Дизайнер обложки Анатолий Верчинский
© Анатолий Верчинский, 2022
© Анатолий Верчинский, дизайн обложки, 2022
ISBN 978-5-0055-8262-1
Создано в интеллектуальной издательской системе Ridero
Известному российскому психологу Михаилу Лабковскому пришлось удалить свой аккаунт во «ВКонтакте», потому что его взломали и рассылали спам с просьбой перевести деньги. Думаю, если бы он придумал пароль посложнее, этого делать не пришлось бы.
Даже пароль от твиттера президента США Дональда Трампа был просто подобран неким специалистом по кибербезопасности из Нидерландов с пятой попытки: в качестве пароля был использован акроним maga2020! – сокращение предвыборного лозунга Трампа «Make America Great Again!»1.
До этого выяснилось, что Дональд Трамп использует один пароль на разных сайтах: утекший в сеть пароль от его профиля на LinkedIn – yourefired («вы уволены»), коронная фраза Трампа из шоу The Apprentice – подошёл к его твиттеру.
Уровень надёжности пароля обычно зависят от того, насколько опасен его взлом.
Я различаю минимум три уровня:
1) Некритичные сайты, потерять пароль от которых не так страшно.
2) «Рабочие» сайты и сервисы, которые используются повседневно.
3) Критически важные сервисы, которые используются для восстановления паролей на других сервисах. Если вы не простой пользователь интернета, а зарабатываете с его помощью деньги или работаете дистанционно, используя интернет-сервисы для рабочей переписки, сайты банков и т. п., то лучше ввести больше трех уровней надёжности паролей, например десять:
1) тестовые и «однодневные» регистрации,
2) сервисы для повседневной работы,
3) сайты с личными данными (файлами, аудио, видео),
4) сайты с перепиской (личные и деловые письма),
5) социальные сети,
6) электронные кошельки, банковские сервисы,
7) администраторские пароли, пароли на порталах,
8) gosuslugi.ru и другие сайты для взаимодействия с госорганами,
9) электронная почта,
10) домены, личные кабинеты сотовых операторов, админпароли на личном/рабочем компьютере, планшете, мобильном телефоне.
Рекомендуется избегать простых паролей:
• коротких паролей менее шести символов,
• паролей, состоящих из одних цифр,
• паролей в виде иностранных или русских слов, написанных транслитерацией,
• популярных паролей, состоящих из символов, идущих подряд на клавиатуре (1234, abcd, qwerty, asdfg, password123, moyparol и т. п.),
• паролей на основе персональных данных пользователя, которые в современном мире легко узнать: номера мобильного телефона, даты рождения, цифры из вашего домашнего адреса и т. п.
Рекомендую прямо сейчас проверить самый сложный ваш пароль на сайте «Лаборатория Касперского» (см. скриншот ниже).
Скриншот сайта password.kaspersky.com/ru.
На приведённом скриншоте я проверил на уникальность пароль q1w2e3r4t5y6.
Анатолий Верчинский, февраль 2022 г.
1. Прямая и обратная нумерация алфавита >1/4
Нумерация бывает прямой и обратной, поэтому у каждой буквы алфавита есть второй порядковый номер. Это можно использовать при составлении паролей и придумывания ПИН-кодов.
• А – 0133 или 133,
• Б – 0232 или 232,
• В – 0331 или 331,
• Г – 0430 или 430,
• Д – 0529 или 529,
• Е – 0628 или 628,
• Ё – 0727 или 727,
• Ж – 0826 или 826,
• З – 0925 или 925,
• И – 1024,
• Й – 1123,
• К – 1222,
• Л – 1321,
• М – 1420,
• Н – 1519,
• О – 1618,
• П – 1717,
• Р – 1816,
• С – 1915,
• Т – 2014,
• У – 2113,
• Ф – 2212,
• Х – 2311,
• Ц – 2410,
• Ч – 2509 или 259,
• Ш – 2608 или 268,
• Щ – 2707 или 277,
• Ъ – 2806 или 286,
• Ы – 2905 или 295,
• Ь – 3004 или 304,
• Э – 3103 или 313,
• Ю – 3202 или 322,
• Я – 3301 или 331.
• A – 0126 или 126,
• B – 0225 или 225,
• C – 0324 или 324,
• D – 0423 или 423,
• E – 0522 или 522,
• F – 0621 или 621,
• G – 0720 или 720,
• H – 0819 или 819,
• I – 0918 или 918,
• J – 1017,
• K – 1116,
• L – 1215,
• M – 1314,
• N – 1413,
• O – 1512,
• P – 1611,
• Q – 1710,
• R – 1809 или 189,
• S – 1908 или 198,
• T – 2007 или 207,
• U – 2106 или 216,
• V – 2205 или 225,
• W – 2304 или 234,
• X – 2403 или 243,
• Y – 2502 или 252,
• Z – 2601 или 261.
Пароль для любого сайта легко придумывать каждый раз разный.
Для этого достаточно переводить определённые буквы из доменного имени сайта в цифры с помощью обычного телефона, на котором каждой букве соответствует цифра от 2 до 9. Выбираете, какие буквы будете шифровать, например, нечётные или последние три, или каждую третью. Потом смотрите на телефон и для получения первой цифры находите первую букву, а для усложнения подбора переходите на одну клавишу вправо, влево, вниз, вверх или наискосок. Затем то же самое делаете со следующими буквами. Для единицы нет буквенного соответствия на клавиатуре телефона, поэтому используйте её для дефиса, например.
Сколько времени требуется для подбора пароля из цифр на обычном компьютере:
• пароль из 1 цифры – 1 секунда,
• пароль из 2 цифр – 1 секунда,
• пароль из 3 цифр – 11 секунд,
• пароль из 4 цифр – 2 минуты,
• пароль из 5 цифр – 17 минуты,
• пароль из 6 цифр – 3 часа,
• пароль из 7 цифр – 5 часов,
• пароль из 8 цифр – 2 дня,
• пароль из 9 цифр – 24 дня,
• пароль из 10 цифр – 8 месяцев.
Поэтому используйте в пароле не только цифры, но и буквы и спецсимволы (см. другие лайфхаки).
3. Буквы вместо цифр >1/2
Харуки Мураками с его романом «1Q84» натолкнул меня на идею о замене в пароле цифр буквами, а чисел – набором соответствующих букв.
• 0 – Q,
• 1 – l,
• 2 – S (представьте эту букву повёрнутой),
• 3 – E (представьте эту букву повёрнутой),
• 4 – h (представьте эту букву перевёрнутой),
• 5 – S,
• 6 – b,
• 7 – t (представьте эту букву перевёрнутой),
• 8 – B,
• 9 – q.
4. Римские цифры в паролях >5/2
В паролях можно использовать римские цифры, которые набираются заглавными латинскими буквами. Например, можно взять порядковый номер определенной буквы в алфавите из названия домена и написать его римскими цифрами: maIXl.ru, yaXIVdex.ru и т. п.
• 1 – I
• 2 – II
• 3 – III
• 4 – IV (до XIX века – IIII)
• 5 – V
• 6 – VI
• 7 – VII
• 8 – VIII (иногда – IIX)
• 9 – IX (иногда – VIIII)
• 10 – X
• 20 – XX
Для преобразования чисел, записанных арабскими цифрами, в римские используются специальные функции. Например, в русской версии Microsoft Excel для этого существует функция РИМСКОЕ (аргумент), в английской версии Microsoft Excel эта функция называется ROMAN (аргумент).
При использовании этих функций нужно учитывать, что существуют несколько видов представления римских чисел, от классического до сильно упрощенного.
5. Пароль на сайтах, на которых показывается дата регистрации >5/4
Если на сайте показывается дата регистрации пользователя, то я добавляю к логину месяц и год регистрации, чтобы получился взломостойкий пароль. При этом месяц должен быть в сокращённом виде по-английски. В английском языке May, June, July всегда пишутся полностью, остальные же названия имеют следующие сокращения:
