Как запомнить пароль – Как запоминать по-настоящему надежные пароли

Содержание

Как запоминать по-настоящему надежные пароли

На дворе 2014 год. Корпорация «Локхид Мартин» рассказала о том, что ее ученые добились существенного успеха в разработке компактных термоядерных реакторов, способных превращать пригоршню чистого и сравнительно дешевого топлива в многие мегаватты энергии. Уже пару лет на МКС летают частные космические корабли. Никого не удивишь беспроводной связью на скоростях десятки мегабит в секунду. А мы, как в каком-нибудь 1999-м, все еще вынуждены запоминать списки паролей. И пароли эти более длинные, чем когда-либо, ведь скорость взлома растет с каждым годом вместе с ростом производительности компьютеров.

Если мы собираемся и дальше полагаться на такой древний способ идентификации, как пароли (а лучшего варианта, увы, у нас пока нет), нам придется придумать, как научиться их легко запоминать. Собственно, именно этим и озадачились ребята из Университета Карнеги — Меллона. К сожалению, для того, чтобы запоминать пароли, нам в любом случае придется делать то, чего никто не любит, — учить наизусть.

Однако существуют способы повышения эффективности этого процесса — чтобы можно было зубрить меньше, а запоминать лучше. Как показывает исследование, отличных результатов позволяет добиться сочетание мнемоники и интервальных повторений.

Конструкция паролей, которую предлагают исследователи, в общих чертах повторяет ту, что описана в известном комиксе xkcd. Если говорить коротко, основная мысль состоит в использовании словосочетаний вместо видоизмененных слов:

Участникам исследования предлагалось выбрать одного персонажа из списка, к этому добавлялись случайно выбранные компьютером действие и объект. Итогом должно было стать что-то вроде такого словосочетания: «Учитель Йода роняет микрофон». В дополнение к тройке «человек — действие — объект» участникам исследования показывали изображение с каким-либо местом действия и просили представить итоговую сценку. Например, «Учитель Йода роняет микрофон в подводной лаборатории».

Это целых шесть слов, и составленный из них пароль будет вполне взломоустойчивым — вы можете убедиться в этом на нашей страничке проверки надежности паролей. И вот в чем идея: вам не обязательно держать в памяти все эти слова.

Участники исследования получали подсказку в виде пары «персонаж — место действия» и должны были вспомнить пару «действие — объект» через определенный период времени. Конкретные временные интервалы и количество запомненных паролей менялись от группы к группе.

Лучшие результаты показала группа, в которой первый интервал — с момента запоминания до первой проверки — составлял 12 часов, а каждый последующий интервал увеличивался в полтора раза. Последняя, девятая проверка происходила примерно через 102 дня. Так вот, в этой группе 77,1% участников успешно вспомнили все четыре истории на всех девяти проверках. Я связался с руководителем исследования Иеремием Блоки (Jeremiah Blocki) и спросил, соответствуют ли итоги исследования тому, что он ожидал получить.

«Результаты меня удивили. До начала эксперимента я бы предположил, что лучше всех выступит группа, в которой первоначальный интервал составлял 30 минут, но победили участники группы с 12-часовым интервалом»

«Честно говоря, результаты меня удивили. Если бы меня спросили до начала эксперимента, я бы предположил, что лучше всех выступит группа, в которой первоначальный интервал составлял 30 минут (он удваивался перед каждой новой проверкой), — ответил Блоки. — Хотя нельзя сказать, что я был в этом уверен. У группы «12час*1,5» первоначальный интервал был очень длительным, но последующие промежутки увеличивались не так быстро, как в группе «30мин*2″. Результаты говорят нам о том, что важно постоянно освежать в памяти то, что мы стараемся запомнить. Просто повторить несколько раз в самом начале — недостаточно эффективный способ заучивания».

Интересное совпадение: в большинстве случаев забывание происходило как раз в первые 12 часов — 94,9% участников исследования, успешно вспоминавших информацию на ранних проверках, продолжали помнить ее и на всех последующих проверках.

