 Digital Security and Privacy for Human Rights Defenders |
2.2 Защита паролемОбщие замечания Хорошие пароли много значат для безопасности компьютера. Пароль играет роль барьера, ограничивающего доступ к той или иной "двери", будь то учетная запись электронной почты, вход в локальную сеть или онлайновый банковский счет. Пароль по смыслу похож на дверной ключ. Можно иметь несколько ключей для дома, офиса, машины, сейфа. Все эти замки – разные. Нужна целая связка ключей, чтобы иметь возможность пользоваться ими. Это создает препятствия злоумышленникам. Даже если вор подберет какой-то один ключ, он не сможет отпереть им другие замки. А они становятся все более сложными и дорогими. Их собирают из множества частей, и все для того, чтобы затруднить вскрытие. То же касается паролей. Это своего рода замки к вашим информационным хранилищам. Современные компьютерные системы таковы, что информация может обладать куда большей ценностью, чем содержимое шкатулки или сейфа. Значит, ваши пароли должны обеспечивать не меньшую степень защиты, чем самые дорогие замки. В мире цифровых угроз, где мы с вами живем, пароль – важнейшая часть любой системы. История учит, что пароли нередко оказывались легкой добычей для хакеров и прочих злоумышленников, которые покушаются на информационные системы. _________________________________________________________________________________________________ (1) См. статью из персонального дневника Брюса Шнайера (Bruce Schneier): http://www.schneier.com/blog/archives/2005/06/write_down_your.html. Брюс также является создателем PasswordSafe (http://passwordsafe.sourceforge.net/), замечательной программы, позволяющей хранить ваши пароли в защищенном формате. О ней мы еще расскажем. Взлом
Сбор данныхЧтобы подобрать пароль, злоумышленник может задаться целью собрать персональные данные о его владельце. Довольно часто люди выбирают в качестве паролей то, что легко запомнить: год рождения, имя кого-то из членов семьи или друга, место рождения, название любимой футбольной команды и т.д. Злоумышленник аккуратно собирает такие данные. Он присматривается к вашему рабочему месту, обращает внимание на книги в шкафу. Почему мы выбираем простые пароли (по крайней мере, выбирали до сегодняшнего дня)? Потому что человеку трудно запомнить множество разных паролей, с которыми у него не возникает никаких ассоциаций. Но простой пароль легко "сдается" злоумышленнику, если у того есть персональные данные его владельца. Сегодня это самый распространенный способ получить доступ к информационной системе (и настойчивые хакеры нередко им пользуются). Многие сайты в Интернете позволяют восстановить забытый пароль, если вы ответите на заранее определенный "секретный вопрос". По какой-то необъяснимой причине список типичных "секретных вопросов" так или иначе касается вашего имени, клички животного, названия школы, девичьей фамилии матери. Вроде бы, зачем напрягать память, когда можно запросто набрать хорошо знакомый ответ на несложный вопрос и получить пароль по e-mail? Увы, это сильно упрощает жизнь не только нам, но и злоумышленнику. Если вы натолкнетесь на такой странный механизм "обеспечения безопасности" (то есть, вам предложат ответить на простой вопрос о вашей частной жизни), откажитесь. Если без этого никак не получается завершить процедуру регистрации, проявите фантазию и придумайте какую-нибудь абракадабру. Но не полагайтесь на такой способ восстановления забытого пароля.. 
