучше.

Даже самый сложный 6-символьный пароль типа 7hT#k= взламывается путём простого перебора не более, чем за 7, 5 часов (при не самой высокой скорости перебора в 10000000 попыток в секунду). Максимальное время подбора даже самого простого 12-символьного пароля типа ongongahmoox — уже около 300 лет (то есть, остаётся значительная вероятность, что пароль будет подобран ещё при вашей жизни), а если использовать и заглавные буквы в пароле (типа aiFedohGheez), то время подбора превысит миллион лет.
Из этой же таблицы следует, что если вам сложно запоминать, где в пароле стоят символы типа !@#$%^&*, можно обойтись и без них, сделав пароль в 2 раза длиннее.

Самое второе правило: пароли должны быть разными!

Если врагам известен хоть один ваш пароль, они не приминут им воспользоваться для доступа и к остальным вашим ресурсам: почте, шифрованным файлам, блогами, форумам. Чтобы в случае утечки хотя бы одного пароля не терять ВСЁ остальное, используйте разные пароли для всего.

Самое третье правило: пароль нельзя говорить никогда, никому! Ни любимой девочке/мальчику, ни ненавистному майору, ни даже товарищу по подполью.

Инь Фу Во сказал:
— Шифрование — это обмен большого секрета на маленький секрет. Этот маленький должен помещаться в голове. Когда пароль в голове держится хуже, чем в компьютере, шифрование не приносит пользы.
Пароль нельзя передавать по открытым каналам связи (телефон, SMS, ICQ и т. п.). Если вам приходит сообщение типа «С вами говорит администрация. Вышлите нам свой пароль для проверки (восстановления базы данных, уточнения параметров, продления аккаунта и тому подобной ереси)», удаляйте такие сообщения и никому пароль не высылайте никогда. Администратору любой системы всегда хватит полномочий, чтобы сделать всё, что угодно и без вашего участия. А вот мошенники часто такими приёмами пользуются — это называется «социальной инженерией».
Если уж возникла жесточайшая необходимость передать пароль товарищу, немедленно смените пароль после использования его товарищем! Даже если это самый надёжный товарищ.

Как же придумать такой пароль, чтобы его можно было легко запомнить, но невозможно подобрать?

Вот несколько вариантов, зависящих от индивидуальных особенностей памяти:

1. Мне легко запоминать пароли типа Ohch7too!Ahlee9geo% (такими я и пользуюсь). Выглядит страшно, согласен, но запоминается легко, если мысленно (не вслух! не шепотом!) несколько раз его произнести: «Охч... 7... тоо! Ахлее... 9геo... %». Всякий, знакомый со мною лично, подтвердит, что память у меня дырявая — но для запоминания таких паролей отнюдь не нужны какие-то сверхспособности. Это так называемые фонетические пароли, состоящие из слогов в случайном порядке. По сути, надо запомнить всего одно-два незнакомых слова. Запомнить пару слов даже проще для меня, чем выучить четверостишие! Но индивидуальные особенности памяти у каждого свои, поэтому перейдём к следующим методам.

2. Те, кто испугался первого указанного мною метода как слишком сложного, но при этом цитирует «Евгения Онегина» главами, может использовать какой-нибудь произвольный кусок кодалюбого поэтического или прозаического произведения для облегчения запоминания пароля. Для демострации метода приведу следующую цитату:
Траги-нервических явлений,
Девичьих обмороков, слёз
Давно терпеть не мог Евгений:
Довольно их он перенёс.
Из каждого слова возьмём вторую букву: ревеблаееовохне. Для усложнения подбора, сделаем заглавными буквы из слов с заглавной буквы (т. е., к примеру, буква «в» из слова «явлений» останется маленькой, а «в» из «Евгения» станет большой): РевЕблАееоВОхне. Уже неплохо. Теперь включим английскую раскладку клавиатуры и посмотрим, что у нас получилось: HtdT, kfttjDJ[yt. Отлично! Теперь для удлинения и усложения пароля можно добавить какие-нибудь цифры. Лучше добавлять произвольные, но отчаянные склеротики могут добавить, например, номер страницы, на которой записана эта цитата и номер полки, на которой стоит книга. Я же добавлю номер строфы в начало пароля и номер главы «Евгения Онегина», откуда я позаимствовал эту цитату — в конец. Итак, у меня получился отличный пароль, который легко будет запомнить самым ярым гуманитариям: 31HtdT, kfttjDJ[yt5

Цитаты можно брать хоть откуда: из любимой хардкорной песни (если вы разбираете там слова), из КоАП РФ, из случайно увиденной рекламы огнетушителей или поэзии tyumen_kendera. Главное — чтобы цитата как можно меньше была связана с вашей повседневной жизнью и как можно лучше зашифрована.

2а. Модификация предыдущего метода.

