Рус Eng

Пароли

© Александр Бондаренко, 2003

Ч а с т ь   п е р в а я
           Чукча стоит в карауле. Вдруг кто-то
           идёт. Чукча:
           — Стой! Кто идёт?
           — Свои!
           — Скажи пароля!
           — Пароля!
           — Проходи! Блин, сколько лет здесь
             стою, а пароля один и тот же!
                                     Анекдот

Итак. Перед вами текст, посвящённый тому, как не надо подбирать пароли для защиты электронной информации.

Во-первых, очертим круг причин, которые могли сподвигнуть вас на запароливание какого-либо файла. Их, в общем-то, не так уж и много:

  • за вашим компьютером работает несколько человек (коллеги по работе, члены семьи и т. п.);
  • вы работаете на государство, и ваша документация в правом верхнем уголочке иногда маркируется страшными надписями вроде "Сов. секретно", "ДСП" и т. д.;
  • вы работаете в коммерческой фирме и опасаетесь происков конкурентов и промышленного шпионажа;
  • ваш компьютер подключён к Интернету, а коварный враг из-за океана так и хочет просочиться на вашу машину своими скользкими американскими щупальцами;
  • ваш компьютер является частью локальной сети, и вы боитесь, что сослуживцы заберутся своими загребущими ручонками туда, куда не надо;
  • вы рассчитываете, что налоговая инспекция в случае внезапно обострившегося интереса к вашей фирме не сможет просмотреть запароленные файлы с "чёрной" бухгалтерией;
  • вы ведёте личный дневник и на протяжении уже пятнадцати лет заносите в заветный файл по 10 листов текста за каждый прожитый день;
  • вы — тайный извращенец, и паролите жёсткую порнуху, чтобы родные (коллеги, начальник, любимая канарейка) случайно в неё не проникли;
  • ваши файлы находятся на ноутбуке, и вы справедливо опасаетесь, что в силу каких-либо причин данный агрегат внезапно перейдёт из вашей собственности в чужую;
  • вы — хакер (программист, администратор, продвинутый пользователь);
  • наконец, самый распространённый вариант: вы страдаете лёгкой паранойей и паролите любой файл просто из любви к искусству, так сказать;
  • др. (ага, это именно ваша причина!).

С причинами разобрались. Я так думаю, что в данном списке вы нашли своё, одно-единственное основание ставить пароли на файлы. Теперь нам нужно выяснить, какую же информацию обычно блокируют от посторонних пользователей. Список её видов, опять-таки, не очень массивный:

  • документы Microsoft Word и Excel;
  • базы данных (СУБД): Microsoft Access, Visual Fox Pro, др.;
  • специализированные программы: бухгалтерские ("1С: Бухгалтерия"), программерские ("Macromedia Dream Weaver"), инженерные, дизайнерские и куча других;
  • картинки, фото, видео (опять порнуха... Но не обязательно!);
  • заставки компьютера в период ожидания (назвать это серьёзной защитой от несанкционированного доступа язык не поворачивается...);
  • пароли на BIOS'е и для входа в Windows;
  • сетевой пароль (для локальной сети или Интернета) — с разнообразными правами доступа и прочими вариантами поведения;
  • электронный ящик и прочие пароли в Интернете;
  • др.

Теперь остановимся на каждом пункте данного списка более подробно.

Как известно, документы Microsoft Word и Excel можно запаролить двумя способами: "только для чтения" и "вообще". Первый подразумевает, что пользователь сможет увидеть файл, но не сможет ничего в нём изменить. Второй же не позволяет даже посмотреть на вожделенное "яблочко". Теперь о главном. Данный способ защиты информации хорош только на средне-бытовом уровне. Если за ваш файл возьмутся специалисты, они без проблем (ну, почти...) смогут добраться до его содержимого. Даже сейчас в Сети можно отловить скрипты и самодельные программки, ломающие пароли на файлах, созданных в программных средах фирмы Билла Гейтса. А уж продающиеся на любом CD-развале диски с нелегальным софтом содержат такого барахла пачками.

Вы, конечно, можете приковаться в знак протеста к батарее отопления, но посягнувшим на ваш файл врагам от этого не станет тяжелее. Так что имейте в виду. Для обычного опытного пользователя требование системы ввести пароль доступа к телу... тьфу ты — файлу послужит чётким сигналом: можно даже не соваться, тут сидят "профессионалы, чтоб им!.." А уж обычного, но не сильно опытного пользователя данный запрос повергнет в кратковременный ступор, по выходу из которого он тут же вырубит компьютер кнопкой "вкл./выкл." и начнёт дико озираться: вдруг уже включилась сигнализация и к нему бегут охранники, чтобы повязать за несанкционированное любопытство?!

