Все, что вы хотели знать о надежных паролях и их защите

Наша редакция продолжает внимательно следить за последними трендами безопасности. Однако, строительство любого дома начинается с фунадмента. А безопасность паролей - это краеугольный камень электронной гигиены. На этот раз мы подготовили большой обзор обо всем, что касается паролей. От их создания до безопасного хранения. В этом обзоре мы расскажем и о крупнейших провалах самых знаменитых персонажей, которые повлекла за собой беспечность в обращении с паролями.

Ненадежный пароль может легко перечеркнуть все ваши дальнейшие усилия по защите ваших конфиденциальных данных, потому редакция подготовила детальный материал на эту тему. Как здание надо начинать строить с фундамента, так и работу над анонимностью в сети и безопасностью данных надо начинать с надежных паролей. Поехали!

Использовать везде один и тот же пароль или один пароль с незначительными изменениями – грубейшая ошибка, способная перечеркнуть все ваше стремление оставаться анонимным в сети и защитить свою конфиденциальную информацию.

Использовать простые пароли – еще хуже.

Использование надежных паролей далеко не такой простой вопрос, как может показаться с первого взгляда. И хотя большинство пользователей знают фундаментальные требования к надежному паролю, в повседневной жизни забывают о них, предпочитая надежному паролю простой и легко запоминающийся.

Одного из самых разыскиваемых ФБР хакеров Джереми Хэммонда сгубил простой пароль на зашифрованный диск. Владельца Silk Road Росса Ульбрихта погубило то, что агенты ФБР, получив его компьютер, обнаружили там записанные пароли в открытом виде. В этой части мы научим и создавать надежные пароли, и надежно хранить их.

Для чего используются пароли высокой степени важности? Для особо важных вам сайтов, криптоконтейнеров или программ. Я использую четыре пароля повышенной важности. Первый, второй и третий – пароли для расшифровки жесткого диска и информации на нем, а также для расшифрования информации на зашифрованных внешних жестких дисках (третий пароль – пароль к «двойному дну»). Четвертый – пароль для получения доступа к остальным паролям в менеджере паролей KeePassXC. Пароли высокой степени важности должны храниться только в голове и быть максимально надежными. Пароли высокой степени важности не должны быть где-либо записаны.

Пароли обычной степени важности – это все остальные используемые вами пароли, например пароли к социальным сетям, электронной почте, сайтам, мессенджерам. Однако важность и ценность того или иного пароля определяете вы.

Вся информация на вашем компьютере должна быть зашифрована, и для ее дешифрования вам нужно будет вводить пароль. Это пароль высокой степени важности, его вы храните в своей голове.

Вы расшифровали жесткий диск, все ваши пароли обычной степени важности хранятся в зашифрованном файле ключей менеджера паролей. Для расшифрования этого файла также используется пароль высокой степени важности.

Теперь поговорим о создании практически неподбираемых паролей. «Практически неподбираемых», потому как в теории можно рано или поздно подобрать любой пароль, но время подбора может занять не одну тысячу лет.

Требования к надежному паролю:

Придумать надежный пароль, который бы соответствовал всем требованиям выше и в то же время был максимально простым для запоминания, – не самая простая задача. Bозьмите ручку и бумагу, прочитайте мою историю создания пароля, а затем сами придумайте себе несколько надежных паролей.

Первым делом я придумал слово, которое не знал ни Google, ни толковый словарь, это было слово «dotrarkulin», для усложнения ситуации я заменил i на 1, вышло «dotrarkul1n». Дальше нужно было добавить буквы верхнего регистра. Довольно часто в таких ситуациях используют или первую букву заглавной, или первую с последней (ПримеР), или через одну (ПрИмЕр).

Мне кажется, что это излишне очевидные варианты, и я написал слово так: «dotrArkul1N» ‒ никакой логики в чередовании букв верхнего и нижнего регистра.

Не советую использовать зеркальные раскладки при создании пароля. Зеркальная раскладка – это ввод данных, когда, выбирая английскую раскладку клавиатуры, вы вводите слово, например на русском, ориентируясь на кириллические буквы (Ghbdtn - Привет).

Причин тут несколько: во-первых, системы подбора пароля хорошо знакомы с этим приемом, а во-вторых, вам, может, придется вводить пароль на клавиатуре без кириллицы, например на планшете – и что вы будете делать?

