Статья не претендует на полное руководство по безопасности в сети, но возможно поможет некоторым начинающим (и не очень) бораздёрам просторов интернета сохранить в тайне от недоброжелателей их нехитрые пароли. И не судите строго, это первый хабропост.
Для хорошего анализа давайте разберёмся как же человек получает свой первый пароль и что делает потом, когда ему надо зарегистрироваться?
Вариант, когда первый пароль выглядит как m3Sp$R3 человеку дают напечатанным на бумажке рассматривать не будем, как не представляющй интереса. Обычно в качестве пароля люди выбирают что-нибудь простое. Напечатать 123456 пока знаний и опыта не хватает =), однако что-нибудь вроде kalininanina вполне могут… А дальше количество паролей растёт как грибы. Нужно зарегистрировать почту, аську, контакт… Что делать, выдумывать каждый раз новый пароль? «Конечно!» — скажете вы и будете абсолютно правы. Но какой процент людей так делает? Чаще всего пароль один.
Хорошо, пусть будет один, предположим он никогда даже не потеряется, никто его не знает подобрать/украсть не сможет. (ладно, ПОКА не смог). Подумаем, какие могут быть другие пути… Пароль хранится только в виде хэша (очень на это надеюсь!) в базе крупных web-приложений, вроде социальных сетей и почтовых серверов. Вероятность утечки там исчезающе мала. Но только ли там он есть? Если вам предложат зарегистрироваться на форуме любителей, например, %марка_вашего_автомобиля%, или ещё какой интересной вам тематики, какой пароль обычно вводится? А попутно сообщается e-mail в форме регистрации, а может быть и аська, профиль в соцсети и ещё дофига всякой полезной информации о себе. Осталось только проверить куда подходит пароль и дело в шляпе. Так что же делать? Не знаю =) Могу рассказать что делаю я, но моё решение подойдёт не каждому.
Во-первых надо придумть хороший пароль. Хотя бы один. Как придумывать пароли много где пишут, например тут. Используйте его только на проверенных сайтах, таких как гугл, яндекс (на мейле не используйте), аська, ваша любимая соц. сеть. Вобщем там, где вам важно не потерять аккаунт и сервис сам по себе вызывает доверие.
Во-вторых придумайте простой для набора пароль. Если сервис доверия не вызывает, используйте пароль вроде 1@3$5^ или ][p}{P (понятно почему он простой), главное чтобы там было больше 5 знаков. Можно на всех сервисах, где аккаунт не особо для вас важен использовать его.
Ну а если у вас много важных аккаунтов, потерять их никак нельзя, а вопрос о доверии к сервисам вообще не понятно как решать, то пора заводить мэнеджер паролей. Во многих браузерах есть встроенный, а в некоторых даже единый с хранилищем на серверах компании разработчика браузера… но я им почему-то не доверяю.
Сфера моей деятельности связана с вебом и работой над многими проектами, паролей приходится использовать неимоверное количество. Хостинги, фтп, базы данных, админки сайтов, в конце концов обычные регистрации, все требует пароль. Поэтому однажды я сказал себе «Хватит!» и полез искать программку для хранения паролей. После нескольких дней чтения обзоров и изучения сайтов программ я выбрал для себя уже обсуждавшийся на хабре KeyPass . Немаловажным фактором стала опенсорсность проекта а также наличие русской версии, и некоторые удобные и приятные возможности, такие как автонабор паролей в форме, независимо от таго, какое это приложение.
Поначалу сложно заставить себя перенести все пароли в хранилище, однако оно того стоит. Мне кажется самый взыскательный параноик будет удовлетворён её возможностями =). Режим, при котором доступ к паролям можно получить только вставив флешку с ключевым файлом и введя пароль, напоминает банковские требования к безопасности. А главное, внесенный однажды пароль от хостинга или аськи, который может не требоваться годами, в нужный момент всегда будет под рукой.
Скорее всего большинству людей действитетельн не нужно менеджера паролей, но уж отключить запоминание паролей в браузере и отказаться от использования одного и того же пароля везде думаю стоит отказаться независимо ни от чего.
