Как правильно создавать пароли

Немного о паролях, или как их правильно создавать

-Вы слабое звено! И вы выбываете из игры!

Можно добавить ещё пару анекдотов, чтобы правда жизни не так резала по сердцу.

Однако. Здравствуйте. При самом крутом алгоритме шифрования пароль “мама” вскрывается за одну секунду. Также не стоит ставить паролем свой день рождения. Если бы вы знали сколько мужей погорело на различных Love-порталах, выбравших свой день рождения паролем. А недовольных дворецких и секретарш на пенсии, тоже ещё никто не удосужился отменить.

А ведь в нашем окружении немало людей, знающих наши привычки и пристрастия. Поэтому просто перейдём к тому как правильно создавать пароли.

Уровень сложности пароля #

У любого из нас уже могла возникнуть ситуация, когда нам проходилось сообщать пароль от какой-либо системы (емайл, банк, компьютер, программа и тд и тп) своим близким или коллегам. В наш информационный век с десятком емайлов и форумов, аккаунтом к Ebay, интернет доступом к своему банку и паролем на “вторую” бухгалтерию тяжело, даже очень тяжело придумывать в каждом отдельном случае новый пароль. И очень часто неплохой пароль используется везде. Один и тот же. Не всегда есть возможность сказать решительное: “Нет. Я не дам тебе свой пароль”. А к чему может это привести, каждый из должен понимать сам.

Итак. Имеет смысл ввести пяти или десяти бальный приоритет паролей. Чем выше приоритет, тем он для вас важнее.

Десятибалльная система приоритетов для паролей #

  1. Пароль на пароли. Записная книжка с кодом или маленький контейнер с личными данными и записной книжкой с паролями от всего , где у нас есть пароль.
  2. Пароль на модуль шифрования в личной или деловой переписке.
  3. Пароль на контейнер с защищённой информацией (разница с пунктом 10 в размере).
  4. Доступ к компьютеру
  5. Пароль к электронной почте (емайл)
  6. Банковский пароль
  7. Пароли к сервисам с оплатой (ebay, online-shops итд и тп)
  8. Пароли к Facebook, Instagram, Telegram, Icq, Msn, Skype и тд и тп.
  9. Пароли к развлекательным порталам и форумам
  10. Пароль на фотографии с последней вечеринки.

Приоритеты каждый расставляет сам, и просматривая эту таблицу, выясняется, что кроме последней вечеринки, вся остальная информация не предназначена для других глаз.

Однако. Здравствуйте. Как тогда получается, что пароль с самым высоким приоритетом является фамилией той девочки, что сидела с вами в первом классе за одной партой, а у компьютера вообще нет пароля и вся информация лежит абсолютно открыто?

При аккуратном разделении типа информации/паролей, намного легче менять скомпрометировавшие себя пароли. И мы избежим цепной реакции при возможном нападении.

А вот как узнать скомпрометировал себя пароль или нет? И как часто нужно менять пароли?

Смена пароля. Как часто? #

Скомпрометированные пароли сразу. Скомпрометированным паролем считается пароль, который записан на бумажку и приклеен к монитору, либо носится в портмоне. Также скомпрометированы те пароли, которые кроме вас знает ещё один человек.

Зависит от ценности информации. К примеру, в Skype или ICQ я не менял пароль уже лет 10. Потеря логина или УИНа не отразится на моих контактах и финансах. Скорее испортится настроение на 6,5 минут. Естественно, если у кого то супер-элитный 5-значный уин с френдлистой на всю женскую сборную по синхронному плаванию России, то пароль стоит менять хотя бы раз в год.

И приоритет пароля повышается до пункта 2, а то и 1. Пароль на пароли я тоже на самом деле не менял ни разу. Пользуюсь им я редко, а бэкапов от контейнера с паролями много. И вот тут один из радикальных вопросов криптологии.

Подавляющее большинство специалистов и сисадминов регулярно советуют, либо заставляют менять пароли. Правильно замечая, что пароли со временем компрометируются самыми различными способами и ухищрениями. От банального воровства пароля, до глупости юзера, когда он использует рабочий пароль для входа во все форумы и чаты.

Однако. Здравствуйте. Регулярная смена паролей приводит к тому, что юзеры записывают их на бумажках и телефонах, визитных карточках и просто на мониторе. Если раньше в до-интернетовскую эру, мы не удивлялись ходячим записным книжкам, в головах которых были записаны все телефоны знакомых, то сейчас мозг почти не тренируется, любая информация либо записана в кпк, либо есть в сети. И просто запомнить девятизначный номер телефона уже становится экзаменом для многих. Поэтому я рекомендую:

Пароль для доступа к рабочей станции(компьютер) не должен быть более чем двухсложным и оптимально 8-12 знаков.

Примеры: #

  • trzg457fg - цифры и маленькие буквы.
  • GDUI?!:ZH- большие буквы и спецзнаки.

По договорённости, юзер сам должен иметь право придумывать себе пароль. К примеру, если пароль больше 30 знаков. В качестве хорошего примера (до того как он здесь был опубликован.

kak_by_ya_hotel_zarabatywat_w_mesac_milion_dolarow

Рекомендации для сис-админов и фирм с ценными данными #

  1. Обязательно ознакомить всех сотрудников с принципами защиты, хранения и обработки информации.
    Понимая хотя бы основы криптологии, можно избежать многих ошибок. Классификация прав на доступ к информации по степени секретности(от „секретно в стадии разработки“, до „совершенно секретно“- при разглашении уголовное преступление
  2. Роспись каждого сотрудника об ознакомлении и исполнении требований по защите информации, подкреплённое организационными и дисциплинарными мерами, при нарушении этих требований.
    Такая роспись о неразглашении творит поистине чудеса.
  3. Желательно провести ликбез на тему „защита информации, трояны, вирусы, программы шифрования и взлома“ и сдача тематического зачёта.
  4. Иметь в штате специалиста, профессионально разбирающегося в криптологии.
  5. Стараться использовать то программное обеспечение, в котором есть 100% уверенность.
  6. Анализ действий вероятного противника (конкурента).
  7. Грамотно использовать программы защиты и по возможности избегать „сертифицированных“ в США или России программ.
  8. Использовать программы с открытым алгоритмом работы.
  9. Использовать такие настройки операционной системы, которые предотвращали бы „заражение“ компьютера или тем паче всей фирмы через интернет или электронную почту.
  10. Дополнительно разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам. Например - мне.
  11. Провести “испытание” имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.