На связи Центр выпускников МГТУ им. Н.Э. Баумана!

На прошлой неделе в Бауманке прошла серия мастерклассов «КиберСлед», организуемая студенческим советом кафедры «Безопасность в цифровом мире» и проектом «КиберМосква». Спикеры рассказали о том, чем занимается их проект, затронули множество цифровых проблем настоящего времени - от противодействия терроризму до спам-звонков. Участники углубили свои знания в кибербезе, также узнали много нового, а самые активные получили памятные подарки.

Самые активные участники мастерклассов
Самые активные участники мастерклассов

Центр выпускников решил поддержать ребят и совместно с выпускником кафедры «Безопасность в цифровом мире» 2023 года Егором Бузаевым подготовить материал о грамотном менеджменте паролей!

Вас когда-нибудь взламывали?

Или, быть может, вы забывали пароль, который используете на всех сервисах? Согласитесь, любые проблемы с информационной безопасностью ваших данных могут привести не только к раздражающим попыткам сменить везде пароль на новый, но к репутационным и финансовым потерям.

Специально для наших выпускников мы подготовили небольшую инструкцию, следуя которой вы сможете максимально защитить свои данные:

  1. Чтобы не придумывать и не запоминать десятки и сотни паролей, мы предлагаем пользоваться менеджером паролей. Например, это может быть SafeInCloud, но бесплатный KeePass тоже будет отличным выбором (вот тут - инструкция настройки). Вы устанавливаете менеджер паролей на ваш ПК и телефон, создаете базу паролей, придумываете и запоминаете ДВА сложных пароля и всё.

  2. Почему 2 пароля? Первый - пароль от вашей личной учетной записи Yandex/Google/другого подобного сервиса. Очень многие активно используют функцию генерации и запоминания паролей в браузере - и с её взломом все ваши пароли от многих других сервисов утекут. Второй - от той самой базы паролей, которая будет синхронизироваться между вашими устройствами с помощью облака.

  3. Как придумать и запомнить сложный пароль? Мы предлагаем воспользоваться методом “парольной фразы”, т.е. найти некую фразу, которую вы легко запомните, например “Бауманка – лучший технический университет”, а затем набрать её в английской раскладке, заменив пробелы подчеркиваниями или тире, а какие-то буквы - цифрами. Получится что-то вроде “<fevfyrf-ke4ibq_nt[yb4tcrbq_eybdthcbntn” - “ч” мы заменили на “4”. Взломать такой пароль практически невозможно (о социальной инженерии мы поговорим в другом материале), а запомнить и ввести - вполне.

Один из (спорных) методов запоминания парольной фразы
Один из (спорных) методов запоминания парольной фразы

Резюмируем - придумываете 2 сложных пароля, один ставите на вашу личную учетную запись Yandex/Google/другого подобного сервиса. Устанавливаем менеджер паролей, настраиваем онлайн синхронизацию, создаем базу, и второй пароль ставим на нее. Потом генерируем с помощью менеджера паролей очередной 16-ти символьный пароль для очередного сайта/приложения и вуаля - хакеры вам не страшны!

Если после прочтения статьи вы решили, что менеджеры паролей и метод «парольной фразы» - излишняя и очень сложная система защиты, а хакеры никогда не проявляли к вам интереса, то можете проверить были ли утечки с ВАШИМ паролем у какого-нибудь сервиса. Результат скорее всего вас удивит и может заставить задуматься.

Всем безопасного интернета!

Комментарии (18)


  1. iddi
    21.11.2023 15:39
    +3

    набирать русский текст в латинской раскладке очень неудобно на телефонах и на клавиатурах без русской раскладки. наслушавшись подобных вашему советов потом звонят и просят продиктовать их такой весь безопасный и легкозапоминаемый латинскими буквами, сообщая его открытым текстом по телефону


    1. pavel_raskin
      21.11.2023 15:39

      Отсутствие в нужный момент под рукой физической клавиатуры решается банально - можно заранее сделать фото раскладки, или кого-то попросить сделать (и не придётся ничего открыто диктовать) . Но это далеко не единственный, и уж точно не самый серьёзный недостаток паролей, сгенерированных сменой расклалки.


      1. iddi
        21.11.2023 15:39

        о да! в кошелек фото раскладки положить.

        а в чем более серьезные недостатки длинной парольной фразы в другой раскладке? кроме неудобства?


        1. pavel_raskin
          21.11.2023 15:39
          +2

          Можно распечатать и в кошелёк, рядом с фото любимой тёщи, но логичнее в память того же устройства, на котором набирается пароль.

          Недостаток же в том, что приём со сменой раскладки не делает пароль более устойчивым при прочих равных, но вселяет ложную уверенность в этом для его владельца.

          Алгоритмы подбора и таблицы давно учитывают как замену раскладки, так и замену отдельных знаков.


