Цитата
Идеальный пароль
Полушутливая статья о том, как придумывать хорошие пароли. =))
"Ну и пусть использовать имя своего кота вместо
пароля - считается плохим тоном"- сказал
сисадмин, - "RHZGtf_fv32!b%, кыс, кыс, кыс..."
Мне кажется, что этот анекдот лучше всего подходит в качестве эпиграфа. Сейчас пароли много где приходиться использовать, а использовать один и тот же пароль – “плохой тон” в смысле безопасности (узнав пароль на ваш файл на форуме, могут стянуть и аську (icq), и мыло (e-mail), и много что еще). Вот поэтому и надо придумывать да запоминать всякие комбинации, вроде @&glA{Zn,!#, которые и запомнить подчас просто нереально для человека, который не спал несколько суток.
Опять же есть программы-хранилища паролей, достаточно ввести один пароль – и тут же все ваши пароли можно копировать, экспортировать, и вытворять с ними прочие фокусы. Чем они (программы) удобны – у некоторых можно перетащить пароль на форму, он появится в поле. У некоторых можно открыть страницу (URL), страница открывается с заполненными полями логин/пароль. Как пример – программа SCARABAY под win32 (на момент написания статьи – версии 2.7), которая позволяет хранить связки логин/пароль/URL, имеет генератор этих самых паролей, да еще и является бесплатной. Софтина неплохая, но речь не о программах пойдет…
Я, конечно, за автоматизацию, но для хранения паролей использую свою чайник (котелок, репу, главный соображающий девайс – нужное подчеркнуть =) ), ибо знаю массу случаев, когда нужно пароль, а его нет. Например – человек не на своем компьютере (в интернет-кафе, у друга) сидит, а доступ к мылу или аське или форуму нужен, хоть головой об стенку бейся. А пароли дома "забыл". Или еще пример – реальная ситуация, произошла с моим другом. Убил свой винт апстену (точнее аппол, но это “та же апстена, только нижняя =)”, цитируя его). Все пароли хранились в вышеназванной проге SCARABAY, бэкапы он на дискетку/CD почему-то не додумался сделать (ламер, что с него взять =)). В итоге – долго и упорно пришлось восстанавливать все пароли банальным ретривом себе на мыло (форумы, сайты, и прочее). Лишился красивой шестизначной аськи, WebMoney кошелька, исходников, ну и еще по мелочи, все только потому, что пароли хранились в проге. С ним долго спорили, обсуждали это событие, в конце концов он сказал примерно: "KCEOH, отвали ". Вот поэтому я и решил написать небольшую статейку о паролях.
Теперь я хочу подойти непосредственно к теме статьи – идеальному паролю. В наше время редко где они хранятся в открытом виде (разве что конфиги какие-либо), чаще они шифруются. Например – путем получения MD5-хеша (отсылаю на
http://ru.wikipedia.org/wiki/MD5 и
http://ru.wikipedia.org/wiki/Хэш-функция), этот способ используется на большинстве известных мне форумах. Имея немалый опыт восстановления паролей из этих хешей (ну… скажем так - юзеры моего форума забыли пароль, попросили восстановить =)) могу утверждать, что достаточной стойкостью к перебору обладают пароли:
a-z/а-я – 11 символов
0-9 – 14 символов
Достаточной стойкостью – это значит чтобы их подобрать – нужен хороший компьютер, и пара суток его работы. Ясно, что речь не идет о популярных словах/номерах, которые имеются в словарях, вроде darkness, computer, mazafaka, 00000000, 123456, 666666 и т.д.
Допустим, имеет место такая ситуация – из-за непропатченности форума хакер смог стащить базу с хешами. Чтобы хакер так и не смог подобрать пароль – нужно:
а) использовать буквенную комбинацию длиной более 12 символов,
б) данная комбинация не должна быть в словарях, как часто употр######емое слово.
Пунктам а) и б) вполне удовлетворяет пароль @&glA{Zn,!#, но если паролей больше 5-7 штук – будут проблемы с их запоминанием =)
Поэтому можно добавить пункт:
в) пароль должен быть легким для запоминания.
Если вы чуток шарите в психологии, то знаете, что события, основанные на чувствах (сильной радости / раздражения / печали) хорошо запоминаются. Сюда же можно отнести и недоумение. Поэтому нужно придумать идиотский пароль, который запоминается с первого раза. =)
Как пример _идеального_ пароля (чистое имхо) может служить такая фраза:
Аццкая порка розового слонопотама в заснеженной Африке.
// После выхода журнала эту фразу будут мусолить по всему инету, да еще и в словари для перебора паролей добавят =)
Ясно, что этот пароль несколько длинноват. Да и на русском мало кто пишет – для простоты восприятия я так и буду писать, а уже сами решайте, как будете писать слово “привет” – или “privet”, или “ghbdtn”.
Возвращаясь к нашим бара… т.е. паролям – придумывать нужно словосочетания, которые логически вообще не должны быть связаны в жизни. Например:
унитаз с интернетом //китайцы с их изобретениями не в счет =)
летающая дверь
жареный отморозок
бешеный хомяк с ирокезом
или
учеба рулез пиво сакс
я люблю Билли // FreeBSD’шники, это ваш пароль! =)
Дабы “добавить защиты” паролю – можно впихнуть еще и цифры, или парочку матов вроде:
Пикачу форева123
покемоны рулят999
окуенно окуенный пассвордище007
Или ASCII-коды (всем известные крестики, которые часто пихаются в ники =) ) – для тех, кто в танке – вводятся так: зажимается Alt, на цифровой клаве нажимается 3-4 цифры (лучше с 0 начать, напр – 0134, 0158, 0162), Alt отпускается. Как вариант – использовать программу “Таблицу символов”.
Подводя итог – используя такой финт ушами, можно запоминать дофига паролей (у меня сейчас около 30 штук их), и можно не беспокоиться, что их подберут перебором / по словарю. Только смотрите, чтоб кейлогеров у вас тоже не было. =)
!!! Ахтунг !!!
Все вышесказанное не относиться к системам, где используются короткие пароли, яркий пример - icq, с ее паролями с макс. длиной в 8 символов. Вот так как раз лучше использовать @&glA{Z!#.