Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов
Шрифт:
2. Ни под каким видом не используй в качестве пароля общепринятые идиотизмы, вроде сочетаний: «пароль», «password», «123456», «qwеrty» или «хххххх». Злоумышленники, наткнувшись на подобные «пароли», обижаются и думают, что их считают за полных идиотов. Между тем, полными идиотами являются как раз те, кто использует данные слова.
3. Никогда не используй в качестве пароля свое имя, имена близких, свои и их прозвища, а также свою и их даты рождения. Если ты зовешь жену «Кастрюлькой», а любовницу «Писюлькой» — не нужно думать, что об этом никто не знает, и эти данные не хранятся в каком-нибудь досье, лежащем в серой папочке в одном из сейфов по адресу... Впрочем, зачем тебе этот адрес?..
4. Пароль должен быть максимально обезличенным.
5. Крайне рекомендуется использовать в пароле различные регистры (почти всегда пароли рЕГисТРОзАвисИмЫ), а также сочетание букв, цифр и спецсимволов — это значительно затрудняет подбор пароля. Если пароль состоит только из латинских букв нижнего регистра — он подбирается довольно легко. Если регистр в слове постоянно мЕнЯЕтСЯ, причём по сложному закону, — это сразу на порядок увеличивает трудоёмкость подбора. Если же при этом в пароле ещё используются цифры (плюс 10 лишних символов) и спецсимволы (плюс ещё десяток символов) — это крайне резко ухудшает шансы на быстрый перебор. Это ухудшает шансы даже на длительный перебор.
6. Нередко в качестве пароля используют русскую фразу, введенную латинскими буквами (например, фраза «сегоднясуграшелдождь» в латинском варианте выглядит абсолютно неудобочитаемо — «ctujlyzcenhfitklj;lm» ). Это не самый худший способ на свете — к тому же, такой пароль легко запомнить, — однако не самый лучший. Потому что, с одной стороны, ты получаешь действительно длинный пароль (один мой знакомый использовал фразу «ненавижудлинноногихблондинокездящихвобщественномтранспорте» ), но с другой, есть шанс, что злоумышленник каким-то образом догадается, какую фразу ты написал. (Да-да, серьёзно. Мало ли, может, эту фразу ты будешь бормотать во сне. А жена или любовница нередко относится к тем самым злоумышленникам, в руки которых не должны попадать никакие пароли. Зато если в качестве пароля будет использована строка «K12Isa&w9#2q@» — ручаюсь, что ни во сне, ни в пьяном бреду ты её не произнесешь...) В любом случае, если ты используешь этот способ, тогда по крайней мере вставляй между словами один-два спецсимвола по определенному алгоритму. Например, фразу «попугаинабульварприлетели» лучше всего записать так: «попугаи!на$&бульвар'#$прилетели».
1. «Вы, конечно, будете смеяться», но пароль нельзя записывать на стикере и прилеплять его к монитору. Также пароль нельзя писать на листочке и класть его в ящик стола. Да-да, даже в том случае, если ты этот листочек хитроумно перевернёшь — чтобы враг ни за что и никогда не догадался.
2. Пароль также крайне не рекомендуется записывать в обычные или электронные записные книжки. Даже если ты хитроумно запишешь его задом наперёд. Даже если этот пароль ты закроешь другим паролем — каким-нибудь попроще.
3. С грустью приходится констатировать совершенно непреложный факт: пароли вообще нигде нельзя записыватьl Ни под каким видом! «Мысль изречённая есть ложь» — как сказал то ли философ древности, то ли Тютчев недавней современности. «Пароль записанный — есть не пароль, а дурдом на колесах» — это мысль Карла Шкафица, эксперта по информационной безопасности. Высеките её на скрижалях вашей памяти и запишите в книжечку. Пусть это будет единственная запись, относящаяся к паролям. Других быть не должно.