          1. alumnibmstu Автор
            21.11.2023 15:39

            Добрый день! Спасибо за замечание о замене раскладки, считаем его справедливым. Можете дать несколько рекомендаций, как лучше использовать парольную фразу? Или может быть эффективней использовать другой метод?


            1. pavel_raskin
              21.11.2023 15:39
              +1

              Если отвечать на вопрос, вынесенный в заголовок публикации "Как придумать самый надежный пароль?", то применение парольной фразы, равно как и хоть какого-то алгоритма составления пароля из осмысленных (или не очень осмысленных) фрагментов неизбежно снизит надёжность пароля, т.к. сделает его более предсказуемым (вычисляемым, подбираемым, восстанавливаемым). Информационная защита не должна строиться на секретности принципов её работы. Т.е. в идеале нельзя надеяться на тайну алгоритма составления пароля. Нужно всегда считать алгоритм потенциально известным злоумышленнику.

              Если оставить только задачу генерации пароля, опустив условия его применения, то лучшим вариантом будет генерация на основе случайных (именно случайных, а не псевдослучайных) значений.


    1. belch84
      21.11.2023 15:39

      Сам когда-то лично использовал - необходимо было кое-что поправить в базе без всякого веб-интерфейса, база находилась в другой стране на расстоянии несколько тысяч километров от меня, единственным доступным устройством был iPad, а доступ в Сеть был только через бесплатный WiFi публичной библиотеки (сама библиотека, кстати, была закрыта, но WiFi дотягивался до лавочки на улице). Предвидя нечто подобное, заранее распечатал избражение клавиатуры, оно прекрасно помешалось под чехол iPad'а

      Изображение клавиатуры


  1. ajijiadduh
    21.11.2023 15:39
    +2

    материал о граммотном

    заметно


  1. ultrinfaern
    21.11.2023 15:39
    +3

    Самый надежный пароль - это его отсутствие (WebAuthn)! ;)


    1. K0styan
      21.11.2023 15:39
      -1

      Ну это уже не от вас зависит, а от поддержки сервисом


    1. SanSYS
      21.11.2023 15:39

      В случае отсутствия биометрии, вам нужно будет воспользоваться паролем (но локальным); И проблема выбора пароля всё равно присутствует, хотя уже не так остро

      В некоторых кейсах биометрия будет лишь доп опцией (в маках, телефонах, менеджерах паролей в том числе), которая анлочится на некоторое время после ввода того самого пароля

      Но да, суть посыла понятна – утечки паролей на сторонних ресурсах будут и они опаснее утечки публичных куличей ????

      Тогда ещё нужно в середине пароля добавлять точку с запятой, кавычки, табуляцию, пробел и �, чтобы csv подпортить ????


  1. Kahelman
    21.11.2023 15:39
    +2

    Да, уровень Бауманского падает….

    Как создать надежный пароль -воспользуйтесь менеджером паролей….

    И это один из ведущих технических ВУЗов :(


    1. alumnibmstu Автор
      21.11.2023 15:39

      Добрый день! Согласен с тем, что менеджеры паролей и правда часто подвергаются взломам, но именно поэтому мы порекомендовали те, в которых уверены исходя из своего личного опыта. Будем рады услышать Ваше мнение на предмет того, какой метод хранения большого количества паролей более удобный и безопасный.


  1. micronull
    21.11.2023 15:39

    С детства в памяти лежит ряд бесполезных цифр, например номера телефонов друзей детства, адреса и даты, коды от игр денди. Их можно использовать для добавления к паролям.


    1. alumnibmstu Автор
      21.11.2023 15:39

      Отличный пример для наполнения парольной фразы!


  1. xtov0
    21.11.2023 15:39

    Я хочу иметь, не один, но сложный, а дюжину разных паролей для дюжины разных сервисов.
    Как мне это сделать?


    1. alumnibmstu Автор
      21.11.2023 15:39

      Добрый день! Мы как раз предлагаем запомнить всего 1 сложный пароль, а все остальные генерировать с помощью менеджера пароля, который будет создавать и запоминать для каждого сервиса уникальный 16-тизначный пароль. Наш сложный пароль как раз потребуется для доступа к менеджеру паролей


  1. eyeDM
    21.11.2023 15:39

    Часто бывают ситуации, когда нет возможности использовать Ctrl+V для вставки в форму 16-ти символьного пароля, включающего спец. символы. Например, это может быть подключение google-аккаунта на новом телефоне или "умном TV". Парольная фраза, т.е. набор из нескольких рандомных слов, была бы удобней. Её даже можно запомнить.

    К слову, в ванильном KeePass нет встроенного генератора фраз, но его можно добавить плагином. Правда, мне попадались только плагины, берущие слова их какого-нибудь словаря. А вот KeePassXC сам умеет придумывать фразы, при чём из несуществующих слов фиксированной длины (а-ля lorem ipsum).