Рамблер
Все новости
Личный опытНовости путешествийРынкиЛюдиИсторииБезумный мирБиатлонВ миреПриродаПрофессииПорядокЗОЖВоспитаниеЧто делать, еслиГаджетыМузыкаФинансовая грамотностьФильмы и сериалыНовости МосквыСтиль жизниНоутбуки и ПКГосуслугиПитомцыБолезниОтношенияКиноКредитыОтдых в РоссииФутболПолитикаПомощьСемейный бюджетИнструкцииЗдоровое питаниеТрудовое правоСериалыСофтВкладыОтдых за границейХоккейОбществоГероиЦифрыБезопасностьРемонт и стройкаБеременностьКнигиИнвестицииЛекарстваПоиск работыЛайфхакиАктерыЕдаПроисшествияЛичный опытНаучпопКрасотаМалышиТеатрыВыгодаПродуктивностьМебель и декорБокс/MMAНаука и техникаЗаконыДача и садПсихологияОбразованиеВыставки и музеиШкольникиКарты и платежиАвтоспортПсихологияШоу-бизнесЗащитаДетское здоровьеПрогулкиКарьерный ростБытовая техникаТеннисВоенные новостиХоббиРецептыЭкономикаБаскетболТрендыИгрыАналитикаТуризмКомпанииЛичный счетНедвижимостьФигурное катаниеДетиБиатлон/ЛыжиДом и садШахматыЛетние виды спортаЗимние виды спортаВолейболОколо спорта
Личные финансы
Женский
Кино
Спорт
Aвто
Развлечения и отдых
Здоровье
Путешествия
Помощь
Полная версия

«Бегемот в тапках» надёжнее !K8gT2. Почему любой «сложный» пароль могут взломать за день?

runews24.ru

Магия сложности работает против вас

Слышали фразу: «Сделайте пароль нечитаемым, и хакер заплачет»? Это обман. Злоумышленники не сидят и не гадают «а может, Petrov1978?». Они запускают программы, которые проглатывают миллиарды вариантов в секунду. Обычная игровая видеокарта перебирает 3–5 миллиардов комбинаций. За день такая железка выпотрошит любую «сложную» строку длиной до 8 символов, даже если там есть `%` и `#`.

А наивные замены вроде `a` на `@` или `s` на `$` хакеры выучили ещё в прошлом десятилетии. Словарные базы содержат `p@ssw0rd` и `q1w2e3r4` уже как стандартные варианты. Имя питомца + год рождения вашей бабушки? Социальные сети сливают эту информацию быстрее, чем вы успеваете моргнуть.

Ключевой вывод: выдуманная «хитрость» не работает. Работает только длина. Каждый новый значок умножает сложность подбора в десятки раз. Пароль длиной 14–15 знаков — даже если это обычные слова — будет взламываться перебором дольше, чем существует Вселенная.

 

Главная ловушка даже не в сложности

Вот о чём молчат 99% статей: ваш супер-длинный пароль не спасёт, если вы сами его отдадите. Самый частый сценарий кражи сегодня — фишинг. Вы кликаете по ссылке из «письма от коллеги», вводите данные на поддельной странице входа — и всё. Хакер даже не будет взламывать ваш код. Вы ему его презентовали.

А теперь хорошая новость. Решение древнее, как мир, но им почти никто не пользуется. Вместо `!K8&gT#2` возьмите:

«Хомяк в наушниках слушает рэп на кухне»

Это 38 символов. Это абсурдная картинка, которая моментально застревает в памяти. Это пароль, который переборщик будет молотить несколько тысяч лет. Даже если он состоит из простых слов.

Метод называется passphrase или парольная фраза. Его ещё в нулевых предлагал Брюс Шнайер, но массовый пользователь продолжает мучиться с `Tr0ub4dor&3`.

Как придумать такую фразу, чтобы не забыть

1. Берите личное, но странное. Не «я люблю котиков» (банально до ужаса), а момент, который знаете только вы: «Сосед Петрович запустил фейерверк прямо в ведро с огурцами».

2. Если сайт требует цифры или спецзнаки — выработайте простое правило. Например: всегда ставить точку в конце и заменять первое слово на его числовое написание. «Один сосед Петрович запустил фейерверк прямо в ведро с огурцами.»

3. Не принимаются пробелы? Ставьте дефисы или нижнее подчёркивание.

Некоторые старые системы до сих пор ограничивают пароль 12–16 знаками. Длинную фразу туда не вставить. Для таких случаев есть запасной план. Берёте предложение, которое вылетит из головы последним:

«В мае 2019 я на спор съел лимон целиком и не поморщился!»

