Как придумать пароль, который не взломают за 1,5 млрд лет. Советы эксперта по защите гаджетов, соцсетей и сайтов
Эксперт по кибербезопасности рассказал, какие пароли роботы взломают за секунду
Легкий пароль - это удобно, но и опасно. (Фото: Даниил ОПАРИН)
Топ-100 самых ненадежных паролей для сайтов и устройств возглавляют популярные варианты - «123456» и «password».
Можем представить, что, прочитав это, многие из вас подумали: «Я не так глуп, у меня пароль надежный». Честно говоря, до вебинара «Ростелекома» «Энциклопедия парольной защиты» многие журналисты тоже думали, что их телефон, мессенджеры и почту взломать нельзя. Рассказываем о самых популярных ошибках, чтобы вы могли проверить, могут ли вас взломать мошенники или искусственный интеллект (именно роботы по алгоритмам почти во всех случаях занимаются подбором паролей).
- Театр начинается с вешалки, а безопасность в компьютерных системах – с пароля. Важно запомнить: что удобно - то небезопасно, - учит директор по развитию ГК «Солар» направления «Кибербезопасность для населения», содиректор программ кибербезопасности Школы управления Сколково, научный редактор BIS Journal Олег Седов.
За долгие годы работы с безопасностью в виртуальном пространстве он видел самые разные пароли и системы защиты и знает уязвимые места.
Например, многие пользуются графическим паролем на телефонах вместо Face ID (распознавание по лицу) или ввода обычного пароля, считая, что отгадать последовательность точек в сложном узоре очень трудно. На самом деле эксперты уже давно проверили эксперименты и выяснили, что многие из нас действуют одинаково, задавая рисунок. Так, 44% начинают его из верхнего левого угла, 77% - в одном из четырех углов экрана, 5 – среднее количество задействованных в пароле точек, которые обычно набирают слева направо и сверху вниз. Проверили себя?
Многие сервисы, например, «Госуслуги», сделали двухфакторную защиту для входа (порой она обязательна), когда надо не только ввести свой пароль, но и дождаться одноразового кода.
- Да, это неудобно, но я уже говорил: раз так - значит, безопасно. Но и в данном случае есть нюанс – для двухфакторной защиты нужны два вида устройств, например, на портал вы заходите с компьютера, а код приходит на телефон. Если и пароль вводите с телефона, и туда же приходит код – это просто подарок для злоумышленников, - говорит Олег Седов.Тем, что в качестве пароля нельзя использовать дату рождения или имя, Америку не открыть. Но есть и неочевидные вещи, которые многих могут удивить. Например, вы выбрали фразу: «Люблю маму Иру», перевели клавиатуру с русской раскладки на английскую и напечатали ее, получилось «K.,k. vfve Bhe». Казалось бы, хороший и надежный пароль, но искусственный интеллект распознает вашу хитрость – для него это легкая задача.
«Хорошо, я буду хитрее», - думаете вы и через переводчик набираете слово «любовь», например, на суахили. Получается «upendo», его добавляете во фразу «Люблю маму Иру» вместе с английским «mother» («мама»), получается «upendo morher Ira». Но и здесь есть загвоздка: если какое-то слово есть в словаре, то роботы его знают (даже если это диалект, жаргонизм, например, из воровской среды).
Часто сами сайты при регистрации предлагают нам сгенерированные надежные пароли – обычно выглядят они как длинный набор букв, цифр и символов. Но и к ним надо относиться с осторожностью - эксперты советуют все же придумать свой вариант.
- Есть такая история, которая случилась с известным американским физиком Ричардом Фейнманом. Он любил взламывать замки, и однажды его попросили вскрыть сейф, от которого потеряли инструкцию. Как ни старался ученый, у него ничего не получилось, а после сейф вскрыл обычный слесарь. Секрет оказался прост: с завода замки приходили с заранее установленными паролями «25-0-25» или «50-25-50», которые редко кто менял. Поэтому предустановленные пароли на гаджетах или сайтах также ненадежны, - отмечает эксперт.
Какой же пароль можно считать надежным? В первую очередь, надо смириться с тем, что запомнить его будет непросто. «Единственный способ обмануть робота, который быстрее и трудоспособнее человека, – это быть талантливее», - уверен Олег Седов.
Первое, что надо знать - пароль должен быть длиннее 8 символов. Если в нем от 1 до 3 символов, то у искусственного интеллекта уйдет меньше секунды на подбор нужной комбинации, на четырехзначный – 17 секунд, на восьмизначный – 11 месяцев, а если в нем 12 символов – 1 505 615… лет!
