Сложные пароли webmoney: Самые безопасные пароли, советы по созданию пароля

Как придумать сложный, но легко запоминающийся пароль

Думаю, никому не доставляло удовольствие, когда его icq, email, аккаунт в социальных сетях (Вконтакте, Одноклассники и т.д.) взламывали злоумышленники и пользовались ими для распространения спама. Но это еще не самое страшное, а если взломают аккаунт WebMoney или банковский счет?

А ведь главной причиной является не грамотное составление пароля, самые распространенные, это дата рождения, «123456», «password», «55555» и так далее, тем более, что чаще всего один пароль используется для всех зарегистрированных аккаунтов.

А как запомнить огромное количество различных паролей, да еще и с высокой степенью сложности?

Вот и я раньше задавался таким вопросом и нашел универсальное решение для составления сложных паролей.

Как известно пароль с высокой степенью сложности должен отвечать следующим требованиям:

— содержать символы и цифры;

— содержать символы как верхнего, так и нижнего регистра;

— состоять не менее чем из 10 символов;

— не должен быть связан с личной информацией пользователя (дата рождения, почтовый индекс, номер телефона и т. д.)

Мда, составить такой пароль задачка не из легких. Есть программы, которые могут сгенерировать сложный пароль ( 7UJrBFv{RO , p@’-FUQQ\` , HeCp;bK2n%), но согласитесь, запомнить такой пароль практически не реально, а если их еще и несколько.

Так вот, в чем заключается моя система составления сложных паролей? Если вы играли онлайн в игру Counter Strike, то знаете, что в связи с отсутствием возможности переписываться с игроками на русском языке (не знаю как сейчас, но в старых версиях точно), пользователи составляли русские предложения из английских символов. Выглядит это примерно так “давай зарежем чувака слева?” – “gABAu’ 3APE>I<EM 4yBAKA C/IEBA?”. Предложение написано на английском, а читается как бы русскими символами. Такую же систему можно применить к составлению сложного пароля, отвечающего всем требованиям сложности и легко запоминающегося.

Например:

Что тебе надо – 4TO~TE6E_HAgO

Брысь от сюда – 6PbICb-OT~COIgA

Опасная зона – OnACHA9I_3OHA

В результате каждый из этих паролей удовлетворяет требованиям сложности: цифры есть, большие и маленькие буквы есть, специальные знаки есть, более 10 символов, а при всем этом смысл словосочетания понятен для русского человека.

Остается только одна задача, определить какие символы Вы будете заменять на английские. Чтобы в этом помочь, приведу таблицу с русскими символами и их английскими аналогами.



































РусскийАнглийский
АA — a — @
Б6
ВB — 8
Гr
Дg
ЕE — e
ЁE» — e»
Ж}I{ — >I< — >K
З3
ИU — u
ЙU’ — u’
КK — I< — I{
Л/\ — /I — JI
МM
НH
ОO — 0 — ()
Пn
РP — p
СC — c
ТT — m
УY — y
Ф0I0 — OIO
ХX — x — >< — }{
ЦU, — u,
Ч4
ШLLI — W
ЩLLI, — W,
Ъ‘b
ЫbI
Ьb
Э3
ЮIO — I0
Я9I

Между словами можно использовать такие знаки как «~» , «_» , «-» , «|» , «:» , «;» , «,» , «. ».

Теперь стоит только выбрать ваш собственный стиль замены символов и проблем в создании паролей не возникнет!!!

 





















0

Без пароля нельзя. Необычные способы создания и запоминания паролей


Мы ежедневно используем огромное количество ресурсов в интернете, где у нас есть учетные записи. К каждой из них необходимо придумать пароль и часто, пренебрегая безопасностью, мы дублируем пароль от сайта к сайту. 


Злоумышленнику достаточно подобрать один пароль и понять закономерность, чтобы получить доступ к личным данным, в том числе информации о банковских картах. Рассмотрим несколько необычных способов как создавать и запоминать пароли, а также как их хранить с помощью современных решений.


Мнемоническая память


Наверняка, многие слышали о таком понятии, как “дворец памяти” или “чертоги разума” – это метод пространственной мнемоники. Шерлок Холмс в исполнении Бенедикта Кембербэтча в одноименном сериале пользовался этим методом, сопоставляя огромное количество разрозненных событий, распутывая, казалось бы, идеальные преступления.


