Digital Security and Privacy for Human Rights Defenders

2.2 Защита паролем

Общие замечания
I.Не полагайтесь на пароли Windows, надеясь, что они защитят ваши данные. Эти пароли нетрудно вскрыть.
II.Пароль должен быть длиной минимум 8 символов (пройдет время, и мы будем советовать не менее 9!). Можно использовать в качестве пароля короткое предложение.
III.Хороший ход – записать пароли и хранить их в надежном месте. Плохое решение – использовать простые и легкие для угадывания пароли(1).
IV.Используйте цифры, буквы в разных регистрах и небуквенные символы.
V.Не используйте один и тот же пароль в двух разных системах.
VI.Не придумывайте паролей, которые непосредственно связаны с вашей частной жизнью или интересами.
VII.Не делайте ваши пароли достоянием гласности.
VIII.Меняйте пароли каждые 3-6 месяцев.
IX.Помните, что в Интернете распространяется немало программ, которые способны "вытащить" на белый свет пароль Windows, ключ к шифрованию беспроводной связи и почти любой другой пароль.

Хорошие пароли много значат для безопасности компьютера. Пароль играет роль барьера, ограничивающего доступ к той или иной "двери", будь то учетная запись электронной почты, вход в локальную сеть или онлайновый банковский счет. Пароль по смыслу похож на дверной ключ. Можно иметь несколько ключей для дома, офиса, машины, сейфа. Все эти замки – разные. Нужна целая связка ключей, чтобы иметь возможность пользоваться ими. Это создает препятствия злоумышленникам. Даже если вор подберет какой-то один ключ, он не сможет отпереть им другие замки. А они становятся все более сложными и дорогими. Их собирают из множества частей, и все для того, чтобы затруднить вскрытие. То же касается паролей. Это своего рода замки к вашим информационным хранилищам. Современные компьютерные системы таковы, что информация может обладать куда большей ценностью, чем содержимое шкатулки или сейфа. Значит, ваши пароли должны обеспечивать не меньшую степень защиты, чем самые дорогие замки.

В мире цифровых угроз, где мы с вами живем, пароль – важнейшая часть любой системы. История учит, что пароли нередко оказывались легкой добычей для хакеров и прочих злоумышленников, которые покушаются на информационные системы.

_________________________________________________________________________________________________

(1) См. статью из персонального дневника Брюса Шнайера (Bruce Schneier): http://www.schneier.com/blog/archives/2005/06/write_down_your.html. Брюс также является создателем PasswordSafe (http://passwordsafe.sourceforge.net/), замечательной программы, позволяющей хранить ваши пароли в защищенном формате. О ней мы еще расскажем.

Взлом


Можно ли скомпрометировать пароль? Да, и несколькими способами. Например, можно просто подглядеть, как некто набирает свой пароль на клавиатуре. А можно установить программу-перехватчик, которая будет отслеживать нажатия на клавиши и передавать эти сведения "хозяину". Бдительный пользователь способен оградить себя от этих бед. Присматривайтесь к тому, что происходит вокруг, регулярно запускайте анти-шпионские и антивирусные программы, не забывайте их обновлять.

Сбор данных

Чтобы подобрать пароль, злоумышленник может задаться целью собрать персональные данные о его владельце. Довольно часто люди выбирают в качестве паролей то, что легко запомнить: год рождения, имя кого-то из членов семьи или друга, место рождения, название любимой футбольной команды и т.д. Злоумышленник аккуратно собирает такие данные. Он присматривается к вашему рабочему месту, обращает внимание на книги в шкафу. Почему мы выбираем простые пароли (по крайней мере, выбирали до сегодняшнего дня)? Потому что человеку трудно запомнить множество разных паролей, с которыми у него не возникает никаких ассоциаций. Но простой пароль легко "сдается" злоумышленнику, если у того есть персональные данные его владельца. Сегодня это самый распространенный способ получить доступ к информационной системе (и настойчивые хакеры нередко им пользуются).

Многие сайты в Интернете позволяют восстановить забытый пароль, если вы ответите на заранее определенный "секретный вопрос". По какой-то необъяснимой причине список типичных "секретных вопросов" так или иначе касается вашего имени, клички животного, названия школы, девичьей фамилии матери. Вроде бы, зачем напрягать память, когда можно запросто набрать хорошо знакомый ответ на несложный вопрос и получить пароль по e-mail? Увы, это сильно упрощает жизнь не только нам, но и злоумышленнику. Если вы натолкнетесь на такой странный механизм "обеспечения безопасности" (то есть, вам предложат ответить на простой вопрос о вашей частной жизни), откажитесь. Если без этого никак не получается завершить процедуру регистрации, проявите фантазию и придумайте какую-нибудь абракадабру. Но не полагайтесь на такой способ восстановления забытого пароля..

easy password

Рис. 1: Пароли, связанные с частной жизнью владельца, легко раскрыть

Социотехника

Есть довольно хитрые методы выуживания пароля у человека. Существуют целые сценарии. Телефонный звонок, вы снимаете трубку, и на другом конце провода раздается вежливый голос: "Здравствуйте, это ваш провайдер Интернета. Мы устанавливаем новый сервер и проявляем заботу об информации клиентов. Мы не хотим, чтобы вы потеряли электронную почту. Пожалуйста, напомните, какой у вас пароль?" Или же какой-то тип представляется сотрудником из другого отдела вашей компании: ему нужен пароль для доступа к общему ящику электронной почты. А единственный человек, знающий пароль, увы, тяжело болен, поэтому...

