Правильные пароли для интернета

Вы когда-нибудь задавались вопросом, почему на всех сайтах нас заставляют создавать такие сложные пароли? Я задался.

Вот пример, взгляните на 2 пароля:

1. pN4v!lu9A
2. sobakaspitnaverande

Как думаете, какой из них сложнее взломать с помощью компьютера? А какой легче запомнить? Ответы на оба эти вопроса: второй.

Но люди продолжают создавать такие пароли, как номер 1. Людей обучили создавать пароли, которые невозможно запомнить, по причине… а, собственно, без реальной причины. Давайте разберемся.

На самом деле, в интернете существует море ужасных тенденций. Валидация — одна из них. Front-end разработчики должны нормировать данные, которые пользователи вносят в так называемые «поля ввода». Эти поля — места, куда вы вносите свои данные (имя пользователя, электронную почту, адрес и всё такое). Задача разработчика сводится к тому, чтобы пользователь не мог ввести в поля что-то вредоносное или неправильно форматированное.

К примеру, если поле подразумевает ввод почтового индекса, то чаще всего в него можно вписать только числа и пробелы. Если мы говорим о конкретной стране, то и на эти числа можно добавить дополнительное ограничение. Поле для номера телефона чаще всего включает в себя номера и знаки «плюс» (только в начале) и «решётка» (#). С e-mail в плане валидации всё обстоит сложнее: считается, что адрес почты должен содержать «собаку» (@), хотя почтовый адрес может спокойно обойтись и без неё. Некоторые сайты идут дальше и ограничивают пользователей, чтобы те не вводили слишком короткие или слишком длинные юзернеймы и не использовали в них определённые символы.

Валидация используется по нескольким причинам. Самая очевидная из них, обоюдная безопасность. Валидация не только позволяет пользователям чувствовать себя безопаснее, но и банально защищает сайт от ввода вредоносной информации там, где это не предусмотрено. Ещё одна причина: попытка использовать определённый вид данных. Если поле должно содержать только числа, то и база данных для неё скорее всего настроена только для чисел, что значит, появись в ней, например, буква или символ — всплывёт ошибка.

Но всё-таки главной причиной является спасение юзера от совершения банальных ошибок.

От front-end разработчиков часто ожидают, что они будут нянчиться с пользователем, дабы тот выбрал надёжный пароль для своего аккаунта. Слышали когда-нибудь такое: в пароле должно быть как минимум восемь символов, он должен сочетать в себе символы обоих реестров, ещё неплохо было бы использовать какое-нибудь число, и ещё, чтобы наверняка, добавьте в пароль специальный символ, скажем, восклицательный звук.

Вот так и мы получаем наш пароль из самого начала: pN4v!lu9A. По всем нормам безопасности он считается стабильным и надёжным. Если учесть, насколько часто нас просят создавать подобные пароли, будет правильно сказать, что pN4v!lu9A — пример хорошего пароля.

Но не стоит заблуждаться. В этом пароле нет ничего хорошего.

Во-первых, а как запомнить такой пароль? А если их несколько? Всё это приводит к тому, что пользователи начинают хранить пароли в одном месте. А потом их «неожиданно» взламывают.

Во-вторых, пользователи начинают использовать один пароль, пусть и очень сложный, для разных сервисов. Когда вы создаёте аккаунт на популярном веб-сайте, магический код незаметно превращает ваш пароль в хэш (часто именно эту процедуру путают с шифрованием). В базе данных будет храниться не ваш пароль, а что-то такое: jjKKSS8890llKKAa88ae00abDaf8s9sfusafjsfUyydd982sxA6h.
Даже в случае взлома базы данных злоумышленники вряд ли смогут что-то сделать с такой информацией.

Но не думайте, что ваш настоящий пароль нельзя будет узнать, особенно если он достаточно простой, равно как и если алгоритм хэширования достаточно прост. Но сложный пароль на сайте с высоким уровнем безопасности обыкновенно обеспечит вам сохранность данных.