Выписываете первые буквы каждого слова:

«Вм2019янслциинп!»

На выходе — 18 знаков, похожих на абракадабру. Но вы всегда «соберёте» их обратно, вспомнив ту глупую историю с лимоном. Чем длиннее исходная фраза, тем лучше. 

 

Компромисс для ленивых: один пароль + умный суффикс

Идеальный вариант — уникальный пароль для каждого сервиса. Но в реальности у обычного человека 100+ аккаунтов. Запоминать сотню фраз не готов никто. Идём на компромисс:

Вы берёте один супер-надёжный базовый пароль по методу фразы. Например, «КотлетаПоётБлюзВДуше». А затем добавляете разный суффикс для разных сайтов.

- Для Google: `КотлетаПоётБлюзВДуше-GOO`

- Для «ВКонтакте»: `КотлетаПоётБлюзВДуше-VK`

- Для банка: `КотлетаПоётБлюзВДуше-BANK`

Важное «но»: если какой-то сайт сольёт вашу базу и хакер увидит логику `-GOO`, он догадается про суффиксы. Чтобы обезопасить себя, вставляйте суффикс в середину: `Котлета-GOO-ПоётБлюзВДуше`. Тогда визуальная закономерность пропадает. Это не бронебойная защита для спецагента, но для обычного пользователя — огромный шаг вперёд.

Менеджер: положиться на программу один раз

Если запоминать фразы и возиться с суффиксами не хочется — возьмите менеджер паролей. Это приложение, которое хранит все ваши коды в зашифрованном сейфе. Вы помните только один ключ — мастер-пароль.

- Bitwarden — золотая середина. Бесплатно, с открытым кодом, есть приложения для всех устройств. Данные в облаке, но зашифрованы так, что даже разработчики не откроют.

- KeePass — для параноиков. База паролей лежит только у вас на жёстком диске. Без облаков. Но потеряете ноутбук — потеряете пароли.

- Apple Keychain и Google Password Manager — удобны, если вы сидите внутри одной экосистемы. Но вы полностью доверяете свои тайны корпорации.

Единственный риск менеджера — «все яйца в одной корзине». Поэтому мастер-пароль для доступа к менеджеру делайте по самому надёжному методу длинной фразы.

 

2FA: последняя линия обороны

Даже идеальный пароль могут украсть. Например, установить на ваш компьютер программу-шпиона (кейлоггер) или взломать базу данных самого сервиса. Двухфакторная аутентификация (2FA) — это когда после ввода пароля вас просят ещё и код из приложения на телефоне. Без физического доступа к вашему смартфону хакер не войдёт, даже если у него есть пароль. Лучшие бесплатные генераторы кодов:

- Aegis Authenticator (Android) — умеет делать резервные копии.

- Google Authenticator — простой, но без бэкапов.

- Яндекс.Ключ — с облачным восстановлением.

Правило: избегайте SMS-кодов, если есть альтернатива. Сим-карты подделывают быстрее, чем вы думаете. Включите 2FA на почте, в соцсетях и в банковских приложениях прямо сегодня. Это займёт три минуты, но закроет 90% реальных атак.

 

Три вещи, которые нельзя делать никогда

- `Один пароль на десять сайтов` — ждите беды. Утечёт база с форума по вязанию крючком — и ваш «Тинькофф» тут же проверят.

- `Хранить пароли в заметках телефона в открытом виде` — если украдут телефон, украдут и всю цифровую жизнь.

- `Честно отвечать на секретные вопросы` — «Девичья фамилия матери»? Пишите `ЗеленыйДиванЛондон`. Системе всё равно, а угадать невозможно.

Что сделать за один вечер

 Вот ваш чек-лист на сегодня:

1. Придумайте абсурдную фразу из 5–6 слов. Прямо сейчас. Запишите на бумажке и спрячьте в стол.

2. Установите Bitwarden (это бесплатно и быстро).

3. Включите 2FA на ящике Gmail или любой вашей основной почте — это важнее всего.

Час работы. Потом вы забудете про эту суету. Но будете защищены лучше, чем 90% пользователей Сети, которые до сих пор надеются на `qwerty123`. Пароль «Ёжик в бетономешалке мечтает о космосе» надёжнее любого `!Xk9@mT2`. И вы запомните его с первого же раза.

runews24.ru: последние новости
Москва снова за переговоры, но есть нюанс: Захарова раскрыла, чего ждут от США
«Я предал бы душу народа»: Вучич жестко объяснил Западу отказ от антироссийских санкций
«Раздражает дико»: королева шансона Успенская публично уничтожила Люсю Чеботину