Мы рекомендуем использовать в пароле только латинские буквы. Моему паролю не хватало специальных символов (;.%^&), да и до 20 знаков я пока не дотягивал. Тогда я решил добавить к паролю уравнение 4х(16+y)=? – вышло dotrArkul1N_4х(16+y)=?. Это 21 символ и это очень надежный пароль.

Когда ты придумываешь пароль самостоятельно, учить его не очень сложно. В первый день много раз написал пароль на бумаге, затем на протяжении недели писал его каждое утро и через неделю я уже уверенно воспроизводил свой пароль на бумаге.

Вам придется создать и выучить несколько сложных паролей, от этого вам не уйти. Помните, что создать и выучить один пароль и начать использовать его везде – плохой путь, грош цена такой безопасности.

Использование одного пароля на нескольких ресурсах или модификации одного пароля довольно распространено. Действительно, это просто, это удобно, и в случае с модификацией относительно безопасно.

Что такое модификация? Например, на одном ресурсе у вас пароль Dureev1000, на другом Dureev2000. Если кто-то случайно получит доступ к вашему паролю Dureev1000, то не сможет использовать его для доступа к другим вашим данным с паролем Dureev2000, но с другой стороны, если кто-то захочет подобрать ваш пароль с помощью специального программного обеспечения, он его подберет.

К сожалению, многие используют пароль не только ненадежный, но и один пароль на нескольких ресурсах. Некоторые ресурсы специально созданы для сбора логинов и паролей.

Представим себе ситуацию: вы нашли интересный сайт и решили зарегистрироваться на нем. При регистрации у вас запрашивают действующий email и просят ввести пароль, а этот сайт принадлежит злоумышленникам, и все данные попадают к ним в руки. Они автоматически проверяют эту связку email/пароль на доступ к социальным сетям, популярным сервисам, проверяют, не подходит ли указанный пароль к вашей почте. Если подойдет, то злоумышленники будут использовать ваши аккаунты и почту для распространения спама или продадут их на черном рынке.

Использовать везде один и тот же пароль или один пароль с незначительными изменениями – грубейшая ошибка, способная перечеркнуть все ваше стремление оставаться анонимным в сети и защитить свою конфиденциальную информацию.

К сожалению, пароли периодически нужно менять – об этой процедуре многие забывают или просто ленятся делать это. Иногда даже возникают споры, зачем это надо, пароль ведь не «портится» со временем. Это делается для защиты паролей, от «скрытых» утечек данных, которые очень часто происходят на уровне компаний и сервисов.

Рекомендуется менять все пароли раз в шесть месяцев, если это очень сложно для вас, то проводите плановую смену паролей хотя бы раз в год. Плановая смена паролей предполагает полное изменение всех используемых вами паролей.

Не будем рассматривать хранение паролей в облаке или в браузере, текстовые документы на рабочем столе и листки с записями около рабочего компьютера - я не считаю эти способы безопасными. Помимо этого, хочу напомнить, что при любом используемом способе хранения пароль должен быть надёжным.

Основные требования к безопасному способу хранения паролей предполагают устойчивость паролей в ситуациях, когда к компьютеру владельца получен физический или удаленный доступ.

Безусловно, при удаленном доступе злоумышленник получит введенные пользователем пароли, здесь основной защитой становится двухфакторная аутентификация, а задача хранилища паролей не допустить утечки остальных паролей, не использовавшихся в промежуток наличия удаленного доступа у злоумышленника.

Мы рекомендуем некоторые особенно важные для вас пароли хранить в голове, однако есть мнение, что все пароли лучше хранить в памяти. Безусловно, если вы можете запомнить для каждого ресурса пароль из 20-25 символов - храните в голове. Но, скорее всего, это не так. А вот запомнить пару паролей и везде использовать их я настоятельно не рекомендую.

Во-первых, утечка на одном из сайтов приведёт к попаданию в руки злоумышленников паролей к нескольким вашим сайтам.

Во-вторых, злоумышленники хорошо осведомлены о привычке использовать один пароль на нескольких ресурсах и, получая связку email/пароль, автоматически проверяют ее на различных ресурсах.

Использование хранимого в памяти пароля допустимо на всех ресурсах, но при условии наличия секрета. Например, к этому сложному паролю вы в начале и в конце добавляете первые и последние символы из адреса сайта.