Для хорошего анализа давайте разберёмся как же человек получает свой первый пароль и что делает потом, когда ему надо зарегистрироваться?
Первый пароль
Вариант, когда первый пароль выглядит как m3Sp$R3 человеку дают напечатанным на бумажке рассматривать не будем, как не представляющй интереса. Обычно в качестве пароля люди выбирают что-нибудь простое. Напечатать 123456 пока знаний и опыта не хватает =), однако что-нибудь вроде kalininanina вполне могут… А дальше количество паролей растёт как грибы. Нужно зарегистрировать почту, аську, контакт… Что делать, выдумывать каждый раз новый пароль? «Конечно!» — скажете вы и будете абсолютно правы. Но какой процент людей так делает? Чаще всего пароль один.
Кому вы отдаете свой пароль
Хорошо, пусть будет один, предположим он никогда даже не потеряется, никто его не знает подобрать/украсть не сможет. (ладно, ПОКА не смог). Подумаем, какие могут быть другие пути… Пароль хранится только в виде хэша (очень на это надеюсь!) в базе крупных web-приложений, вроде социальных сетей и почтовых серверов. Вероятность утечки там исчезающе мала. Но только ли там он есть? Если вам предложат зарегистрироваться на форуме любителей, например, %марка_вашего_автомобиля%, или ещё какой интересной вам тематики, какой пароль обычно вводится? А попутно сообщается e-mail в форме регистрации, а может быть и аська, профиль в соцсети и ещё дофига всякой полезной информации о себе. Осталось только проверить куда подходит пароль и дело в шляпе. Так что же делать? Не знаю =) Могу рассказать что делаю я, но моё решение подойдёт не каждому.
Что же делать?
Во-первых надо придумть хороший пароль. Хотя бы один. Как придумывать пароли много где пишут, например тут. Используйте его только на проверенных сайтах, таких как гугл, яндекс (на мейле не используйте), аська, ваша любимая соц. сеть. Вобщем там, где вам важно не потерять аккаунт и сервис сам по себе вызывает доверие.
Во-вторых придумайте простой для набора пароль. Если сервис доверия не вызывает, используйте пароль вроде 1@3$5^ или ][p}{P (понятно почему он простой), главное чтобы там было больше 5 знаков. Можно на всех сервисах, где аккаунт не особо для вас важен использовать его.
Ну а если у вас много важных аккаунтов, потерять их никак нельзя, а вопрос о доверии к сервисам вообще не понятно как решать, то пора заводить мэнеджер паролей. Во многих браузерах есть встроенный, а в некоторых даже единый с хранилищем на серверах компании разработчика браузера… но я им почему-то не доверяю.
Сфера моей деятельности связана с вебом и работой над многими проектами, паролей приходится использовать неимоверное количество. Хостинги, фтп, базы данных, админки сайтов, в конце концов обычные регистрации, все требует пароль. Поэтому однажды я сказал себе «Хватит!» и полез искать программку для хранения паролей. После нескольких дней чтения обзоров и изучения сайтов программ я выбрал для себя уже обсуждавшийся на хабре KeyPass . Немаловажным фактором стала опенсорсность проекта а также наличие русской версии, и некоторые удобные и приятные возможности, такие как автонабор паролей в форме, независимо от таго, какое это приложение.
Поначалу сложно заставить себя перенести все пароли в хранилище, однако оно того стоит. Мне кажется самый взыскательный параноик будет удовлетворён её возможностями =). Режим, при котором доступ к паролям можно получить только вставив флешку с ключевым файлом и введя пароль, напоминает банковские требования к безопасности. А главное, внесенный однажды пароль от хостинга или аськи, который может не требоваться годами, в нужный момент всегда будет под рукой.
Скорее всего большинству людей действитетельн не нужно менеджера паролей, но уж отключить запоминание паролей в браузере и отказаться от использования одного и того же пароля везде думаю стоит отказаться независимо ни от чего.
Резюмируя
- Если у вас один пароль, то пусть он будет надежным
- Заведите простой для запоминания пароль для ненадежных сервисов
- Пользуйтесь менеджером паролей!