Рис. 1: Пароли, связанные с частной жизнью владельца, легко раскрыть СоциотехникаЕсть довольно хитрые методы выуживания пароля у человека. Существуют целые сценарии. Телефонный звонок, вы снимаете трубку, и на другом конце провода раздается вежливый голос: "Здравствуйте, это ваш провайдер Интернета. Мы устанавливаем новый сервер и проявляем заботу об информации клиентов. Мы не хотим, чтобы вы потеряли электронную почту. Пожалуйста, напомните, какой у вас пароль?" Или же какой-то тип представляется сотрудником из другого отдела вашей компании: ему нужен пароль для доступа к общему ящику электронной почты. А единственный человек, знающий пароль, увы, тяжело болен, поэтому... Такие приемы называются "социотехника". Есть множество примеров того, как люди раскрывали важную информацию (и подвергали риску своих знакомых и свой бизнес), поддавшись на обман. Хакеры широко применяют социотехнику, чтобы получить доступ к интересным для них ресурсам. Ни в коем случае не раскрывайте компьютерную информацию (особенно пароли и коды доступа) по телефону, если вы не можете подтвердить личность собеседника(2). _________________________________________________________________________________________________ (2) Хороший совет дает Стивен Мердок (Steven Murdoch), исследователь в Отделе безопасности Кембриджского университета: спросите, как зовут человека, найдите его номер в заслуживающем доверия справочнике и перезвоните ему. Метод перебора
Давайте угадаем: может быть, вы используете в качестве пароля первую строчку из всемирно известной песни? Сегодня едва ли не все стремительно переводится в цифровую форму. Возникают целые электронные сборники литературных произведений. Вооружившись таким сборником, злоумышленник представляет серьезную угрозу для ваших паролей. Подумайте дважды перед тем, как выбрать в качестве пароля осмысленную фразу, комбинацию слов или законченное предложение. Некоторые системы парольной защиты устойчивы к методу перебора, например, банкомат и мобильный телефон. Хотя ваш пароль, в сущности, состоит всего из нескольких цифр, система заблокируется после трех неверных попыток отгадывания пароля. Создаем паролиМнемонический метод Есть немало способов придумать пароль, который трудно вскрыть
и легко запомнить. Популярный метод – мнемонический. В этом случае
мы используем какой-либо прием, облегчающий запоминание, например,
рифму или акроним(3). За двумя зайцами погонишься, ни одного не поймаешь: z2Zp-1-p Вот как этот метод работает в английском языке (даже смайлику нашлось применение): Are you happy today?: rU:-)2d? Это самые простые примеры. Всегда можно придумать свой способ кодирования
цифр и слов. Попробуйте сами. Замечание: вряд ли стоит копировать
приведенные выше примеры паролей. (3) WordNet (David Slomin и Randee Tengi). Полезные программы
Что еще можно сделать для совершенствования ваших паролей? Использовать специальную программу, которая позволяет их создавать(4). Она случайным образом генерирует последовательность букв и цифр и может хранить их в защищенном формате. Вы будете иметь по-настоящему трудные пароли, не истязая при этом свою память. Неплохое решение! Программы для создания паролей обычно маленькие, их можно держать на дискете или флэш-диске. Пароли можно разложить по категориям. Чтобы перенести пароль из вашего хранилища в прикладную программу, удобно пользоваться обычным буфером памяти. Пароли дополнительно защищены шифром. Таким образом, единственный пароль, который вам по-настоящему надо знать – это ключ к этому шифру. Конечно, придется потратить немного времени, чтобы внести все пароли в такую программу. Но затраты окупятся сторицей.
(С верхнего эллипса по часовой стрелке) Минимум 8 знаков, разные
регистры, смесь цифр и букв – Случайные или мнемонические последовательности
– Нигде не записывайте – Никому не раскрывайте – Меняйте каждые
три месяца – Никаких вирусов или "шпионов" на компьютере
– Каждый пароль используется только в одной системе Пароль нередко становится первым и самым важным способом обеспечения безопасности ваших данных. Его можно сравнить разве что с дверным ключом. Работать без пароля – все равно, что оставлять дверь распахнутой на ночь. Может, никто и не заберется к вам в квартиру, а может, вам не повезет; кто знает? Подумайте о том, насколько надежные пароли вы создаете и где их храните. ____________________________________________________________________________________________ (4) См. такие программы, как PasswordSafe (http://passwordsafe.scoureforge.net) и Keypass (http://keypass.scourceforge.net). Их можно найти на компакт-диске "НПО в коробке: безопасность" (NGO in a Box – Security Edition). |