Швидка навігація по сторінці:

  • Як корабель назывешь, так він і попливе, або вибираємо ім’я
  • Вибираємо пароль
  • Немає секретних питань

Сьогодні вранці реєструвався у черговому сервісі і задумався про те, як створити логін і пароль таким чином, щоб вони відрізнялися від моїх основних логінів і паролів, але при цьому були безпечними з одного боку і зручними з іншого. До чого мене привели роздуми — читайте далі.

Як вибрати логін і пароль?

Як корабель назывешь, так він і попливе, або вибираємо ім’я

Вибір логіна — суб’єктивна річ, яка залежить в першу чергу від особистих уподобань. Я б тут зазначив лише два основних моменти:

Анонімність проти впізнаваності

Вибираючи собі логін, подумайте над тим, чого ви хотіли б досягти цілковитої унікальність і впізнаваності, або, навпаки, анонімності?

У першому випадку потрібно брати логін, який більше ніде не повторюється — якщо Ви будете присутні під цим ім’ям на різних майданчиках (блоги, форуми тощо), то вас можна буде ідентифікувати.

Якщо ж у вас прямо протилежні цілі, то потрібно, навпаки, брати найпоширеніші імена і никнеймы.

Безпека

В основному, цей пункт актуальний, якщо ви вибираєте собі логін для адмін-панелі на своєму сайті або на якому-небудь блог/форум/сервісі, де всім користувачам показується одне ім’я (наприклад, Маша Петрова), а логинитесь ви при цьому як masha_petrova.

Відомо, що багато блоги вордпресс та інших CMS регулярно намагаються зламати через перебір пароля. На жаль, і в мене таке пару раз було — стояв легкий пароль з п’яти цифр. У результаті зловмисник зайшов в адмінку і залив на сайт вірус.

Цього не сталося б, якби я задумався про безпеку при виборі логіна. А саме, у мене стояв логін admin, і саме на нього розраховано більшість скриптів, які займаються брутфорсом — перебором паролів.

Достатньо було б обрати інший логін і перебір паролів вже був би не страшний.

У зв’язку з цим, для админок не можна вибирати такі імена, як admin administrator або імена, що збігаються з назвою або доменом сайту.

Також не варто зайвий раз світити свій поштовий ящик, особливо якщо в нього входить логін — за цієї причини я не особливо рекомендую використовувати тег mailto на сторінках сайту.

Вибираємо пароль

Як відомо, паролі користувачів в базах даних зберігаються в зашифрованому вигляді (зазвичай використовується алгоритм MD5 і його модифікації). Це означає, що якщо хтось отримає доступ до бази даних, то у нього не буде вашого пароля, а буде послідовність символів — щось на зразок 1a1dc91c907325c69271ddf0c944bc72 (наведений приклад — md-5 хеш від слова «pass»).

З цієї послідовності символів зловмисник не зможе відновити ваш пароль (алгоритм не дозволяє), проте він зможе з допомогою софта (який існує у великій кількості у відкритому доступі) запустити перебір паролів — програма буде створювати їх md5 хеш і порівнювати з наявним хешем до тих пір, поки не знайде правильний варіант.

Таким чином, наприклад, можна підібрати пароль до адмінки більшості блогів wordpress (маючи хеш і якщо в самому блозі не використано додаткових методів захисту, чого практично ніколи не буває).

Перебір пароля — це питання часу і потужності комп’ютера. Тому чим довший пароль, тим більше потрібно часу для того, щоб підібрати його. Для цієї ж мети пароль додаються прописні і заголовні букви, цифри, а також спец. символи — тоді кількість комбінацій символів, які доведеться перебирати програмі, збільшується в мільярди разів, і перебір пароля стає можливим тільки в теорії, а на практиці — нереальним, так як на нього можуть піти роки.

Висновок, який випливає з цього — пароль повинен бути як можна довше і включати в себе всі можливі варіанти символів. Як правило, рекомендована довжина — від 12 символів, але тут чіткого правила не існує — ніхто не забороняє взяти 11 символів або 20 символів — потрібно співвідносити значимість пароля, кількість разів, що вам доведеться набирати його в день, ймовірність спроби злому.

Якщо Ви хотіли б мати при цьому ще й запоминаемый пароль, то в ньому не рекомендується використовувати безпосередньо зв’язки слів, краще розбавляти їх спецсимволів, цифрами і т. д.

Немає секретних питань

Секретні питання — це одна з вразливостей, яку часто використовують зловмисники при зломі акаунтів. Буває, що людина обрав складний логін, ще більш складний пароль, але в якості відповіді на секретне питання вказав реальну дівоче прізвище матері, яка часто до того ж входить в топ-20 найпопулярніших прізвищ Росії. Результат — аккаунт зламаний.

Щоб уникнути таких ситуацій, я намагаюся ніколи не вказувати відповіді на секретні питання в поштових та інших сервісах, які можуть бути розкриті методом перебору або, тим більше, які можуть бути легко стати відомі третім особам.

Соц закладки
Соц закладки