Начну, пожалуй, с ответа на последний вопрос: к сожалению, абсолютно любой пароль может быть взломан. Способов взлома существует превеликое множество, от вредоносных программ, передающих набираемый пользователем текст на клавиатуре в Интернет, до разнообразных программ по подбору паролей и тому подобных приспособлений. Тем не менее, существуют способы создания паролей, которые не могут быть взломаны за приемлемое время — такие пароли квалифицируются как надежные.

Можно выделить основные правила создания надежных паролей, ставшие уже в какой-то мере классическими на протяжении многих лет развития технологий — благо для многих людей, которые все-таки решились защитить, например, свои учетные записи в Интернет, они могут стать настоящим откровением:

• выбор оптимальной длины пароля;

• использование комбинации из букв, цифр и других символов;

• хранения паролей в надежном месте;

• периодическая смена паролей на новые;

• использование разных паролей для разных учетных записей.

Теперь о каждом из пунктов подробнее.

Наиболее часто возникает вопрос: какой длины должен быть пароль? С одной стороны, чем больше будет в нем символов, тем лучше, но при этом вряд ли кто-то станет заучивать пароль, состоящий, например, из 20 случайных символов, да и постоянно вводить такой пароль очень неудобно. С позиции оптимальности пароль должен содержать не менее 8 символов — если пароль составлен из меньшего числа символов, это означает, что ваша информация «прикрыта дверью без замка». Оптимальная длина — 14 символов и более, с добавлением каждого нового символа в пароль степень защиты его увеличивается.

Обязательно нужно использовать комбинации из разных символов, использование только букв или цифр в разы уменьшает стойкость пароля. Для задания пароля в нашем распоряжении около 160 символов: русские и английские буквы — при этом можно и нужно использовать их в двух регистрах (например, «ПоЩадСи»), также цифры и обычно незаслуженно забываемые специальные символы (.,*!"# и т.д.). Для удобства запоминания можно попробовать набрать русское слово в английском регистре или наоборот — вы получите на первый взгляд бессмысленную комбинацию, к которой впоследствии для пущей надежности можно добавить цифры и специальные символы. «Идеальный» пароль сочетает в себе солидную длину и разнообразие символов.

Считается, что применять пароль как единственное средство защиты можно только при низких требованиях к системе безопасности. А как же в таком случае быть с Интернетом, где подчас пароль является единственной преградой для злоумышленника на пути к вашей информации? Нет ничего страшного, если вы записали пароль, но при этом информация о пароле должна быть защищена надлежащим образом. Для хранения записей о паролях ни в коем случае нельзя использовать места, не предназначенные для этого, такие как стикер на мониторе, записная книжка и т.д. — доступ к паролям должны иметь только вы и никто более. Никогда не пересылайте пароль по электронной почте! Любое сообщение электронной почты, требующее ваш пароль или отсылающее на web-узел для подтверждения пароля, может быть мошенничеством. Сюда же можно отнести сообщения такого типа от надежной компании или человека. Сообщение электронной почты может быть перехвачено, да и сам запрос может быть направлен другим отправителем. При фишинг-атаках используются мошеннические сообщения электронной почты, обманом заставляющие раскрыть имя пользователя и пароль, позволяющие злоумышленникам завладеть личными данными и т.п.

Не вводите пароли на чужих компьютерах ! Компьютеры в Интернет-кафе, системах с коллективным доступом к файлами, на конференциях безопасны только для анонимного выхода в Интернет. Не пользуйтесь такими компьютерами для проверки электронной почты, банковского счета, доступа к дневникам и к другим учетным записям, где запрашивается имя пользователя и пароль. Злоумышленники применяют недорогие и быстро устанавливающиеся устройства, записывающие последовательность нажатий на клавиши. Такие устройства позволяют мошенникам получить через Интернет всю информацию, введенную в компьютер. Ваши пароли и идентификационные фразы так же важны, как и информация, которую они защищают.

На самом деле пароли, придуманные самими пользователями с учетом требований безопасности, будут ничем не хуже, а в некоторых случаях и лучше паролей, сгенерированных менеджером паролей, web-узлом или другим программным инструментом для хранения информации.

Существуют и «антиправила» создания надежных паролей — это те ошибки, которых нужно обязательно избегать:

• не использовать последовательные, регулярные комбинации и повторяющиеся символы, например такие комбинации: «123456789», «йцукен» и т.д.;

• имена, фамилии, даты рождения близких, детей, их комбинации, номера телефонов и вообще любую общедоступную личную информацию, которую злоумышленник может легко узнать;

• названия городов, стран, фирм, организаций, учреждений, специфических компьютерных слов и т.д.;

• не использовать словарные слова на любом языке — современные программные средства обладают совершенными средствами, позволяющими быстро отгадать пароли, в основе которых лежат слова из разных языков; слова, написанные наоборот; общепринятые орфографические ошибки и замены, а также нецензурные слова.