В общем, для офиса и семьи данный вид защиты информации подойдёт, но засекречивать таким образом банковские файлы с номерами и полными данными владельцев пластиковых карт "VISA Platinum" обычно не принято.

Теперь про базы данных. Ну-у-у-у... Если вы храните что-то в виде базы, то это означает, что это "что-то" состоит из большого объёма мелких элементов, причём каждый из них может включать в себя кучу подэлементов или же полей для конкретного вида информации.

Перечень секретных агентов ЦРУ США, работающих в Восточной Европе под прикрытием (начиная с 1945 года), включающий в себя фотографии самих агентов (с младенческого возраста каждый год по фотке), членов из семей, одноклассников и однокурсников, адрес, данные паспортов, водительских и прочих удостоверений, личные предпочтения, знание иностранных языков и проч., и проч., и проч. Это база данных.

Оцифрованный через ручной сканер фотоальбом с изображениями ваших предков, любимых собачки и тёщи, содержащий подписи к каждой фотке типа "Сюсику исполнилось 2 годика!!!" — это тоже база данных.

Базы данных можно создавать в специально разработанных для этого программах (вроде упоминавшегося выше Access'а). А можно писать с нуля. Например, в программной среде Delphi. В первом варианте доступ к базе определяется примерно по тем же принципам (есть некоторые различия, но не будем вдаваться в детальки), что и у документов Word. С теми же рекомендациями по запароливанию и возможностью несанкционированного доступа. Во втором случае возможность взлома пароля базы существенно уменьшается. Можно сказать — стремится к нулю. Деньги, которые берутся за разработку подобных баз, отнюдь не стремятся к нулю. Наоборот, в итоговой цифре гонорара нулей присутствует достаточно.

Так что не стоит удивляться, если фотки вас и вашей жены в интимном виде, хранившиеся в СУБД "Microsoft Access'98" и защищённые паролем аж из трёх символов, однажды чудесным вечером стали доступны всему земному шару на каком-нибудь порносайте.

Настала очередь упомянуть так называемый пароль на заставку. Прекрасный офисный вариант для тех, кто не хочет полностью выключать компьютер, выходя на пять минут из кабинета пописать (покурить, заняться сексом с секретаршей). Гарантий защиты — никаких. Реальной защиты — никакой. Просто успокаивает нервную систему.

Для тех, кто не в курсе, объясняю схему его действия. Через минуту после того, как компьютером перестали пользоваться (час, два, три — как настроите), он впадает в режим временной мониторной спячки — то есть начинает проигрывать какую-либо заставку. Коварные враги именно в этот момент подбираются к вашему рабочему месту и нагло тычут пальчиками по кнопкам клавиатуры или юзают немытыми ручонками мышку. В ответ компьютер (не-е-е, не током бьётся), не выключая заставки, требует ввести пароль. Без него заставка с экрана не уберётся.

В голову навскидку приходят штук 50 способов борьбы с этим безобразием, поэтому воспринимать его как реальный способ защиты информации не советую.

Хотя... Если у врагов будет всего лишь полминуты у терминала компьютера ФСБ, а хозяин отлучится из кабинета, то сделать они, проклятые, ничего не смогут. Просто не успеют.

Теперь о так называемом пароле на BIOS'е. Пароль этот чем хорош — он не зависит от установленной на вашем компьютере операционной системы. Он "пишется" прямо на компьютерных "кишках". И запрос с требованием его ввести возникает почти сразу после включения компьютера, когда основной экран всё ещё прогоняет непонятные буковки и циферки на чёрном фоне. Довольно хорошая защита. Обломает многих опытных взломщиков. Но не всех. Достаточно квалифицированный программист может взломать и такой пароль. Но подавляющему большинству представителей компьютерного человечества это недоступно. Так что не поленитесь — поставьте такой пароль, и он станет дополнительной ступенькой вашей многослойной бронезащиты от мерзких вражеских происков. Не зная точного пароля, пользователь не сможет даже загрузить операционную систему! Хитро сделано, правда?

А вот аналогичный пароль для входа в Windows паролем назвать-то сложно. В подавляющем большинстве случаев достаточно всего лишь нажать на "отмену", и вы благополучно продвинетесь дальше. Хотя если побегать по настройкам и запретить наличие других пользователей на данной машине, то ситуация немного улучшается. Но не кардинально. Так что лучше на данный вид защиты информации особо не надеяться.

