Пароль

– Там в серванте, за бутылкой виски, в стакане, ключ от стола, а в ящике футляр для очков, в нем бумажка с паролем.

© Народная мудрость в Интернет

Самый простой способ хранения пароля – это записать его в файл, откуда при обращении системы авторизации его можно прочитать и сверить с тем, который ввел человек с клавиатуры. Ведь пока на компьютере не произведен вход, никто не может прочесть этот файл. Так раньше думали многие разработчики программного обеспечения. Но преступники, которых принято называть «хакеры», смогли без входа в систему получать доступ к подобным файлам. Например, отдельно подключив жесткий диск или загрузившись с дискеты, можно скопировать файл с хранящимися паролями и прочесть его.

А что если пароль в подобном файле будет храниться в зашифрованном виде? Тогда хакер попытается его раскодировать. Но чем лучше будет закодирован пароль, тем больше сил и времени потратит преступник на его прочтение. Думаю, читатель понимает, что когда в голливудских фильмах какой-то специалист за несколько мгновений взламывает чей-то компьютер, то это всего лишь художественный спецэффект, не имеющий к жизни никакого отношения.

В современных операционных системах пароли хранятся в зашифрованных файлах и сверяются с помощью хеширования[2 - Хеширование (от английского hashing) – преобразование массива входных данных произвольной длины в битовую строку установленной длины, выполняемое определённым алгоритмом.]. Это позволяет увеличить надежность сохранения данных авторизации. К примеру, большинство веб-сайтов в Интернете хранят пароли в базе данных в виде 128-битного хеша, вычисленного по алгоритму MD5, который был разработан профессором Л. Ривестом еще в 1991 году. Пароль «12345678» будет храниться в базе данных пользователей как отпечаток «25d55ad283aa400af464c76d713c07ad». Полученный при хешировании MD5 отпечаток пароля обратно в ту же запись «12345678» никак вычислить нельзя, поэтому данный способ хеширования называют необратимым.

Когда вы решите пройти авторизацию на этом веб-сайте, то введете свой логин и пароль. После нажатия кнопки «Войти» логин будет передан открытым текстом по сети, а пароль тут же превратится в вычисленный хеш, и уже значение хеша, тот длинный набор символов, будет передан на веб-сайт. Дальше ряд программ на веб-сайте начнет поиск пользователя с указанным вами логином в базе данных, а когда будет найдено совпадение, то начнется проверка хеша пароля. Если и логин и хеш пароля совпадут, то веб-сайт разрешит вам вход. Если хеш будет хоть как-то отличаться, то вам выйдет всем известная надпись: «логин или пароль указаны неверно».

Существует множество способов хранения и передачи парольной информации по компьютерным сетям. Но все эти способы объединяет один основной принцип, по которому пароль или иная информация для авторизации пользователя прячутся, шифруются, проверяются.

Как взламывают IT системы?

Операционная система Solaris имеет на одну степень стойкости к взлому больше, только из-за того, что когда хакер проникает в нее, он тратит до полутора лишних секунд на восклицание: «О! Солярка!»

© Народная мудрость в Интернет

Как бы нам этого не хотелось, но в подавляющем большинстве случаев взлома пользователь сам впускает хакера на свое устройство, будь то компьютер или смартфон. Представьте себе, что у вас дома незапертая дверь, в которую может войти любой желающий. Именно так для хакера выглядит ваш компьютер, на котором не установлен пароль на вход в систему. Преступнику остается только войти в вашу дверь. Затем хакер начнет узнавать ваши пароли, копировать ваши интимные фотографии и важные документы. Он получит доступ к информации о ваших банковских картах, с которых снимет ВСЕ деньги – увы, преступникам не знакомы понятия морали.

«Ко мне не залезут, что с меня взять-то?» – размышляют многие люди. Но если у вас есть хотя бы слабенький смартфон, то его ресурсы уже можно использовать для преступной хакерской деятельности. Вы, точнее, ваше устройство, может стать частью так называемой сети «ботнет», через ваше устройство будут взламывать какой-либо сервер банка, чтобы замести свои следы. Разумеется, у правоохранительных органов появится к вам ряд вопросов, и будет благом, если на вашем устройстве остались следы работы хакеров, потому что в ином случае именно вы становитесь преступником. Так же, после взлома хакеры могут пользоваться ресурсами вашего устройства для майнинга криптовалют в свою пользу.

