Защита паролем: о том, как сохранить тайное в тайне
Чем отличается юзер от хакера?
Хакер отгадывает пароль с третьей попытки, а юзер набирает с пятой.
Способов защиты компьютера/документов/файлов существует немало, и постоянные читатели рубрики уже знакомы со многими из них. А знаете, какой способ применяется чаще всего — ведь он является наиболее простым и удобным и не требует наличия специальных программ? Наш сегодняшний выпуск будет целиком посвящен различным аспектам парольной защиты, которая, будучи реализованной должным образом, является тем самым универсальным средством от всех бед. Ключевые слова — “будучи реализованной должным образом”. Цель статьи — познакомить вас с основными принципами выбора, хранения и восстановления забытых паролей, а также уберечь от многих распространенных ошибок. Поначалу вам покажется, что все описанные предосторожности выглядят смешно и применяются лишь законченными параноиками или людьми, одержимыми манией преследования. Но, столкнувшись однажды с потерей важной информации, времени или денег (а зачастую эти понятия неразличимы), вы измените свое мнение…
“Вспоминаем” забытые пароли
Чем сложнее пароль, тем проще его забыть. Поэтому стоит быть готовым к тому, что однажды вам придется лихорадочно вспоминать, что же вводить после слова “Password”. Если память отказывается делиться нужной информацией, можно прибегнуть к специальным программам, с которыми мы познакомимся в следующем номере журнала. Не забывайте и о том, что если вы забыли пароль Аськи, почтового сервера или другой Интернет-службы, вы всегда можете попросить администрацию выслать нужную информацию на ваш почтовый ящик, указанный при регистрации (если на сайте таковой раздел отсутствует, попробуйте написать по адресу support@название_сайта ).
Как правильно выбирать пароль
Каждый продвинутый пользователь компьютера (особенно — часто бывающий в онлайне) сталкивается с необходимостью выбора пароля для доступа в Интернет, получения/отправки почты, регистрации в различных онлайновых службах или работы с программами (ICQ, онлайновые игрушки и т.п.). Даже если у вас еще нет доступа к Сети, вам может потребоваться установить пароль на включение компьютера или чтобы припрятать от посторонних важный файл (документ, архив…). Смысл этих процедур один — предотвращение нежелательного доступа к конфиденциальной информации, ваша идентификация (определение, кто пытается воспользоваться сервисом — вы или отнюдь не вы).
А теперь представьте, что произойдет, если все эти пароли станут известны недоброжелателю или просто “шутнику”. Уже оплаченное время онлайна будет потрачено не вами, а кем-то другим. Ваши почтовые ящики и Аська станут доступны чуть ли не любому желающему и могут быть использованы для противозаконных действий (например, рассылка троянов, вирусов или спама). В случае если злоумышленник, прикрываясь вашим именем, совершит что-то противозаконное, отвечать за это будете вы (попробуйте еще доказать, что вы сами стали жертвой хакера). Для предотвращения таких неприятных ситуаций следует грамотно подходить к выбору пароля и стараться соблюдать ряд простых, но крайне действенных правил.
Во-первых, ни в коем случае не используйте один и тот же пароль для всех целей. Держать в памяти некую “универсальную” комбинацию символов значительно проще, чем помнить несколько десятков паролей, но… Допустим, кому-то стал известен ваш пароль для выхода в Интернет. Если во всех случаях вы пользовались одним и тем же паролем, то, кроме времени онлайна, вы лишитесь еще уймы всего, а вот во втором случае (разные пароли) вам придется лишь поменять украденный “пассворд”.
Во-вторых, не вздумайте в качестве пароля использовать что-то очевидное (год вашего рождения, даже написанный задом наперед, кличку собаки, ваше имя, любимое ругательство и т.п.). Даже такая хитрость, как набор русских слов при английской раскладке клавиатуры (например, “Игромания” будет выглядеть как “Buhjvfybz” ), зачастую оказывается недостаточной. Вы не поверите, но большинство взломов осуществляется не с помощью “умных хакерских прог”, “дырок” в программном обеспечении и т.п. — часто хакеру требуется всего-навсего попробовать пару комбинаций цифр или слов (тот же год рождения), и все… Следует дать и еще один совет — очень многие службы (особенно — почтовые сервера) на случай потери пароля предлагают вам выбрать какой-либо проверочный вопрос. В стандартных случаях вам предлагаются варианты вроде “девичья фамилия матери”, “год рождения отца” и т.п. Понятно, что для выяснения этих обстоятельств особого ума не понадобится и взломать такой ящик — проще простого.
