Как придумывать пароли?
15 января 2017 г.
Как интернет-банку, почтовому сайту, блогу или форуму отличить вас от другого человека? Нужна аутентификация пользователя. Расскажу почему аутентификацию делают такой сложной и как придумывать пароли, которые нельзя забыть.
Для начала, давайте разберемся как работает аутентификация и зачем нужна пара логин-пароль. Почему, скажем, не использовать только пароль, без логина? Это просто — если бы система спрашивала только пароль, то может случиться так, что у кого-то двоих пароли совпадут, и система не сможет идентифицировать пользователя однозначно. Но, уникальным пароль делать нельзя — иначе тому, кто с этим столкнётся сразу станет понятно, что пароль уже кем-то используется. Поэтому, чтобы разобраться кто есть кто, кроме пароля, надо иметь публичное и уникальное обозначение каждого пользователя — логин.
Чтобы логин был уникальным, можно использовать любое слово, но удобнее использовать что-то уже обладающее уникальностью, например, название почтового ящика, номер телефона или СНИЛС.
Как известно, самый лучший секрет, тот который никто кроме вас не знает. Поэтому, если вы контролируете, что ввод пароля не допускает его утечки, не может быть подсмотрен и уж тем более нигде не записан, хранится по сути только у вас в голове, то логин-пароль это достаточно надёжная защита.
На практике же, большинство людей невнимательны: используют простые пароли, которые легко подобрать; используют один и тот же пароль, поскольку не могут запомнить больше одного; забывают пароль, сбрасывают, восстанавливают, а в следующий раз не могут вспомнить новый. То есть, условие безопасного хранения пары не выполняется.
Поэтому, если есть вероятность, что пара утекла от владельца (скомпрометирована), надо каким-то образом убедиться, что тот, кто вводит эту пару, является тем самым человеком, владельцем этой пары. Задача, на самом деле, по настоящему не решаема до сих пор (никакие радужки, TouchID, отпечатки, не выдерживают критики, даже ввод ДНК был бы не достаточно убедителен). Но косвенно можно — придумали использовать «двухфакторную аутентификацию». То есть кроме логина-пароля просят в добавок второй фактор, с моментальным реагированием по какому-то другому каналу связи: нажать на ссылку в отправленном письме, ввести номер из СМС, ввести номер из токена и т.п., из предположения, что злоумышленнику завладевать двумя путями сложнее чем одним. Поэтому если не умеете помнить разные пароли, то вам лучше пользоваться двухфакторной аутентификацией.
Но предположение это не всегда верное — сегодня оба маршрута, и ввод пароля и ввод подтверждения из сообщения или приложения, могут приходить на одно устройство — на телефон, планшет или ноутбук. И это устройство, в момент аутентификации должно быть у вас и работать. Это не очень удобно, например в поездке, когда телефон сел или не работает. А если украли телефон или почтовый ящик — значит вы потеряли не только их, но и скомпрометировали доступ к своим аккаунтам, банковской карте.
Подводя итог: обычный пароль, по сравнению с двухфакторной аутентификацией, опасен только в том случае, если есть вероятность что пароль узнают. Если такая вероятность с большой уверенностью исключена, или привязка ко второму способу подтверждения в двухфакторной аутентификации для пользователя может быть не доступна, то пароль удобнее чем двухфакторная аутентификация.
Простой способ придумывать и помнить сложные и разные пароли
Если ваш мозг позволяет вам быть внимательным, то предлагаю вам один из способов, как помнить все пароли разом. Это упрощённый и очеловеченный способ «с использованием соли». Когда вникните в сам принцип, легко придумаете как изменить способ под ваши способности.
Пароль будет составной, из нескольких слов, по правилам, которые вам легко запомнить:
- Первое слово — запись названия ресурса для которого придумываем пароль, мнемоническая часть. Всегда есть способ записи названия ресурса который для ваc однозначен, и легко вспоминаем. Придумайте одну простую схему, как бы слово записать. Например, с большой буквы, для Яндекса: Yandex, а для гугла: Google. Или вставить единичку: y1andex и g1oogle.
- Второе слово — слово-балласт, для полноты длинны. К паролям часто требуется чтобы они содержали заглавные буквы, цифры и спецсимволы и были длинной от 8 до 20 знаков. Значит наш балласт должен всё это содержать и быть хотя бы 4 знака длинной. Например, Vovka@5.
- Индекс пароля. Он может быть и цифрой и буквой. Если вам придётся поменять пароль, то вы измените его на один шаг. Например, 73, qw. А если придётся поменять, то станет 74, we.
- Порядок в котором составляется пароль из этих трёх слов. Например, в порядке индекс-название-балласт: 73YandexVovka@5, 73GoogleVovka@5. Или в другом, балласт-название-индекс: Vovka@5y1andexqw, Vovka@5g1oogleqw. Выберите одну из шести возможных перестановок.
То есть, нам надо помнить только схемы составления паролей, что для человеческого мозга проще, чем запоминать набор знаков, а уж пароли по этим схемам сами получаются сложные. Название всегда будет перед глазами в адресе ресурса, второе слово это балласт, единственное что надо запомнить для всех паролей сразу, а третье слово индекс чаще одно и то же, но если меняли пароль— только его менять. Такие пароли перебором взломать сложно. Конечно, любой способ при умении можно разгадать, но такие пароли будут намного сложнее и будут все уникальные, не то что ваш универсальный пароль типа «имя кошки, да год рождения», а лёгкость запоминания та же самая.