27 мар. 2015 г.

Как помнить пароли?

Добрый день!

Многие понимают, что даже сложные разные пароли не являются панацеей, так как бывают стечения обстоятельств, которые разломают даже вроде бы надёжную двухфакторную проверку подлинности, бывают ошибки, позволяющие много где действовать от имени пользователя и ещё куча других эффектов. И это нормально — чем сложнее система, тем сложнее удерживать в ней низкий уровень ошибок.

Но это всё вовсе не значит, что на всех сайтах, где человек регистрируется, надо использовать один и тот же простой пароль. Да, это легче всего. Но если бы был способ сделать столь же легко, но более стойкие и разные пароли, то большей части проблем можно было бы избежать.

Цитата от Сергея Доли:

«Мошенники взломали скайп и развели друзей на 250 000 рублей

Недавно у моего друга взломали скайп, и от имени хозяина начали просить перевести деньги у всех контактов. Людей в записной книжке было очень много, порядка 300 человек. Только в течение первого часа на счет мошенников пришло более 100 000 рублей.

Как действовали воры. Они просили 15 000 рублей - это максимальная сумма для Яндекс-кошелька, которую можно перевести за раз. Никаких призывов к спасению и головокружительных историй не было: напротив, просьбы "кинуть 15 000 рублей до завтра" озвучивались без подробностей и реверансов, чтобы не привлечь особого внимания и не допустить прямого звонка реальному хозяину скайпа.
»

Естественно, угнанный аккаунт так просто обратно не получить, поэтому мошенники обогащались за счёт доверчивых друзей рассказчика несколько дней. В этой ситуации можно смело обвинить доверчивых простачков, что они слали свои деньги, не проверив, кто перед ними. Но с их точки зрения, жертва угона скайп аккаунта тоже перед ними виновата, ведь они давали деньги на денёк, а потеряли их навсегда.

Защититься от этого на 100% нельзя, к сожалению. Но для спасения от большинства проблем достаточно не быть в группе самых расслабленных и беспечных. Поскольку огромное количество угонов аккаунтов происходит при простом переборе по словарю, то нельзя использовать простые и осмысленные пароли. Поскольку иногда происходят утечки баз паролей со взломанных сервисов, то нельзя использовать один и тот же пароль в разных местах. Ну и сомнительные вещи лучше делать в виртуальной машине, чтобы не заразить систему вирусом, который будет пересылать все ваши пароли своему создателю.

Кто-то пользуется менеджерами паролей (KeePass, LastPass, RoboForm и т.д.). У этого решения есть свои плюсы и минусы, мы сейчас не будем об этом говорить. А что делать тем, кто не хочет что-то устанавливать и настраивать? Ответ прост — passwordcard.org. Достаточно один раз распечатать на цветном принтере уникальную карточку с буквами и цифрами, положить её в кошелёк (или даже сохранить к себе в телефон), чтобы всегда иметь под рукой «шпаргалку». А далее, регистрируясь в новом сервисе, просто сами выбираем, что пароль будет начинаться, например, с жёлтой буквы «w», а дальше идти вниз и вправо по диагонали (как шахматный слон), а затем дважды прыгает влево как конь. Это образы — они легко запоминаются (выбирайте такие, которые вам ближе и удобнее). Вам не надо помнить пароль, а достаточно чувствовать, как вы его однажды расположили на такой карточке.

Вот и всё! Теперь у вас везде разные и сложные пароли, которые всегда с собой, но даже если кто-то увидит вашу карточку, то ему это не особо поможет. Ведь только вы знаете, как и от каких систем вы на ней расположили пароли.

Если вы совсем параноик заботитесь о снижении рисков, то ваши логины тоже не должны быть всюду одинаковыми. Лучше выбирать не имя и фамилию, а формировать их с помощью этой же карточки — тогда возможному злоумышленнику было сложнее понять, какую почту на Gmail надо взломать, чтобы угнать этот конкретный Skype аккаунт, например. Ну и для работы с деньгами я настоятельно рекомендую использовать отдельный чистый компьютер, на котором больше никогда и ничего другого не делают.

Повторюсь: это не спасёт вас в серьёзной ситуации (социальную инженерию и безалаберность никто не отменял), но снизит риски на несколько порядков. Поскольку вам переход на такую карточку с паролями почти ничего не стоит, то лучше его сделать (или выбрать другой способ иметь везде разные и неосмысленные пароли).

Хороших и безопасных выходных!

10 комментариев:

  1. Никогда не понимал тех кто занимается вот таким. Настроить lastpass это 2 минуты, не больше. И большинство паролей (кроме финансовых) можно смело хранить там. Для таких как я (более осторожных и немного параноиков) - есть keepas. С открытым кодом, широко известен и лежит оффлайн. Для синхронизации - можно облако ибо достаточно серьёзно зашифровано. Или флешка с каким-нибудь ещё и truecrypt. Взлом этих систем для абсолютного большинства пользователей не имеет никакого смысла из за затрат ресурсов и требуемой квалификации.

