Что такое логин (имя пользователя) и пароль, как их придумать и создать

Хитрости при создании паролей

Не забывайте о том, что в пароле можно использовать не только цифры и буквы, но и различные символы. Кроме того, не помешает при возможности менять буквы на цифры или наоборот: «С0лнечн0е утр0». Как видите, в этом выражении все буквы «О» были заменены на цифру «0».

Кроме того, не помешает мнемоника. Вот прекрасный пример: «КОЖЗГСФ». Бессмыслица полная, но только с точки зрения несведущего наблюдателя. В расшифровке это всё та же детская «запоминалка»: каждый охотник желает знать, где сидит фазан. Конечно, несчастного фазана мы берем только для примера. Вам же лучше взять фразу, которая имеет значение именно для вас. К примеру, первое стихотворение, выученное вами или вашим ребенком.

Даже если вы забудете само стихотворение, его текст всегда можно найти в интернете. Кстати, если уж речь пошла о фразах, никогда не используйте в качестве пароля непристойные выражения, так как именно их используют при переборе вариантов в первую очередь.

Несмотря на надежность, все же не стоит использовать защитное выражение, длина которого превосходит 10 символов. Такой пароль слишком долго вводить: если вы делаете это ежедневно в людном месте (на работе, к примеру), кто-то может постепенно его выучить. Кроме того, слишком высок риск, что вы его банально забудете.

Учтите, что Password Recovery в 100 % случаев невозможен. Просто так восстановить кодовую фразу не выйдет, так как вы — в лучшем случае — потеряете свои пользовательские настройки. Словом, не нужно самостоятельно создавать себе сложности.

Не советуем использовать программы для генерации случайных паролей. И дело тут не только в страхе перед создателями этого приложения, которые внезапно могут оказаться хакерами, но и в здравом смысле. Конечно, случайное сочетание 20 символов, состоящее из случайных знаков, цифр и т. п., весьма надежно. Вот только вы гарантированно его не запомните, а потому будете вынуждены все время записывать.

TOTP-ключи

Лично я пользуюсь FreeOTP, однако с этими ключами можно работать и с помощью pass. Пользователям оригинального pass надо установить расширение pass-otp, а в gopass и APS (см. ниже) нужные функции есть из коробки.

Чтобы добавить TOTP-ключ в хранилище паролей при помощи pass-otp, получаем URL (начинающийся с ) и вводим команду

Можно ли будет назвать двухфакторной получившуюся аутентификацию — спорный вопрос. Разработчики KeePassXC рекомендуют хранить TOTP-ключи в отдельной базе данных, защищенной другим паролем. В pass так тоже можно сделать.

Интеграция с Android

Реализация GnuPG под Android называется OpenKeychain. Для её настройки достаточно зайти в меню «управление ключами» и импортировать ранее созданный секретный ключ. Единственный недостаток OpenKeychain лично для меня — нет разблокировки по отпечатку пальца.

Реализация pass под Android называется android-password-store, или просто APS.

Устанавливаем и запускаем APS. Прежде чем синхронизировать хранилище паролей, заходим в меню «Настройки». Там нам понадобятся следующие пункты:

1. . Получившийся URL должен быть таким же, какой указан на странице репозитория на github. Тип авторизации — .
2. . В этом разделе указываем username и email из ключа gpg.
3. . Выбираем .
4. . Эта совсем недавно появившаяся фича включает заполнение паролей в приложениях на Android 8.0+.

Теперь можно клонировать. Выбираем на главном экране «клонировать с сервера», указываем желаемое расположение хранилища, проверяем настройки git.

Если попытка работы с git приведет к ошибке (это было вероятно в предыдущих релизах APS из-за использования устаревшей версии библиотеки от проекта Eclipse), то по-прежнему есть Syncthing.

Заключение

Конечно, pass не так просто настроить. Однако за эту цену покупается уверенность, что используемые нами (а также людьми вроде Линуса Торвальдса или Эдварда Сноудена) инструменты в один прекрасный момент не будут объявлены устаревшими, не сменят формат данных и не окажутся без поддержки. А если и окажутся, то простая модульная архитектура pass поощряет создание каких угодно альтернативных клиентов и расширений.