Что закономерно: результаты тех участников, которые запоминали одну или две сценки, были гораздо лучше, чем у тех, кто запоминал сразу четыре. Это кажется очевидным, но интереснее то, насколько проще запомнить один-два пароля описанным методом: 100% участников, запоминавших одну-две истории, успешно вспоминали их на всех этапах проверки.

Плохая новость: пароли придется учить. Хорошая новость: есть способ делать это более эффективно #passwords

Tweet

Какие же выводы мы можем сделать из этого исследования? В первую очередь тот, что запомнить один или два пароля гораздо проще, чем запомнить четыре, не говоря уже о большем их количестве. Это вполне совпадает с практикой, показывающей, что едва ли не все люди используют один пароль для нескольких сервисов, даже несмотря на уверенность в том, что это плохая идея. Так что пароли, как ни крути, уязвимы: даже если не получится взломать подбором, есть шанс украсть пароль на одном сервисе и таким образом получить доступ к остальным.

Но есть и хорошие новости — похоже, есть способ достаточно уверенно помнить по-настоящему надежные пароли. Вот что для этого требуется:

  • Вместо абстрактного сочетания букв используйте пароль-историю. Для того чтобы ее запомнить, следует представить себе соответствующую сценку. Можно даже нарисовать картинку, в прямом смысле — карандашом или ручкой.
  • Да, это сложно, но все-таки старайтесь как можно реже использовать один пароль для нескольких сайтов.
  • Обязательно время от времени вспоминайте все свои пароли. Особенно важно сделать это в первые 12 часов после того, как вы завели новый пароль. Чем чаще вы будете это делать впоследствии — тем лучше.

И да пребудет с вами сила.

www.kaspersky.ru

Как легко запомнить сложный пароль. Авторское руководство по защите цифровой жизни

Опытный программист и системный администратор Алексей Бучаков из компании «АДМИС» разработал свою систему работы с паролями и согласился поделиться ей с читателями «Мы ESET». 


Эксперты по информационной безопасности не устают повторять, что каждая учетная запись должна иметь уникальный пароль. Однако рядовой пользователь зарегистрирован на десятках и сотнях сайтов и сервисов. Как держать в голове такое количество паролей сразу?


На самом деле, в этом нет необходимости. Любому пользователю достаточно запомнить всего 8-10 паролей (всего-то! — прим. ред). Ниже я расскажу, как это сделать, но сначала отвечу на часто задаваемые вопросы:

Не проще ли хранить все пароли в специальной программе?


Хранить, конечно, проще, но сохранить — сложнее. Любая программа имеет уязвимости. Посмотрите новости о крупных утечках баз данных или почитайте биографические очерки о команде Кевина Митника (особенно часть про взломы с помощью социальной инженерии).

Почему нельзя записать пароли в блокнот и хранить под подушкой в надежном месте?


Можно, но вы никогда не узнаете, кто его найдет и прочитает, а затем сделает копию, которая пойдет дальше. Как мы знаем из голливудских фильмов, ваши данные могут быть использованы против вас.

Что если придумать один очень-очень надежный пароль для всех учетных записей?


Плохая идея. В информационной безопасности есть такой термин — компрометация. Если вы использовали свой надежный пароль на слабо защищенном или сомнительном ресурсе — вы этот пароль скомпрометировали. Получив доступ к паролю на таком сайте, злоумышленники обязательно проверят, не подходит ли он к вашим аккаунтам в соцсетях или e-mail.

Что же делать?


Чтобы запомнить десяток уникальных паролей, нужно выделить три контура безопасности.

Первый контур


E-mail, на который зарегистрированы все важные учетные записи, — самая важная часть вашей цифровой жизни. У обычных пользователей редко бывает больше двух таких почтовых ящиков.

Правило №1: Пароль к основной электронной почте должен быть уникальным.