    Зато у меня все пароли вида jRS#$v2&Tbn8cP0980!j и мне не надо думать над какими то алгоритмами, вспоминая какую я выбрал строку и по которому алгоритму выбрал пароль к сайту odinraz.com. И для входа на сайт надо просто на него зайти. А не "достал кошелёк, открыл кошелёк, достал бумажку, закрыл кошелёк, начал вспоминать что четыре месяца назад выбирал за строкуи в бумажке и слоном там прыгал или коником..." Главное безопасно зайти на сайт. Если компьютер может в этом помочь - неразумно не пользоваться.

    То, что может делать компьютер - должен делать компьютер. А человек нужен чтобы приложить усилия мозга и определить где разумно передать часть рутины копьютеру :) Имхо, конечно.

    ОтветитьУдалить
    Ответы
    1. Виктор, есть люди, которые не готовы по разным причинам перейти на менеджеры паролей. Иногда эти причины вполне объективны, чаще - надуманы, но сути это не меняет. И вот у таких людей нередко всюду стоят одинаковые простые пароли (имя и год рождения любимого деда или что-то подобное).

      Далеко не все из них готовы держать в памяти десятки сложных паролей. Но часть вполне готова помнить собственноручно выбранный рисунок на подобной парольной карточке.

      Эта заметка исключительно про такой случай:
      - не готов использовать техническое решение,
      - не готов помнить много,
      - но осознаёт, что пароли везде должны быть разными и не слишком простыми.

      Удалить
    2. Я же не говорю так не делать :) Я говорю, что никогда не понимал тех кто так делает.
      - не готов использовать техническое решение
      Как профессиональный программист с 25+ летним стажем говорю: "Зря"

      Для параноиков - устанавливаем truecrypt (установка в пару кликов), усканавливаем keepas (он хранит всё не на сторонних серверах, а на вашем компьютере). Тоже в пару кликов. Периодически делаем копию truecrypt контейнера на флешку (или что лучше - в облако типа onedrive или dropbox).

      Для тех для кого это звучит страшно, я напишу статью в картинках на своём вдасус ком (не реклама - сайт почти не обновляется ибо нет времени) на этой неделе. Всё очень просто и гораздо надёжнее, чем любые листки. Ибо самое слабое звено это всегда человек. 15 минут работы максимум.

      Удалить
    3. Виктор, я помню Ваш блог. Как напишете инструкцию, я добавлю на неё ссылку в эту заметку (пожалуйста, напомните об этом здесь в комментариях).

      По поводу параноиков: слишком сильно защищаться - это привлекать к себе лишнее внимание. Мы же обычные люди, ничего плохого не делаем, поэтому не стоит с этим чрезмерно усердствовать. Достаточно защититься от 99% мелких мошенников, пользующихся простыми методами. Поэтому я призываю Вас сделать как минимум инструкцию с минимальным разумным уровнем паранойности :)

      Удалить
  2. Анонимный27.03.2015, 18:17

    Этот комикс должен быть здесь:
    https://xkcd.com/936/

    ОтветитьУдалить
    Ответы
    1. Да, отличная иллюстрация.
      Отдельную паранойность мы можем наблюдать в выборе протокола https :)

      Удалить
  3. Анонимный28.03.2015, 22:05

    Потеря карточки становится чревата утратой сразу всех своих паролей. Высоковат риск, по-моему.

    Знакомый админ делает по-другому: придумывает фразу, осознанно бессмысленную ("зеленый пинвин хватает широкого леопарда за гузку") - и по системе выбирает сочетания букв из нее - они и образуют совершенно бессмысленный - без знания ключевой фразы - пароль. И не забудешь, и по словарю нереально подобрать.

    ОтветитьУдалить
    Ответы
    1. Риск не так велик, ведь карточку мы можем сохранить в нескольких местах. И это именно то, что стоит сделать в первую очередь.

      Спасибо за рассказ о рецепте знакомого админа. Мне это решение тоже очень нравится. В нём есть плюс (не надо таскать с собой карточку) и минус (приходится больше запоминать, меньше разнообразие при выборе шаблона/формы пароля на этой заготовке). Определённо есть люди, которым так удобнее.

      Удалить
  4. Анонимный14.04.2015, 10:15

    Опубликовали интервью с мошенниками: habrahabr.ru/post/255225. Там есть такой фрагмент:

    — Как взламываются аккаунты? Кто этим занимается?
    — Акки уводятся хз как, их нам просто предоставляют.
    — А кошельки, на которые сливаются деньги, они тоже краденые?
    — Сливаем только на те, что нам дают. Не знаю, откуда они.
    — То есть, ваша задача только в том, чтобы грамотно развести? Этакие операторы-психологи?
    — Именно. В офис пускают только после прочтения двух книг по психологии. Лох не мамонт, лох не вымрет.

    ОтветитьУдалить
    Ответы
    1. Спасибо за ссылку. Да, понимание психологии - это во все времена одно из необходимейших свойств успешного жулика. Поэтому надо работать над устойчивостью своей и своих близких.

      Удалить

Понравилась заметка? Подпишитесь на RSS-feed или email-рассылку.

Хотите поделиться ссылкой с другими? Добавьте в закладки:



Есть вопросы или предложения? Пишите письма на адрес mytribune АТ yandex.ru.

С уважением,
      Илья Весенний