Приведу пример, в голове вы держите пароль 65£GhiLlghiopRxMnng, при использовании его на сайте Facebook вы добавляете после первого и перед последним символом пароля первую и последнюю букву из адреса сайта. В итоге, для Facebook у вас получается следующий пароль F65£GhiLlghiopRxMnngk. Небольшой секрет делает ваш пароль из головы уникальным для каждого сайта. Если речь идёт о криптоконтейнере, можно использовать символы из названия криптоконтейнера.

Можете не следовать нашим советам дословно и вставлять буквы и цифры хоть в середине вашего пароля. Чем сложнее додуматься, даже при наличии доступа к нескольким вашим паролям - тем лучше.

Речь идёт о простой записной книжке, в которую вы ручкой записываете пароли.

Наверное, у вас уже возникло два аргумента против данного способа: первый - это неудобно, второе - книжку у вас могут отобрать и все пароли окажутся у похитителя.

Для того, чтобы в руках злоумышленника ваша книжка была бесполезна, мы добавим к паролям небольшой секрет. Все страницы в записной книге пронумеруйте и к каждому записанному паролю при введении добавляйте вначале номер страницы, где пароль записан, а в конце - например, слово zvuk (секрет придумайте свой).

Что это даст? Если злоумышленник получит вашу книжку, он не будет знать о секрете и естественно, пробуя записанные вами пароли, он не сможет нигде авторизоваться. Вам в то же время не составит труда запомнить секрет и добавлять его при введении пароля.

Если вам сложно вводить длинный пароль из записной книжки, вы можете записывать там только 6 символов, остальные 15-20 копировать из менеджера паролей или документа (лучше иметь несколько вариантов для разных типов паролей).

Это будет очень безопасным решением. Я, кстати, советую использовать в дополнении менеджер паролей даже если вам не лень вводить 25 символов из блокнотика. Это увеличит защиту от подсматривания вашего пароля, но можно ограничиться добавлением ложных нажатий вместе с прикрыванием руки при вводе.

Если речь идёт об оффлайн менеджере с открытым исходным кодом, вроде KeePass, KeePassX или KeePassXC - это надёжные и проверенные временем решения.

KeePass в 2016 проходил аудит на деньги Европарламента, никаких серьезных уязвимостей найдено не было. У KeePass в своё время были проблемы с передачей пакетов обновлений в незашифрованном виде, что оставляло злоумышленникам возможность перехватить и модифицировать их.

Рекомендуемые нами решения не содержат подобной уязвимости. Главная угроза для менеджера паролей - удаленный доступ, так как при взломе вашего компьютера злоумышленник получает доступ ко всем паролям. Подобным образом работал инструмент KeeFarce, который встраивался в систему и незаметно сохранял все пароли KeePass в незащищенном CSV-файле. Этот файл затем использовал злоумышленник. Для предотвращения данной угрозы, во-первых, надо позаботиться о комплексной безопасности устройств, во-вторых, добавить тайную часть пароля, о которой говорилось выше.

Но главным правилом безопасности для менеджеров паролей остаётся рекомендация иметь несколько файлов с паролями. Например, у вас есть особо важные пароли, которые вы не часто используете, не стоит их хранить в одном файле с паролями к социальным сетям, используемым ежедневно. Разделите хранение, и вы в разы повысите безопасность своих данных. Для защиты от оффлайн атаки, когда злоумышленник пытается получить доступ к вашему устройству установите систему экстренного уничтожения данных Panic Button.

Плюс Panic Button в том, что она сразу демонтирует криптоконтейнеры, очистит историю браузера, пароли сохранённые в браузере, удалит ключи шифрования из оперативной памяти, следы активности в системе и выключит устройство.

В целом, это достаточно удобный и безопасный способ хранения паролей невысокой степени важности, если хранение происходит без облачной синхронизации.

Облачное хранение любой информации, за исключением зашифрованной вами самостоятельно, отрицательно сказывается на общей безопасности и речь не только о паролях. Например, Apple хранит в облаке вашу историю браузера даже после удаления ее на устройствах, и эксперты-криминалисты часто успешно ее оттуда извлекают. Да и сама Apple без проблем выдаёт эти данные по запросу. Именно благодаря этому был деанонимизирован и арестован «король спама» Петр Левашов. За его учетной записью iCloud был установлен контроль, остальное было уже делом техники.

Вы слышали про Silk Road и его создателя американца Росса Ульбрихта? Это был крупнейший теневой рынок по продаже ПАВ, ставший символом даркнета, и казавшийся посетителям анонимным и неприступным.