Также сюда входят ваши платежные данные и пароль, блокирующий экран смартфона, с которого можно подтверждать банковские операции. Кроме того, я рекомендую использовать традиционный, а не графический пароль.


Кстати, SIM-карту тоже можно запаролить, потому что ее всегда можно переставить в незащищенный смартфон. Эта мера предосторожности актуальна для транзакций, требующих подтверждения по SMS.


Еще не запаролили свой телефон? Расскажу небольшую историю из жизни. Постучалась ко мне бывшая девушка — что-то у нее случилось, негде было переночевать. Приютил. Утром на пробежку отправился и, конечно, оставил дома и телефон, и платежные карты.


Мне повезло, что решилась она не сразу, а где-то минут через 40. Сначала пыталась снять деньги с почти пустой карты Сбербанка, затем переключилась на вторую карту, но сделала несколько ошибок в подтверждении операций (видимо, нервничала). В итоге из 9 попыток транзакций успешно прошла только одна. Как потом рассказала служба безопасности банка, она скидывала деньги на свой QIWI-кошелек, параллельно стирая SMS-оповещения от банка на моем телефоне.


Второй контур


Сюда входят социальные сети, Skype или другие мессенджеры. Во-первых, они содержат большое количество личных данных, которые могут быть использованы против вас. Во-вторых, любой аккаунт имеет цену на черном рынке и может быть использован для мошенничества или рассылки спама.

Правило №2: Отключите сохранение паролей в браузере. Запомните пароли самых важных аккаунтов (ниже я расскажу, как это легко сделать).

Третий контур


Все остальные учетные записи на сайтах, сервисах, форумах и других ресурсах относятся к третьему контуру безопасности. Сюда входят любые логины и пароли, потеря которых не нанесет вам ущерб. Например, данные аккаунта интернет-магазина, в котором вы однажды совершили покупку. Часть паролей из этой категории можно держать в дополнительном почтовом ящике.

Таким образом я выстроил собственную политику безопасности, которая образует простую и эффективную систему:

  • Первый контур: два основных почтовых ящика, личные кабинеты двух банков и смартфон защищены сложными уникальными паролями.
  • Второй контур: аккаунты ВКонтакте, Facebook и Skype защищены уникальными паролями, но попроще. Сюда же относятся 4 дополнительных почтовых ящика, которые я использую для разных целей.
  • Третий контур: два пароля на менее важные учетные записи.

Всего я держу в голове 12 паролей (на самом деле чуть больше, но это к делу не относится).

Как легко запомнить сложные пароли

  • Трудно поверить, но основной принцип создания пароля — он должен хорошо запоминаться. Придумайте звучное сочетание, образующее несуществующее слово. Например, турболопух или тринитродивиденд.

    Сервис требует только латинские буквы? Просто наберите эти же слова на английской раскладке клавиатуры, получится «neh,jkjge[» и «nhbybnhjlbdbltyl» (турболопух или тринитродивиденд соответственно).

Правило №3: Используйте словосочетания для дополнительной защиты важных учетных записей. Такой пароль значительно устойчивее ко взлому методом простого перебора.

  • Используйте вычисляемые значения. Например, день рождения вашей бабушки 19.11.1932, а университет вы закончили в 2005 году, значит ваш пароль — «38319423660»! Запоминать его не нужно, достаточно умножить одну дату на другую: 19111932 х 2005 = 38319423660.Слишком много цифр? Переходим к следующему пункту!
  • Используйте дополнительные математические операции. Открываем калькулятор (Пуск — Все программы — Стандартные), переходим в режим «Программист» (переключается во вкладке Вид), вводим 19111932 х 2005 = 38319423660 и переводим в шестнадцатеричную систему исчисления (устанавливаем точку в пункт Hex) — получается 8ec0400ac. Такой пароль легко выучить, набрав его на клавиатуре десяток раз.
  • Записывайте подсказки, а не сами пароли. Даже если кто-то получит к ним доступ, расшифровать их не удастся.
  • На основе моих советов придумайте свой способ создания паролей, которые легко запомнить 🙂


Алексей Бучаков, АДМИС


*Мнение автора может не совпадать с мнением редакции

club.esetnod32.ru

Как создать и запомнить надёжный пароль

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый [email protected]

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую безопасность, а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то фиксировать.

