Личная информационная безопасность. Урок 8.

Где хранить пароль?

У нормального, среднестатистического человека в наше время есть не менее десятка паролей от разных сервисов, которые он должен хранить, как самое святое в своей жизни. Потому что разглашение или утрата пароля может доставить кучу неприятностей, иногда трудно совместимых с жизнью. Поэтому  я провёл опрос на своём канале в Телеграм – где лучше хранить пароль? Вот варианты вопросов и ответы на них почтеннейшей публики. Давайте поразбираемся в них подробнее.

Вопрос: Ваше мнение, где лучше хранить пароль?

1. Ответ номер 1 (79%). В голове, только придумывать их по своей системе, чтобы не забыть.

Ответивших так искренне уважаю! Однако, хорошо, если у вас есть голова и она не дырявая (при этих словах захотелось посмотреть в зеркало). Также хорошо, если у вас по жизни всего два-три пароля. Похвальная скромность. Но у современного человека их минимум пара десятков. И неизбежен момент, когда ранние признаки склероза нарушат благолепие… Вы не ощущали, вернувшись из отпуска, что пароль от служебного компьютера куда-то испарился из памяти намертво? А кроме того, мне всегда было интересно, как для 2-3 десятков сайтов придумать систему, чтобы у каждого сайта был уникальный пароль, и чтобы его не забыть. Если кто знает, поделитесь опытом. Я – не смог. Единственный вариант – поиграться с именем сайта. Оно – единственная переменная величина в этом алгоритме.

     2. Ответ номер 2 (6%). В бумажной записной книжке.

Супер надежно от хакеров, тянущих свои грязные руки через интернет, чтобы захапать самое ваше всё святое. Но есть и недостатки. Всегда есть шанс просто потерять записную книжку с паролями и потом долго плакать. Путём применения грубой физической силы книжечку можно изъять, или украсть. “В конце концов, снять с бесчувственного тела. Или трупа. Но я уверен, до этого не дойдёт“. Впрочем, могу посоветовать пароль шифровать. Например, каждую цифру увеличивать на 1, или чуток посложнее. А алгоритм шифрования держать в памяти. Тогда враг, добравшись до вашей записной книжки, обломается и с горя будет кусать локти. И пойдёт в управдомы.

3. Ответ 3 (12%). Хранить пароль в специальной программе типа «бумажник».

То есть вы покупаете незадорого какой-то небольшой софтик, и у вас остаётся одна задача – помнить мастер-пароль, который открывает ваш “бумажник” и достаёт оттуда нужный для данного конкретного сайта пароль.

Интересно, кто сказал, что можно доверять сочинителям софта этих «бумажников»? Достаточно ли они хорошо защитили табличку с вашими всеми паролями от злобных хакеров? А не гикнется ли весь ваш бумажник вместе со всеми вашими паролями после очередного обновления операционной системы? У нас даже самолёты всё чаще падают из-за кривого софта, а тут какие-то страные пароли какого-то безвестного юзера. А нет ли в вашем «бумажнике» бэкдора для спецслужб и остальных заинтересованных лиц? Это ж так удобно – не выуживать каждый пароль по одиночке, а получить их все сразу на блюдечке с золотой каёмочкой или, на худой конец, в виде екселевской таблички.

Короче, «бумажник» для хранения паролей я бы стал использовать в последнюю очередь. Есть такое правило (автор которого – я, собственной персоной): «Если есть выбор, что предполагать, предполагайте худшее из возможного, и не ошибётесь».

После этого абзаца зримо ощутил, что количество моих врагов среди разработчиков софта этих “бумажников”резко выросло.

4. Ответ номер 4 (3%). Лучше использовать физический токен и носить его в кармане.

Хорошее решение, мне нравится, только такого токена пока никто не выпускает, чтобы хранить все пароли ко всем сайтам. В принципе, его несложно сделать на основе микроконтроллера, и стоить это произведение инженерного разума будет 20 евро в терминах цены комплектующих. Надо только предусмотреть несколько факторов авторизации. А то токен отберут, действуя методом грубой силы, и voilà. То есть пипец по-русски.

А вот какой второй и даже третий фактор использовать – это интересно. Можно, например, вставить в токен датчик магнитного поля и разблокировать его после определенной комбинации изменения ориентации датчика по сторонам света. «Две шаги налево, две шаги направо». Как пример. Помните: «Встань избушка ко мне передом, к лесу задом» – всего-то авторизация включала распознавание заданной речевой фразы и ориентацию объекта с помощью сервоприводов в заданном направлении. После чего дверь открывалась.

5. Ответ номер 5 (0%). Лучше вообще их не запоминать, а пользоваться услугой «восстановить забытый пароль».

Не соглашусь, что это самый плохой вариант. Если сайт не слишком важный для вас, и нужен редко, и вряд ли чаще, чем раз в три месяца вы туда пойдёте (например, покупка билетов в филармонию), то это самое лучшее решение. Только набирайте каждый раз разный пароль, от фонаря и посложнее.

6. Биометрия.

Такого варианта ответа не задавалось. Биометрию даже не обсуждаю. Всю её придумал Черчилль в 18 году. Нет ничего более неустойчивого к взлому, как показала практика. Ни пальчик, ни рожа, ни ирис. Ибо нет ничего более ненадёжного. Что есть человек на следующий день после победы сборной России в чемпионате мира? Да вас даже мама родная (имеется в виду motherboard) не узнает. Человек – он ведь такой изменчивый – под влиянием обстоятельств.

Выводы и рекомендации.

1. Никогда не используйте один и тот же пароль для разных сайтов. Такие страдальцы обычно попадают по самые помидоры самым простым образом: регистрируются на каком-то сайте, который предлагает что-то малоценное (например, посмотреть порнушку), и вводят свой пароль, который всегда используют для доступа к личному мэйлу и банку. А творец сайта получает ваш пароль. А потом начинаются вопли свистоплясова про взлом всего, чего только можно. И твиттера, и фэйсбука, и т.д.
2. Для простых и одноразовых сайтов используйте пароль от балды, который даже не запоминайте. Когда надо будет, просто жмите кнопку «забыл пароль».
3. Для самых важных для вас сайтов используйте длинный и сложный пароль (не меньше 20 символов) и записывайте его в маленькую черненькую записную книжку, ручками с чернилами. Книжку берегите (храните не под ковриком в прихожей), но ещё лучше – придумайте простенький алгоритм шифрования паролей, который держите в голове.
4. Ну, а тем, у кого руки привыкли к паяльнику и чешутся по нему – могу посоветовать для развлечения сваять что-нибудь в железе, на технологиях интернета вещей. Принцип здесь такой: самый надежный замок не тот, который самый сложный, а тот, про устройство которого никто не знает.
5. И хранит вас бог от облаков, браузера Google Crome и прочих ужасов нашего века!

Еще почитать: Двухфакторная авторизация