Основным инструментом расчёта между пользователями была криптовалюта Bitcoin, за год на Silk Road продавалось товаров на 14-15 миллионов долларов. Росс Ульбрихт не просто создал этот рынок и организовал сбыт веществ в мировом масштабе, он взламывал компьютеры, подделывал документы и даже заказал несколько убийств.

Все это не могло не привлечь к нему интерес агентов ФБР США. В начале октября 2013 года администратор крупнейшей площадки по продаже ПАВ отправился в общественную библиотеку - место, которое он, вероятно, считал безопасным. Но это был не его день, он и не подозревал, что его сопровождают ряд агентов и ждут только одного, когда он расшифрует свои диски и файлы с паролями.

В начале октября 2013 года администратор крупнейшей площадки по продаже психоактивных веществ отправился в общественную библиотеку - место, которое он, вероятно, считал безопасным. Но это был не его день, он и не подозревал, что его сопровождают отряд агентов и ждут только одного, когда он расшифрует свои диски и файлы с паролями.

Росс Ульбрихт заботился о своей безопасности и все ценные данные хранил в криптоконтейнере. Несмотря на множество способов взломать криптоконтейнер, шансы на получение доступа к криптоконтейнеру в зашифрованном виде даже у ФБР невелики. Росс устроился в библиотеке и расшифровал доступ к информации, включая пароли к управлению Silk Road.

Дальше все происходит как в кино, мужчина и женщина, находящие рядом с ним, начали драку. Это заставило Росса Ульбрихта обернуться к ним и отвлечься от ноутбука. В этот момент сидящая рядом азиатка схватила его ноутбук с расшифрованными данными и убежала.

Росс Ульбрихт был арестован, а благодаря данным с ноутбука прокурор доказал в суде его вину. Создатель Silk Road был приговорен к пожизненному тюремному заключению. Что могло бы спасти Росса? Только опция автоматического размонтирования криптоконтейнеров и файлов с паролями через 15 секунд отсутствия активности. В этом случае, к моменту получения агентами доступа к ноутбуку все данные были бы зашифрованы. Эта опция есть в настройках большинства менеджеров паролей.

Если вы не работаете с особенно ценной информацией, из-за которой у вас могут отобрать ноутбук, вы можете указать не 15 секунд, а, например, 15 минут.

Подобное мы рекомендовали делать и с криптоконтейнерами. Системы экстренного уничтожения данных, такие как Panic Button в описываемом выше случае окажутся бессильны, ведь активировать их будет уже некому. И логическая бомба тут не спасет, так как условием для ее активации является вход в систему или выход из спящего режима. Подобное решение было бы эффективно, если бы Росс Ульбрихта настроил его и имел время нажать комбинацию горячих клавиш для активации паники, это 1-2 секунды, но и их у него не было.

Используйте несколько баз данных для разных по частоте использования и важности паролей. Например, в одной базе будут храниться постоянно используемые пароли невысокой важности, такие как личная почта, социальные сети, развлекательные сайты. В другой зашифрованной базе данных будут храниться пароли, связанные с работой и используемые, как правило, в рабочее время. В третьей - пароли, используемые очень редко, например, доступы к «облаку» с сохранёнными резервными копиями. Надеюсь, польза такой схемы очевидна: если к вашему устройству получат физический или удаленный доступ, то вероятность получения доступа ко всем вашим паролям будет минимальной.

Многие считают эту опцию бесполезной и напрасно. Главная ее задача - защитить от кражи пароля из буфера обмена. Представьте себе ситуацию, вы копируете пароль, авторизуетесь на сайте, и забываете про скопированный в буфер обмена пароль. Затем вы попадаете на сайт злоумышленника, и он при помощи скриптов копирует информацию из вашего буфера обмена. Опасность данной атаки оцените сами, безусловно один пароль в руках злоумышленника представляет сомнительную угрозу, но лучше, чтобы он там не оказался.

Если у вас настроена система экстренного уничтожения паролей и наступит момент ее активировать, либо данные будут утеряны по любой другой причине, то вы окажетесь в непростой ситуации. Лучше заранее подумать об этом, сделав резервную копию и сохранив ее в надежном месте, например, в тайном хранилище.

В этом обзоре мы рассказали все, что вы должны знать о безопасных паролях. Надеемся, что эта статья вам поможет и вы избежите ошибок, описанных в этой статье.

Будьте бдительны и берегите себя.