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств. 

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может вспомнить, каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com — компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля — задача простая, достаточно составить комбинацию из случайных символов.

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:

  • Случайные, при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
  • Массовые атаки, когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
  • Целенаправленные, сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей жизни.

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Акронимы

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных фраз будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org — RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ — и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надёжности и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу — супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

PIN

Personal Identification Number (PIN) — дешёвый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Итог

  1. Зайдите на random.org и создайте там 5–10 паролей-кандидатов.
  2. Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
  3. Используйте эту фразу для того, чтобы вспомнить пароль.

Читайте также:

lifehacker.ru

Как запомнить пароли и пины: 6 приемов

Пароли и пины не стоит записывать на бумажке и хранить в кошельке вместе с картами: если кошелек украдут, вор сможет снять все деньги. Тем более нельзя писать пин на карте: это равносильно подписи на приговоре о своем финансовом расстреле.

Специалисты по информационной безопасности рекомендуют создавать разные пароли для каждого сайта. И это не должен быть пароль из простого слова, даты или qwerty123. Запомнить все это сложно, но реально. Вот несколько идей, как это сделать.

Запомнить пин по данным карты

Возьмите значимое для вас двузначное число, например 42. Это будут первые две цифры пина. А вторые две цифры возьмите с карты: например, четвертую и вторую с конца номера. Для каждой карты получится свой пин, который легко вспомнить

Придумать алгоритм для пароля

Придумайте длинную фразу, которую сможете запомнить. Например, VivaLaFrance. После нее можно писать первые буквы названия сайта, где вы регистрируетесь. Для каждого сайта получится уникальный пароль, который сложно взломать

Еще способы выбрать надежный пароль

Использовать память рук

Откройте панель вызова на смартфоне и начните набирать нужную последовательность цифр. Тренируйтесь время от времени, а когда придет пора вспоминать — позвольте пальцам самим набрать нужное число

Как защитить реквизиты карты

Превратить числа в истории

Наш мозг лучше запоминает истории, чем цифры. Например, «четыре двоечника три раза получили двойку» легко повторить в голове и собрать из ключевых элементов пин — 4232. Этот метод можно использовать и для номеров телефонов

Как спасти деньги, когда кругом враги

Использовать калькулятор

Специалисты по безопасности рекомендуют не использовать даты рождения в качестве паролей. На помощь придет калькулятор: умножьте цифры из памятной даты на другие памятные цифры и получите новый безопасный пин или пароль

Как защитить свой смартфон

Делимся практическими приемами, как защитить:

1. Айклауд от мошенников и взломщиков.
2. Мессенджер от угонщиков аккаунтов.
3. Карту от нечестных отелей.

journal.tinkoff.ru

Сложный пароль в запоминании не нуждается / Habr

Все пароли для разных ресурсов должны быть длинными, сложными, личными и не похожими.

Но как придумать такое количество разнообразных паролей? Предположим мы нашли на бескрайних просторах Интернета нужную нам программу, генерирующую нужное нам количество знакосимволов. Но как запомнить всё это буйство букв, цифр, знаков препинания, и, не побоюсь произнести эту фразу, вообще не понятных символов в виде смайликов, стрелочек, домиков и китайских иероглифов? А как не перепутать какая «нечитаемость» от какого сайта?

Я запомнить точно не смогу. Я даже четырёхзначные PIN-коды пластиковых карт забываю на следующий день. Можно пароли записать и в самый нужный момент потерять всё, что копилось многие годы. А если у Вас паранойя? Вам же придётся Ваш шифроблокнот положить в банковскую ячейку. Но ведь Вы забудете очередную парольку от очередной бронированной дверки почти сразу.