Теперь о сетевых паролях. Для локальной сети — достаточно надёжно, если пользователи — обычные. А вот если к компьютеру проникнет диверсант-программист, да ещё разузнает некоторые данные, то он может запросто обрушить всю сеть. И поковыряться в ваших файлах.

Но для надёжности пускай будет. Согласитесь — вход в сеть, не защищённый паролем, будет просто искушать окружающих полазить по кишочкам вашего компьютера.

Хотя всё это весьма условно и напрямую зависит от сделанных системным администратором установок.

Ну а о паролях в Интернете и распространяться-то особо нечего. Все паролят свои электронные ящики, web-сайты, входы в чаты (гостевые книги, форумы), а уж карточку модемного доступа в Сеть вам продадут только с паролем, нанесённым на неё под специальным стирающимся защитным слоем. Обсуждать здесь степень надёжности подобных паролей бессмысленно — всё зависит от того, что именно, где и как вы будете защищать от посторонних глаз.

Перечислю лишь некоторые распространённые ошибки новичков.

Не выкидывайте карточку доступа в Интернет сразу после того, как успешно ввели логин, пароль и проникли в Сеть. Это же не карта экспресс-оплаты услуг за сотовый телефон! Любой человек, подобравший данный пластиковый квадратик, сможет нагло завладеть вашим паролем. А если вы всё равно хотите выкинуть карту, то пожуйте её предварительно, сварите в кастрюльке с бензином, попрыгайте на ней 10 минут и спустите оставшиеся фрагменты в унитаз с получасовым перерывом между каждым кусочком (шутка). Помните: враг ждёт — не дождётся вашего промаха!

Если вы уже изничтожили карту, а пароль (автоматически запоминаемый) вдруг внезапно обнулился (иногда бывает и такое), то вас можно смело поздравить с благородным поступком — благотворительный взнос на счёт провайдера зачтётся вам на том свете как благое дело.

Не соскребайте защитный слой на указанной карточке зубами, пилой, дедовым штык-ножом и прочими сильно острыми предметами. Для этой цели вполне подходят ногти или монетки. Иначе в случае повреждения заветных буковок и циферок заставить провайдера выдать вам новую карту взамен испорченной будет очень сложно, а в большинстве случаев — просто невозможно.

Ещё одна распростанённейшая ошибка при работе в Интернете. Закончив проверять свою электронную почту, находящуюся на каком-либо сервере бесплатных почтовых услуг (например, www.mail.ru), ВСЕГДА нажимайте на кнопку "Выход", расположенную на экране где-нибудь в заметном месте. Если вы выйдете из окна нажатием на крестик (справа вверху, аналог Alt+F4), начнёте просматривать в этом же окне другой сайт или же иным дурацким способом не завершите корректно сеанс работы с почтой, то любой следующий пользователь этого компьютера сможет попасть в ваш ящик, прочитать вашу почту, изменить пароль доступа или другие настройки, отправить от вашего имени злобно-коварное письмо и проч., и проч., и проч.

Если же вы стали гордым обладателем почтового адреса вроде ru@ru.ru (данный пример — нереально, но это просто чтобы понятней было) и защитили его паролем из двух символов (русских букв, например), будьте готовы к тому, что через пару часов ваш ящик взломают.

Ч а с т ь в т о р а я 

         Хакер обнаружил, что на его компью-
         тер прокрались  враги и стёрли  всю
         информацию.  Поглаживая любимую со-
         бачку, он в сердцах причитает:
         — Говорили же мне, что ставить па-
         роль на имя собаки глупо, бедная
         моя #)j_)(%!
                                     Анекдот

Ну, с видами защищаемой информации мы разобрались. Теперь можно обсудить и сами пароли. Сначала нужно прояснить, из каких символов их вообще можно составлять. А их не так уж и много (опять!):

  • буквы русского алфавита (не всегда);
  • буквы латинского алфавита (не всегда);
  • цифры обоих алфавитов (не смейтесь — редко, но некоторые системы различают циферки, набранные в разных раскладках клавиатуры);
  • буквы и знаковые обозначения (иероглифы) национальных алфавитов: например, ß, Æ, ñ (а для иероглифов должны быть установлены соответствующие программки, которых у меня нет);
  • всякие специализированные значки вроде @ # $ % ^ & * ( ) _ + ! " № ; : ? * (к ним относятся математические, банковские, пунктуационные и международные символы, которые отнюдь не исчерпываются приведённым списочком);
  • смешанный пароль: из разных описанных выше элементов (наиболее надёжен);
  • голосовые пароли — ну-у-у... Это только в кино и у крутых хакеров ☻ Так же, как всякие там сканирования отпечатков пальцев, сетчатки глаза, экспресс-анализ ДНК и прочая чепуха.