Почему мы об этом решили упомянуть в статье про пароли? Есть представление, что идеальный пароль должен содержать весь возможный набор символов: знаки, цифры, буквы строчные и заглавные. Но как правило, пароль такого вида — !Aa)08b+ легко забыть, хотя и сложно подобрать. Более надежная комбинация для пароля состоит из нескольких не связанных, на первый взгляд, друг с другом слов, например, «Moroz-Moose-Mountain». Вот тут нам и пригодится мнемоническая память.


Как это работает?


Для того, чтобы начать использовать этот метод, самое простое представлять знакомое место, которое легко вызвать в памяти в любой момент. Перемещаясь по нему, можно добавлять элементы, которые связаны, например, с паролем от учетной записи сайта. Чем необычнее будет ассоциация, тем лучше. Легче запомнить что-то необычное, глупости и абсурдности подойдут лучше всего.


Разберем придуманный пароль «Moroz-Moose-Mountain». Допустим, это пароль от почты, а место, которое будем представлять, дом.


  • Заходя в подъезд, мы первым делом видим ящик, сразу ассоциация – почта, это первое.


  • Далее, заходим в квартиру и нас сковывает холод, а изо рта идет пар – мороз — Moroz, хотя на улице тепло.


  • Идем в ванную, чтобы помыть руки, а в душе моется лось, по английски Moose.


  • При этом душ с лосем стоит на горе, по английски Mountain. 


Вуаля! Только не используйте эту ассоциацию для своих паролей, придумывайте свою :)


А еще этот метод можно использовать не только для создания и запоминания паролей, но и в любых других сферах нашей жизни.


Лучшая защита пароля — это тетрадка?


Есть мнение, что лучше всего сохранит информацию обычная тетрадка, блокнот или записная книжка. До эры интернета это было действительно так, поэтому доверие к ней сохраняется и сейчас. Легко спрятать и можно быстро посмотреть нужное. Но что, если кто — то найдет записи и захочет ими воспользоваться? Достаточно сфотографировать информацию на телефон и мы даже не узнаем, что это произошло. Самое неприятное — нужно будет менять все пароли.


Тем не менее хранить пароли на бумаге можно, есть средство, как их обезопасить. Например, зашифровать, используя «азбуку Морзе». Мало кто ее знает, поэтому вероятность кражи будет стремиться к минимуму. Конечно, необходимо будет самостоятельно ее изучить, но сейчас есть множество информации и сообществ, которые помогут во всем разобраться.


Как это работает?


В «азбуке Морзе» используются обозначения «точка» и «тире», «тире» равняется трем точкам. Пауза между знаками в букве — одна точка, а между буквами в слове — 3 точки. Пауза между словами составляет 7 точек. Ниже приведена таблица, в которой каждой букве русского и латинского алфавита соответствует код «азбуки». Интересно поупражняться, попробуйте :)


Современные средства — менеджеры паролей


Если все-таки у вас нет желания пользоваться «чертогами» или тетрадкой, а хочется простого и надежного средства, то используйте менеджер паролей. Менеджеры паролей умеют создавать сильные пароли и запомнить десятки и сотни паролей единовременно. Единственное, что потребуется запомнить — мастер — пароль для него самого.


В менеджеры паролей встроены такие функции:


  • общая оценка безопасности;


  • генератор паролей;


  • KeePass – шифрование базы паролей AES-256 с возможным использованием многоходового преобразования ключа, это увеличивает устойчивость к прямым атакам.


Рассмотрим несколько программ, который можно купить у нас:


Roboform – менеджер паролей и заполнитель веб-форм. Все пароли сохраняются в программе, достаточно авторизоваться, чтобы заходя на нужный сайт все данные подставлялись автоматически. Основные возможности:


  • Можно работать с базой данных офлайн;


  • База шифруется AES-256 и синхронизируется на облаке, обеспечивая безопасность;


  • Доступна индивидуальная лицензия для одной учетной записи или семейную — для пяти пользователей;


  • Программу можно установить на настольные операционные системы Windows, Linux и Mac, мобильные устройства iOS и Android, на Chromebook;


  • Интерфейс поддерживает более 30 языков.


Kaspersky Password Manager – программа предназначена для хранения паролей в связке логин и пароль, который мы используем для доступа к аккаунтам на сайтах. Также программа может:


  • Запоминать пароли для обычных программ на компьютере, например ICQ, Outlook и другие;


  • Проверить все пароли и исключить дублирование и использование простых паролей;


  • Автоматически создавать сложные пароли;


  • Хранить все пароли в зашифрованном виде на компьютере в базе данных самой программы;


  • Предоставлять доступ ко всем паролям только через ввод мастер-пароля.


SCARABAY – достаточно простая, портативная и надежная программа, способная обезопасить все пароли от ваших аккаунтов, достаточно запомнить только пароль для входа. Можно использовать как:


  • Менеджер для Windows;


  • Одним кликом заполнять поля формы с логином и паролем в браузере;


  • Генератор безопасных паролей;


  • Есть многопользовательский режим работы, то есть программу на одном компьютере могут использовать для нескольких человек. Каждый будет иметь доступ только к своим данным.


  • SCARABAY портативен и работает с переносных носителей (USB-флэш).


В качестве заключения


Представленные методы запоминания и шифрования, как «дворец памяти» и «азбука Морзе», если не будут использованы вами для создания паролей, то обязательно пригодятся в повседневной жизни для развития и тренировки памяти.


Общий же совет по безопасности своих учетных записей — для каждого ресурса нужно иметь свой, не повторяющийся и уникальный пароль. Конечно, лучше использовать менеджеры паролей, так как количество сайтов, на которых необходимо каждый раз использовать данные для входа, постоянно увеличивается и запомнить разные варианты паролей становится все сложнее. Менеджеры паролей намного превосходят другие способы хранения паролей, поэтому и являются безопасным выбором. Переходите к нам на сайт и выбирайте свой.

Продление персонального аттестата — WebMoney Wiki

Персональные аттестаты WM Keeper WebPro (Light) необходимо продлевать один раз в два года.

WM Keeper WebPro (Light) уведомит Вас о необходимости продления сертификата сообщением на странице «Кошельки» примерно за месяц до истечения срока действия текущего сертификата.

Если вы не успели обновить персональный сертификат до истечения срока действия текущего сертификата, то вы можете получить его самостоятельно, следуя этой инструкции: Получение клиентского сертификата в WM Keeper WebPro.

Если вы не можете самостоятельно получить персональный аттестат, вам необходимо запустить процедуру восстановления доступа к WM Keeper WebPro.

Важная информация!

  • Если вы используете Internet Explorer, перед продлением сертификата рекомендуется добавить адрес сайта https://www.wmcert.com в список доверенных сайтов (в «Свойствах обозревателя», вкладка «Безопасность выбираем «Зона надежных сайтов», затем кнопка «Сайты», название сайта, кнопка «Добавить»).
  • Последние версии Firefox не поддерживают генерацию ключей и не генерируют сертификат. Для продления сертификата рекомендуем скачать и установить Firefox версии не старше 68.
  • Mozilla Firefox ESR 68.12 для Windows:
    • 32-разрядная версия Windows
    • Windows 64 бит
    • Linux x86_64
    • Linux i686
  • Пользователям Internet Explorer с операционными системами Vista и Windows 7 необходимо установить новый корневой сертификат WebMoney Transfer в раздел «Доверенные корневые центры сертификации» («Trusted Root Certification Authorities») хранилища сертификатов перед началом процедуры обновления сертификата .
  • Если по каким-то причинам не получается получить сертификат с первого раза, необходимо проверить, правильно ли настроены настройки, и сделать еще одну попытку обновления с самого начала, используя другой браузер.
  • Если вы используете зашифрованное устройство, такое как eToken или Rutoken, для хранения личного сертификата, то вы должны установить сертификат в хранилище сертификатов вашего браузера, прежде чем начать продление.

Процедура обновления сертификата аналогична процедуре получения сертификата при регистрации в WM Keeper WebPro (Light). Давайте проследим эту процедуру шаг за шагом на примере браузера Internet Explorer.

1 Перейдите по ссылке https://cert.wmtransfer.com/eng/Asp/RegCertLogin.asp и войдите по ней, используя персональный сертификат, который собираетесь продлевать. Или войдите в свой WM Keeper WebPro (Light) и перейдите на страницу «Кошельки» . В уведомлении о продлении сертификата найдите ссылку www.wmcert.com и нажмите на нее.

2 В появившемся окне введите свой адрес электронной почты. Это может быть e-mail, указанный вами при регистрации в WM Keeper WebPro (Light), или любой другой адрес. Ваш новый сертификат в таком случае станет сертификатом для данного адреса электронной почты, и вы сможете подписывать им свои сообщения. Затем нажмите «Продлить регистрацию».

3 Далее подтвердите операцию, нажав «Да»

4 Если полученное окно идентично приведенному ниже, это означает, что ваш сертификат был успешно установлен в хранилище браузера. Нажмите «Начать».

5 Удалить старый сертификат из хранилища. Для этого откройте настройки браузера в меню «Инструменты», «Свойства обозревателя», внутри раздела «Содержание» есть заголовок «Сертификаты». Выберите старый сертификат в разделе «Личные» и нажмите «Удалить».

Важно: перед удалением старого сертификата убедитесь, что новый сертификат установлен в хранилище браузера.

6 Закройте окно настроек и нажмите «Пуск».

7 Перезапустите браузер и войдите в WM Keeper WebPro (Light) – light.wmtransfer.com

Если сертификат, сгенерированный сервером, не был установлен в хранилище браузера, вы можете выполнить установку вручную – сертификат, зарегистрированы и подписаны на сервере (файл с расширением .cer), могут быть отправлены на ваш адрес электронной почты. Для некоторых браузеров (Internet Explorer, Opera) достаточно просто импортировать полученный по электронной почте сертификат в хранилище. В Firefox процедура установки более сложная.

Сразу после обновления сертификата создайте резервную копию на съемном диске. Для этого в Firefox откройте диспетчер сертификатов: пункт меню «Инструменты-Параметры» , раздел «Дополнительно» , перейдите на вкладку «Шифрование» , нажмите кнопку «Просмотр сертификатов» , выберите сертификат на вкладке «Ваши сертификаты» и нажмите «Сохранить копию…» и выберите, где вы хотите сохранить его и установите пароль.

Если вы уже продлили сертификат, но потеряли сертификат, то необходимо выполнить процедуру восстановления сертификата.

См. также:
Персональный аттестат

Пример разработки приложения WebMoney

Вы помните 1998 год? Начало современного Интернета. Apple снова начала расти с возвращением Стива Джобса. И у Google была бета-версия.

В тот каменный век единственным способом перевести деньги другу был Western Union. Звучит как кошмар!

Сервис WebMoney был создан в 1998 году — на год раньше PayPal. Это была первая система интернет-платежей на постсоветском пространстве. А сейчас это одна из крупнейших мировых систем взаиморасчетов.

WebMoney похожа на PayPal тем, что позволяет оплачивать товары и услуги онлайн. Но в отличие от PayPal, он использует электронные активы, которые имеют собственные эквиваленты реальных денег. Очень похоже на биткойн, WebMoney осуществляет транзакции без участия банков. Вот почему он переводит средства быстрее и дешевле, чем другие системы.

MadAppGang присоединились к проекту в 2012 году. Мы помогли WebMoney создать мобильную версию их платежного сервиса для пользователей iPhone.

Цели проекта

Поскольку приложение WebMoney работает с конфиденциальными и частными данными, наиболее важным требованием было внедрение всех необходимых мер безопасности для обеспечения безопасности финансовых данных. Второй самой большой проблемой было создание пользовательских компонентов пользовательского интерфейса для обеспечения взаимодействия с пользователем на всех платформах. Наше решение должно было обеспечить:

Как мы защищали приложение от угроз

При внедрении безопасности на уровне банка наши основные направления включали:

  • Двухфакторная аутентификация пользователя
  • Шифрование хранилища данных
  • Безопасность сети

Двухфакторная аутентификация пользователя

Нам нужно было гарантировать, что только владелец кошелька имеет доступ к конфиденциальным данным. Двухфакторная аутентификация — очень популярный метод. Все, что вам нужно, это ввести специальный короткий код в дополнение к паролю. Этот короткий код очень недолговечен: он действителен в течение нескольких минут. Пользователь получает его по SMS или через специальное приложение для аутентификации. Мы создали это специальное приложение и назвали его ENum (как аутентификатор Google).

Нам также нужно было убедиться, что пользователь получает уведомления с высоким приоритетом при изменении его номера телефона, пароля, имени или устройства. Даже если хакер совершит какое-то действие, пользователь узнает об этом в кратчайшие сроки.

Еще одна угроза безопасности, от которой нам нужно было защитить приложение, — это атака с перехватом сеанса. Когда пользователь входит в систему и выполняет вызовы API, токен доступа остается активным. Но после 10 минут бездействия срок действия токена истекает. Это затрудняет злоумышленнику компрометацию токена для получения несанкционированного доступа к серверной части.

В более поздних версиях мы добавили аутентификацию по отпечатку пальца в приложение для iOS.

Шифрование хранилища данных

Единственным безопасным местом для любых токенов на iOS является цепочка ключей Apple, специальное хранилище с ключом. Нет никакого способа взломать его, по крайней мере, на данный момент. Но, к сожалению, мы не смогли хранить большой объем данных в связке ключей. Мы использовали CoreData с серверной частью хранилища SQLite.

iOS — очень защищенная операционная система. Каждое приложение работает в своей песочнице. Приложения не могут читать данные других приложений. Но если вы подключите свое устройство iOS к компьютеру, вы можете получить доступ к незащищенным данным в файловой системе, используя протокол подключения iTunes.

Этот протокол является закрытым, но он уже давно переработан. Хакеры создали множество инструментов, упрощающих доступ к пользовательским данным. Чтобы предотвратить это, мы зашифровали базу данных с помощью платформы шифрования Apple. Но из-за некоторых недостатков этой структуры мы также шифровали внутренние данные в базе данных, архивируя 2 уровня шифрования данных: уровень системы и уровень приложения.

Сетевая безопасность

Защита передачи данных — чрезвычайно обширная область ИТ-безопасности. Для поддержания высочайшего уровня безопасности мы следуем двум простым правилам:

  • Всегда отслеживать самые последние взломы сетевых протоколов
  • Добавить способ блокировки приложения, если используемый нами сетевой протокол взломан.

В то время мы использовали протокол SSL с TLS1.1. Этот протокол защищает все данные в сети с помощью SSL-сертификатов. К сожалению, этого недостаточно. Он не защищает от простой атаки «человек посередине» (MITM).

Злоумышленник может прошить маршрутизатор программным обеспечением MITM и украсть данные (массовая атака на маршрутизаторы произошла через год после нашего первого релиза). Этот метод широко используется, и на рынке даже есть несколько аппаратных платформ для реализации сложных MITM-атак.

Для защиты от MITM-атаки мы использовали закрепление сертификата. Идея этого метода заключается в том, чтобы жестко запрограммировать серверный SSL-сертификат в приложении, чтобы оно отклоняло все серверы, использующие разные сертификаты. Закрепление сертификата гарантирует, что приложение iOS взаимодействует с нужным сервером.

Еще одна мера безопасности, которую мы предприняли, — это использование собственного DNS-сервера в дополнение к системному для защиты от DNS-атак. Если система обнаруживает, что сервер взломан (пользовательский или публичный), она блокирует связь.

В то время это звучало довольно параноидально. Но прошло пару лет, и TLS 1.1 был взломан. WebMoney был к этому готов. Все приложения были удаленно заблокированы. Через три дня после того, как мы выпустили новую версию с TLS 1.2. Теперь приложение реализует TLS 1.3

Это еще не все

«Всё, что создано человеком, можно взломать» — правило номер один в информационной безопасности.

  • Анализ поведения пользователей
  • Блокировка приложения на взломанных устройствах
  • Удаление очистки данных
  • Двухфакторная аутентификация для каждой транзакции

    • Реализация мер безопасности для приложения WebMoney была нашей основной задачей. Но это был также сложный проект с точки зрения пользовательского опыта.

    Выглядеть как Интернет, действовать как мобильный: вызов пользовательского интерфейса

    Приложение должно было обеспечить согласованный пользовательский интерфейс для всех платформ, включая iOS, Android, Windows Mobile, Symbian и Интернет.