Ими пользуются практически все. У многих пользователей их целые коллекции. Они управляют доступом к нашему самому ценному ресурсу — информации, и все же мы не уделяем должного внимания их хранению. Мы с легкостью сообщаем их другим людям, пишем на обрывках бумаги и редко даем себе труд выбирать их в соответствии с необходимыми требованиями. Что я имею в виду? Пароли, разумеется! Точнее говоря, набор учетных данных, состоящий из имени пользователя и пароля
Время прощаться с паролями?
Ими пользуются практически все. У многих пользователей их целые коллекции. Они управляют доступом к нашему самому ценному ресурсу — информации, и все же мы не уделяем должного внимания их хранению. Мы с легкостью сообщаем их другим людям, пишем на обрывках бумаги и редко даем себе труд выбирать их в соответствии с необходимыми требованиями. Что я имею в виду? Пароли, разумеется! Точнее говоря, набор учетных данных, состоящий из имени пользователя и пароля.
Имена пользователей и пароли применяются для управления доступом к компьютерам и сетям, а также к хранящимся на них данным уже нескольких десятилетий. Проблемы, связанные с именами пользователей и паролями, хорошо известны, но похоже, что ни новые технологии, ни осознание важности этих инструментов защиты данных, ни разъяснительная работа не помогают их решить. Они остаются одной из самых заметных брешей в системе безопасности, и тем не менее коммерческие структуры продолжают использовать их. Практически невозможно совершить покупку в Internet без того, чтобы предварительно не создать учетную запись или зарегистрироваться с ее помощью. Лично у меня накопилось свыше 30 самых разных учетных записей — от записей в банковских и инвестиционных учреждениях до тех, что обеспечивают регистрацию на сайтах торговых организаций и профессиональных ассоциаций. И это не считая учетных записей (как уровня пользователя, так и уровня администратора), которыми я при исполнении своих служебных обязанностей пользуюсь для обращения к различным компьютерам и сетям.
Но как же удержать в памяти такое количество учетных данных? Очевидно, единственный выход — использовать один и тот же набор учетных данных для каждой учетной записи. Но это рискованный вариант, поскольку, если злоумышленнику удастся раскрыть один набор учетных данных, которым вы пользуетесь для обращения к сайту или системе, он сможет получить доступ ко всем вашим учетным записям. Еще один вариант — собрать все учетные данные в одном месте — например, на листке блокнота в своем бумажнике или на устройстве, таком как смартфон либо Pocket PC. Подобное решение тоже сопряжено с риском. Если ваш бумажник украдут или взломают портативное устройство, тогда все ваши учетные записи станут достоянием посторонних лиц. Даже в том случае, если вы храните пароли отдельно от имен пользователей, при раскрытии одного существует опасность раскрытия другого, ибо эти элементы защиты обычно угадываются без особого труда. К примеру, организаторы многих Web-узлов предлагают пользователям в качестве имен применять их почтовые адреса. Более подробные сведения о правильных действиях в ситуациях, когда приходится прибегать к паролям, изложены во врезке “Когда без паролей не обойтись”.
Итак, что может предпринять ответственный за безопасность администратор для того, чтобы уменьшить риск, связанный с использованием паролей? Существует огромное число альтернатив применению имен пользователей и паролей; причем некоторые из них, хотя и не все, реализуются с помощью собственных средств Windows. Три наиболее популярных альтернативных варианта — это смарт-карты, ключи (tokens) и устройства для считывания биометрической информации. После краткого описания некоторых базовых принципов аутентификации я расскажу о достоинствах и недостатках каждого решения, а также о ситуациях, в которых целесообразно их применять.
Базовые принципы аутентификации
Современная технология аутентификации предусматривает использование трех типов идентификаторов: объекты, известные пользователям, объекты, имеющиеся у пользователей, а также объекты, уникально характеризующие того или иного пользователя. Когда система использует лишь один из упомянутых идентификаторов, ее называют системой однофакторной аутентификации. Примером однофакторной аутентификации может служить незатейливая система имен пользователей и паролей; это объекты, известные пользователю. Когда система аутентификации использует два из упомянутых выше идентификаторов, она именуется двухфакторной системой; принято считать, что такие системы надежнее однофакторных. Когда мы используем карточку для банкомата или дебетовую карточку в сочетании с личным идентификационным номером, это уже двухфакторная система: здесь для аутентификации требуется объект, известный пользователю, а также объект, имеющийся у пользователя. Во фрагменте таблицы (полностью таблица приведена в статье “Ключи для двухфакторной аутентификации”, опубликованной в рубрике “Выбираем”, Windows IT Pro/RE № 5 за 2006 г.); в ней перечислены некоторые средства двухфакторной аутентификации, представленные сегодня на рынке.
