Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Надежный пароль

Эксперты в области информационной безопасности и большинство пользователей согласны с тем, что надежный пароль очень важен. Проблема заключается в том, что действительно сложные пароли, удовлетворяющие принятым в организациях требованиям, очень сложны для запоминания.

  В результате сложные пароли хранятся приклеенными на монитор, несколько разных ресурсов могут быть закрыты одним паролем, а иногда могут использоваться элементарные пароли типа «12345» или «user». Пользователи  предпочитают игнорировать правила безопасности, не желая загромождать память бессмысленными комбинациями символов,  а между тем, данная задача может иметь эффективное решение.

Для создания и запоминания сложных паролей можно использовать различные мнемонические техники. Все они сводятся к тому, чтобы создать внешне совершенно бессмысленную и удовлетворяющую правилам генерации паролей  комбинацию символов, которая при этом имела бы смысл для самого пользователя и легко им запоминалась. Рассмотрим несколько вариантов.

1. Выбрать фразу, которую вы хорошо помните наизусть  и которая имеет для вас значение  (стихотворение, строку из песни, цитата из фильма и т.д.). Далее необходимо записать первые буквы первых шести слов (или первые две буквы из первых восьми слов и т.д. – так можно регулировать длину пароля). Между буквами добавить по специальному символу, а некоторые буквы можно заменить похожими цифрами. Мы получили базовую комбинацию, на основе которой можем создавать уникальные пароли для каждого сервиса. Для этого эксперты рекомендуют  дописать к паролю слово - ассоциацию, которая возникает у вас при мысли о данном сервисе. Например, таким способом из детской песенки «Twinkle twinkle little star how I wonder what you are» получаем базовый пароль «T#T#L#S#H#I», а пароль для Facebook  может быть   «T#T#L#S#H#Iblue» (добавили слово-ассоциацию к цвету оформления).

2. Кодовая фраза, которую легко запомнить, берется целиком, модифицируется по определенному правилу (например, добавляются специальные символы между словами, буквы заменяются похожими цифрами и т.д.). Такой пароль получается длинным, взломостойким  и легким для запоминания пользователем. Специалисты приводят такой пример: «ЯКВамПишу4егоЖеБоле». Запомнить такую кодовую фразу и модификации в ней не составит труда.

3. Еще эффективнее не брать готовую фразу, а формировать ее самостоятельно. Специалисты проводили эксперимент,  в ходе которого участникам предлагалось выбрать одного персонажа из списка, к этому добавлялись случайно выбранные компьютером действие и объект. В дополнение к тройке «человек — действие — объект» участникам исследования показывали изображения с каким-либо местом действия и просили представить итоговую картину. Например,  у участников исследования получилась фраза «Учитель Йода роняет микрофон в подводной лаборатории». Такой  пароль будет вполне взломоустойчивым, а фраза хорошо запоминается в силу своей абсурдности. Исследования также показали, что число комбинаций для взлома методом полного перебора пароля из 10 символов (буквы латиницы, цифры, основные символы) будет значительно меньше, чем если бы пароль состоял из пяти достаточно распространенных слов. Фраза из обычных слов дает более надежный пароль, чем незапоминаемый набор символов.

Выбирая длину и сложность пароля, необходимо оценить важность защищаемой информации, предполагаемую  частоту пользования службой (и набора пароля), необходимость набирать пароль на смартфоне или планшете. В зависимости от этих факторов можно делать фразу и модификации проще и сложнее.

Эксперты Центра кибербезопасности рекомендуют  также обращать внимание на следующие моменты.

Наиболее важным из всех является пароль к основной электронной почте.  Этот почтовый ящик — «мастер-ключ» для всех остальных сервисов, на которых вы зарегистрированы, поскольку он дает возможность воспользоваться функцией восстановления паролей для всех привязанных к нему аккаунтов.  Для этого пароля лучше не использовать ту же схему, что и для других учетных записей, он  должен быть уникальным.

В ряде случаев злоумышленнику проще воспользоваться механизмом восстановления забытого пароля. Практика показывает, что угадать ответ на  «секретный вопрос» не так уж сложно. Рекомендуется при регистрации на сайте придумывать оригинальный вопрос самостоятельно, не используя шаблонные «девичья фамилия матери» и т.п. Если же такой возможности нет, можно использовать тактику абсурда, когда ответ не имеет ничего общего с секретным вопросом.

Русскоязычные пользователи часто используют написание пароля из русских букв при включенной английской раскладке. На первый взгляд такие пароли выглядят надежными  и запомнить их легко. Однако взломщиками уже созданы  специальные словари, позволяющие перебирать такие пароли. Кроме того, созданный по такой технологии пароль крайне неудобен при наборе на экранной клавиатуре смартфона или планшета.

В случае, если возникает необходимость запомнить большое количество паролей, целесообразно использовать  специальное приложение для компьютера и смартфона – менеджер паролей. Такие приложения  позволяют хранить все пароли в надежно зашифрованном виде. Запомнить нужно всего один пароль, открывающий эту базу данных, и он уже может быть сколь угодно сложным.