Но далеко не все сервисы занимаются хэшированием паролей своих пользователей. Если вы используете одинаковый пароль для нескольких сервисов, однажды вы рискуете оказаться на слабо защищённом сайте, где ваш пароль сохранится в первозданном виде. Один взлом такой системы и у хакеров на руках окажутся все ваши аккаунты разом. И такое происходит куда чаще нежели вы думаете.

Вот почему вы ОБЯЗАНЫ использовать разные пароли для разных сайтов. Хотя сейчас существует так много сайтов, что на все не успеваешь заходить, так как же запомнить все разные пароли? У продвинутых пользователей, вероятно, найдётся генератор паролей, но далеко не каждый юзер интернета готов тратить на это время. Существует решение попроще.

Взгляните на пример пароля: marsatakuet. 11 обыкновенных символов, все нижнего регистра. Скромной пары-тройки минут будет вполне достаточно, чтобы современный компьютер методом брутфорса подобрал пароль. Давайте заменим пару символов на числа (ma7satak9et) и подбор займёт чуть более часа. Немного заглавных букв заставят взлом длиться пару дней (ma7sAtak9ET). Наш любимый специальный символ (ma7sA!ak9ET) и вовсе доведёт время взлома до месяца.

ma7sA!ak9ET выглядит как сложный пароль. Человек никогда не догадается до такой комбинации, а у компьютера на взлом уйдёт немалое время. Единственная проблема с таким паролем — запомнить его не так-то и просто, но даёт ли он при этом максимальную безопасность?

Давайте взглянем на другой пароль: rossiyachempionmira (Россия — чемпион мира). Тут 19 символов, все из нижнего реестра. Ни чисел, ни случайных символов, ни проблем. Такой пароль компьютер будет взламывать годы. Чем больше символов в пароле, тем сложнее компьютеру будет его подобрать. rossiyachempionmira — это не только безопасный пароль, но и абсолютно не угадываемый. К тому же легко запоминаемый и ну очень патриотичный.

Пусть ваш пароль рассказывает логичную историю. Нужен пароль для Фейсбука? Как насчёт bukinistslushaetfeisa (букинист слушает Фейса). Визуализируйте это! Наша пространственная память — самая сильная. Главное связать пароль с сайтом, для которого вы его придумываете. Нужно использовать своё воображение, чтобы люди никогда не могли угадать тот набор слов, который вы используете. Вы ведь нечасто говорите о хамелеонах? А вы когда-нибудь видели заспанного хамелеона? Ну-ка представьте. При создании пароля можно и соврать, никто вас не осудит: yavizhuzaspannihhameleonov (я вижу заспанных хамелеонов). Такой пароль будет подбираться брутфорсом куда больше нескольких лет. И никто, даже самый умный человек на земле, не угадает его.

Подобные пароли легко придумывать и запоминать. Но как же быть с сайтами, которые требуют включать в пароль спецсимволы и заглавные буквы? Немного обманем систему, просто добавим к паролю A1! и, если система не посчитает пароль слишком длинным, она примет его. Не забывайте, что пароль всегда можно сократить. Не волнуйтесь насчёт A1!, подобная добавка не делает ваши пароли более уязвимыми, даже если вы используете её сразу для нескольких сайтов. Использование A1! в ваших паролях — это прихоть системы, которая ничем не обуславливается, а запомнить её не составит труда.

Не обижайтесь на узколобость системы, программисты желают вам только хорошего. Стоит уточнить, что люди зачастую используют слабые пароли. Работники вэб-сервисов уже устали от постоянных передряг с утечками данных, вот почему они заставляют вас создавать более безопасные пароли, какими громоздкими бы они не получались.

Попробуйте использовать технику с креативным подходом к созданию паролей. Это поможет вам не только усилить собственную безопасность, но и банально избавит от необходимости создавать нелогичные и запутанные пароли.

И да, пообещайте не использовать любимые народные комбинации: 123456, пароль123, qwerty. Эти пароли действительно плохие, избавьтесь от них навсегда. Теперь вы знаете почему вас заставляют создавать пароли типа pN4v!lu9A.

Но это совсем не обязательно.

Источник: