В спорах о том, какой способ защитить свои данные лучше, как правильно хранить свои пароли и какими они вообще должны быть, сломано немало клавиатур и сожжено огромное количество человекочасов. Cloud4Y предлагает познакомиться с ещё одним способом управления паролями.
Прежде чем мы расскажем о крестражах как об элементе безопасности, давайте вспомним наиболее важные правила безопасности в интернете. Если этот раздел вам неинтересен, можете пролистнуть страницу до крестражей.
Правила интернет-безопасности
Длинный пароль лучше короткого. Если длина пароля составляет 16 символов, его почти невозможно подобрать.
=> cutesamantha15101995 > cutesamanthaСлучайные пароли лучше, чем пароли, позволяющие идентифицировать владельца пароля.
=> process-cancel-stingy-garnet > cutesamantha15101995
Примечание: технически кодовая фраза process-cancel-stingy-garnet отлично может использоваться в качестве пароля. Она длинная и легко запоминается. В отличие от, скажем, B6fSpxMj&f6DU@5^k — длинного сложного пароля из случайных символов.
3. Иметь принципиально разные пароли для разных учётных записей.
Один и тот же пароль для разных учётных записей — это всё равно, что один и тот же ключ для разных замков. Ведь вся суть нескольких замков в том, что они _разные_! Кроме того, если использовать несколько паролей, отличающихся одним словом, которое легко угадать (например, ниже), то вы сильно рискуете. Пароли должны отличаться. Например:
bounce-unfold-stunning-chute process-cancel-stingy-facebook
symptom-untouched-unpaid-arena > process-cancel-stingy-twitter
sediment-tweak-annually-koala process-cancel-stingy-gmail4. По возможности используйте двухфакторную / многофакторную аутентификацию.
Google, Facebook и многие другие сайты предлагают функцию двухфакторной аутентификации, когда второй фактор требуется только при входе в систему с нового устройства или из нового местоположения. Каждый раз вводить проверочный код не требуется. Это редкое сочетание удобства и безопасности!
Примечание: рекомендую использовать andOTP (или любые другие приложения на основе TOTP), поскольку его нельзя подделать или подсмотреть на заблокированном экране, как SMS OTP, и для него не требуется мобильная сеть или подключение к интернету. Вы также можете использовать биометрию (отпечаток пальца или распознавание лица).
Ух. Насколько реально вообще использовать длинный пароль для несметного количества сайтов, чтобы все они существенно отличались друг от друга, и при этом помнить каждый? Безопасность способна обеспечить серьёзную головную боль!
[Enter] Менеджер паролей
Менеджер паролей помогает вам управлять всеми вашими паролями из одного окна, будь то расширение браузера, мобильное приложение или веб-сайт. Хорошие менеджеры паролей предложат расширение для браузера и мобильное приложение с функцией автоматического заполнения страницы входа в систему по одному клику мыши, избавляя от необходимости копировать, вставлять или вводить данные для входа. Некоторые из них способны распознавать фишинговые страницы и предупреждают вас, не показывая данные для авторизации на них.
Они с легкостью включают все вышеперечисленные меры для надежной онлайн-безопасности. Я согласен, чтобы настроить менеджер паролей впервые, потребуются определённые усилия. Но после этого он вы просто бездумно пользуетесь им.
Например, генератор паролей BitWarden позволяет создать случайный пароль с разными характеристиками.
Ура, я в безопасности!
Вы аккуратно храните все свои пароли в надёжном менеджере паролей. Получается, что, вы можете расслабиться, зная, что ваша цифровая жизнь действительно защищена. Или нет?
Что, если:
Ваш главный пароль (пароль к вашему менеджеру паролей) скомпрометирован из-за нарушения безопасности или вы оставили его в виде открытого текста письме, заметках или другом приложении?
Кто-то на время получил доступ к вашей разблокированной системе (компьютеру или телефону), когда вы отошли, а ваш менеджер паролей был запущен, и его содержимое можно было посмотреть?
Ответ: ты облажался.
Когда кладёшь все яйца в одну корзину, то рискуешь, что все они могут уйти в небытие одним махом. И что тогда делать?
Пароли как крестраж
Несмотря на все злодеяния, Волан-де-Морт сделал одно хорошее дело для нас, маглов. Он рассказал всему миру про концепцию крестража. Для непосвящённых: крестраж — это любой объект, в котором вы храните частичку своей души, складывая пресловутые яйца своей души в разные корзины, чтобы получить квази-бессмертие.
