Як придумати пароль, який неможливо зламати: поради експерта

Топ-100 найбільш ненадійних паролів для сайтів та пристроїв очолюють популярні варіанти – «123456» та «password».

Можемо уявити, що, прочитавши це, багато хто з вас подумав: «Я не такий дурний, у мене пароль надійний». Чесно кажучи, багато журналістів теж думали, що їх телефон, месенджери та пошту зламати не можна. Розповідаємо про найпопулярніші помилки, щоб ви могли перевірити, чи можуть вас зламати шахраї або штучний інтелект (саме роботи з алгоритмів майже завжди займаються підбором паролів).

Наприклад, багато хто користується графічним паролем на телефонах замість Face ID (розпізнавання на обличчі) або введення звичайного пароля, вважаючи, що відгадати послідовність точок у складному візерунку дуже важко. Насправді експерти вже давно перевірили експерименти та з’ясували, що багато хто з нас діє однаково, задаючи малюнок. Так, 44% починають його з верхнього лівого кута, 77% – в одному з чотирьох кутів екрану, 5 – середня кількість задіяних у паролі точок, які зазвичай набирають зліва направо та зверху вниз. Перевірили себе?

Багато сервісів, наприклад, зробили двофакторний захист для входу (іноді він обов’язковий), коли треба не тільки ввести свій пароль, але й дочекатися одноразового коду.

– Так, це незручно, але я вже казав: якщо так – значить, безпечно. Але й у цьому випадку є нюанс – для двофакторного захисту потрібні два види пристроїв, наприклад, на портал ви заходите з комп’ютера, а код надходить на телефон. Якщо і пароль вводите з телефону, і туди приходить код – це просто подарунок для зловмисників.

Тим, що як пароль не можна використовувати дату народження або ім’я, Америку не відкрити. Але є й неочевидні речі, які можуть здивувати багатьох. Наприклад, ви вибрали фразу: «Люблю маму Іру», переклали клавіатуру з української розкладки на англійську та надрукували її, вийшло «K.,k. vfve Bhe». Здавалося б, хороший і надійний пароль, але штучний інтелект розпізнає вашу хитрість – це для нього легке завдання.

«Добре, я буду хитрішим», – думаєте ви і через перекладач набираєте слово «любов», наприклад, на суахілі. Виходить “upendo”, його додаєте у фразу “Люблю маму Іру” разом з англійською “mother” (“мама”), виходить “upendo morher Ira”. Але й тут є проблема: якщо якесь слово є у словнику, то роботи його знають (навіть якщо це діалект, жаргонізм, наприклад, із злодійського середовища).

Часто самі сайти при реєстрації пропонують нам згенеровані надійні паролі – зазвичай вони виглядають як довгий набір букв, цифр і символів. Але і до них треба ставитися з обережністю – експерти радять все ж таки придумати свій варіант.

– Є така історія, яка сталася з відомим американським фізиком Річардом Фейнманом. Він любив зламувати замки, і якось його попросили розкрити сейф, від якого втратили інструкцію. Як не намагався вчений, у нього нічого не вийшло, а потім сейф розкрив звичайний слюсар. Секрет виявився простим: із заводу замки приходили із заздалегідь встановленими паролями «25-0-25» або «50-25-50», які рідко хтось міняв. Тому встановлені паролі на гаджетах чи сайтах також ненадійні, – зазначає експерт.

Який пароль можна вважати надійним? Насамперед, треба змиритися з тим, що запам’ятати його буде непросто. «Єдиний спосіб обдурити робота, який швидше і працездатніший за людину, – це бути талановитішим», – упевнений експерт.

Перше, що треба знати – пароль має бути довшим за 8 символів. Якщо в ньому від 1 до 3 символів, то штучний інтелект піде менше секунди на підбір потрібної комбінації, на чотиризначний – 17 секунд, на восьмизначний – 11 місяців, а якщо в ньому 12 символів – 1 505 615… років!

Не можна використовувати комбінації лише з цифр, пароль не повинен збігатися з логіном, ім’ям користувача, адресою електронної пошти, літерами на клавіатурі, що стоять поряд (наприклад, qwerty). Виверти, коли англійську “O” змінюють на українську “О” або символ “i” на “1” (ivan – 1van), теж не пройдуть.

Запам’ятати рандомний (випадковий) набір символів важко, тому якісь асоціації таки потрібні, але головне, щоб вони були вам зрозумілі! Як приклад, запам’ятати хімічну формулу та додати до неї символи: «He2Ne10Ar18» (гелій, неон, аргон) поміняти на «He2!Ne10@Ar18#» – для зламування такого пароля знадобиться 204 мільйони років. Можна використовувати гітарні акорди, дані зі свідченнями комунальних лічильників та інші набори цифр.

Міняти паролі треба раз на півроку або принаймні раз на рік. Причому не тільки на телефоні або електронній пошті є пристрої, про які багато хто забуває: Wi-Fi-роутер, телевізор, розумні пилососи, відеокамери, фотоапарати.

Очевидне питання: якщо пароль складний і його важко запам’ятати, то чи можна його записати, щоб самому не потрапити до пастки власної хитрості? Звичайно, можна, але з позначкою, що зберігати папір з комбінацією на комп’ютері на роботі не можна, як і документ з назвою «Паролі» на робочому столі або в телефоні (і навіть у фотографіях). Краще скористатися месенджером паролів або записати пароль у щоденник, який під рукою (можна розділити пароль на частини та записати на різних сторінках). До речі, якщо ви придумали надійний пароль, не використовуйте його для різних сайтів та пристроїв – для кожного треба вигадати окремий.

Ще одна важлива порада щодо кібербезпеки – не залишайте комп’ютер не запароленим на роботі, якщо відходьте від нього, не давайте свій телефон стороннім, не шкодуйте грошей на антивірус.

Біометрія – хороший спосіб захисту, але не завжди можливий (наприклад, відбитки пальців можуть не пройти, якщо ви прийшли з морозу або плавали) та надійний (пристрій можна обдурити за допомогою роздрукованої особи – фотографії). До речі, вчені провели експеримент – об’єднали 800 реальних відбитків пальців, і цей ключ виявився схожим на 65% існуючих у світі відбитків. Тому біометрію краще залишити не як основний захист, а другорядний.

– Зловмисники зламують усе, щоб зібрати потрібну інформацію чи для махінацій. Але найчастіше – банківські додатки та соціально значущі послуги. Найголовніша порада – всі поради, які ви почули, застосуйте зараз для своїх пристроїв і сайтів. Тут важлива не лише теорія, а й практика, – зазначає експерт.