А что если есть способ, позволяющий не придумывать, не запоминать и не записывать ключи от наших тайн? Я предлагаю способ придумывания таких паролей.

Нам понадобятся всего три вещи.

1. «Волшебная» табличка (о ней дальше) с помощью которой мы и будем создавать пароли,

2. Индивидуальная ключевая фраза,

3. Название ресурса для которого мы будем создавать пароль.

И больше ничего. Заинтригованы?

Волшебная таблица

Для начала представлю Вам «волшебную» таблицу. Это и есть ключевой элемент данного способа придумывания паролей. Сразу отмечу что это не моё изобретение. В школе я с помощью такой таблицы шифровал свои секретные записи. Я её просто немного модифицировал.

Да и не такая она волшебная. В трёх левых колонках (левое поле) расположены неповторяющиеся символы. В большом квадратном поле (основное поле) латинские символы и цифры периодически повторяющиеся по горизонтали и вертикали. В трёх верхних строках (верхнее поле) любые символы, именно из них и будут получаться пароли.

Ну что же, таблица у нас есть. Осталось придумать ключевую фразу и найти ресурс к которому мы будем придумывать пароль. Пусть первым будет слово password, а вторым — mysite. Пароль будем придумывать из шестнадцати символов. Поехали.

Создание пароля

Возьмите первую букву ключевой фразы (p) и найдите её в левом поле. Нашли? Теперь в той же строке в основном поле найдите первую букву имени ресурса (m). Тоже нашли? Поднимитесь по столбцу вверх и найдите первый символ нашего пароля (цифра 0). И далее повторите всё тоже самое для каждой последующей пары символов. В слове закончились буквы? Ничего страшного, начните с начала слова. Результат Вы увидите в таблице 1.1.

Не плохо. Даже цифры в пароле есть.

Как будет выглядеть результат изготовления пароля для Хабрахабра видно в таблице 1.2. Мы поменяли только имя ресурса (habrahabr), а пароль изменился.

Знаю что найдутся желающие видеть в пароле заглавные буквы и знаки препинания. Давайте их нарисуем.

В слове HaBRaHaBR есть согласные буквы. Вы тоже заметили? Тогда давайте в тех же позициях пароля заменим буквы на заглавные. Результат в таблице 1.3.

А теперь заменим символы пароля 4, 8 и 16 на знаки препинания (таблица 1.4), для этого они и нужны в верхнем поле «волшебной» таблички.

Хочу отметить, что если количество символов в ключевой фразе и в имени ресурса одинаковое, то символы пароля начнут повторятся. Для избежания этого можно, например, к имени ресурса добавлять буквы. Например так habrahabr+dobivka=habrahabrdobivka (таблица 1.5).

В качестве ключевой фразы Вы можете использовать всё что Вам угодно. Даже квадратное уравнение подойдёт (таблица 1.6).

Можно использовать Вашего любимого персонажа из детской книжки (таблица 1.7)

И для разнообразия в пароль можно вставить кириллические символы. В таблице 1.8 они вставлены там, где и в ключевой фразе и в имени ресурса гласные буквы.

Пока готовил материалы для публикации придумал ещё один способ использования данного метода. Дело в том, что меня тоже раздражают контрольные вопросы в системах восстановления паролей. Кто ещё кроме Вас знает девичью фамилию Вашей мамы? Думаю все. Вот Вам ещё одно слабое место в безопасности. Ваша мама не обидится если вы зашифруете её фамилию? Тогда смело можете использовать принцип из таблицы 1.9.

Создайте свою «волшебную» таблицу

Если все будут использовать одну и туже «волшебную» таблицу, то я думаю это не будет хорошо. Вот ещё одна.

Чем же она другая? Левое поле такое же. В центральном поле я поменял последовательность символов. А верхнем поле расставил русские и латинские символы не совсем в алфавитном порядке.

Вообще то Вы можете создать свою таблицу соблюдая четыре простых правила.