Если вы решите не использовать pass, то, надеюсь, некоторые упомянутые в статье программы окажутся вам полезными и сами по себе.

Как обезопасить себя от кражи данных

Разумеется, недостаточно просто придумать сложный логин и пароль. Способов стащить данные с вашего компьютера масса – поэтому стоит задуматься и о своеобразной технике безопасности.

Эти правила просты, и их обязательно нужно соблюдать, особенно если имеете дело с социальными сетями и аккаунтами от виртуальных кошельков и мобильных банков:

1. Никогда не давайте свои данные никому. Даже если человек, который их просит, представляется администратором форума. Для решения большей части проблем администратору не требуется никаких данных, поэтому с огромной вероятностью перед вами мошенник.
2. По аналогии с предыдущим пунктом – не вводите данные никуда, кроме форума, к которому они принадлежат.
3. Внимательно следите за тем, что попадает и запускается на вашем компьютере. Скачивайте файлы только из проверенных мест, и если антивирус показывает наличие вредоносных программ в архиве или дистрибутиве – лучше удалить его. Поскольку чаще всего пароли крадутся именно через скрытые программы – устанавливайте лицензионные игры и софт, купленные или скачанные с надежных источников.
4. Старайтесь не вводить свои данные на других компьютерах, а если это произошло – обязательно выходите оттуда, как только закончили сеанс. Таким образом вы обезопасите не только свои социальные сети от юмора друзей, но и кражу данных из кэша браузера. Старайтесь не заходить в важные профили нигде кроме собственного дома.
5. Подключите функцию дополнительной аутентификации. На многих форумах теперь для входа в профиль с нового устройства нужно ввести код, который приходит на мобильный телефон. Если подключить эту функцию – то ваш аккаунт всегда будет в безопасности, поскольку для входа в него злоумышленникам придется похитить ваш мобильный телефон и ввести код.

Настройка git

Здесь ничего необычного. Думаю, команды можно привести без комментариев:

Пункт нужен, если gpg нет в .

Бэкап секретного ключа

Секретный ключ стоит хранить так же надежно, как и парольную фразу, то есть за пределами компьютера. Можно просто распечатать длинную последовательность чисел, но распознавать её или вводить с клавиатуры — занятие не для слабонервных. Поэтому я предпочитаю генерировать QR-код, который легко отсканировать любым смартфоном. Для этого есть специальная программа . Генерация картинки с QR-кодом выполняется так:

Разумеется, чем меньше ненужной информации в бэкапе, тем лучше. Здесь очень кстати приходится небольшой размер ключа ed25519. Спасибо Даниэлю Бернштейну!

Существует специальная утилита paperkey, позволяющая сократить объем данных до предела. Ценой сокращения является то, что секретный ключ из такого бэкапа можно будет восстановить только при наличии публичного. В экосистеме GPG есть специальные сервера для хранения публичных ключей, почитать про них и не только можно в статье https://eax.me/gpg/.

Бэкап paperkey создается следующим образом:

Второе правило бэкапера: бэкап не существует, пока не подтверждена возможность восстановить из него данные. Поэтому проводим стресс-тест. Удаляем секретный ключ командой

Затем сканируем QR-код и импортируем ключ обратно в GPG. В качестве сканера QR-кодов под Android мне нравится BinaryEye, свободная программа с удобным интерфейсом. На картинке ниже — бэкап секретного ключа из этой статьи.

Надеюсь, вы нигде не будете использовать этот ключ. Он создан только для иллюстрации.

Если все работает, то можно двигаться дальше.

Использование (go)pass

Теперь, когда у нас есть надежно сохраненный и защищенный секретный ключ, а также работающая интеграция с git, можно начинать пользоваться собственно pass. Я предпочитаю gopass, так как эта альтернативная обвязка работает под Windows.
Инициализируем хранилище паролей командой

и выбираем из списка нужный секретный ключ.

Работа с git происходит так же, как в случае с обычным репозиторием, только в командной строке надо дописывать . Инициализируем репозиторий и добавляем туда нужный origin:

Адрес можно узнать на странице репозитория на github, нажав кнопку .

