«Бегемот в тапочках» надежнее, чем !К8гТ2. Почему любой «сложный» пароль можно взломать за день?

Вы входите в конференц-зал, включаете ноутбук коллеги, вводите адрес электронной почты и замираете. В моей голове нет пароля. Телефон с менеджером паролей умер в такси. До встречи с заказчиком осталось 15 минут, а впереди только пустой экран и нарастающая паника. Вы узнаете себя? Почти каждый офисный сотрудник сталкивался с этой сценой.

Магия трудностей работает против вас

Слышали ли вы фразу: «Сделайте свой пароль нечитаемым, и хакер заплачет»? Это обман. Злоумышленники не сидят и не задаются вопросом «а может быть, Петров1978?» Они запускают программы, обрабатывающие миллиарды вариантов в секунду. Типичная игровая видеокарта проходит 3–5 миллиардов комбинаций. За день такая железка распотрошит любую «сложную» строку длиной до 8 символов, даже если она содержит `%` и `#`.

Хакеры научились наивным заменам, например, `a` на `@` или `s` на `$` еще в последнее десятилетие. Словарные базы данных содержат `p@ssw0rd` и `q1w2e3r4` в качестве стандартных опций. Имя питомца + год рождения вашей бабушки? Социальные сети распространяют эту информацию быстрее, чем вы можете моргнуть.

Основной вывод: выдуманный «трюк» не работает. Работает только длина. Каждая новая иконка увеличивает сложность выбора в десятки раз. Пароль длиной 14–15 символов (даже если это всего лишь слова) будет взломан методом грубой силы на протяжении всего существования Вселенной.

Главная ловушка даже не в сложности.

Об этом умалчивают 99% статей: ваш сверхдлинный пароль вас не спасет, если вы выдадите его сами. Самый распространенный сценарий кражи сегодня – это фишинг. Вы переходите по ссылке из «письма от коллеги», вводите свои данные на фейковой странице входа и все. Хакер даже не взломает ваш код. Вы ему это подарили.

А теперь хорошие Решение старо как мир, но им почти никто не пользуется. Вместо `!K8&gT#2` возьмите:

"Хомяк в наушниках слушает рэп на кухне"

Это 38 символов. Это абсурдная картина, которая моментально застревает в памяти. Это пароль, на подбор которого грубой силой уйдет несколько тысяч лет. Даже если оно состоит из простых слов.

Метод называется парольной фразой или парольной фразой. Его предложил Брюс Шнайер еще в 2000-х годах, но массовый пользователь продолжает мучиться с «Tr0ub4dor&3».

Как придумать фразу, чтобы не забыть

1. Примите это лично, но странно. Не «Я люблю кошек» (ужасно банально), а момент, который знаете только вы: «Сосед Петрович запускал фейерверк прямо в ведро с огурцами».

2. Если на сайте требуются цифры или специальные символы, разработайте простое правило. Например: всегда ставьте точку в конце и заменяйте первое слово его числовым написанием. «Один сосед Петрович запускал фейерверк прямо в ведро с огурцами».

3. Пробелы не принимаются? Используйте дефисы или подчеркивания.

Некоторые старые системы по-прежнему ограничивают длину паролей 12–16 символами. Туда нельзя вставить длинную фразу. Для таких случаев есть запасной план. Возьмите предложение, которое приходит вам в голову последним:

«В мае 2019 года я на спор съела целый лимон и не поморщилась!»

Запишите первые буквы каждого слова:

"Вм2019янслцинп!"

Вывод — 18 символов, похожих на тарабарщину. Но вы всегда «соберете их обратно», вспомнив ту дурацкую историю с лимоном. Чем длиннее начальная фраза, тем лучше. 

