Все пароли в голове

У меня 179 уникальных паролей от корпоративных и личных ящиков, сетей, сервисов и учетных записей.  Они нигде не хранятся, я их не помню, но могу ввести в любой момент.

Вот моя система.

Как крадут пароли

Прежде чем говорить о работе с паролями, надо понять, в каких местах они не защищены.

Обычно есть три сценария кражи паролей: целенаправленный взлом одного человека, массовый слив паролей с какого-нибудь сервиса и фишинг.

Взлом конкретного аккаунта

Когда пытаются целенаправленно взломать аккаунт, часто используют метод перебора. Специальная программа пробует разные варианты, пока не наткнется на верный. Чем сложнее и длиннее ваш пароль, тем дольше будет идти перебор. Большинство современных сервисов надежно защищены от перебора — например, дают ограниченное количество попыток. Но опытные хакеры всегда найдут способ это обойти.

Если хакер получил задание целенаправленно вскрыть именно ваш пароль, то он может попробовать вашу дату рождения, даты рождения ваших близких, ваше имя и какие-нибудь простые слова.

От всех случаев подбора спасает сложный неочевидный пароль, который невозможно угадать, глядя на вас.

Массовый слив паролей

Массовый слив паролей происходит на плохо защищенных сайтах, которые хранят и передают пароли незашифрованными. Например, это может быть криво написанный сайт знакомств, который хранит все пароли пользователей в незашифрованной базе. Уже неважно, насколько у вас сложный пароль: если он где-то хранится в открытом виде, хакеры его получат.

Базу паролей воруют, а потом специальная программа проверяет, не подойдут ли ваши пароли к другим сервисам. Например, на сайте знакомств была ваша почта и пароль. Хакерская программа попробует зайти в вашу почту по этому же паролю. А потом — зайти с этими данными в Facebook. А потом — в Amazon. И так — по всем сервисам, которые интересны хакерам. Что-нибудь нет-нет, да и совпадет. Чтобы защититься от этой ситуации, нам нужен уникальный пароль для каждого сервиса.

Фишинг

При фишинге хакеры обманным путем ведут вас на мошеннический сайт, который маскируется под настоящий — например, почту Google или Яндекс.Деньги. Вас просят ввести пароль якобы для входа или подтверждения личности. Пароль в незашифрованном виде попадает к хакерам. Дальше по нему хакер входит в нужный сервис и пробует его на других сервисах, которыми вы пользуетесь.

Как и при массовом сливе, для защиты от фишинга нужен уникальный пароль для каждого сервиса. А также — внимание на страницах, где вы вводите пароли.

Есть менеджеры паролей — программы, которые хранят уникальные пароли и даже предлагают их сгенерировать.

Каким должен быть хороший пароль и как его запомнить?

Проблема с этими менеджерами — в доверии. Когда я вижу все свои пароли в открытом виде, как я пойму, что их не видит разработчик?

К тому же хакеру элементарно придумать аналогичную программу, выпустить ее на рынок и собирать таким образом пароли. Я боюсь, что под видом менеджера паролей у меня на компьютере появится шпионская программа.

Поэтому я выбираю хранить пароли в голове.

Как хранить пароли в голове

Я придумал систему, которая помогает создавать и запоминать сложные уникальные пароли для каждого аккаунта. Чтобы ей пользоваться, надо придумать одну основу для всех паролей и научиться добавлять в каждый уникальные символы.

Придумываем основу

Основа — это то, что будет одинаковым для всех наших паролей. Чтобы легко создавать и вспоминать пароли, надо хорошо знать основу. Поэтому лучше всего для неё подходят данные, которые вы хорошо помните. В статье я использую инициалы и год рождения Исаака Ньютона: IN1643

Добавляем уникальные символы

Уникальными символами будет слово, которое мы придумаем и запомним с помощью приемов мнемотехники. Для этого мы:

1. Берем два слова: одно относится к основе пароля, другое — к ресурсу, к которому придумываем пароль.
2. Придумываем с этими словами историю.
3. Представляем себе эту историю, как будто смотрим видеоролик.
4. Выбираем самый яркий предмет из истории и прибавляем его к основе как уникальные символы.

Для примера придумаем уникальный пароль к сайту onlime.ru

У нас есть сайт onlime.ru и основа IN1643. Провайдеры у меня ассоциируются со скрежетом первых dial-up модемов. Я представил себе картину, как Ньютон изучает свет и со скрежетом модема вставляет рассеивающую призму в прибор. В «видеоролике» я крупным планом вижу эту призму. Чем больше абсурда и эмоций в истории, тем легче она запоминается. Из всей истории берем слово «призма» и получаем уникальный пароль: IN1643prizma.