Нельзя использовать комбинации только из цифр, пароль не должен совпадать с логином, именем пользователя, адресом электронной почты, буквами на клавиатуре, которые стоят рядом (например, qwerty). Уловки, когда английскую «O» меняют на русскую «О» или символ «i» на «1» (ivan – 1van), тоже не пройдут.
Запомнить рандомный (случайный) набор символов трудно, поэтому какие-то ассоциации все-таки нужны, но главное, чтобы они были понятны вам! Как пример, запомнить химическую формулу и добавить к ней символы: «He2Ne10Ar18» (гелий, неон, аргон) поменять на «He2!Ne10@Ar18#» - для взлома такого пароля понадобится 204 миллиона лет. Можно использовать гитарные аккорды, данные с показаниями коммунальных счетчиков и другие наборы цифр.
Менять пароли надо раз в полгода или, по крайней мере, раз в год. Причем не только на телефоне или электронной почте - есть устройства, про которые многие забывают: Wi-Fi-роутер, телевизор, умные пылесосы, видеокамеры, фотоаппараты.
Очевидный вопрос: если пароль сложный и его трудно запомнить, то можно ли его записать, чтобы самому не попасть в ловушку собственной хитрости? Конечно, можно, но с пометкой, что хранить бумагу с комбинацией у компьютера на работе нельзя, как и документ с названием «Пароли» на рабочем столе или в телефоне (и даже в фотографиях). Лучше воспользоваться мессенджером паролей или записать пароль в ежедневник, который под рукой (можно разделить пароль на части и записать на разных страницах). Кстати, если вы придумали надежный пароль, не используйте его для разных сайтов и устройств – для каждого надо придумать отдельный.
Еще один важный совет по кибербезопасности – не оставляйте компьютер не запароленным на работе, если отходите от него, не давайте свой телефон посторонним, не жалейте денег на антивирус.
Биометрия – хороший способ защиты, но не всегда возможный (например, отпечатки пальцев могут не пройти, если вы пришли с мороза или плавали) и надежный (устройство можно обмануть при помощи распечатанного лица - фотографии). Кстати, ученые провели эксперимент - объединили 800 реальных отпечатков пальцев, и этот ключ оказался схожим с 65% существующих в мире отпечатков. Поэтому биометрию лучше оставить не как основную защиту, а второстепенную.
- Злоумышленники взламывают все, чтобы собрать нужную информацию или для махинаций. Но чаще всего – банковские приложения и социально значимые сервисы. Самый главный совет – все советы, которые вы услышали, примените прямо сейчас для своих устройств и сайтов. Здесь важна не только теория, но и практика, - отмечает Олег Седов.
Мария ПАШЕНКОВА.
Можем представить, что, прочитав это, многие из вас подумали: «Я не так глуп, у меня пароль надежный». Честно говоря, до вебинара «Ростелекома» «Энциклопедия парольной защиты» многие журналисты тоже думали, что их телефон, мессенджеры и почту взломать нельзя. Рассказываем о самых популярных ошибках, чтобы вы могли проверить, могут ли вас взломать мошенники или искусственный интеллект (именно роботы по алгоритмам почти во всех случаях занимаются подбором паролей).
- Театр начинается с вешалки, а безопасность в компьютерных системах – с пароля. Важно запомнить: что удобно - то небезопасно, - учит директор по развитию ГК «Солар» направления «Кибербезопасность для населения», содиректор программ кибербезопасности Школы управления Сколково, научный редактор BIS Journal Олег Седов.
За долгие годы работы с безопасностью в виртуальном пространстве он видел самые разные пароли и системы защиты и знает уязвимые места.
Например, многие пользуются графическим паролем на телефонах вместо Face ID (распознавание по лицу) или ввода обычного пароля, считая, что отгадать последовательность точек в сложном узоре очень трудно. На самом деле эксперты уже давно проверили эксперименты и выяснили, что многие из нас действуют одинаково, задавая рисунок. Так, 44% начинают его из верхнего левого угла, 77% - в одном из четырех углов экрана, 5 – среднее количество задействованных в пароле точек, которые обычно набирают слева направо и сверху вниз. Проверили себя?
Многие сервисы, например, «Госуслуги», сделали двухфакторную защиту для входа (порой она обязательна), когда надо не только ввести свой пароль, но и дождаться одноразового кода.
- Да, это неудобно, но я уже говорил: раз так - значит, безопасно. Но и в данном случае есть нюанс – для двухфакторной защиты нужны два вида устройств, например, на портал вы заходите с компьютера, а код приходит на телефон. Если и пароль вводите с телефона, и туда же приходит код – это просто подарок для злоумышленников, - говорит Олег Седов.Тем, что в качестве пароля нельзя использовать дату рождения или имя, Америку не открыть. Но есть и неочевидные вещи, которые многих могут удивить. Например, вы выбрали фразу: «Люблю маму Иру», перевели клавиатуру с русской раскладки на английскую и напечатали ее, получилось «K.,k. vfve Bhe». Казалось бы, хороший и надежный пароль, но искусственный интеллект распознает вашу хитрость – для него это легкая задача.
