Кожен, хто читає це, повинен знати один або два паролі. Напевно, набагато більше, ніж два. Велика частина того, що ми робимо кожен день, робиться онлайн, де можливість безпечно і надійно ідентифікувати себе дуже важлива, і компанії, що пропонують послуги, зобов'язані надати вам те, що необхідно для цього. Це означає, що ім'я користувача і пароль.
Це також означає, що ваш пароль просто повинен бути хорошим. У цьому випадку «хороший» означає досить складний, тому його нелегко вгадати, важко перебором, і є простий спосіб керувати ними всіма, тому що ви ніколи не використовуєте один і той же пароль двічі. Це складно і є частиною повсякденного життя.
Створення хороших паролів і відстеження їх усіх може бути відстійним. Ось невеликий кумедний тест: відкрийте 10 примірників порожньої сторінки у будь-якій програмі або програмі для створення нотаток. У кожному наберіть випадковий рядок символів. Тепер поверніться і подивіться на них все, і подивіться, чи зможете ви знайти місця, де ви набираєте що-небудь, крім випадкового. Це буде через ергономіку, і будь-яка клавіатура, яку ми використовуємо (фізична або віртуальна), містить однакові символи в одному і тому ж місці. Якщо люто стукати (або постукувати) за клавішами не вдається створити випадковий пароль, що ми можемо зробити?
Хороший пароль
Як правило, хороший пароль - це вісім унікальних і довільно впорядкованих символів, написаних у вигляді одного слова. Це не означає, що пароль має довжину вісім символів, але в ньому є вісім символів, включаючи цифри, символи і знаки перепинання, які не повторюються. Чому вісім? Тому що саме це визначили дослідники: вісім символів приносять мінімальний обсяг інформаційної ентропії, необхідний для забезпечення безпеки. Я трохи математик і, якщо ви, формула, використовувана для обчислення ентропії пароля:
H = log 2 N L = L log 2 N = L logN/log2
Де N = кількість можливих символів, L = загальна кількість символів у парольній фразі. H = ентропія в битах (лог - будь-яка база).
Це не дуже корисно для тих, хто не є аналітиком з інформаційної безпеки, хто спеціалізується на криптології, математик чи ні. Це просто для того, щоб показати, що є люди, які розібралися і порекомендували Google, що він вимагає восьмизначний пароль. Для наших цілей хороший пароль - це пароль, досить складний, щоб відповідати критеріям, не змушуючи нашу голову крутитися колами. Відповідно до цих людей, згаданих вище, хороший пароль, створений людиною, повинен:
- Використовуйте мінімальну довжину 8 унікальних символів і до 15, якщо це дозволено.
- Увімкніть рядкові символи, цифри та символи, якщо це дозволено.
- Бути унікальним.
- Не вмикайте слова, знайдені в словнику будь-якої мови.
- Не вмикайте власних імен.
- Не вмикайте числову інформацію про себе (жодних днів народження, ювілейних дат тощо).
- Не містять числових послідовностей, заснованих на загальновідомих числах (911, pi, 999 тощо).
- Бути супроводжуваним легко вгадуваним паролем відновлення питань безпеки.
Отже, це означає, що ми, ймовірно, не збираємося використовувати щось на зразок ABC123 або OICU812. Для цього є причина, і це ми всі можемо зрозуміти - комп'ютери стали неймовірно потужними за дуже короткий час, і злом паролів за допомогою атак методом перебору можна автоматизувати на орендованому обладнанні.
Ви можете навіть спробувати зламати паролі, використовуючи телефон замість суперкомп'ютера. Технологія пройшла довгий шлях за останні 10 років.
Зловмисник може орендувати необмежену кількість ядер графічного процесора у Amazon всього за 3 долари і використовувати їх для проведення атак на основі словника за списками відомих облікових записів, поки Amazon не зловить їх і не закриє. Люди, які роблять це, не шукають вас або мене (якщо ми не такі багаті і знамениті), а просто намагаються зламати якомога більше акаунтів. Це дійсно відстій, коли один з цих акаунтів належить вам.
Як зробити хороший пароль
Тепер, коли ми можемо оцінити, з якою трудністю стикаються дослідники і криптологи, коли вирішують, що таке хороший пароль, давайте поговоримо про те, як його створити.
Тут не буде ніякої математики, тому що відповідь проста - використовуйте інструмент генератора паролів, який є в хорошому менеджері паролів. Немає причин не робити цього - вам знадобиться якась система управління паролями, яку ви можете взяти з собою, і в Google Play є безліч безкоштовних додатків для управління паролями, які можна безкоштовно завантажити. Якщо ви наполягаєте на тому, щоб згенерувати свій власний пароль вручну, пам'ятайте основні рекомендації, наведені вище, і не зберігайте список своїх паролів на своєму телефоні. Це можна зробити, навіть якщо це набагато більше роботи.
Якщо ви вирішите дозволити майстру псевдопромінювальних дій у програмі менеджера паролів створювати паролі для вас, ось кілька порад:
- Зробіть надійний майстер-пароль і змінюйте його кожні шість місяців.
- Не зберігайте копію майстер-пароля на вашому телефоні, але зберігайте його в надійному місці.
- Будь ласка, перевірте, чи є паролі паролів (ймовірно, є) у вашому генераторі. Якщо так:
- Зробіть кожен пароль не менше 8 символів.
- Символи чорного списку, які важко читати людині (приклади нуль і одиниця, рядкова буква L, прописна і рядкова буква O, і символ трубопроводу | є прикладами). Вам може знадобитися вводити пароль час від часу!
Крім того, не забувайте оновлювати програму менеджера паролів і використовувати тільки програму від компанії, якій ви довіряєте. І не забудьте використовувати двофакторну автентифікацію для кожного облікового запису, який її пропонує.
Докладніше: Найкращі менеджери паролів для Android