4. «Ну, и? — спросишь ты. — Как хранить-то этот чёртов пароль?» А в голове, друг мой, в голове. К сожалению, больше негде. Надеюсь, в голове в любом случае ты способен хоть что-то сохранить, в противном случае ты не стал бы Большим Парнем. Практика показывает, что намного проще чуть-чуть напрячься и запомнить пароль (вообще говоря, их должно быть несколько, но об этом позже), чем пытаться его куда-то скрытно записывать, а потом долго вспоминать, куда
именно.Один мой знакомый бизнесмен разработал совершенно зубодробительную систему, позволяющую ему записывать пароли так, что злоумышленник при всем желании не смог бы их прочитать, даже если бы по каким-то причинам обнаружил эти записи (что, кстати, само по себе было практически невозможно). Мы потом с этим бизнесменом вместе разобрали по составляющим его творческий метод и выяснили, что для того чтобы записать один пароль ему приходится держать в голове три других. После этого он попробовал просто запоминать основные пароли и никуда их больше не записывать. Ему понравилось.
Это хороший вопрос, друг мой. Правильный. Потому что один-единственный пароль — это такой же нонсенс, как и один-единственный счёт в банке. Паролей должно быть несколько — на разные случаи жизни. Обязательно!
Потому что это значительно повышает безопасность. Ведь если ты одним и тем же паролем запираешь ящик стола с журналами «для мужчин», дорожную сумку, сейф с деньгами и секретный раздел диска — это красиво и легко запоминается, но слеrка идиотично. Причем термин «слегка» я использовал только из уважения к твоему высокому общественному положению...
«И что, — раздраженно скажешь ты. — Теперь на каждый чих задавать свой пароль? И весь этот кошмар держать в голове?» Нет, такое даже я не посоветую. Точнее, посоветую, но я хорошо понимаю, что это нереально. Поэтому есть неплохой щадящий способ. Он называется — «Разделение защиты по уровням важности».
Как-нибудь вечерком ты садишься за стол (заметь — без стакана с виски) и аккуратненько делишь все ситуации, требующие ввода и хранения пароля, на различные уровни. Их может быть несколько. Например:
1. Минимальный уровень
Дорожная сумка, кодовый замок на ящике с порнушкой, доступ к телефонным счетам, обычные трепологические интернет-форумы — в общем, всё то, доступ к чему посторонних не вызовет больших проблем.
2. Средний уровень
Компьютерные папки (разделы диска) с офисными документами, специфические чаты и садо-мазо форумы (мало ли, какие у тебя тайные хобби), глубоко личные электронные записные книжки, электронная почта и так далее.
3. Высокий уровень
Онлайновый доступ к банковским счетам, компьютерные папки (разделы диска) с секретными документами и пикантными отчетами бухгалтерии, доступ к особо секретной электронной почте.
Что-то в этом роде. На самом деле количество этих уровней и виды доступа. к ним относящиеся, каждый для себя определяет сам. Кому-то страшнее потерять доступ на форум геев и лесбиянок, чем пин-код к кредитной карточке. А некоторым — совсем наоборот.
Что тут главное? Главное — чтобы этик уровней было не меньше трёх. Оптимальный вариант — пять уровней важности, к каждому из которых относится целый ряд различныx видов доступа.
Идея в том, что каждому из этих уровней соответствует свой пароль. Серьёзный пароль, непростой и сложный для запоминания (сложность для запоминания, разумеется, прямо пропорциональна сложности подбора). Но зато один для одного уровня. И его ты используешь для всех видов доступа, относящихся к данному уровню.
Появляется какой-то новый вид доступа — например, от тебя требуют ввести пароль на доступ к платным разделам онлайнового журнала, — ты должен быстро определить, к какому уровню его отнести, после чего вводишь соответствующий пароль. В дальнейшем нужно будет пару раз вспомнить, к какому уровню этот доступ относится, после чего ты с лёгкостью вспомнишь пароль. Конечно же, это уступка в надёжности в пользу легкости запоминания. Потому что по-хорошему для каждого доступа. должен быть свой, уникальный пароль. Но в современном мире от нас требуется столько паролей, что все их запомнить — просто нереально. Так что приходится использовать подобные методы. Они хоть как-то облегчают эту непростую жизнь.