Любые пароли: Пароли: сложные, простые, ужасные — как управлять паролями в компании

Содержание

Пароли: сложные, простые, ужасные — как управлять паролями в компании

03.10.2019

Дата обновления: 15.12.2020

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

Информационная безопасность

Узнать больше

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

  • Компания «Нутелла» посоветовала подписчикам использовать в качестве надежного пароля слово Nutella.
  • Один из сотрудников Белого дома забыл на автобусной остановке бумажку, на которой был записан незащищенный пароль от электронной почты.
  • В Google стажировался студент из Индии, который смог получить доступ к спутнику компании через административную панель, просто оставив поля ввода логина и пароля пустыми.
  • Данные более 14 миллионов избирателей штата Техас в США стали доступны в режиме онлайн просто потому, что сервер не защитили паролем.
  • Сотрудники Организации Объединенных Наций хранят документы в Trello и Google Docs, которые не защищены паролем. По ссылкам они становятся доступны всем желающим.

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

 

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwertry
  10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

  • Двухсловные пароли: tanyatanya, dindin, «сашамаша»
  • Слова с числами в конце: ivanov1994, football2018, login1234
  • Выдаваемые системой по умолчанию: guest, user, default
  • Слова из английского и других словарей: sweet, «семья», myhouse.
  • Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
  • Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
  • Известные цифровые комбинации: «112», «0911», «777» и т. д.
  • Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

  • Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
  • Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
  • Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

  • Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
  • На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
  • В браузере (особенно это касается критически важных программ и сервисов).

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

В этом случае:

  • Надежно защитите электронный ящик для восстановления.
  • Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

    • Смена пароля автоматически увеличивает время на его взлом. Y*k#o@prjL2O) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

      Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке.
      Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

      Неграмотное использование спецсимволов

      Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333.
      Пример равномерного распределения знаков по паролю – kIs$t0cHk@.

      Игнорирование альтернативных средств защиты

      Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

      Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

      Недочеты и рекомендации

      Знание первых и следование вторым приведет к грамотному использованию паролей.

      Часто сменяемые пароли

      Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

      Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

      Адекватное отношение к смене паролей

      Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

      Использование автоматической генерации паролей

      Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. ). Пароль приходится записывать. А как хранить такие записи, мы уже советовали.
      Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.

      Как придумать адский пароль, который легко запомнить

      3 июля 2014

      Советы

      Из этой статьи вы узнаете о пяти способах создания сложного пароля. Но сложным он будет для окружающих, но только не для вас.

      Только на первый взгляд непробиваемые пароли не содержат логической структуры и выглядят, как абракадабра. Сложные пароли являются таковыми лишь для тех, кто не знает рецепт их создания. Вам вовсе не обязательно запоминать регистры букв, цифры, специальные символы и порядок их следования. Достаточно выбрать запоминающуюся основу и следовать простым советам создания крепких паролей.

      Детские считалки

      За основу пароля берём любой детский стишок или считалку. Желательно, чтобы она водилась лишь в ваших краях и не была общеизвестна. А лучше собственного сочинения! Хотя подойдут любые детские рифмы, главное, чтобы строки намертво засели с юных лет в вашей голове.

      Пароль будет состоять из первых букв каждого слова. Причём буква будет писаться в верхнем регистре, если она является первой в предложении. Заменяем некоторые буквы похожими по написанию цифрами (например, «ч» на «4», «о» на «0», «з» на «3»). Если не хотите излишне запутываться с заменой букв на цифры, поищите считалку, уже содержащую в себе цифры. Не забываем о знаках препинания, разделяющих слова и предложения, — они пригодятся.

      Пример:

      Черепаха хвост поджала

      И за зайцем побежала.

      Оказалась впереди,

      Кто не верит — выходи!

      Заменяем буквы «ч», «з» и «о» на схожие цифры. Вторая, третья и четвёртая строчки начинаются с заглавных букв, и поэтому пишутся в верхнем регистре. H,g,bk,Dg-rr…

      Жаргон и терминология

      Подразумевается использование профессионального жаргона, понятного крайне узкому числу людей. Эти слова куда более далеки от обычного человека, нежели криминальные изречения, широко освещаемые на телеэкране и улицах любого города.

      Например, можно использовать выписку из больницы или заковыристое медицинское определение.

      Пример:

      Циклопентанпергидрофенантрен — термин, состоящий из 28 букв. Длинновато получается, посему предлагаю выкинуть гласные буквы и разбавить оставшиеся согласные верхним регистром.

      WrkgynyghulhayynhY

      Памятные даты

      Разумеется, ваш день рождения или день начала семейной жизни — это не самая удачная основа для пароля. Событие должно быть исключительной важности, и о нём должны знать только вы. К примеру, это может быть день, когда вы впервые съели жвачку, сбежали с урока или сломали каблук. Так как базис пароля будут составлять цифры, не лишним видится перемешивание их с буквами.

      Пример:

      22.10.1983 и 16.06.2011

      Замените точки, разделяющие день, месяц и год, на любую букву, например маленькую английскую “l”, которая очень похожа на довольно часто использующийся разделитель «/». Между датами проставим символ нижнего подчёркивания «_». Нули заменим на буквы «о».

      22l1ol1983_16lo6l2o11

      Визуальный ключ

      Используйте технику разблокировки смартфона и на вашей клавиатуре. Придумайте любую фигуру и «проведите» пальцем по её контурам.

