Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов

Нередко в качестве пароля используют русскую фразу, введенную латинскими буквами (например, фраза «сегоднясутрашелдождь» в латинском варианте выглядит абсолютно неудобочитаемо — «ctujlyzcenhfitklj;lm»). Это не самый худший способ на свете – к тому же, такой пароль легко запомнить, - однако не самый лучший. Потому что, с одной стороны, ты получаешь действительно длинный пароль (один мой знакомый использовал фразу «ненавижудлинногонихблондинокездящихвобщественномтранспорте»), но с другой, есть шанс, что злоумышленник каким-то образом догадается, какую фразу ты написал. (Да-да, серьёзно. Мало ли, может, эту фразу ты будешь бормотать во сне. А жена или любовница нередко относится к тем самым злоумышленникам, в руки которых не должны попадать никакие пароли. Зато если в качестве пароля будет использована строка «K12Isa&w9#2q@» - ручаюсь, что ни во сне, ни в пьяном бреду ты её не произнесешь…) В любом случае, если ты используешь этот способ, тогда по крайней мере вставляй между словами один-два спецсимвола по определенному алгоритму. Например, фразу «попугаинабульварприлетели» лучше всего записать так: «попугаи!на$&бульвар*#$прилетели».

Хранение пароля

«Вы, конечно, будете смеяться», но пароль нельзя записывать на стикере и прилеплять его к монитору. Также пароль нельзя писать на листочке и класть его в ящик стола. Да-да, даже в том случае, если ты этот листочек хитроумно перевернёшь – чтобы враг ни за что и никогда не догадался.

Пароль также крайне не рекомендуется записывать в обычные или электронные записные книжки. Даже если ты хитроумно запишешь его задом наперёд. Даже если этот пароль ты закроешь другим паролем – каким-нибудь попроще.

С грустью приходится констатировать совершенно непреложный факт: пароли вообще нигде нельзя записывать! Ни под каким видом! «Мысль изречённая есть ложь» - как сказал то ли философ древности, то ли Тютчев недавней современности. «Пароль записанный - есть не пароль, а дурдом на колесах» - это мысль Карла Шкафица, эксперта по информационной безопасности. Высеките её на скрижалях вашей памяти и запишите в книжечку. Пусть это будет единственная запись, относящаяся к паролям. Других быть не должно.

«Ну, и? - спросишь ты. – Как хранить-то этот чёртов пароль?» А в голове, друг мой, в голове. К сожалению, больше негде. Надеюсь, в голове в любом случае ты способен хоть что-то сохранить, в противном случае ты не стал бы Большим Парнем. Практика показывает, что намного проще чуть-чуть напрячься и запомнить пароль (вообще говоря, их должно быть несколько, но об этом позже), чем пытаться его куда-то скрытно записывать, а потом долго вспоминать, куда именно.

Один мой знакомый бизнесмен разработал совершенно зубодробительную систему, позволяющую ему записывать пароли так, что злоумышленник при всем желании не смог бы их прочитать, даже если бы по каким-то причинам обнаружил эти записи (что, кстати, само по себе было практически невозможно). Мы потом с этим бизнесменом вместе разобрали по составляющим его творческий метод и выяснили, что для того чтобы записать один пароль ему приходится держать в голове три других. После этого он попробовал просто запоминать основные пароли и никуда их больше не записывать. Ему понравилось.

Сколько должно быть паролей

Это хороший вопрос, друг мой. Правильный. Потому что один-единственный пароль – это такой же нонсенс, как и один-единственный счёт в банке. Паролей должно быть несколько – на разные случаи жизни. Обязательно! Потому что это значительно повышает безопасность. Ведь если ты одним и тем же паролем запираешь ящик стола с журналами «для мужчин», дорожную сумку, сейф с деньгами и секретный раздел диска – это красиво и легко запоминается, но слегка идиотично. Причем термин «слегка» я использовал только из уважения к твоему высокому общественному положению…

«И что, - раздраженно скажешь ты. - Теперь на каждый чих задавать свой пароль? И весь этот кошмар держать в голове?» Нет, такое даже я не посоветую. Точнее, посоветую, но я хорошо понимаю, что это нереально. Поэтому есть неплохой щадящий способ. Он называется – «Разделение защиты по уровням важности».

Как-нибудь вечерком ты садишься за стол (заметь – без стакана с виски) и аккуратненько делишь все ситуации, требующие ввода и хранения пароля, на различные уровни. Их может быть несколько. Например:

Минимальный уровень

Дорожная сумка, кодовый замок на ящике с порнушкой, доступ к телефонным счетам, обычные трепологические интернет-форумы – в общем, всё то, доступ к чему посторонних не вызовет больших проблем.

Средний уровень

Компьютерные папки (разделы диска) с офисными документами, специфические чаты и садо-мазо форумы (мало ли, какие у тебя тайные хобби), глубоко личные электронные записные книжки, электронная почта и так далее.

Высокий уровень

Онлайновый доступ к банковским счетам, компьютерные папки (разделы диска) с секретными документами и пикантными отчетами бухгалтерии, доступ к особо секретной электронной почте.

Что-то в этом роде. На самом деле количество этих уровней и виды доступа, к ним относящиеся, каждый для себя определяет сам. Кому-то страшнее потерять доступ на форум геев и лесбиянок, чем пин-код к кредитной карточке. А некоторым – совсем наоборот.

Что тут главное? Главное – чтобы этих уровней было не меньше трёх. Оптимальный вариант – пять уровней важности, к каждому из которых относится целый ряд различных видов доступа.

Идея в том, что каждому из этих уровней соответствует свой пароль. Серьёзный пароль, непростой и сложный для запоминания (сложность для запоминания, разумеется, прямо пропорциональна сложности подбора). Но зато один для одного уровня. И его ты используешь для всех видов доступа, относящихся к данному уровню.

Появляется какой-то новый вид доступа – например, от тебя требуют ввести пароль на доступ к платным разделам онлайнового журнала, - ты должен быстро определить, к какому уровню его отнести, после чего вводишь соответствующий пароль. В дальнейшем нужно будет пару раз вспомнить, к какому уровню этот доступ относится, после чего ты с легкостью вспомнишь пароль.

Конечно же, это уступка в надёжности в пользу легкости запоминания. Потому что по-хорошему для каждого доступа должен быть свой, уникальный пароль. Но в современном мире от нас требуется столько паролей, что все их запомнить – просто нереально. Так что приходится использовать подобные методы. Они хоть как-то облегчают эту непростую жизнь.

Но боже тебя упаси использовать один несложный пароль на все случаи жизни! Это приведёт к тому, что очень скоро вся жизнь станет одним непрекращающимся тяжёлым случаем…