Времена, когда сотрудники российских компаний использовали в качестве пароля доступа к корпоративным ресурсам слово «пароль», слава Богу, миновали. Строгие правила безопасности, штрафные санкции и участившиеся инциденты стали хорошими стимулами для словотворчества. Большинство из нас используют для доступа к различным ресурсам разные пароли, и получается, что среднестатистический пользователь ПК и Internet должен держать в голове не менее десятка комбинаций символов.
Если для авторизации на сайте знакомств или любителей животных подойдет имя первой школьной учительницы или номер квартиры, то шифровать таким же образом доступ к корпоративной почте или базе данных ключевых клиентов — рискованно. Настройки большинства офисных систем и приложений конфигурируют так, чтобы в качестве пароля использовалось сочетание минимум семи строчных и заглавных букв, цифр и иных символов. Некоторые комбинации генерируются автоматически при регистрации на разных ресурсах, и их приходится запоминать в принудительном порядке. Чем более сложным и длинным будет шифр, тем меньше шансов останется у злоумышленников на весьма распространенную атаку методом перебора паролей.
Понятно, что расклеивать на мониторах, рабочих столах и в прочих доступных для всеобщего обозрения местах «горчичники» с конфиденциальными сведениями запрещено. Заносить их в память телефона, ноутбука или записную книжку тоже «чревато»: эти устройства могут быть украдены или забыты на столике в кафе. Однако постоянно держать в памяти путаные комбинации для доступа к банковским счетам, корпоративной почте, сервису хранения фотоальбомов или рабочему ноутбуку крайне затруднительно. Проверено на опыте: пароли, которые не используются в течение трех недель, «теряются» в недрах памяти. Крайне неприятно, например, оставшись без наличных за границей, пытаться с трех попыток ввести забытый PIN-код в банкомате. Или нервничать во время ответственной командировке из-за невозможности получить удаленный доступ к корпоративным ресурсам.
Существенно облегчить нашу жизнь и разгрузить человеческую память призваны современные услуги генерации и хранения паролей. В Рунете один из самых известных сервисов такого рода — «Менеджер паролей» (parolemanager.com/russian). Его инструментарий позволяет, зарегистрировавшись однажды посредством ключевой фразы (девиза), генерировать коды доступа ко всем используемым ресурсам. Правда, придется заменить уже имеющиеся пароли на предложенные «менеджером», причем некоторые коды, например доступа к корпоративной сети, произвольно изменить не получится. Так что задача решается лишь частично, зато пароли нигде не «светятся» и генерируются автоматически при вводе личного «девиза».
Схожие услуги предоставляют англоязычные ресурсы, такие как passwordmaker.org и clipperz.com. Работа с этими системами также предполагает создание единой «точки входа», т.е. генерацию «материнского» пароля, с помощью которого в дальнейшем можно получать доступ ко всей личной информации. На сайте clipperz.com помимо секретных кодов могут храниться файловые данные о банковских счетах, отчеты, статистика, планы, документы, виртуальная записная книжка. Новые цифровые и буквенные комбинации могут генерироваться системой или произвольно вводиться пользователем. Таким образом, система clipperz.com позволяет хранить и старые, и новые пароли.
Сразу оговоримся, что людям, не слишком рассчитывающим на свою память, не стоит преждевременно радоваться решению своих проблем. Если пользователь забудет «материнский» пароль, он уже никогда не получит доступ к хранящимся на сервере clipperz.com личным данным. Кроме того, открытым остается вопрос доверия пользователей к сетевым сервисам. Понятно, что при их создании применяют самые современные разработки в области ИБ. Однако практика показывает, что даже очень стойкие системы иногда подвержены атакам злоумышленников, и узнав основной код, они получат доступ ко всей информации пользователя. Что делать? Выбор невелик: надеяться на собственную память или извечный «авось».
Юлия Кольдичева, независимый автор, koldicheva@mail.ru