Держитесь подальше от qwerty: Пароли, которые не сломает и соседский хакер - Новости систем безопасности
Услуги 

Держитесь подальше от qwerty: Пароли, которые не сломает и соседский хакер

admin

Вот честно? Каждый раз, как слышу про очередной слив баз данных, а там – миллионы паролей вроде «123456» или «password», у меня волосы шевелятся. Проработав больше пятнадцати лет в ИБ, сначала в душных серверных банков, потом консультируя бизнес, я видал всякое. И знаете, что бьет чаще всего? Не хитрые эксплойты нулевого дня. А человеческая лень и надежда на «авось». Лично терпеть не могу, когда люди юзают осмысленные слова или даты рождения. Это как замок из фольги на сейфе.

Создание надежного пароля – база. Камень преткновения. И тут многие лезут в дебри: придумывают сложные правила, запоминают длинные фразы с заменой букв на цифры… Но зачем изобретать велосипед, если есть простая штука – генератор паролей? Серьезно. Это ваш первый и главный инструмент в борьбе за безопасность аккаунтов. Не ручной подбор, не молитвы, а алгоритм.

Вот где собака зарыта: Надежный пароль – это хаос. Абсолютный. Буквы верхнего и нижнего регистра? Обязательно. Цифры? Да. Спецсимволы? Конечно! Тильда, амперсанд, скобки, слэши – чем экзотичнее, тем лучше. И длина… Ох, длина. Вот тут у меня спорное мнение, коллеги меня не раз поправляли: для большинства сервисов 12-14 случайных символов с полным набором (буквы, цифры, спец) – надежнее, чем 20 символов только из букв и цифр. Почему? Потому что бить хеши становится экспоненциально сложнее с каждым добавленным типом символа. Ключевое слово – случайных. Человеческий мозг плохо генерирует настоящую случайность. Мы ищем паттерны. Подсознательно. Вот и получаются «SuperPass!2024» – кажется сложным, но для брутфорса или словарной атаки – раз плюнуть. Генератор паролей лишен этой слабости. Он выдает настоящий хаос. Идеальный мусор. Запомнить его невозможно. И не надо!

Запоминать не надо? Абсолютно верно. Вот тут многие спотыкаются. Сгенерировал – куда записал? На стикер под клавиатурой? В файл «passwords.txt» на рабочем столе? Это самоубийство. Тут без вариантов: менеджер паролей. Bitwarden, KeePass, 1Password – выбирайте любой. Главное – мастер-пароль к нему сделайте очень надежным и единственным, который придется запомнить. Можно даже фразу. Но не из песни, пожалуйста! Генератор и тут поможет создать этот единственный супер-ключ.

Помню один кейс, лет десять назад. Средний бизнес, локальная сеть. Вроде и пароли у сотрудников были не «qwerty», и символы использовали. Но… Слили базу хешей. Стали бить. Оказалось, их самопальный скрипт для «упрощения жизни пользователей» генерировал пароли, используя только 64 символа из возможных 94! Исключил все «редкие» спецсимволы вроде ^ или {}. Потому что «пользователи путались». Считали, что так надежнее. А зря! Стандартные словари подбора были почти бесполезны, но кастомный словарь, зная это ограничение, сработал на ура. Решение? Внедрили нормальный генератор паролей с полным спектром символов и обязали его использовать при создании любых новых учеток. И объяснили, почему «удобство» тут – враг безопасности. Мораль: Генератор – это хорошо. Но качественный генератор – критически важно. Тот, что не экономит на спецсимволах и дает настоящую энтропию.

Кстати, о спецсимволах. На старых-старых AS/400, с которых я начинал, были жуткие ограничения. Некоторые символы вообще нельзя было в пароль впихнуть. Система не ела. Приходилось выкручиваться. Сейчас, слава богу, большинство современных систем понимают почти все. Юзайте это!

И где это видано? Использовать один и тот же пароль для почты, соцсети и интернет-банка? Это не просто плохо. Это игнор всех базовых принципов. Взломали форум по разведению кактусов? Теперь злоумышленник пробует этот же логин/пароль к вашей почте. И часто – получается. Генератор паролей решает и это. Для каждого сервиса – уникальная бессмыслица. Сломали один пароль? Остальные в безопасности. Это фундамент. Не экономьте время на этом. Повторюсь: пароль менеджер ваш друг. Генератор – его правая рука.

А еще… (Тут я отвлекусь, но тема важная) Двухфакторная аутентификация. 2FA. Даже если ваш пароль – шедевр случайности, скомпрометировать его можно. Фишинг, кейлоггер, человек через плечо. 2FA добавляет тот самый второй барьер. СМС – лучше, чем ничего. Но приложения типа Google Authenticator или аппаратные ключи – надежнее. Это как второй замок на двери. Обязательно ставьте!

Вот вам мой главный совет: Перестаньте пытаться запоминать пароли. Это тупик. Доверьтесь технологии. Находите проверенный онлайн генератор паролей (или встроенный в менеджер). Выставляйте длину 12-16 символов. Галочки на все типы символов. Сгенерировали – сразу в менеджер. И спите спокойно. Простота подхода – его сила. Защита не должна быть обременительной, иначе ее избегают. Генератор и менеджер снимают эту нагрузку. Это не идеал, но это рабочий, надежный базис. Остальное – детали. Хотя… Биометрия – это отдельная большая тема с подводными камнями. Но это уже для другого раза.

Автор статьи:
Дмитрий Волков, экс-пентестер Альфа-Банка (2008-2015), автор «Руководства по взлому для защиты», учился криптографии у деда-радиста еще до появления HTTPS.