Все, кому доводилось пользоваться паролями, знает правила, которых следует придерживаться для того, чтобы личный пароль было трудно угадать. Эти правила информационной безопасности стали почти стандартом де-факто:
- Паролем должно быть длинное, более 6 символов, слово, желательно бессмысленное. Кстати, в переводе с французского «parole» — это и есть «слово». Да и английское слово «password» составлено из двух половинок, вторая из которых, «word», тоже означает «слово».
- В пароле следует использовать вперемежку большие и маленькие буквы, цифры и специальные символы (вроде «!»).
- Пароль надо менять каждые 90 дней. Поэтому никто не стремится запоминать пароль. За несколько дней запомнить эту абракадабру можно, но бессмысленно, потому что скоро придётся поменять ее на другую абракадабру.Реклама
Внедрение этих нехитрых и вполне разумных правил в легкомысленные головы пользователей попортило много крови системным администраторам. А когда его стали «забивать» в алгоритм проверки пароля на достаточную сложность — тут-то стало плохо уже пользователям. Длинные и бессмысленные слова, в которых буквы перемежаются с цифрами — попробуй запомни. «И кто эту нелепость придумал!» — не раз, наверное, вздыхали тетушки из отделов кадров и из бухгалтерий.
Виновник всего этого безобразия известен. Это Билл Барр (Bill Burr). В 2003 году он возглавлял Национальный институт стандартов и технологий (NIST), который подготовил специальный отчет, где обсуждался вопрос «правильных» паролей для входа в информационные системы. Этот отчет и является первоисточником всех пользовательских страданий.
Но все течет, все изменяется. В августе 2017 года Билл Барр дал интервью серьезной деловой газете «Wall Street Journal», в котором сказал, что сейчас он бы отказался от некоторых рекомендаций, данных 15 лет назад.
Почему? Дело в том, что, как правило, пароль разгадывается тупым перебором возможных вариантов на очень мощном компьютере. При этом длина пароля оказывается более важным защитным фактором, чем разнообразие символов его составляющих. Тем более что число возможных символов ограничено, а на длину пароля ограничений практически нет.
«Ну и что? — спросит нас все та же тетушка из отдела кадров или из бухгалтерии. — Длинный пароль тоже запомнить трудно».
Как же специалисты предлагают нам действовать теперь, чтобы облегчить генерацию длинных паролей, а также их запоминание?
Они советуют выбирать случайным образом от 3 до 5 слов из обычного словаря и записывать их в виде длинного слова без пробелов. В качестве улучшающего варианта рекомендуется разделять слова каким-нибудь специальным символом (например, «-» или «_») или писать каждое слово с большой буквы.
Запомнить три слова может любой нормальный человек. Для этого не требуется грандиозных усилий или хитрых мнемонических приемов. В «Wall Street Journal» беседу с Биллом Барром иллюстрирует небольшой комикс.
В этом комиксе демонстрируется, что для расшифровки пароля
- Ну, во-первых, можно воспользоваться онлайн-генераторами длинных кодов. Введите в поисковик вышеупомянутое слово-пароль «correct-horse-battery-staple», и вы попадете на один из таких генераторов.
- А во-вторых, тем, кто английского языка не знает, придумать более стойкий пароль еще проще, чем англичанам или американцам. Нужно только использовать слова того языка, который хорошо знаешь.Реклама
Те, кто воспользуется языками с традиционно длинными словами, получат преимущество. Они могут запомнить всего одно или два слова. Например, хорошим кандидатом на пароль является немецкое слово «Ausweisnummer» («номер удостоверения личности») — 13 букв. Собственно номер удостоверения личности, своего или близкого родственника, удлинит этот прекрасный пароль еще на 8−9 цифр. Идеально!
Те, кто знаком с нидерландским, может выбрать в качестве надежного пароля фразу «EenBakjeTroost» («ЧашечкаКофе»), а те, кому не чужой латышский язык, могут воспользоваться в качестве пароля словом «pretpulkstenraditajvirziens» («ДвижениеПротивЧасовойСтрелки»). Говорят, это самое длинное слово латышского языка. Здесь оно написано неправильно, потому что некоторые буквы, свойственные только данному языку — с надстрочными и подстрочными знаками, пишутся без таковых. Ну и замечательно, врагам будет труднее разобраться!
Тем же, кто пользуется кириллицей или другой нелатинской письменностью, вообще раздолье. Большинство кириллических знаков напрямую транскрибируются в английские буквы. Для тех же букв, чья транскрипция неоднозначна («ц», «ж», «ы», «ь», «ъ», украинское «Ї»), следует решить для себя, как писать их английскими буквами. Одним из вариантов может быть — вообще пропускать на письме проблемные буквы. Неплохой пароль «VashePrevoshoditelstvo», не правда ли? Хорошо подходит в качестве пароля и слово «bishenche-arty», которое в Москве не всякий знает, а вот в Казани…
Похоже, что данный способ защиты своей приватной информации многим придется по душе.
Длинные слова в качестве пароля — лучшее решение.
И да, пароль необходимо периодически менять. Это старое правило остается в силе.
Чтобы не забыть о нем, в длинный пароль стоит добавить несколько цифр или слов — дату смены пароля. Например, так: «SismaHazakaAd0119».
Вводя этот пароль несколько раз на дню, не забудешь, что его следует сменить в январе 2019 года.