«Ленивый» пароль – подарок взломщику

В этом выпуске «Технологике» мы поговорим о хороших и плохих паролях, защищающих пользовательские аккаунты, почтовые ящики и другую персональную информацию, находящуюся в Сети. К сожалению, у нас нет возможности опубликовать список хороших паролей или назвать самые лучшие, поскольку перечень таких комбинаций может быть бесконечным. Но зато плохих паролей гораздо меньше, ибо, как показывает практика, у владельцев плохо защищенных аккаунтов мысли сходятся.

На днях британское издание The Telegraph опубликовало на своем сайте список, в который вошли худшие с точки зрения информационной безопасности пароли, используемые интернетчиками для доступа к своей электронной почте, странице в социальной сети и различным учетным записям. Перечень составлен на основании исследования, проведенного компанией SplashData.

Оказалось, что самый популярный пароль – это слово password, которое с английского так и переводится – «пароль». На втором месте сочетание цифр 123456, на третьем несколько более сложное – 12345678. Четвертую позицию занимает пароль qwerty, и наконец, замыкает топ-5 самых неудачных паролей уже более сложная комбинация из букв и цифр – abc123.

В топ-25 британской компании вошло еще несколько комбинаций цифр (1234567, 123123, 654321), имена (ashley, michael), названия реальных и вымышленных животных (monkey, dragon), виды спорта (baseball, football), признания в любви (iloveyou) и самая прямая просьба войти в аккаунт (letmein). Все эти комбинации используют люди, считающие придумывание паролей простой формальностью, на которую нужно потратить как можно меньше времени. Однако у киберпреступников, зачастую пользующихся для взлома аккаунтов программными средствами, на отгадывание этих незамысловатых шифров уходит не больше.

Российские пользователи немногим отличаются от европейцев. Одно из основных отличий – кириллица. Далеко не все ресурсы позволяют регистрировать пароли в русской раскладке. «Хитрые» россияне набирают слова «пароль», «почта» или «Вася» (или другое собственное имя), переключив раскладку на английскую. Получается вроде бы ничего не значащее gfhjkm, gjxnf и Dfcz. Однако для взломщиков аккаунтов проникновение в такую учетную запись – задачка за первый класс.

Некоторые сайты отказываются регистрировать пользователя, если его пароль состоит только из букв или только из цифр. Но «продвинутый» юзер, упорно не желающий напрягать попусту мозг, тут же обходит запрет и вбивает пароль qwerty123. Главное – перехитрить администраторов сайта, а со взломщиками как-нибудь все обойдется. Однако нетрудно догадаться, чем все заканчивается. И ладно еще, если от имени взломанного пользователя где-нибудь в соцсети кто-то будет рассылать безобидную дурацкую рекламу. Гораздо хуже, если злоумышленники получат доступ к счету в интернет-банке, и плохой пароль обернется реальными денежными потерями.

Одна из распространенных ошибок – это регистрация паролей, так или иначе связанных с какими-либо личными данными пользователя. Например, не стоит использовать в качестве кода доступа собственную дату рождения, адрес, номер телефона и другие данные, особенно если они указаны на вашей странице где-нибудь в социальной сети.

Особенно одаренные пользователи знают очень коварный способ придумывания паролей. Они просто несколько секунд быстро нажимают на клавиатуре все клавиши подряд, и в результате получается некая абракадабра, которую, казалось бы, никто никогда не взломает. Но на самом деле некоторые программные решения хакеров предусмотрели и этот вариант, потому что после такого стихийного бегания пальцами по клавиатуре у разных «авторов» получаются одни и те же «шедевры». Так что взломать такие пароли вполне реально, а вот запоминание их для самого пользователя может стать задачей непосильной.

Если пароль был взломан один раз, его с большой долей вероятности взломают снова, если продолжать его использовать. Поэтому шифр, который однажды подвел, нужно записывать в черный список и больше не использовать, даже если это имя любимой кошки или еще что-нибудь, что так и тянет написать каждый раз.

Более того, даже если пароль не был взломан, не нужно использовать его для нескольких учетных записях на разных ресурсах. Все они должны быть разными. При этом чем меньше в них закономерности и логики, тем лучше. «Пусть это будет ничего не значащая комбинация, состоящая из букв как верхнего, так и нижнего регистра, а также из цифр и спецсимволов, если последние допустимы. И конечно же, чем длиннее будет пароль, тем лучше», – советует специалист по информационной безопасности Евгений Семенцов.

Самое главное в таком случае – это запомнить пароль самому. Конечно, проще выучить не просто комбинацию символов, а что-то, что хоть с чем-то ассоциируется. Поэтому можно либо придумать какую-нибудь расшифровку для своего пароля, либо все же использовать что-то имеющее смысл. Но в последнем случае нужно подойти к делу как можно более творчески и придумать нечто очень небанальное. Чем менее стереотипно будет мыслить создатель пароля, тем меньше шансов себя взломать он оставит злоумышленникам.

Можно использовать несколько приемов усложнения пароля, которые по отдельности дают не гарантированную защиту. Например, сначала придумать какое-нибудь оригинальное словосочетание. Пусть это будет, скажем, «тропическийгусь». Второй шаг – переписывание пароля в английскую раскладку – nhjgbxtcrbquecm. Если хочется еще больше запутать, можно получившуюся комбинацию напечатать в обратном порядке. Правда, тогда опять становится сложно запомнить.

Некоторые сайты при регистрации учетной записи сообщают, насколько сложный пароль вы вводите. Возможность проверить надежность пароля есть и на некоторых специальных ресурсах.

И наконец, простое правило, которое кажется очевидным, но именно его несоблюдение часто является причиной взломов. Не всегда при вскрытии паролей мы имеем дело с абсолютно незнакомыми нам людьми, находящимися где-то далеко. Иногда тот, кто взломал, находится рядом с вами, а пароль он узнал, потому что вы ему его сказали, чтобы он срочно посмотрел что-то в вашей почте. Поэтому нужно быть внимательными и думать, кому вы сообщаете свои данные.