Такой метод помогает легко придумать и вспомнить пароль. А еще защищает от подбора другим человеком, потому что невозможно найти те же ассоциации и слово, которые придут в голову вам.

Ещё этот метод хорош тем, что вы можете использовать его не для всех сайтов, но никогда не забудете, для каких использовали. Как только вы захотите ввести пароль для такого сайта, сразу вспомните придуманную вами историю и уникальные символы.

Если у вас будут возникать трудности с ассоциациями к сайтам, попробуйте видоизменить их произношение: trello.com — сТРЕЛОк, youtube.com — тубус. Но сами эти слова в пароль не берите, а используйте их в создании историй.

Какой пароль трудно подобрать

Не связанный с вами

Не используйте для основы паролей даты, слова, имена и географические названия, которые можно связать с вами, если изучить ваш блог, страницы в соцсетях, занятия и хобби. Например, если вас зовут Иван и вы родились 1 марта 1985 года, худший пароль для вас — ivan01031985.

Для статьи я выбрал инициалы и год рождения Ньютона, потому что люблю точные науки. Иногда читаю научпоп по точным наукам. Но времени для этого настолько мало, что даже жена не свяжет меня с физикой. А я 04011643 помню лучше, чем таблицу умножения. Или другой пример: у двух моих друзей день рождения 19 мая, поэтому день рождения пионерии я запомнил на всю жизнь. Но до публикации этой статьи никому бы и в голову не пришло искать эту дату в моих паролях.

Длинный

В конечном пароле должно быть не менее 8 символов. Смотрите, как увеличивается время взлома, если увеличивать количество символов пароля:

IN — секунда

IN1643 — 3 часа

IN1643prizma — 32 700 лет

Сайты для проверки времени взлома:

1. https://password.kaspersky.com/ru/
2. https://www.betterbuys.com/estimating-password-cracking-times/
3. https://howsecureismypassword.net/

Техника безопасности

Если вы переживаете, что забудете придуманную историю

Запишите слова, которые помогут вам вспомнить. Содержимое файла будет выглядеть примерно так:

только мне скрежет

стрелок замерший полёт

Первое слово относится к сайту: «только мне» — onlime.ru, «стрелок» — trello.com. Остальные слова помогают вспомнить картинку.

Никогда не записывайте и не храните пароль в открытом виде!

Если вы вводите пароль в присутствии других

Убедитесь, что клавиатура или экран видны только вам. Понятно, что бывает стыдно показаться параноиком. Но представьте на мгновение, как из-за стыда потеряете важные аккаунты и деньги.

Если у вас просят доступ

Если у вас просят доступ, потому что срочно надо, а вас нет на месте, или по любым другим причинам, отвечайте твёрдое «нет».

— Алло.

— Андрей, привет. Типографии срочно нужен макет нашего рекламного буклета, иначе они не успеют в срок!

— Он у меня на рабочем компьютере.

— А когда ты будешь в офисе?

— Только завтра.

— Дай пароль от компьютера и скажи, где лежит файл!

— Не дам.

Сценарий и исход таких разговоров со мной был всегда один и тот же: мне угрожали, обещали обидеться, пожаловаться директору, но никогда не получали доступ к моему компьютеру. Теперь меня просят прийти в офис как можно скорее, потому что знают: телепортация человека — более реальная вещь, чем доступ к моему компьютеру или аккаунту.

Вы не знаете, как человек поведёт себя, получив доступ. А варианты самые разные: от простой небрежности до злого умысла. Никогда и никому не давайте доступ к своему компьютеру, аккаунту или мобильному устройству.

Если вы работаете с чужого устройства

Используйте в браузере режим «Инкогнито» и не забывайте выходить из аккаунта. Моя сотрудница полгода назад воспользовалась компьютером своего знакомого, чтобы в мессенджере Facebook ответить своей дочери. Только на прошлой неделе она узнала, что не нажала «Выйти», и этот знакомый всё это время читал её личную переписку в соцсети.

Если вы подключаетесь к незнакомому Wi-Fi

Интернет в обмен на номер телефона: стоит ли подключаться к публичному Wi-Fi?

Помните, что любые данные могут быть перехвачены. Бесплатный Wi-Fi со свободным доступом — лёгкий способ для хакеров получить секретные данные других людей. Вы вводите свой логин и пароль, а его получают не только сайт, но и хакер, подключенный к той же сети.

Если надо срочно проверить почту, перечислить деньги, ответить в Facebook, лучше потратить мобильный трафик, чем засветить свой пароль. Несмотря на то что сама соцсеть шифрует данные, ничто не мешает хакерам подделать точку входа и перенаправить вас на нее.