1. Вы должны запомнить по какому принципу Вы составляете таблицу.

2. В левом поле символы не должны повторятся.

3. В основном поле символы не должны повторятся в столбцах и строках.

4. В верхнем поле можно располагать любые символы и в любом порядке.

А теперь попробуем создать пароль с ключевой фразой и именем ресурса из нашего первого примера, но уже с использованием второй шифровальной таблицы. То что получилось видно в таблице 2.1. Почувствуйте разницу.

А для того что бы Вы могли с меньшими усилиями создать личную таблицу, здесь я выложил исходник в формате .xls.

«Вспоминаем» пароль

Предположим Вы зашли на свой любимый Хабрахабр, Вконтакте или на сайт где во всех подробностях и с картинками рассказывается как правильно пользоваться капустой в которой находят детей и пытаетесь вспомнить пароль? А пароль вспоминать не надо. Его вообще можно не запоминать. Как такое возможно?

1. Вы составили личную шифровальную таблицу по определённому и понятному Вам принципу. Тогда даже её потеря не будет большой проблемой. Восстановите её.

2. Вы помните свою личную ключевую фразу. А ведь Вы помните число π до четырнадцатого знака после запятой.

3. Вы в здравом уме и хорошо понимаете на какой сайт Вы зашли.

Это всё что Вам нужно. Создайте пароль снова, он будет точно таким-же.

«Серёженька, а я опять забыла парольку от корпоративного мыла»

Вас тоже раздражает эта фраза? Даже бесит? Как я Вас понимаю. Нужно сделать столько лишних телодвижений. А что если…

У Вас ведь есть ключевая фраза. А у Ваших «забывчивых соработников» есть табельный номер или логин. Давайте это использовать по назначению.

Правила безопасности на Вашей работе требуют менять пароль раз в месяц? Ещё чаще? Тогда при тех же условиях поменяйте ключевую фразу и пересоздайте пароли.

И конечно же никто не будет Вам запрещать автоматизировать процесс.

Вместо эпилога

Я понимаю что пользоваться бумажкой и даже картинкой шифровальной таблицы на компьютере не совсем удобно. Поэтому у меня есть просьба. Если Вам понравилась идея и Вы можете создать приложение для ПК, телефона, смартфона или коммуникатора, то дерзайте. Сам то я не местный, руки не под это заточены…

P. S. Я знаю что ключевое слово по-английски keyword. Слово password я использовал специально что-бы запутать спецслужбы всех стран, времён и народов.

Дополнено после публикации

Спасибо, iFaTaL1Ty, за ссылку на Хабрахабре с подобной идеей.
Спасибо, VasyaMobile, за почти такую же идею от Яндекса.
БОЛЬШОЕ спасибо, jursovet. Вот здесь не только подобная идея, но и практический способ её реализации.

Перенёс в тематический блог.

Критические замечания

Топик на Хабрахабре где высказываются критические замечания к данному способу придумывания паролей. А это мой ответ на критику.

Цитирую свой комментарий:

rbJJkjwqmIyLm7er — это пароль к сайту mojdomen. Восстановите ключевую фразу, и я признаюсь в том, что я идиот.

Дополнение от 24.08.2019

Пользователь dolfero написал на Python скрипт по мотивам статьи — github.com/dolferoIHYD/password_generator

habr.com

Как запомнить все пароли?

Запомнить все пароли просто невозможно. Особенно самые безопасные, состоящие из случайных символов (например, такой как 54dscks&jwdo9). Если вы будете использовать простые пароли, то велик риск взлома, когда это понадобится вашим недругам или хакерам. К счастью, существуют специальные сервисы, которые помогают их сохранить. Вот они:  

LastPass 

LastPass – это бесплатный менеджер паролей, который генерирует их случайным образом. Абракадабру не нужно запоминать. Она будет вставляться автоматически путём нажатия кнопки, встроенной в браузер. Даже если у вас есть три разных аккаунта на почте или в социальной сети, то это не проблема – программа предложит нужный вариант при вводе логина. Все пароли можно редактировать и передавать другим пользователям (например, если это требуется в рабочих вопросах). Пользоваться LastPass можно на нескольких устройствах. Хранилище паролей доступно даже в случае работы в автономном режиме, без интернета. Для продвинутых пользователей есть возможность купить платный аккаунт.    