Компромисс для ленивых: один пароль + умный суффикс

Идеальный вариант — уникальный пароль для каждого сервиса. Но на самом деле у обычного человека более 100 аккаунтов. Никто не готов запоминать сто фраз. Давайте пойдем на компромисс:

Вы берете один супернадежный базовый пароль, используя метод фраз. Например, «Котлета поет в душе блюз». А затем вы добавляете разные суффиксы для разных сайтов.

- Для Google: `Котлета поёт блюз в душе-GOO`

- Для ВКонтакте: `Котлета поет блюз в душе-ВК`

- Для банка: `Котлетка поёт блюз в Душе-БАНКе`

Важное «но»: если какой-то сайт объединит вашу базу данных и хакер увидит логику `-GOO`, он догадается о суффиксах. Чтобы обезопасить себя, вставьте посередине суффикс: «Котлета-ГОО-Поет блюз в душе». Затем визуальный рисунок исчезает. Это не бронебойная защита для спецагента, но для рядового пользователя это огромный шаг вперед.

Менеджер: довериться программе один раз

Если вы не хотите запоминать фразы и возиться с суффиксами, приобретите менеджер паролей. Это приложение, которое хранит все ваши коды в зашифрованном сейфе. Вы помните только один ключ – мастер-пароль.

- Bitwarden – это золотая середина. Бесплатно, с открытым исходным кодом, есть приложения для всех устройств. Данные находятся в облаке, но они зашифрованы таким образом, что их не смогут открыть даже разработчики.

- KeePass предназначен для параноиков. База данных паролей находится только на вашем жестком диске. Никаких облаков. Но если вы потеряете свой ноутбук, вы потеряете и свои пароли.

- Связка ключей Apple и Менеджер паролей Google удобны, если вы находитесь в одной экосистеме. Но вы полностью доверяете свои секреты корпорации.

Единственный риск менеджера — «все яйца в одной корзине». Поэтому мастер-пароль для доступа к менеджеру делайте самым надежным методом длинных фраз.

2FA: последняя линия защиты

Даже идеальный пароль можно украсть. Например, установить на свой компьютер шпионскую программу (кейлоггер) или взломать базу данных самого сервиса. Двухфакторная аутентификация (2FA) — это когда после ввода пароля вас также просят ввести код из приложения на телефоне. Без физического доступа к вашему смартфону хакер не проникнет, даже если у него есть пароль. Лучшие бесплатные генераторы кода:

- Aegis Authenticator (Android) - может создавать резервные копии.

- Google Authenticator - простой, но без резервных копий.

- Яндекс.Ключ - с облачным восстановлением.

Правило: избегайте использования SMS-кодов, если есть альтернатива. SIM-карты подделываются быстрее, чем вы думаете. Включите 2FA в электронной почте, социальных сетях и банковских приложениях уже сегодня. Это займет три минуты, но покроет 90% реальных атак.

Три вещи, которые никогда не следует делать

- `Один пароль на десять сайтов` - ждите неприятностей. Если база данных утечет с вязанного форума, ваш Тинькофф сразу проверят.

- `Храните пароли в заметках телефона в виде открытого текста` – если ваш телефон украдут, вся ваша цифровая жизнь будет украдена.

- `Отвечать на контрольные вопросы честно` - "Девичья фамилия матери"? Напишите «GreenDivanLondon». Системе все равно, но угадать невозможно.

Что сделать за один вечер

Вот ваш контрольный список на сегодня:

1. Придумайте абсурдную фразу из 5-6 слов. Прямо сейчас. Запишите это на листе бумаги и спрячьте в своем столе.

2. Установите Bitwarden (это бесплатно и быстро).

3. Включите 2FA в своей учетной записи Gmail или любой из ваших основных учетных записей электронной почты — это самое важное.

Часы работы. Тогда вы забудете об этой суете. Но вы будете защищены лучше, чем 90% пользователей Интернета, которые все еще полагаются на qwerty123. Пароль «Ежик в бетономешалке мечтает о космосе» надежнее любого `!Xk9@mT2`. И вы вспомните это с первого раза.