@домівка Віктора Чмеля

Аутентифікація користувачів в більшості інформаційних систем зараз тримається на статичних паролях, тобто таких, що певний і, як правило, доволі тривалий час не змінюються. Дана схема по-умному називається однофакторною аутентифікацією, бо користувач підтверджує свою особу лише одним фактором - своїм паролем (логін часто ніякого секрету не являє). В майбутньому, будемо сподіватись, така схема буде глобально замінена на вже існуючі двофакторні (від RSA, Aladdin, тощо), чи якість нові схеми багатофакторної аутентифікації. Але, як на мене, звичайні паролі ще довго-довго будуть слижити користувачам, сисадмінам і всім кому тільки можна. Тому треба їх правильно (!) обирати.

Стандартні поради як саме це робити, я думаю, вже набридло читати пересічному користувачу в численних статтях присвячених комп'ютерній безпеці, але я вирішив зібрати їх в одному місці і для довідки, і просто повторити ще раз, бо як казав Гете: "Істину треба постійно повторювати, бо і брехня проповідується навкруги нас постійно."

@ Вимоги до пароля

Теоретично найкращий пароль - це випадкова послідовність літер, знаків пунктуації та цифр, тому треба практично якось до цього хоасу наблизитись;). Отже, вимоги до нормального пароля:

1. Довжина. Більше 8 символів;
2. Складність. Використовувати великі та малі літери і цифри і спецсимволи (на зразок ;%:?*);
3. Нелогічність. Не використовувати ніяких ваших особистих даних та будь-яку іншу інформацію, що публічно доступна (логін, П.І.Б, дату нароження, номер телефону, дівоче призвище мами, прізвисько собаки, тощо);
4. Не використовувати назву комп'ютера, операційної чи поштової системи для яких придумується пароль, тобто не бути пов'язаним з об'єктом захисту;
5. Не використовувати слів, що можна знайти в словнику українському, чи іноземному (а значить будь-яких нормальних слів ;);
6. Не використовувати послідовність розташованих поруч символів на клавіатурі;
8. Унікальність. Для кожного нового об'єкта, використовувати інший пароль;
9. Простота. Гарно запам'ятовуватися і ніде не записуватися;
11. Змінність. Мінятись
    • принаймні раз на 3 місяці,
    • при звільнені співробітника, що знає пароль,
    • коли, на вашу думку, існує загроза безпеці системи, чи
    • вже після атаки:(, щоб вона не повторилася знову.

ОК, ці всі правила красиво виглядають, але виконати їх простим чином нелегко. Ось деякі поради, що я познаходив в книжках та в Інтернеті і творчо переробив;).

@ Поради

Перша

Як пароль використати перші літери чи склади кожного слова з добре відомої вам фрази (прислів'я, приказки, пісні, якогось гасла, тощо) і додати до них десь в середині трохи спецсимволів та цифр. Ну, наприклад: "Lemme tell you something Tell ya how I feel" ("Heartburn", Alicia Keys) може викликати такий ланцюжок перетворень: leteyoso->LeteYoso->Le2teYo$0, ну а це вже вийшов і непаганий пароль;) (Наскільки я пам'ятаю математику, цей метод нагадує одну з моделей генератора випадкових чисел. Тільки там беруться середні розряди в числі, що є коренем якогось іншого числа, чи щось на це схоже. Тобто до хаотичності ми все ж таки наближаємося ;)

Друга

Використовувати слова не з англійської, а з української мови, тільки набирати їх англійськими символами. Це полегшує запам'ятовування з одного боку і вносить ще більше хаотичності з іншого. Ну, наприклад: "ЗолотіКлючі"->"PjkjnsRk.xs". Не важко помітити, що літери хъжэбюХЇЖЄБЮ відповідають не англійським літерами, а спецсимволам - [];',.{}:"<>, тобто якщо такі літери зустрічаються в українській фразі, то в англійському еквіваленті вже автоматично з'являться спецсимволи. До речі, ніхто вас лише двома мовами не обмежує;).

Третя (мнемотехніки)

1. Метод шокуючого абсурду.

Складання короткої фрази, що не несе ніякого сенсу і в той же час викликає шок у користувача в даному соціальному чи культурному середовищі[2]. Пов'язано це з тим, що саме такі безглузді речі людина запам'ятовує найкраще;) Ну, тут мабуть головне не опуститись до лайки з матюками, щоб не зашкодити своїй душі. А найкраще придумувати якісь кумедні фрази. Наприклад: "Крокодили їдять банани", чи російський інтелегентний варіант про бабу і кобилу: "Леди с дилижанса - коням легче";).

2. Цифри.

Варіантів тут безліч, це лише один з них:
1 - И, L
2 - Д
3 - Т
4 - Ч
5 - П
6 - Ш
7 - С
8 - В
9 - Я
0 - О

3. Клавіатура.

При набиранні пароля натискати не ті кнопки на яких зображено потрібний символ, а найлближчі до нього вгорі/знизу/праворуч/ліворуч [4]. Таким чином простий пароль "LittleCat", перетворюється на скажімо ":oyy;rvsy".

4. Множинні паролі.

Якщо парк машин за який ви відповідаєте як адмін доволі таки великий, чи у вас 10 е-мейл адрес, то можна звичайно використовувати всюди один пароль, але це не є добре, бо людина яка його розкриє отримає золотий ключик, що відкриває всі двері. Використовувати 10 різних паролів? Ну, якщо ви Гарібян чи Шерешевський, то нема питань. Але для звичайної людини не озброєної ніякими спецтехніками запам'ятовування можна пароль зробити з двох частин. Де перша буде якось пов'язана з об'єктом захисту (наприклад ім'я машини), а друга буде окремо придумана, відповідати вимогам до паролів, але всюди однакова. Наприклад ім'я машини - bestcomp, приставочка - <s;bKjkf,s;b (БіжиЛолабіжи), отже маємо: bestcomp<s;bKjkf,s;b.

@ Післямова

Зрозуміло, продовжувати схожі поради можна до нескінченності, бо нема меж досконалості, і немає меж вашій фантазії при виборі паролю. Спробуйте перетворити цей процес на захоплюючу творчу роботу і тоді він вийде у вас складний і простий для запам'ятовування, бо саме Ви його придумали.

@ Посилання

[1] "Two-Factor Authentication – Making Sense of all the Options" by Rainbow Technologies, Inc. - гарна стаття, що описує всі проблеми однофакторної аутентифікації, та пояснює переваги багатофакторної.
[2] Немет Э., Снайдер Г., Сибасс С., Хейн Т.Р., "UNIX: руководство системного администратора", глава 3.3 Пароль суперпользователя., і першоджерело - "FAQ: How do I choose a good password or phrase?" http://www.virtualschool.edu/mon/Crypto/PGPPassPhraseFAQ.html
[3] Choosing a Good Password, http://wp.netscape.com/security/basics/passwords.html і російський переклад - http://abr.pp.ru/good-passwords.html.
[4] Правила выбора пароля, http://nsys.by:8100/docs/password.php.