В gopass есть специфичная команда

выполняющая и , и , то есть полную синхронизацию.

Хранилище по умолчанию создается в папке , но можно указать и свой путь.
Для работы с паролями в консоли поддерживаются команды ls, cp, mv, search, create, и т.п. Полный список можно получить, набрав , но лично я 95% времени пользуюсь не консолью, а плагином для браузера.

Сбрасываем пароль с BIOS

Бывает и так, что блокировка стоит не на самой системе, а на BIOS. Это намного хуже, так как одним только восстановительным диском вы уже ничего не сбросите. Впрочем, не все так плохо: есть очень простой и эффективный способ сделать это.

Перед этим компьютер обязательно выключаем, причем полностью, вплоть до вытаскивания штепселя из розетки. Снимаем боковую крышку с системного блока, после чего на материнской плате (как правило, рядом с батарейкой CMOS) находим переключатель Clear CMOS.

На нем должен иметься джампер (перемычка), которую нужно переставить во второй слот, подождать 10 секунд. После этого переключатель возвращают в прежнее положение, затем перезагружают компьютер. Учтите, что при этом сбросится не только пароль, но и все настройки БИОС, так что придется их восстанавливать вручную.

Если же вы не видите никакого переключателя, просто вытащите батарейку и подождите (как правило, в пределах пары часов). Пароль будет сброшен с тем же эффектом.

Осталось только создать и сохранить правильный password. Что это такое, мы уже подробно рассказали. Можете действовать!

Важнейшие правила создания надежного пароля

• Во-первых, кодовое выражение не должно быть слишком коротким. Минимально допустимая длина – от шести символов. Порой для защиты приватной информации применяются целые предложения.
• Пароль (User Password) ни в коем случае не должен быть очевидным. Самую большую глупость совершают те люди, которые в качестве кодовой фразы используют свое имя, кличку любимой собаки или номер своего мобильного телефона. Все эти сведения известны другим людям. Если потенциальный злоумышленник вас знает, ему не составит труда подобрать такой пароль.
• Уникальность! Ни в коем случае не стоит использовать один и тот же пароль на нескольких сайтах, так как в случае взлома все ваши учетные записи достанутся злоумышленнику.
• Не бойтесь обновлять пароль. Не следует ассоциировать его с эпитафией на могильной плите, которая уже никогда не изменится. Бывает, что привыкший к одному паролю человек не меняет его месяцами, если не годами. Чем дольше ваша кодовая фраза остается неизменной, тем выше вероятность ее раскрытия.
• Приватность и еще раз приватность! Надеемся, что у вас нет глупейшей привычки клеить к монитору стикеры с паролями. Если у вас есть хоть малейшие подозрения в том, что ваша секретная информация стала кому-то известна, User Password следует в ту же минуту сменить. Ни в коем случае не хранить ее в каких-то файлах Word, TXT и подобных документах, которые может открыть каждый пользователь.

А умеете ли вы создавать «умный» password? Что это такое? Сейчас расскажем!

Сброс паролей в Windows

Гораздо чаще проблемы возникают из-за того, что пользователь банально забывает пароль от учетной записи в системе. Чтобы сбросить собственный администраторский пароль, вам потребуется диск Microsoft Windows miniPE edition. По сути, система эта – урезанная версия Windows ХР, обеспечивающая самую базовую функциональность.

Как только ОС загрузится, нажимаем на кнопку «Пуск», переходим в System Tools, ищем там пункт «Password Renew» (или Reset Password). В открывшемся диалоговом окне нажмите на кнопку «Select Windows Folder», которая находится в нижней его правой части.

Откроется окно «Browse for Folder», в котором нужно указать месторасположение папки Windows на жестком диске. Следом необходимо нажать на кнопку «Renew existing». Появится выпадающий список, в котором необходимо отыскать собственную учетную запись. Все, Your Password фактически сброшен.

Вам останется только ввести в поле «New Password» новую кодовую фразу. Подтвердите ее, повторно введя в нижнюю строку. После этого можно нажимать на «Install». Если все прошло успешно, то появится сообщение: Password Recovery for NTs is successfuly done!

Нажмите ОК и перезагрузитесь. Как только появится окно выбора пользователя, введите новый пароль. Он должен подойти без проблем. Вот так можно сбросить Windows Password.

KeePass

Это – прекрасное приложение, которое позволяет надежно хранить базы паролей любых размеров в зашифрованном виде. Чтобы получить доступ к ней, необходимо знать мастер-пароль. Разумеется, он должен быть максимально надежным. Лучше всего, если вы придумаете выражение в 10-15 символов длиной.

Так как программа полностью бесплатная, ее беспрепятственно можно скачать с официального сайта. Установка никаких затруднений не представляет, все максимально просто

Обратите внимание! На сайте разработчика есть также портативная версия, идеальная для тех людей, которые часто вынуждены работать за чужими компьютерами

При первом запуске откроется диалоговое окно с предложением поиска обновлений. Советуем дать согласие на скачку новое версии, ежели таковая отыщется.

Вернемся к первоначальной настройке программы. Когда вы введете мастер-пароль в первый раз, программа предложит вам подтвердить свое действие, указав Admin Password еще раз. Если все в порядке, перед вами откроется основное окно приложения.

Генерация мастер-пароля

Разумеется, всегда можно сгенерировать случайную строку из достаточного (например 20) количества символов. Однако её практически невозможно запомнить и трудно ввести без ошибок, особенно на смартфоне. Поэтому EFF в своем гайде рекомендует вместо этого пользоваться парольными фразами.

Метод работает так: берем достаточно большой словарь (EFF предлагает несколько словарей, например этот) и выбираем из него не менее 6 случайных слов. Выбирать можно как угодно, даже вообще без компьютера при помощи игральной кости или монетки. Такой метод называется diceware. До игральных костей и монеток я еще не дошел, поэтому просто воспользуюсь входящей в состав GNU coreutils утилитой :

Сохраняем эту парольную фразу в надежном месте за пределами компьютера.

В результате будет создан секретный ключ. При работе в консоли часто придётся указывать его fingerprint, стоит записать это число.

Теперь можно настроить интеграцию gpg и git.

Интеграция gpg, git и github

В качестве git-хостинга никто не мешает поднять свой собственный сервер, поставив туда например Gitea, однако это означает затраты на его поддержку и не обязательно гарантирует большие безопасность и надежность. Поэтому я, не гнушаясь пользоваться продуктами фирмы Microsoft, просто создал приватный репозиторий на github.

Стандартный механизм аутентификации в git — с помощью SSH. Обычно подразумевается, что для этого нужен специальный ключ ssh. Однако есть возможность, не плодя лишние сущности, использовать созданный на предыдущем шаге ключ gpg. Чтобы gpg-ключ (точнее, подключ) мог использоваться ssh, должны быть выполнены два условия:

1. у него должен быть установлен флаг — Authenticate;
2. его keygrip должен быть прописан в файле .

Первый пункт уже выполнен, а получить keygrip можно командой

В выводе gpg нас интересует keygrip подключа ed25519 ().

Теперь можно загрузить публичный ключ на github. Заходим в раздел в профиле и выбираем . В консоли набираем

и копируем получившийся публичный ssh-ключ.

Git может подписывать коммиты с помощью gpg, и github это поддерживает. Думаю, это полезная для безопасности фича. Экспортируем публичный ключ gpg командой

и копируем то, что получилось, в форму .
Дальнейшие действия специфичны для используемой операционной системы.

Сохраняем базу паролей

Создав новую базу паролей, сохраните ее под каким-нибудь вменяемым именем. Сделать это просто: «Фалл/Сохранить как».

По умолчанию база сохраняется на жестком диске в виде файла с расширением .kdb. Вроде бы, это удобно, так как в случае ЧП вы легко сможете отыскать информацию. С другой стороны, потенциальные взломщики могут прекрасно знать об этой особенности упомянутой программы. А потому разработчики приложения предусмотрели возможность пользователям самим придумывать имя и расширение парольной базы.