В современном мире мало кто занимается подбором паролей, потому что, в основном, подбирают хеш-отпечатки, минуя стадию хеширования. Через Интернет хакеры обмениваются базами данных с уже подобранными парами имени пользователя и пароля, или предлагают в подбор основные пароли, которые используют люди. На сайте Марка Бернетта – он не хакер, он специалист в области IT безопасности – https://xato.net/10-000-top-passwords-6d6380716fe0 (https://xato.net/10-000-top-passwords-6d6380716fe0) предоставлен список десяти тысяч слабых или известных паролей, но с одним уточнением, что уже существует список из десяти миллионов подобных паролей. Если вы поменяли пароль с «superpassword» на пароль «passwordsuper», то оба этих пароля содержатся в списках, про которые я писал чуть выше. Поэтому хакеру остается только перебрать определенные хеш-отпечатки при обращении к вашему устройству и получить незаконный доступ.

К сожалению, не только подбор паролей помогает злоумышленникам получить доступ к конфиденциальным данным. Так называемая «социальная инженерия» – когда, воздействуя на свою жертву психологически, преступник под видом разговора или угроз заставляет человека самому назвать пароль. Запомните, НИКОГДА НЕ ГОВОРИТЕ ПАРОЛЬ ПО ТЕЛЕФОНУ ИЛИ НЕ ПИШИТЕ ЕГО В СМС СООБЩЕНИЯХ, ЭЛЕКТРОННЫХ ПИСЬМАХ, ТАК ЖЕ НИКОГДА НЕ МЕНЯЙТЕ ПАРОЛЬ ПОД ДИКТОВКУ КОГО-ТО. Для того чтобы починить что-либо, инженерам не нужно знать ваш пароль, а если возникает такая необходимость, то IT специалисты сами попросят вас ввести ваш пароль.

Как создавать пароль и имя пользователя?

Пользователь, который пишет с ошибками и придумывает пароль на русском, набирая его в английской раскладке, имеет на две степени защиты пароля больше.

© Народная мудрость в Интернет

Чтобы обезопасить себя, вы можете отказаться от компьютера, смартфона, смарт-телевизора и прочих «умных» устройств. Но это, скорее, радикальный путь. Вы же не отказываетесь от своего жилища по причине того, что дверь могут выломать. Вы устанавливаете хорошую дверь с надежным замком. Так же и в цифровом мире, где можно привести аналогию двери с вашим именем пользователя, а пароль с замком.

Давайте представим обычное имя пользователя для какой-нибудь банковской онлайн системы, скажем «VasyaIvanov». О чем такой логин расскажет хакеру? Разумеется, первое – это то, что пользователя зовут Василий Иванов, а второе, и самое главное – что пользователя можно спокойно «развести» по социальной инженерии на пароль. То есть, наш мифический пользователь где-то в разговоре с банковским клерком обронил название своего имени пользователя, а хакер услышал это и сделал вывод, что данный пользователь пренебрегает IT безопасностью.

Если бы у мифического Васи был бы логин «V2a9s3i8L4Iy7», и для разговора с работниками банка он бы показал бумажку с написанным своим именем пользователя, то хакер бы просто не заметил бы его в толпе посетителей банка. А если бы и заметил, то сразу понял, что с подобным человеком связываться не стоит, потому что это будет сложно и результат непредсказуем, тем более, что вокруг и без него полно людей, которые халатно относятся к своей IT безопасности.

Конечно, утрированный случай, описанный выше, всего лишь говорит о том, что неожиданное и сложное имя пользователя может отпугнуть преступника. Вы же, когда создаете свое имя для входа, если это имя не для электронной почты, то постарайтесь использовать неожиданные сочетания. Например, в случае нашего придуманного пользователя Василия Иванова, он может использовать логины «BegemotBorya», «SladkayaSol» – легко запомнить, и сложно связать с пользователем его логин.

Разумеется, для электронной почты, где вы используете логин как часть своего адреса, это сложно выполнимо. Тем не менее, даже на бесплатных сервисах, таких как mail.ru, yandex.ru, yahoo.com, вы можете, создав основного пользователя, добавить еще один электронный почтовый ящик с любым логином и пользоваться именно им. При взломе и в другом любом непредвиденном случае вы сможете восстановить доступ на указанных сервисах с помощью мобильного телефона, если позаботились заранее зарегистрировать в системе его номер.