Основная идея: вы разделяете свой пароль на 2 части. Одна хранится в менеджере паролей, а другая — в вашей голове (которую можно назвать крестраж).
По сути, в любой момент времени вы и ваш менеджер паролей знаете только часть пароля. Это и есть двойной скрытый пароль. Фактически, как и Сами-Знаете-Кто, вы разбиваете свой пароль (душу) на части и храните их в разных местах.
До:
#Как хранится в диспетчере паролей
Логин: rick
Пароль: rollthepeople1732
#Фактически выглядит
Логин: rick
Пароль: rollthepeople1732Теперь:
#Как хранится в диспетчере паролей
Логин: rick
password: roll-the-people-venus
#Как хранится в вашей голове
Крестраж: papel
#Фактически выглядит
Логин: rick
Пароль: roll-the-people-venuspapelКрестраж добавляет дополнительный уровень безопасности, разблокировать который можете только вы. Это своего рода двухфакторная аутентификация. Опять же, чем длиннее крестраж, тем лучше. Но простое слово тоже подойдет, если крестраж известен только вам.
Если это кажется слишком сложным, используйте крестраж только для наиболее важных учётных записей: ваших социальных сетей, банковских счетов и т.д.
Последний момент
Безопасность никогда не бывает абсолютной. Можно попытаться защитить систему настолько, насколько это в принципе возможно. Но не стоит говорить, что она полностью безопасна (если вы видите, что кто-то утверждает обратное, то это обычно означает, что он пускает пыль в глаза). Если мы не можем сделать систему полностью безопасной, лучше всего сделать её как можно более безопасными. И хороший способ добиться этого: Глубокая защита. Убедитесь, что даже если один уровень безопасности будет нарушен, существуют другие. Создание многослойной защиты для смягчения возможного ущерба - это то, чего пытаются добиться многие специалисты по информационной безопасности.
Резюмируем
Используйте хороший менеджер паролей.
Используйте TOTP/биометрию вместо OTP на основе SMS.
Используйте крестраж для наиболее важных учёток.
P.S. Имейте в виду, что крестражирование работает нормально только до тех пор, пока вы не подключите свой мозг к NeuraLink и случайно не загрузите свои мысли в интернет, где все смогут их увидеть ;).
Что ещё интересного есть в блоге Cloud4Y
> В Китае создали настольный квантовый компьютер стоимостью $5000
> Тим Бернерс-Ли предлагает хранить персональные данные в подах
> Виртуальные машины и тест Гилева
> Создание группы доступности AlwaysON на основе кластера Failover
> Как настроить SSH-Jump Server
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
remzalp
Уязвимость этих словарных генераторов в том, что словарь может быть ограниченный. Что в итоге получается? Вместо
(a-zA-Z0-9-)^16 = 6*10^28
(500 слов х 4) ^4 = 1*10^13
500 слов — для примера. Возможно словари там сильно лучше.
EndUser
Не используйте "эти" генераторы. Каконичными считаются словари из 2048 слов и из 7776 слов английского. Энтропия считается соответственно. Импользуйте те генераторы, где уверены в длине словаря.
DGN
Никакие генераторы использовать нельзя, разве что только тот который вы сами написали. Человек не способен отличить случайную и псевдослучайную последовательность.
p.s. Я бы использовал для генерации пароля книгу. Достаточно запомнить страницу и принцип выбора букв или слов. Выбор конечно не очень случаен, и словарь не самый большой. Зато легко восстанавливается в случае чего.
keleg
Русский язык рулит. Что-нибудь типа :tktpytymrbqrkjgbr (Железненькийклопик) фиг по словарю подберешь.
qyix7z
Прям никто не догадается взять словарь русского, перевести его за 5 мин в другую раскладку и с его помощью уже брутить?
keleg
Со всеми суффиксами? Получится очень немаленький словарь. Плюс сочетание двух-трех слов.
ponfry
так тоже могут расшифровать уже есть способы
Bringoff
С телефона такой пароль весело набирать :)
keleg
Да, приходится переключаться и считать положение кнопок. Как-то в больнице лежал, за неделю выучил.
vmkazakoff
Я как-то в так попал в ситуацию когда ахтунг как нужен был мой гуглоакк, из компов — что-то чахлое на ресепшн чужого мотеля дешевейшего, из времени буквально 5 минут, а пароль как раз что-то типа )(ренВамАНеПар0льП0д0брать в английской раскладке.