«Хорошо, я буду хитрее», - думаете вы и через переводчик набираете слово «любовь», например, на суахили. Получается «upendo», его добавляете во фразу «Люблю маму Иру» вместе с английским «mother» («мама»), получается «upendo morher Ira». Но и здесь есть загвоздка: если какое-то слово есть в словаре, то роботы его знают (даже если это диалект, жаргонизм, например, из воровской среды).
Часто сами сайты при регистрации предлагают нам сгенерированные надежные пароли – обычно выглядят они как длинный набор букв, цифр и символов. Но и к ним надо относиться с осторожностью - эксперты советуют все же придумать свой вариант.
- Есть такая история, которая случилась с известным американским физиком Ричардом Фейнманом. Он любил взламывать замки, и однажды его попросили вскрыть сейф, от которого потеряли инструкцию. Как ни старался ученый, у него ничего не получилось, а после сейф вскрыл обычный слесарь. Секрет оказался прост: с завода замки приходили с заранее установленными паролями «25-0-25» или «50-25-50», которые редко кто менял. Поэтому предустановленные пароли на гаджетах или сайтах также ненадежны, - отмечает эксперт.
Какой же пароль можно считать надежным? В первую очередь, надо смириться с тем, что запомнить его будет непросто. «Единственный способ обмануть робота, который быстрее и трудоспособнее человека, – это быть талантливее», - уверен Олег Седов.
Первое, что надо знать - пароль должен быть длиннее 8 символов. Если в нем от 1 до 3 символов, то у искусственного интеллекта уйдет меньше секунды на подбор нужной комбинации, на четырехзначный – 17 секунд, на восьмизначный – 11 месяцев, а если в нем 12 символов – 1 505 615… лет!
Нельзя использовать комбинации только из цифр, пароль не должен совпадать с логином, именем пользователя, адресом электронной почты, буквами на клавиатуре, которые стоят рядом (например, qwerty). Уловки, когда английскую «O» меняют на русскую «О» или символ «i» на «1» (ivan – 1van), тоже не пройдут.
Запомнить рандомный (случайный) набор символов трудно, поэтому какие-то ассоциации все-таки нужны, но главное, чтобы они были понятны вам! Как пример, запомнить химическую формулу и добавить к ней символы: «He2Ne10Ar18» (гелий, неон, аргон) поменять на «He2!Ne10@Ar18#» - для взлома такого пароля понадобится 204 миллиона лет. Можно использовать гитарные аккорды, данные с показаниями коммунальных счетчиков и другие наборы цифр.
Менять пароли надо раз в полгода или, по крайней мере, раз в год. Причем не только на телефоне или электронной почте - есть устройства, про которые многие забывают: Wi-Fi-роутер, телевизор, умные пылесосы, видеокамеры, фотоаппараты.
Очевидный вопрос: если пароль сложный и его трудно запомнить, то можно ли его записать, чтобы самому не попасть в ловушку собственной хитрости? Конечно, можно, но с пометкой, что хранить бумагу с комбинацией у компьютера на работе нельзя, как и документ с названием «Пароли» на рабочем столе или в телефоне (и даже в фотографиях). Лучше воспользоваться мессенджером паролей или записать пароль в ежедневник, который под рукой (можно разделить пароль на части и записать на разных страницах). Кстати, если вы придумали надежный пароль, не используйте его для разных сайтов и устройств – для каждого надо придумать отдельный.
Еще один важный совет по кибербезопасности – не оставляйте компьютер не запароленным на работе, если отходите от него, не давайте свой телефон посторонним, не жалейте денег на антивирус.
Биометрия – хороший способ защиты, но не всегда возможный (например, отпечатки пальцев могут не пройти, если вы пришли с мороза или плавали) и надежный (устройство можно обмануть при помощи распечатанного лица - фотографии). Кстати, ученые провели эксперимент - объединили 800 реальных отпечатков пальцев, и этот ключ оказался схожим с 65% существующих в мире отпечатков. Поэтому биометрию лучше оставить не как основную защиту, а второстепенную.
- Злоумышленники взламывают все, чтобы собрать нужную информацию или для махинаций. Но чаще всего – банковские приложения и социально значимые сервисы. Самый главный совет – все советы, которые вы услышали, примените прямо сейчас для своих устройств и сайтов. Здесь важна не только теория, но и практика, - отмечает Олег Седов.
Мария ПАШЕНКОВА.
«
