Простые приемы для защиты паролей

23.12.2014 | 15:18 Аналитика

Как запомнить сложный и уникальный пароль?

Все знают, что нынешние системы хранения имен пользователей и паролей постоянно взламывают. Известно, что русские хакеры завладели более чем миллиардом паролей, а новости о новых взломах появляются регулярно. Справедливо предположить, что, если хакеры еще не завладели вашим паролем, они собираются это сделать.

«Большинство веб-сайтов и компаний требуют паролей, содержащих не менее восьми символов, нижний и верхний регистр, цифры, и один или несколько специальных символов», говорит Висент Берк, генеральный директор компании сетевой безопасности FlowTraq.
Такие политики паролей уменьшают безопасность в целом, утверждает Джэйкоб Вэст, технический директор HP Enterprise Security Products. «Мы должны вернуть здравый смысл в наши политики паролей», говорит он. «Человек никогда не будет в состоянии удовлетворить эти требования».

Поскольку люди не могут помнить пароли, они используют одни и те же снова и снова. На самом деле, по данным ноябрьского исследования RSA и Ponemon Institute, 69% потребителей используют один пароль на нескольких сайтах, хотя почти 50% стали жертвами утечек данных.

Носить с собой список паролей в бумажнике — тоже не выход, потому что ваш кошелек может быть потерян или украден. Заметит вор или нет, ваш список паролей, вы потеряете все ваши пароли и вам придется вручную сбрасывать доступ ко всем сайтам, и остается надеяться, что ни один из них не связан с адресом электронной почты, к которому у вас больше нет доступа.
Кроме того, если ваша работа связана с паролями в этом списке, у вас будут неприятности с работодателем из-за записи и утери паролей.

«Правда в том, что пароли используют далеко за пределами срока годности», говорит Джейсон Харт, генеральный директор Identiv, поставщика безопасности из Фримонта, штат Калифорния. «Единственный разумный ответ заключается в переходе к универсальной системе на основе стандартов, включающей не только пароли».

Добро пожаловать в двухфакторный ад

Харт, и многие другие эксперты по безопасности, рекомендуют более широкое использование многофакторной аутентификации.

«Двухфакторная аутентификация и биометрия — хорошие технологии для укрепления паролей», говорит Боб Вест из CipherCloud, поставщика облачной безопасности в Сан-Хосе. «Но проблема в том, что на практике большинство приложений не может поддерживать двухфакторную аутентификацию».

Кроме того, целый ряд двухфакторных технологий имеет свой собственный набор проблем. «Насколько мы сейчас находимся в аду паролей, настолько же второй пароль сделает все еще хуже», говорит Андре Бойсен из SecureKey Technologies.

Существуют SMS сообщения с одноразовыми паролями или кодами аутентификации. Приложения для смартфонов. USB-ключи и смарт-карты, а также брелоки различных видов.

Анализаторы голоса, анализаторы набора скорости, приложения, которые отслеживают прорисовку шаблона пользователем. Сканеры отпечатков пальцев. Камеры, которые распознают ваше лицо или отслеживают ваши глаза или выражение лица.

«Это вводит в заблуждение пользователей», говоритБоузен.

Нужно ликвидировать пароли везде, где это возможно

Предприятия могут облегчить жизнь своим сотрудникам с помощью запуска портала единого входа, обеспечивающему доступ к инструментам и приложениям, которые нужны определенным сотрудникам, и способному отслеживать их поведение в системе. Строгая аутентификация в точке входа в систему, а также повторная поверка фактора необычного поведения может повысить безопасность без чрезмерного обременения сотрудника.

Самое главное, устранить угрозу привилегированных учетных записей пользователей – это одна из самых опасных атак на предприятия. Тем не менее, это пока не вариант для каждого облачного приложения, к которому сотрудникам, возможно, потребуется доступ.

Вот некоторые олдскульные способы отслеживания личных и рабочих паролей.

1. Шифрование с помощью подстановки букв: a=b

Шифры с помощью подстановки букв существуют почти столько же, сколько и алфавиты. Каждая буква заменяется либо другой буквой, либо цифрой, или символом — так же, как в головоломках в газетах.

Довольно простой шифр — замена каждой буквы на следующую в алфавите. Так, например, «cat» становится «dbu», а «dog» становится «eph».

Таки шифры легко взломать, если у вас есть несколько предложений с зашифрованным текстом, и, если вы знаете заранее, какой тип шифра используется.
Он становится крайне сложным, если фрагменты короткие, и, если хакер не знает, что вы его используете.

Например, ваш список паролей выглядит следующим образом: “bank: pineapple!1, email: butterfly?2, social: cumulus#3”. Если хакеры получат в свои руки ваше список, они могут попытаться ввести “pineapple!1”, а если это не сработает, они могут ввести слово в обратном направлении. Но шансы, что они попытаются ввести “qjofbqqmf!1” довольно низки, они могут с таким же успехом использовать метод грубой силы, стараясь перебрать все возможные комбинации букв и цифр.

2. Шифр с заменой букв: a=s

Этот работает замечательно, если бы вы печатаете вслепую. Просто переместите пальцы на одну клавишу вправо, когда вы вводите пароли. “Cat” становится “Vsy”.
При таком подходе, цифры и символы заменяются, и нет необходимости в запоминании.

3. Никогда не записывайте зашифрованные пароли: пишите banana, а не nsmsms

Может показаться более безопасным, записать, скажем, “nsmsms” вместо “banana”, а затем ввести “banana” в качестве пароля на сайт, держа расшифровку кода в своей голове.