Для наглядности приведу типичный алгоритм создания надежного и легко запоминающегося пароля:

• придумайте предложение, которое точно не забудете, оно и будет основой для надежного пароля — например, фраза «собака Бобик»;

• теперь усложните комбинацию, используя заглавные буквы, строчные буквы и цифры. Можно поменять местами буквы в слове или намеренно допустить орфографические ошибки. В нашем случае объединим два слова, используем заглавные буквы и допустим ошибку в написании слова — «сАбакабоБик»;

• наконец, заменим отдельные символы. Можно использовать символы, похожие на буквы, и дополнительно добавить специальные символы — «сАб@к@б0Бик!»

Необходимость периодической смены пароля даже и не обсуждается — сколь бы ни был надежен пароль, со временем вероятность того, что он станет известен злоумышленнику, возрастает. Чем надежнее будет пароль, тем дольше можно его использовать. Пароль из восьми и менее символов можно применять в течение нескольких месяцев, в то время как комбинация из 14 и более символов может служить и год, если, конечно, эта комбинация составлена по всем правилам создания надежных паролей.

Как правило, интернет-пользователь имеет достаточно много разнообразных учетных записей. Естественно, ему сложно запомнить пароли от почты, форумов, банковский счетов, дневников и т.д., поэтому нередко он идет по пути наименьшего сопротивления: использует абсолютно ненадежные и легко запоминающиеся пароли, или, что еще хуже, один пароль для всех учетных записей. Каждая система регистрации в Интернете определена особым сводом правил, регулирующим доступ к учетной записи и изменению пароля, притом на базе разных технологий, поэтому будет ошибочно считать, что пароль, выбранный вами для доступа, например, к банковскому счету, будет столь же неуязвим, если вы его решите использовать для создания аккаунта на каком-нибудь форуме. Сам факт реального «ввода» пароля уже связан с возможностью взлома, и подобный взлом может произойти из-за особенностей регистрации на ресурсе. Многие web-сайты запрашивают пароли при доступе, но проверяют их по протоколам, в которых фактически пароль открыт для злоумышленника, и перехватить его не составляет большого труда. Oprobleme.com советует всегда помнить, что любой пароль, использованный в подобных учетных записях, подвержен риску.

Необходимо разделять учетные записи по категориям (от наименее важных до тех, которые требуют особой защиты), руководствуясь требуемым уровнем безопасности, который обеспечивает паролям система защиты конкретной учетной записи. При этом возможный взлом одной из ваших учетных записей не приведет к раскрытию всей вашей информации.

Следует разделять одни из возможных типов паролей для разных учетных записей:

• случайный пароль — использовать на часто посещаемых ресурсах, которые требуют регистрации и ввода пароля (например, различные форумы), для доступа на web-серверы не на базе HTTPS;

• корпоративные пароли — использовать только для доступа к ресурсам компании;

• финансовые пароли — использовать для доступа к ресурсам, потеря паролей от которых будет сопряжена с финансовыми потерями — например, доступ к персональному банковскому счету;

• личные пароли — для доступа к ресурсам, содержащим вашу персональную информацию (например, почтовые ящики).

И наконец, еще пару правил: нужно остерегаться программного обеспечения и регистрационных форм на web-узлах, предлагающих запомнить пароли и тем самым освободить вас от повторного ввода. Лучше не пользоваться такими программами и ресурсами, если вы точно не уверены, что ваши пароли будут под надежной защитой.

Сколь бы ни была хороша защита, всегда есть вероятность потери паролей; надежные, легко запоминающиеся пароли помогают защититься от мошенничества и хищения личных данных, но не являются абсолютной гарантией защиты, например, при заражении компьютера вредоносными программами или при взломе злоумышленником системы содержащей пароли. В этом случае все, что вы вводили с клавиатуры, в том числе и пароли, даже если эти пароли казались вам защищенными и не отображались на мониторе, можно считать безвозвратно потерянными. Если вы заметили какую-то подозрительную активность на своем компьютере, это может означать, что кто-то получил доступ к вашей информации — в этом случае необходимо провести проверку компьютера средствами поиска вредоносных программ и потом в обязательном порядке поменять все пароли, которые вы вводили с клавиатуры и которые содержались в вашей системе.

При подготовке материала использовались рекомендации корпорации Microsoft и компании SophosLabs по выбору надежных паролей.