Ну, а сейчас обсудим эти способы составления паролей более подробно.

Самое главное — количество символов. Чем их больше, тем меньше вероятность злонамеренного подбора пароля. Помните: даже коды доступа на советских камерах хранения багажа на вокзалах некоторые умельцы умудрялись подбирать, а там символов было отнюдь не три десятка. Поэтому просто глупо защищать информацию паролями вроде 10, 07, 100, ррр и т. п. Однако советую избегать чрезмерной удлинённости. Пароль защиты файла вроде Thfj40;sa,прлв001ё89Dо?эDF094jgknjkfjFDJKS: будет сложноват для запоминания. Хотя и идеален по всем указанным выше показателям.

Теперь про приводившийся в предыдущем абзаце "ррр". Избегайте стоящих рядом повторяющихся символов! И даже просто повторяющихся (рлр, лрр, ррллрр). Это облегчит задачу негодяев — взломщиков.

Помните, что в подавляющем большинстве случаев прописные (Р, Л) и строчные (р, л) буквы считаются разными знаками. Поэтому пароль FgHjK не будет равнозначен fGhJk.

Если вы составите смешанный пароль (буквы обоих алфавитов, цифры и символы), это сильно затруднит задачу взломщиков. Главное — не забудьте его сами. А если вы будете заходить на запароленный файл с другого компьютера, предварительно выясните, какими клавишами на нём производится переключение раскладки с английской на русскую и наоборот. Обычно для этого используются варианты комбинаций Ctrl+Shift, Alt+Shift, Shift+Shift и ряд других.

О длине пароля я уже упоминал. А сейчас хочу обсудить его осмысленность. На этот счёт существует две чётко выраженных точки зрения:

  • пароль не может и не должен быть осмысленным;
  • пароль может быть осмысленным, если он нестандартен.

Под первый вариант подходит любой из приводившихся выше примеров паролей. Очевидность этой точки зрения вполне понятна любому пользователю: чем запутанней код доступа, тем сложней будет его угадать — подобрать злоумышленникам.

Второй вариант не стоит сразу отметать. Как ни странно, у него есть свои плюсы. Например, фигурирующий в одном культовом научно-фантастическом произведении пароль: "сорок тысяч обезьян в жопу сунули банан" довольно длинен, нестандартен и легко запоминается благодаря своей необычности и рифмованности. Так что — определяйтесь сами.

Есть ещё один хитрый способ. Например, пароль "cjhjr nsczx j,tpmzy d ;jge ceyekb ,fyfy" на самом деле всё та же фраза про обезьян, только набранная теми же клавишами, но в английской раскладке. Этот способ очень хорош, но на некоторых компьютерах клавиши с парами русских и английских букв иногда не совпадают (редко, но всё же).

При создании пароля помните, что пробелы имеют значение отдельного символа.

Буква Ë на разных клавиатурах отображается разными клавишами или не предусматривается вообще.

Заранее посмотрите — не нажат ли Caps Lock (это когда все буквы становятся БОЛЬШИМИ).

Не советую копировать пароль в буфер обмена — это же приглашение следующему пользователю взломать ваши файлы!

Также не советую использовать при составлении паролей дату своего (жены, любимой кошечки) рождения.

А теперь просмотрите внимательно нижеследующий перечень НЕ рекомендуемых мной элементов для составления паролей: имя, фамилия, кличка (своё, друзей, знакомых, президента, министра, начальника фирмы, любовницы, киногероя и т. п.), адрес (см. информацию в предыдущих скобках), номера телефонов, автомобилей, кабинетов, домов, квартир (аналогично), названия любимых книг (фильмов, игр, магазинов, подлодок, городов, пельменей, презервативов) и прочее в том же духе.

Отдельно остановлюсь на следующих вариантах "паролей": password, пароль, пробел, единичка (или другая цифра), плюсик и прочая чушь из одного символа. Во-первых, пароль из одного знака — это не пароль, а приглашение умереть от смеха любому взломщику. Во-вторых, пароли из слова "пароль" — ну-у-у-у-у... Этой шутке уже лет пятьдесят стукнуло.