 

Google Smart Lock

Google Smart Lock – это опция браузера Chrome, которая предустановлена и включается при вводе пароля на новом сайте, предлагая сохранить пароль. Для доступа к сохранённой информации нужно посетить страницу myaccount.google.com, где выберите меню «Безопасность и вход». Затем внизу на странице зайдите во вкладку «Сохранённые пароли» и нажмите «Управление паролями». Ваша учётная запись Google является основным логином для функции Smart Lock. Но будьте осторожны. Если кто-то получит доступ к вашей записи в Google, то сможет получить доступ ко всем другим паролям и управлять ими. У Smart Lock нет генератора паролей (их нужно придумывать самому), также он не работает на iPhone или других браузерах, кроме Chrome.

 

Norton Identity Safe

Norton Identity Safe – бесплатный менеджер паролей, который можно установить на любой браузер или устройство. При настройке вам понадобится два пароля: один для учётной записи, а другой – для хранилища паролей. Они должны быть сложными, но запоминающиеся. В хранилище все пароли сортируются в алфавитном порядке по названию сайта. Менеджер подскажет насколько надёжен ваш пароль: красным цветом будет указан слабый, жёлтым – умеренный, а зелёным – сильный пароль. Ещё программа запоминает данные банковских карт, они автоматически подгружаются при онлайн-платежах. Есть генератор паролей, который легко настраивается.    

 

Secure Safe

Secure Safe – облако, в котором можно хранить файлы и пароли. В бесплатной версии можно хранить файлы объём до 150 МБ и до 50 паролей. Платная версия стоит от 1,5 долларов в месяц и позволяет хранить большой объём данных и паролей. При открытии приложения, пароли перечисляются в алфавитном порядке по названию сайта. Можно выбрать нужный сайт и перейти, пароль копируется автоматически. Его потребуется вставить самостоятельно. Буфер обмена очищается в течение короткого интервала времени (этот параметр настраивается). В этом преимущество для пользователей, которые не любят всплывающие окна.  

 

Источник: blog.credit.com

www.sravni.ru

Эксперт по безопасности объясняет, как проще запоминать пароли

Это моя вторая заметка из серии «Ошибочное понимание ИТ-безопасности», и в ней мы собираемся поговорить о том, как придумывать и запоминать надежные пароли. Все знают, как важно пользоваться надежными паролями. Но все ли понимают, какие пароли можно называть по-настоящему надежными?

Практически любой согласится: да, надежный пароль действительно важен, но в то же время его так сложно запомнить! Поэтому многие даже не пытаются загромождать память сложными паролями, зачастую используют один и тот же пароль на нескольких ресурсах и так далее. В общем, складывается впечатление, что в большинстве случаев пользователи предпочитают игнорировать правила безопасности, а не искать эффективное решение задачи.

Распространению этой вредной привычки также способствует тот факт, что большинство даже не знает, что же это такое — надежный пароль. Многие представляют его как комбинацию случайных букв, цифр и знаков. То есть что-то очень, очень сложное для запоминания. Но если взглянуть на проблему с точки зрения безопасности, а не чистой криптографии, то окажется, что достаточно надежный пароль не так уж сложно запомнить, поскольку он не обязательно состоит из случайного набора символов.