Берём любую фразу, которую вы помните точно и дословно. Например: «Анархия — это не хаос, а гармоничное общество свободных личностей». Выдираем из неё первые слоги, записав их с заглавной буквы для удобства восприятия: Ана-ЭтНеХа, АГаОбСвоЛич. Получаем фонетический пароль, так его и пишем транслитом: Ana-EtNeHa, AGaObSvoli4.

Естественно, фраза может быть любой (кроме уже приведённой) и брать можно любые слоги, не обязательно первые. Лишь бы вы сами помнили принцип формирования пароля.

3. Использование парольной фразы.

В качестве пароля может быть использована любая фраза или кусок фразы. Пробелы, как правило, не используются или заменяются символами «_» и «-». Знаки препинания и точки лучше оставить.
Пример такого пароля: И_вот_Вера_Павловна_засыпает, _и_снится_Вере_Павловне_сон. (он же в английской раскладке: B_djn_Dthf_Gfdkjdyf_pfcsgftn?_b_cybncz_Dtht_Gfdkjdyt_cjy/.
Недостаток метода заключается в том, что пароль состоит из осмысленных слов и потому его в некоторых случаях легче подобрать тупым перебором слов. Кроме того, парольная фраза очень длинна и вводить её дольше. Зато парольная фраза являет собой пример очень длинного и легко запоминаемого пароля. А чтобы осложнить работу брутфорсеров (программ для подбора пароля), можно усложнить парольную фразу, меняя регистр в самых неожиданных местах, изменяя точную цитату и добавляя к фразе цифры и/или спецсимволы: И_вот_Вера_Павловна_заряжает_5_кубов_по_вене, _и_снится_Вере_Павловне_СОН.. Такой пароль и запомнить легко, и подобрать сложно.

Какие пароли использовать нельзя:

1. Короткие. Выше я уже писал, почему. Пусть лучше пароль будет проще, без использования символов !@#$%^&*(){}], но длиннее.

2. Пароли из словаря любого языка. Например, пароль Anarcho-Communism кажется достаточно длинным, содержит буквы разного регистра и даже дефис. Но этот пароль словарный и будет подобран автоматически в течение 10 минут.

3. Русское слово в английской раскладке. Слово «Электрификация», будучи записанным в английской раскладке, кажется очень сложным паролем: «"ktrnhbabrfwbz». Но трюк этот слишком известен и программы для взлома паролей с лёгкостью подбирают и такие пароли тоже.

4. Слова, в которых отдельные буквы заменены похожими по написанию цифрами. Например, Anarch0-(0mmun1sm. Таких замен не много, поэтому легко создать модифицированный словарь.

5. Названия городов, улиц, номера телефонов, любые даты, имена, фамилии, клички.

Приведу таблицу выбора паролей из уже процитированного мною источника:
Хороший пароль:Плохой пароль:
1. длинный (не менее 12-15 символов);
2. содержит как заглавные, так и прописные латинские буКвЫ;
3. содержит цифры;
4. не найдется в словаре, это не имя и не русское слово (ckjdj), набранное в латинской раскладке;
5. никак не связан с владельцем;
6. меняется периодически или по мере надобности;
7. не является любимым — разные пароли для разных входов;
8. его возможно запомнить. 1. короткий (меньше 8 символов);
2. всё в одном регистре (все БОЛЬШИЕ плохо, как и все маленькие);
3. не содержит цифр;
4. найдется в словаре, или это имя, или русское слово(ckjdj), набранное в латинской раскладке;
5. как-либо связан с владельцем;
6. не меняется годами ни при каких обстоятельствах;
7. может быть любимым — один пароль на все;
8. его невозможно забыть.
Как хранить пароли?

Самый лучший способ — хранить пароли в голове. В своей голове, заметьте.

Допустимо также хранить пароли в программах типа KeePass (KeePass — это открытая бесплатная программа для хранения паролей в зашифрованной базе данных, описание её установки и руссификации можно найти здесь: ссылка. Открытость исходного кода этой программы гарантирует, что никто, даже автор программы, не получит доступа к вашим паролям.).

Допустимо хранить пароли в текстовом файле в криптоконтейнере, созданном TrueCrypt или аналогичными программами.

Если вы пользуетесь Linuxом, в нём обычно есть предустановленные программы для хранения паролей. Это, например, KWallet и для KDE, Seahorse для GNOME или кросс-платформенный KeePassX. Интерфейс этих программ прост и интуитивно понятен. Все они, естественно, бесплатны и открыты.

Нельзя хранить пароли записанными на бумажку (даже очень хорошо спрятанную), в блокнот, в телефон. Нельзя хранить пароли в зашифрованном вордовском файле: это «шифрование» липовое, в таких файлах данные на самом деле не шифруются.
Внимание: все пароли, использованные в данной статье в качестве примеров, уже проинденксированы поисковыми системами и попали в словари. Ими нельзя пользоваться.