Теперь опять о важном. Запомните: пароль на то и пароль, что знать его должны только вы. Если в момент оргазма вы сладострастно прошепчете его своей любимой, то вполне может оказаться, что она — подосланная врагами шпионка и занималась с вами сексом только ради того, чтобы вызнать заветный пароль. После чего она вас, естественно, тут же застрелит из спрятанной догадайтесь где маленькой "Беретты", включит компьютер, введёт пароль, достанет пистолет и застрелится сама. Потому что вы два часа назад поставили второй пароль доступа ☻ .

Это случается редко, но всё же бывает (особенно в корпоративных компьютерных сетях) — наличие иерархической системы паролей, с разными уровнями доступа для менеджеров разных звеньев служебной лестницы.

Не стоит также, принимая утренний душ, распевать на мотив "Нас не догонят!" ваш пароль. Шпионы из здания напротив уже два месяца ждали именно этого момента, и чуткий микрофон дальнего радиуса действия чутко записал со стекла ванной комнаты ваши немелодичные подвывания.

Теперь про телепатическую блокаду ваших мыслей. Вдруг враг коварно прослушивает мысленный эфир в вашей голове?!? Ну, это, конечно, шутка ☻ .

Просто надо запомнить, что произносить вслух, сообщать по телефону забывчивым коллегам, упоминать в электронной и обычной почте, записывать на клочках бумажек (нижней стороне рабочего телефона, обратной стороне галстука, столе, стуле, стене, потолке) ваш пароль НИЗЗЗЗЯ! А то милая уборщица Глаша с зарплатой 1000 рублей может вдруг ни с того ни с сего польститься штукой баксов и при очередной уборке вашего кабинета переписать пароль, а затем передать врагам.

Может быть, данную тётю Глашу перед этим пытали. Или угрожали отрезать хм-м... уши у её любимого внучка... Но вам-то какая разница?

Также стоит упомянуть о такой полезной штуке, как периодическая смена пароля. В некоторых системах это происходит автоматически (например, раз в месяц вам напомнят, что, мол, пора менять), но в большинстве случаев надо об этом помнить самому.

99,9 % пользователей пренебрегают этим простым правилом. А зря. Как вариант можно рассмотреть систему разных паролей в зависимости от дня недели, месяца, уровня запроса и т. д. Это тоже сильно осложняет жизнь потенциальным диверсантам.

Немного затрудняет подбор пароля ограниченное количество разовых попыток ввода неправильных вариантов. Ввёл три раза (поручик, молчать!) — и всё! Где-то на 51-м этаже включилась сигнализация, и группа коммандос уже спешит убить вас на месте преступления ☻ . Конечно, не стоит обольщаться — и такой прикол при необходимости может быть обманут.

Не стоит ставить одинаковый пароль на все 473 файла с секретными данными вашей фирмы. Одинаковые пароли — это страшно. Представьте, что у вас один и тот же ключ от дома, машины, сейфа и пояса верности жены. И вдруг у вас этот ключ стянули! Что, страшненько стало?

Не стоит также с компьютера с запароленными файлами ползать по сомнительным сайтам в Интернете. Или же при открытом Интернете проникать в такие файлы. Например, вы знаете о существовании таких программок, которые анализируют крохотные электронные импульсы от разных клавиш вашей клавиатуры и таким образом вычисляют пароль? Ну, так знайте же о них!

Спешу вас также обрадовать: с некоторых пор практически любой пароль практически на любом файле можно взломать. Помогут негодяям в этом чудесные программки Advanced Office Password Recovery Professional Edition и Advanced Office Password Breaker, а также им подобные. Первая легко ломает пароли до пяти знаков включительно, используя простой перебор символов из имеющихся в ней словарей. Вторая программа ломает пароль по всем правилам. Гарантия взлома — 100%... Время взлома — от трёх дней до пары месяцев машинного времени.

Итак. Остаётся только одно — запереться в одинокой келье с розеткой электропитания и компьютером. Никого не пускать. Никаких сетей и Интернетов. Никаких посторонних дискет и дисков. Пищу принимать только от проверенного человека. При входе поставить систему лазерного боя.

И всё!!!

Спасибо, что прочитали ☻

Если какая-либо редакция решит опубликовать этот труд — буду рад получить гонорар ☻

2003, Александр БОНДАРЕНКО
Расширенный поиск
Алкогольный напиток:
Емкость:
Крепость:
Страна-призводитель:
   

English version

The description of my collection of mini bottles with alcohol is here:

Collection

My web site is written in Russian, but you can look on a pictures of mini bottles.