Вопрос дня: что мастер Йода делает в подводной лаборатории? Если не догадались, ответ в блоге http://t.co/j4P6DHOXLT pic.twitter.com/wd3CGBCziK

— Kaspersky Lab (@Kaspersky_ru) October 21, 2014

После этих строк сторонники строжайшей безопасности могут возмутиться, но хотелось бы уточнить: в этом посте речь идет не об алгоритмах для создания паролей, а о простых и полезных мнемонических техниках, пригодных для создания комбинаций символов для обычных пользователей. Хороший пароль лучше, чем один и тот же номер телефона, используемый одновременно на каждом сайте и в почте.

Разумеется, проблему можно решить с помощью специального инструмента для управления паролями, такого как Kaspersky Password Manager. Но есть способы лучше и одновременно проще — после прочтения этого поста вы справитесь с данной задачей и без какого-либо дополнительного программного обеспечения.

Как запоминать надежные пароли #passwords

Tweet

Итак, как же можно придумать действительно надежный пароль, который несложно будет запомнить? В первую очередь выберите сочетание символов, которое для вас что-то значит. Вам гораздо легче будет запомнить важное слово, чем случайный набор символов, предложенный генератором паролей.

Есть много других способов сочинить супернадежный пароль, но я хочу остановиться на том, который позволяет сочинять нужную комбинацию, используя ассоциации.

  1. Вспомните фразу, строку из песни, цитату из фильма или же детскую колыбельную — то, что для вас много значит.
  2. Запишите первые буквы из первых пяти слов.
  3. Добавьте по одному специальному символу между каждой буквой.

На этом этапе у вас готова базовая комбинация, дополнив которую вы сможете сочинять бесконечное количество уникальных паролей. Осталось только понять, как использовать ассоциации, чтобы запомнить по одному паролю для каждого сайта.

Какие ассоциации у вас возникают, когда вы думаете о Facebook, Twitter, eBay, сайте знакомств, игровом онлайн-ресурсе и других сайтах, где вы хотите зарегистрироваться? Используйте первое слово из ассоциации, чтобы дополнить базовую комбинацию. Например, если о соцсети Facebook вам напоминает синий цвет, то вы можете использовать слово «blue».

Таким образом, если в качестве ассоциативной фразы взять забавную строку «Twinkle Twinkle Little Star How I Wonder What You Are», а в качестве специального символа выбрать любимый знак всех любителей Твиттера и Инстаграма — «#», то пароль к Facebook будет «T#T#L#S#Hblue». Сочетание символов кажется бессмысленным любому постороннему человеку, но поскольку вы знаете систему и связанные с сайтом ваши личные ассоциации, то вам этот пароль покажется легким и понятным. И он довольно надежный — можете сами убедиться при помощи нашего сервиса проверки паролей.

Не забудьте проверить свой пароль! #PassChecker http://t.co/lbdRUBjYSw https://t.co/32L7nmX2qt

— Kaspersky Lab (@Kaspersky_ru) October 22, 2014

Еще один момент, о котором не следует забывать: есть один суперважный пароль, важнее всех прочих. Я говорю о том, который служит для входа в аккаунт вашей основной электронной почты. Для этого пароля лучше не использовать ту же схему, что и для других учетных записей, — лучше сделать его совершенно непохожим на все остальные. Сделать так следует потому, что этот почтовый ящик — «мастер-ключ» для всех остальных сервисов, на которых вы зарегистрированы, поскольку он дает возможность воспользоваться функцией восстановления паролей для всех привязанных к нему аккаунтов.

Драгоценная почта: почему некоторые аккаунты надо беречь как следует — http://t.co/sez77YVlJF

— Kaspersky Lab (@Kaspersky_ru) October 6, 2014

Используйте надежные пароли, пожалуйста! Идея, что пароли сложно запоминать, не только ошибочна, но и небезопасна. Помните об этих золотых правилах:

  • Длина пароля имеет большое значение.
  • Каждому сайту — по собственному уникальному паролю!
  • Надежный пароль — это не обязательно комбинация случайных знаков, это последовательность символов, которую сложно взломать. И это не одно и то же!
  • Придумывайте пароли на базе фраз, которые что-то для вас значат, и вы легко их запомните!

www.kaspersky.ru

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *