Хороший пароль - существенный аспект обеспечения безопасности. Обычно мы думаем о паролях в контексте входа в систему, однако пароли, ключевые фразы и ключи используются также в более совершенных системах проверки подлинности.
В любом случае следует выбирать сильный пароль. Выбор сильного пароля сводится к тому, чтобы не пользоваться паролями, которые могут быть отгаданы с применением описанных выше методов. Вот некоторые указания по выбору паролей:
- Не используйте регистрационное имя пользователя (login).
- Не используйте названия и вообще какие-либо имена.
- Не используйте слова и сокращения английского или другого языка.
- Не используйте персональные данные, связанные с владельцем учетной записи. Например, забудьте о собственных инициалах, номере телефона, номере социального страхования, названии должности, отделе организации и т.д.
- Не используйте последовательности клавиш, такие как qwerty.
- Не используйте перечисленную информацию, набранную наоборот, только заглавными буквами, искаженную любыми иными способами.
- Не используйте пароли, состоящие только из цифр.
- Не используйте примеры паролей, взятые из книг по компьютерной безопасности, независимо от их качества.
- Используйте смесь цифр, специальных символов и букв различного регистра.
- Используйте пароли не менее шести символов длиной.
- Используйте на первый взгляд случайные сочетания букв и цифр.
Следующие распространенные методы могут применяться для создания паролей из кажущихся случайными сочетаний:
- Используйте первые буквы слов строки текста из книги, песни или стихотворения. Например, «People don' t know you and trust is a joke» дает пароль Pd'ky&tiaj.
- Используйте вывод генератора случайных паролей. Выбирайте случайным образом полученные строки, которые легки для произношения и запоминания. Например, случайная строка «adazac» произносится как «а-да-зак», и ее можно запомнить при помощи мнемоники «от а до зет». Разбавьте результат заглавными буквами, чтобы внести собственное ударение: aDAzac.
- Используйте пару коротких слов, связанных определенным символом: wRen%Rug.
- Используйте сочетание цифр и букв для создания воображаемого престижного регистрационного номера автомобиля: 2hot4U?.
Общее во всех перечисленных вариантах - пароль должен легко запоминаться. Избегайте паролей, которые необходимо записывать, чтобы запомнить. Если не заслуживающие доверия люди получат доступ к вашему рабочему месту и найдут записанный пароль, безопасность системы окажется под угрозой.
Не стоит думать, что невозможно запомнить случайный пароль. Его может быть нелегко использовать поначалу, однако любой часто применяемый пароль запоминается очень легко. Если речь идет об учетной записи на системе, с которой вы редко работаете, могут возникнуть сложности с запоминанием случайного пароля. В таком случае лучшим решением будет просто избавиться от учетной записи. Не используемые или мало востребованные учетные записи - первые цели злоумышленников. Им нравится атаковать такие учетные записи, поскольку пользователь не заметит изменений, внесенных в файлы, или подозрительных дат в сообщениях Last login:. Удаляйте все редко используемые учетные записи.
Каким образом можно гарантировать, что пользователи будут следовать правилам создания новых паролей? Самый важный шаг - донести до пользователей собственно правила и то, насколько важно следование этим правилам. Уделите этой теме внимание при планировании безопасности, периодически обращайте на нее внимание пользователей в рассылках и на веб-доске объявлений.
Кроме того, возможно применение программ, принуждающих пользователей следовать определенным правилам выбора паролей. По адресу http://csrc.nist.gov/tools/tools.htm расположена страница, перечисляющая ряд таких программ.