К созданию пароля надо подходить еще строже. В обязательном порядке использовать заглавные и прописные символы, цифры и знаки препинания. В большинстве систем создания паролей надежной оказывается конструкция «;bkbe <f, ecb2dtctks [uecz». Кажется, сложно к запоминанию, но в России, а также в тех странах, где использует кириллицу, то есть клавиатуру с двойным вводом, кнопки можно использовать как шифровочную таблицу. Представленный пример пароля набран на стандартной русской клавиатуре в системе ввода английского языка как: «жилиуБабуси2веселыхгуся». Согласитесь, такое запоминается легко. Главное – запомнить принцип ввода.

Сложно запомнить мешанину букв и цифр. Вот один из надежнейших паролей по версии программы KeePass:»} X"$8Z> 8UL5=SqHE7r:Y*eAntw6-s=». Данная конструкция очень сложна для перебора хеш-отпечатков, а перебор по словарю тех же десяти миллионов паролей, в принципе, бесполезен. Но у него есть один-очень серьезный минус – его достаточно сложно заучить и помнить продолжительное время. Давайте попробуем использовать свою собственную таблицу шифрации. Я приведу пример (смотрите рисунок 1):

Используя, к примеру, данные из таблицы вы сможете составить запоминающийся пароль. Предложу несколько вариантов: «$h1n@», «@v70m0B1l`», «@peL$1nK@», «Kr@$1V@ya». Как видите, все вполне реально запомнить, но не рекомендую пользоваться именно этой таблицей, так как она уже скомпрометирована через эту книгу. Составьте свою. Вы можете вписать свои аналоги букв, рисунке 2, и пользоваться своей личной шифровальной таблицей.

Если вы считаете, что пользоваться описанными выше инструментами слишком сложно или, по иным причинам, это не для вас, то остается использовать как шифровочную таблицу нашу старую добрую клавиатуру. Вот примеры с расшифровками некоторых фраз и выражений русского языка: «1dgjktytDjby» – «1вполенеВоин», «7,tl1jNdtn» – «7бед1оТвет», «HeccrbtLheuLheufYtJ, vfysdf. n» – «РусскиеДругДругаНеОбманывают» и т. д. Но вы должны знать, злоумышленники в области IT все мной описанное знают и используют в своей незаконной деятельности.

Самым надежным будет использовать действительно длинные пароли, которые ничего не означают, и какой-либо смысл в наборе символов отсутствует. Помните, выше был представлен один из надежных паролей – »} X"$8Z> 8UL5=SqHE7r:Y*eAntw6-s=»? Устанешь набирать на клавиатуре. Но есть способ облегчить ввод пароля – использовать программы для сохранения паролей. О них и пойдет речь в следующих главах.

Рис. 1

Рис. 2

Как хранить пароли?

Ваш пароль должен быть длиннее восьми символов, как минимум, содержать одну цифру, один знак пунктуации, экспозицию, завязку, развитие и очень захватывающий финал.

© Народная мудрость в Интернет

Учетные данные, ваши имена и пароли – всего лишь информация, которую для удобства можно структурировать и организовано хранить. Если ко всему этому еще добавить информацию о том, к чему конкретно это все относится, то получится исчерпывающий список ресурсов, которыми вы пользуетесь. Подобные списки интересны в первую очередь вам самому, и настолько же, если не больше, данная информация представляет интерес для преступников.

В современных браузерах при переходе на какой-либо сайт, где вы ранее уже сохранили пароль, будет предложено ввести сохраненные учетные данные. Конечно, это очень удобно и быстро. Но практика показывает, что если злоумышленник смог пробраться на ваш компьютер или смартфон, то все эти пароли к веб-сайтам, которые вы сохраняли в браузере, становятся компрометированными[3 - Компрометация – в криптографии под этим термином понимают наличие факта доступа постороннего, третьего лица, к защищаемой информации, а также подозрение на подобный доступ.]. Поэтому хранить пароли в браузере – не самая лучшая идея.

Записывать регистрационные данные и ресурсы, к которым эта информация относится, на бумагу (например, вести тетрадку с записями), может оказаться надежнее даже, чем доверие хранилищу паролей браузера, но и тетрадку могут выкрасть. Поэтому возникает вопрос, как же все сохранить, чтобы не компрометировать, но в любой момент можно было бы воспользоваться данными об авторизации? Ответ напрашивается сам собой – все должно храниться в шифрованном виде. Помните «рукопись Войнича»? Там все записано шифром, который по настоящее время никто так и не смог расшифровать (смотрите рисунок 3).