Такие приемы называются "социотехника". Есть множество примеров того, как люди раскрывали важную информацию (и подвергали риску своих знакомых и свой бизнес), поддавшись на обман. Хакеры широко применяют социотехнику, чтобы получить доступ к интересным для них ресурсам.

Ни в коем случае не раскрывайте компьютерную информацию (особенно пароли и коды доступа) по телефону, если вы не можете подтвердить личность собеседника(2).

_________________________________________________________________________________________________

(2) Хороший совет дает Стивен Мердок (Steven Murdoch), исследователь в Отделе безопасности Кембриджского университета: спросите, как зовут человека, найдите его номер в заслуживающем доверия справочнике и перезвоните ему.

Метод перебора


Пароль можно угадать, если задаться целью перебрать все возможные комбинации: взять электронный словарь и проверять слова подряд. На первый взгляд кажется, что это весьма трудоемкая задача. Для человека – да, а для компьютера – считанные секунды. Если вы используете в качестве паролей правильно написанные слова, то за минуту-другую такой пароль может быть взломан методом перебора.

Давайте угадаем: может быть, вы используете в качестве пароля первую строчку из всемирно известной песни? Сегодня едва ли не все стремительно переводится в цифровую форму. Возникают целые электронные сборники литературных произведений. Вооружившись таким сборником, злоумышленник представляет серьезную угрозу для ваших паролей. Подумайте дважды перед тем, как выбрать в качестве пароля осмысленную фразу, комбинацию слов или законченное предложение.

Некоторые системы парольной защиты устойчивы к методу перебора, например, банкомат и мобильный телефон. Хотя ваш пароль, в сущности, состоит всего из нескольких цифр, система заблокируется после трех неверных попыток отгадывания пароля.

Создаем пароли

Мнемонический метод

Есть немало способов придумать пароль, который трудно вскрыть и легко запомнить. Популярный метод – мнемонический. В этом случае мы используем какой-либо прием, облегчающий запоминание, например, рифму или акроним(3).
Заменяем слова на первые буквы (существительные – в верхнем регистре). Можно проявить фантазию:

За двумя зайцами погонишься, ни одного не поймаешь: z2Zp-1-p

Вот как этот метод работает в английском языке (даже смайлику нашлось применение):

Are you happy today?: rU:-)2d?

Это самые простые примеры. Всегда можно придумать свой способ кодирования цифр и слов. Попробуйте сами. Замечание: вряд ли стоит копировать приведенные выше примеры паролей.
___________________________________________________________________________________________________

(3) WordNet (David Slomin и Randee Tengi).

Полезные программы

password Safe screenshot

 

Что еще можно сделать для совершенствования ваших паролей? Использовать специальную программу, которая позволяет их создавать(4). Она случайным образом генерирует последовательность букв и цифр и может хранить их в защищенном формате. Вы будете иметь по-настоящему трудные пароли, не истязая при этом свою память. Неплохое решение! Программы для создания паролей обычно маленькие, их можно держать на дискете или флэш-диске.

Пароли можно разложить по категориям. Чтобы перенести пароль из вашего хранилища в прикладную программу, удобно пользоваться обычным буфером памяти. Пароли дополнительно защищены шифром. Таким образом, единственный пароль, который вам по-настоящему надо знать – это ключ к этому шифру.

Конечно, придется потратить немного времени, чтобы внести все пароли в такую программу. Но затраты окупятся сторицей.

 

safe password circle

(С верхнего эллипса по часовой стрелке) Минимум 8 знаков, разные регистры, смесь цифр и букв – Случайные или мнемонические последовательности – Нигде не записывайте – Никому не раскрывайте – Меняйте каждые три месяца – Никаких вирусов или "шпионов" на компьютере – Каждый пароль используется только в одной системе
(в центре) Хороший пароль

Пароль нередко становится первым и самым важным способом обеспечения безопасности ваших данных. Его можно сравнить разве что с дверным ключом. Работать без пароля – все равно, что оставлять дверь распахнутой на ночь. Может, никто и не заберется к вам в квартиру, а может, вам не повезет; кто знает? Подумайте о том, насколько надежные пароли вы создаете и где их храните.

____________________________________________________________________________________________

(4) См. такие программы, как PasswordSafe (http://passwordsafe.scoureforge.net) и Keypass (http://keypass.scourceforge.net). Их можно найти на компакт-диске "НПО в коробке: безопасность" (NGO in a Box – Security Edition).