В-третьих, пароль должен быть максимально сложным , оптимально — состоять из случайной комбинации букв и цифр (да еще и разного регистра, если это возможно). Что-нибудь вроде W2!3vbG5Y6_t. Сколько раз я видел пароли вроде Boss, Admin, Teacher, Marketing, School, угадывающиеся раза так с десятого. Но даже если выбранное вами слово не имеет к вам прямого отношения, угадать его будет значительно проще. Есть программы, которые подбирают пароль путем перебора слов, имеющихся в их словаре. Но комбинация случайно подобранных символов поставит их в тупик. Комбинации цифр (без букв — 19682 ) по тем же причинам применять не рекомендуется. В крайнем случае, в целях облегчения запоминания, можно использовать промежуточные варианты (например, что-то вроде 16gaMer58 ).
И не вздумайте сообщать пароль кому бы то ни было. Какой смыл придумывать хитрющий “пассворд”, а потом раздавать его всем желающим? Если к вам придет письмо якобы от вашего провайдера с просьбой поменять логин/пароль, для чего к сообщению приложена форма с полями “старый пароль” и “новый пароль”, первым делом перешлите его в отдел технической поддержки (например, support@provider.ru ). Ну а если письмо еще и было отправлено с “халявного” сервера вроде mail.ru… Если вашему провайдеру/администатору почтового сервера/службы поддержки потребовалось бы узнать такую информацию, они бы сделали это без всякого вмешательства с вашей стороны.
Не следует забывать и о других способах кражи паролей. Ведь есть такие вещи, как трояны, проги-шпионы, перехватывающие окна с вводом логина/пароля и фиксирующие его в своих протоколах. Если свой компьютер можно всегда проверять на наличие подобной гадости, то в случае работы на чужом компе (или на школьной/институтской/клубной машине) ни в чем нельзя быть уверенным. Поэтому все важные вещи лучше делать из дома (или другого проверенного места). Система безопасности многих программ (и вашей любимой операционки) зачастую не выдерживает никакой критики, с легкостью предоставляя ваши данные всем желающим.
О хранении паролей
Правильно пользоваться паролями мы научились. Но появилась еще одна проблема — как запомнить эту кучу ничего не значащих сочетаний цифр и букв? И как сделать это максимально безопасным образом? Понятно, что не лучшим решением будет записывать все пароли на листок, приклеенный к монитору (как это делается в большинстве офисов). Многие программы позволяют сохранять вводимые пароли, что дает весьма сомнительную выгоду — удобство налицо, но и узнать ваш “пассворд” в этом случае не слишком сложно (в Интернете есть тысячи утилит, “выдирающих” пароли из Аськи, “Форточек” и других программ). Отдельно стоит сказать о системе запоминания паролей в Windows (наверняка вам приходилось при работе с браузером сталкиваться с предложениями сохранить введенную информацию).
Все пароли операционка сохраняет в файле имя_пользователя.pwl (найти их можно в каталоге \Windows ), где они лежат чуть ли не в открытом виде (извлечь их оттуда с помощью специальных утилит — дело пяти минут). Запоминать используемые пароли средствами “Окон” не следует. Если вы получите по Аське сообщение с просьбой дать файл *.pwl (это аргументируется тем, что у человека “Windows глючит”) — в 90% случаев это попытка вызнать ваш пароль.
На деле есть два надежных варианта “запоминания” — либо записывать все свои логины/пароли в записной книжке, хранимой в надежном месте, либо поручить это дело специальным программам. И если первый вариант в комментариях не нуждается (главное — не потерять эту самую книжку), то о программах-хранителях мы еще поговорим в следующем номере журнала. Ждите продолжения!