Главное — не придумывайте чего-то уж слишком оригинального, так как подобные файлы также сильно бросаются в глаза. И уж точно не стоит называть его New Password, так как в этом случае даже самый неопытный хакер быстро раскроет все ваши секреты. Разумеется, в качестве места сохранения парольных баз нежелательно выбирать папку приложения на диске

Это значительно повысит защищенность важной информации

Создание надежного пароля

Уж сколько раз твердили миру, что нельзя использовать заезженные сочетания вроде QWERTY или 12345678! Тем не менее эти примитивные и легко взламываемые комбинации на первых местах в мировых рейтингах.

Не стоит также использовать какие-то личные данные: взломать вас захотят, скорее всего, не хакеры с другого конца мира, а люди, знающие вас лично. И они знают вашу дату рождения или свадьбы, имена детей и клички домашних животных, а то и более приватные вещи.

Поэтому пароль нужно придумывать по принципу «операции Ы» — чтобы никто не догадался. В идеале он должен представлять собой несвязный набор цифр и латинских букв в разных регистрах.

Проблема в одном: такой рандомный набор исключительно сложно запомнить. Поэтому некоторые продвинутые пользователи генерируют сочетания из двух частей – случайной или почти случайной (например, серии и номера потерянного когда-то паспорта), и тематически связанной с сайтом. Проблема в том, что злоумышленник из числа близких, подобрав пароль к какому-то одному сайту, легко поймёт логику и сможет так же легко ломать остальные.

Менеджер паролей Яндекса предлагает совершенно рандомные значения каждый раз, когда вы пытаетесь зарегистрироваться на каком-то ресурсе. При этом вручную подтверждать его не надо: набор символов автоматически копируется в поле «Подтвердить». Потом вы сможете извлечь его из соответствующей записи в менеджере.

Возможно, предложенный пароль вам не понравится. Там могут оказаться религиозно или идеологически неприемлемые сочетания цифр, хотя это маловероятно – варианты в основном состоят из букв. Или же буквы могут сложиться не вполне прилично. Автору статьи «повезло» в одну из первых попыток получить комбинацию, начинающуюся с «fuck».

Чтобы сгенерировать другой вариант, более приличный, нажмите на кнопку обновления справа от текущего.

Добавляем в базу примечания к паролям

Чтобы всегда иметь перед глазами напоминание о той или иной кодовой фразе, перейдите к меню «Файл», выберите пункт «Изменить», после чего переходим к «Добавить запись». Вот перечень основных категорий, которые могут быть привязаны к любому вашему паролю:

1. Поле «Группа». Это понятие мы только что разобрали.
2. Название. Здесь нужно записать хоть что-нибудь осмысленное. К примеру, «Пароль для доступа к сети».
3. Можно также сохранить то сетевое имя (ник), с которым вы и используете данную кодовую фразу.
4. Если вы заполнили предыдущее поле, необходимо внести документы в «Адрес», где указывается ссылка на тот сайт, где используется сохраненный в программе пароль.
5. Наконец, вы можете воспользоваться генератором случайных чисел, чтобы сгенерировать этот самый пароль прямо в программе.

Пользоваться столь полезными приложениями удобно, но как же быть, если пароль вы умудрились забыть?

Внимание! Если вы вняли нашим советам в начале статьи, а потому собираетесь регулярно менять кодовую фразу, для вас есть чрезвычайно полезная опция «Окончание». Указываете в соответствующем поле срок окончания действия данного пароля, после чего программа в нужный день сама вам напомнит об этом

Нажимаете «Ок», и на этом процедура добавления информации закончена.

Как создать базу паролей?

На панели инструментов нажимаете на кнопку «Новый» или же переходите к меню «Файл», выбираете там пункт «Новый». Откроется первое диалоговое окно, где в поле «Основной пароль» нужно ввести максимально надежную кодовую фразу (о чем мы с вами уже говорили выше).

В том же окне можно выбрать опцию «Использовать пароль вместе с парольным файлом». В этом случае введенный код будет признаваться только в том случае, если программа имеет доступ к специальному цифровому ключу. Если вы пользуетесь Web Money Keeper, то можете представить надежность такой схемы.

Обратите внимание: позже вы в любой момент сможете сменить свой основной пароль