      Не забудьте пройтись по цифрам, изменить горизонтальное и вертикальное направление движения. И проявляйте, в отличие от меня, фантазию!

      Заключение

      Предложенные способы создания запоминающегося, но при этом вполне сложного для восприятия со стороны пароля могут быть изменены и скомбинированы по вашему усмотрению. Достаточно один раз обмозговать свой суперпароль, и можно без страха использовать его в присутствии постороннего человека.

      А как вы выбираете себе пароль?

      Программное обеспечение для управления паролями, менеджер паролей с безопасным хранилищем паролей

      Довольно сложно держать в голове множество паролей, не так ли? Пин-код для вашего мобильного телефона, пароль для вашего почтового ящика, пин-код для вашей кредитной карты, пароль для вашего MSN Messenger мы должны помнить множество разных паролей. Менеджер паролей — удобный программный инструмент для решения этой проблемы. Теперь вы можете хранить все свои пароли в одном надежном месте, защищенном надежным алгоритмом шифрования. Ваш беспорядок и беспокойство о паролях закончились, программа-менеджер паролей выдаст их только вам по первому вашему желанию.

      5 основных причин, по которым люди используют AnyPassword

      Нет необходимости запоминать все эти пароли
      Больше не нужно вводить пароли для входа в систему
      Никто не может получить доступ к вашим паролям, кроме вас
      Больше никаких паролей типа «12345», которые может угадать каждый
      Больше никаких потерянных или забытых паролей

      Итак, получите хранитель паролей прямо сейчас!
       

      AnyPassword Pro — это простой в использовании менеджер паролей, который позволяет хранить все ваши пароли, идентификаторы пользователей и связанную информацию вместе в надежном месте. Программа поддерживает древовидную структуру данных, генерацию паролей, расширенный поиск, импорт и экспорт данных и многое другое…

      (совместимость с Windows Vista/7/8/10/11)

      Основные характеристики

      Надежное шифрование паролей
      Иерархическая структура данных
      Функция быстрого поиска
      Заполняет формы входа, автоматически регистрирует вас
      Встроенный

      настраиваемый

      Генератор паролей
      Уведомление об истечении срока действия пароля
      Синхронизация базы паролей
      Запускается со съемных носителей (USB-накопитель, жесткий диск, устройство U3, дискета)
      И многое другое…

      Любой пароль
      AnyPassword Pro
      Карманный AnyPassword

      Переведите AnyPassword на свой язык и получите бесплатную лицензию!

      TechTV рекомендует AnyPassword

      Бесплатное программное обеспечение для управления паролями для Windows

      Любой пароль
       — это простой в использовании инструмент, позволяющий хранить и
      упорядочить все ваши пароли, идентификаторы пользователей и сопутствующую информацию
      в виде дерева. Программа сохраняет эту информацию в зашифрованном виде.
      файлы, которые можно защитить паролем. Таким образом, единственный
      вам нужно запомнить пароль к файлу.
      AnyPassword также может генерировать случайные пароли с указанными
      параметры (длина, используемые символы и т.д.). Ты можешь найти
      любую сохраненную информацию с помощью функции пошагового поиска.

      Текущая версия AnyPassword — 2.0 RC3. Вы можете скачать
      программа здесь.

      Пожалуйста, ознакомьтесь с информацией о совместимости с Windows Vista.
      примечание.

      AnyPassword бесплатен для индивидуальных и некоммерческих благотворительных организаций.
      использование сущности. Если вы лицензируете программу от имени
      коммерческая организация, государственная организация или образовательная
      учреждение, необходимо зарегистрироваться
      это.

      Скриншоты

      Особенности

      Иерархическая структура данных . Вы можете упорядочивать записи, используя вложенные папки. Все записи представлены в виде дерева.

      Сильный алгоритм шифрования . Программа шифрует файлы данных с использованием алгоритмов AES/MD5. Таким образом, несанкционированный доступ к файлам практически невозможен.

      Инкрементальный поиск . Вы можете легко найти запись, введя подстроку в поле поиска.

      Генератор паролей позволяет генерировать уникальные пароли. Вы можете указать символы, которые будут использоваться в паролях, и установить любую длину пароля.

      Многопользовательский интерфейс . Программой могут пользоваться несколько человек. У каждого человека может быть один или несколько файлов данных.

      Многоязычный интерфейс (болгарский, китайский упрощенный, китайский традиционный, чешский, датский, голландский, английский, французский, немецкий, греческий, венгерский, итальянский, литовский, норвежский, польский, румынский, русский, словацкий, испанский, шведский, турецкий) .

      Новости

      Версия 2.0 RC3
      Добавлены немецкие, итальянские, нидерландские переводы
      Установщик всегда запрашивает папку установки
      Некоторые мелкие улучшения

      Версия 2.0 RC2
      Переработанный интерфейс
      Добавлена ​​функция автозаполнения
      Добавлена ​​функция портативной установки
      Добавлено поле «Пользовательское»
      Текущее имя файла в дереве добавлено
      Добавлен значок режима только для чтения для корневой папки
      Сменный шрифт во всех полях
      F3 устанавливает фокус на поле поиска, если оно пусто
      Обновление списка последних файлов при сохранении
      Состояние «Изменено» после маскирования/демаскирования поля «Пароль» исправлена ​​ошибка
      Исправлена ​​проблема совместимости с некоторыми версиями Windows
      Некоторые улучшения и исправления

      Версия 1.