Однако записать “banana” и держать шифрование в голове, а не записывать “nsmsms” и делать расшифровку — более безопасно. Это потому, что хакер или вор, который получит ваш список, не получит данные о методе шифрования, который вы используете.

Если видят хакеры увидят “nsmsms” и несколько других, очевидно, зашифрованных слов, они могут поддаться искушению попробовать свои силы в их расшифровке — например, проведя их через решатель криптограмм. И они узнают, что добились успеха, потому что в конце они получат “banana”.

С перечнем простых слов, нет ничего, что намекнет хакеру, что вы делаете что-то сложное. И когда они не сработают — ну, может быть, вы их изменили, или переставили местами на разных сайтах.

Но вы все еще можете захотеть записать что-то вроде “bank: pineapple!1, email: butterfly?2, social: cumulus#3”, особенно, где-то, где босс, коллега или сотрудники службы безопасности вашей компании могут увидеть и расстроиться.

Рассмотрите возможность использования кода вместо шифрованного пароля.

4. Используйте любимую песню

В старину, один из распространенных способов обмена секретными сообщениями заключался в использовании двух одинаковых экземпляров книги – Библии или любой другой книги.
Чтобы отправить определенное слово, вы находите его в книге и записываете его номер и положение на странице. Код был громоздким, и работал только до тех пор, пока ваши враги не знали, какую книгу вы используете.

Но это простой способ для генерации паролей, так как вам нужен только один экземпляр книги. На самом деле, вам даже не нужна книга. Вы можете использовать молитву, которую помните, стихотворение или песню. Если вы не можете запомнить вообще ничего, можно использовать то, что легко найти онлайн. Но вы действительно не знаете ни одной песни наизусть?

Например, песня “The wheels on the bus go round and round.”
Поскольку никто не знает, какая песня играет снова и снова у вас в голове, никто не догадается, что означает этот код, если не получит несколько ваших паролей, а затем поработает в обратном направлении и реконструирует текст песни.

5. Мнемонический код: a=alpha

Зачем записывать список слов, когда вы можете использовать трюк для запоминания, который использовали фокусники на протяжении веков — мнемонику?

Начните с алфавита, например, “a — apple, b — banana”, или “a — alpha, b — bravo”.
Затем используйте слово, которое соответствует первой, или последней букве в названии сайта, для которого требуется запоминать пароль.

Например, если вы решили построить свой код на первых двух буквах сайта, и вы хотите вспомнить пароль для bank.com, вы начинаете с «bananaapple». Поставьте дефис, и вы получите требуемый символ.

Объедините его с техникой замены символов, и пароль для bank.com становится “nsmsms=s[[;r” – удачи всем, кто попытается угадать его.

Или, вместо алфавита, вы можете использовать свою любимую песню. Таким образом, “b” является второй буквой в алфавите, а “a” — является первой буквой, так что у вас получится “wheels-The”.

Другой подход заключается в мнемонике на основе чисел, где , “zero is hero, one is bun, two is shoe”. Так сайт bank.com, с четырьмя буквами в имени домена, будет иметь базовый пароль “zero-door”. Выбросьте “zero”, и можете также использовать слова песни.

Эта техника не даст вам уникальный пароль для каждого сайта, но она предоставляет широкий спектр возможных паролей.

6. Добавьте имя сайта в конец пароля: banana-twitter

Для обеспечения уникального пароля для каждого сайта — без необходимости их записи, добавьте имя сайта к концу пароля, предлагает Луис Корронс, технический директор поставщика облачной безопасности Panda Security.

Таким образом, для bank.com, вы добавляете “-bank” в конце. Для ваших социальных аккаунтов: «-twitter», «-facebook» и «-linkedin», или можно сократить: «-twit», «-face» и «-link».

7. Трюк с изменяемой датой: banana-q1-14

Но то, что делать с компаниями, которые заставляют вас изменять пароли каждые три или шесть месяцев?

Просто добавьте год и квартал, чтобы в начале или в конце пароля. Если ваш базовый пароль “banana”, получится “banana-14-q1” или “banana-14-q2” или “banana-2014-h2”.

После смещения на одну кнопку на клавиатуре, получаем “nsmsms=3-25=j3”.

И — вуаля! Уникальный пароль, который вы можете запомнить, его трудно угадать, и его можно регулярно менять.

Как насчет менеджеров паролей?

Популярной альтернативой является использование инструмента управления паролями, который держит все ваши пароли в зашифрованном файле. Обычно у него есть приложения для настольного ПК, ноутбука и мобильных устройств.

Но новый отчет по результатам исследования, который появился в августе этого года, представленный на симпозиуме USENIX Security Symposium в Сан-Диего, обнаруживает уязвимости безопасности в четырех из пяти основных менеджеров паролей.

«Мы обнаружили уязвимости в различных функциях, таких как одноразовые пароли, букмарклетах и общих паролях», говорят авторы исследования. «Основные причины уязвимости также разнообразны: начиная от логических и ошибок авторизации до неправильного понимания модели веб-безопасности».

Кроме того, многие люди выбирают менеджеры паролей, которые предлагают веб-доступ, что удобно, если вы используете чужую машину, когда вам нужно получить доступ к вашим аккаунтам. Но это означает, что хакер может использовать кейлоггер для получения всех паролей сразу.

И это в дополнение к уязвимостям букмарклетов, сетевым уязвимостям, и уязвимостям пользовательского интерфейса, обнаруженным исследователями безопасности. Исследователи сделали доклад о найденных проблемах для участвующих поставщиков, и большинство из багов были исправлены в течение нескольких дней после раскрытия. Но беспокойство остается.

«Наше исследование показывает, что проблема безопасности для менеджеров паролей все еще актуальна», говорят исследователи.