Некоторые банки рекомендуют своим клиентам размещать на карточках для банкоматов или на дебетовых карточках свои фотографии. После этого система аутентификации станет трехфакторной, значит, еще более безопасной. Теперь перед тем, как вставить карточку в терминал торговой точки и попросить ее владельца ввести свой личный идентификационный номер, продавец сможет удостовериться в том, что на фотографии действительно изображен предъявитель карточки.
Рассмотрим пример использования карточки для банкомата или дебетовой карточки в сочетании с личным идентификационным номером. Для получения наличности и совершения покупки в торговой точке вам потребуется как карточка, так и личный идентификационный номер. Если вор, завладевший карточкой, не знает идентификационного номера, карточка превращается в бесполезный кусок пластика; вот почему банковские работники настоятельно рекомендуют клиентам никогда не записывать идентификационные номера и не сообщать их другим лицам. Поскольку эти номера, как правило, состоят из не более чем четырех цифр, так что общее число возможных комбинаций составляет 10 тысяч; от пользователя требуется ввести корректный идентификационный номер за определенное число попыток (обычно за три), после чего ассоциированный с этой карточкой счет блокируется. Не будь этой меры предосторожности, грабитель мог бы неспешно перебрать все возможные варианты идентификационных номеров и получить доступ к банковскому счету. Некоторые эмитенты карточек ввели концепцию личного идентификационного номера, используемого в случае угрозы физического насилия. Если используется этот альтернативный вариант идентификационного номера, эмитент карточки узнает о том, что владелец счета был вынужден передать злоумышленникам свою карточку и/или личный идентификационный номер. После этого эмитент выполняет действия, имитирующие транзакцию (скажем, перевод денежных средств) или выдает сообщение о недостатке средств на счете для выполнения транзакции. Одновременно об инциденте извещаются соответствующие органы, которые оперативно блокируют карточку.
Важно отметить, что даже успешная регистрация в системе не означает, что пользователь автоматически получает неограниченный доступ к ее ресурсам. Чтобы получить доступ к своему банковскому счету или хранящимся на сервере данным, необходимо получить соответствующую санкцию. Авторизация определяется такими ограничителями, как наличие достаточных средств на банковском счете или разрешения в списке управления доступом (discretionary ACL, DACL).
Смарт-карты и ключи с сертификатами
Смарт-карты, подобные тем, что поставляются фирмой Gemplus (http://www.gemplus.com/smart/cards/basics), и ключи с сертификатами, такие как выдаваемые компанией SafeNet изделия серии iKey (http://www.safenet-inc.com/products/tokens), могут служить примерами двухфакторных технологий аутентификации. У них много общего. И та и другая технологии предусматривают использование микропроцессоров, способных выполнять криптографические операции, такие как генерация ключей и функции хеширования. И в тех и в других изделиях используется память небольших объемов — обычно от 8 до 32 Кбайт — для хранения одного или нескольких цифровых сертификатов X.509v3 и ассоциированных с ними секретных ключей. Основное различие между смарт-картами и ключами на базе сертификатов состоит в том, что для функционирования смарт-карт требуется подключаемое либо встроенное в каждый ноутбук или рабочую станцию устройство для считывания данных, тогда как ключ на базе сертификатов обычно оснащается USB-интерфейсом и для его работы требуется только свободный порт USB, имеющийся почти в каждом ноутбуке или рабочей станции. В комплект поставки Windows входят драйверы, необходимые для использования смарт-карт и ключей на базе сертификатов в сочетании со многими популярными устройствами.
Чтобы иметь возможность зарегистрироваться в системе Windows с помощью смарт-карты или ключа с сертификатами, пользователь должен получить сертификат для соответствующего устройства. Агент по выпуску сертификатов — обычно это администратор или другой привилегированный пользователь, наделенный правом создавать сертификаты и связывать их с учетными записями пользователей, — устанавливает смарт-карту в считывающее устройство или ключ с сертификатами в порт USB на выдающей сертификаты рабочей станции, после чего запускает приложение для выдачи сертификатов. Выдающая сертификаты рабочая станция обычно представляет собой защищенный компьютер, оснащенный необходимыми аппаратными и программными средствами, обеспечивающими функционирование смарт-карты. Приложение для выдачи сертификатов может быть автономной программой или обычным Web-браузером, настроенным на Web-сайт службы выдачи сертификатов (http:///certsrv).
Для реализации этой схемы аутентификации требуется инфраструктура открытых ключей (Public Key Infrastructure, PKI), интегрированная со службой Active Directory (AD). К счастью, и Windows 2003, и Windows 2000 поставляются с центром сертификации (Certification Authority, CA) и со всеми компонентами, необходимыми для выдачи сертификатов.
Когда агент по выпуску сертификатов предоставляет пользователю право использовать смарт-карту или ключ с сертификатами, на смарт-карте или на ключе с сертификатами генерируется пара “открытый/секретный ключ”, и открытый ключ направляется в центр сертификации. Центр формирует и подписывает сертификат и возвращает его копию выдающей сертификаты рабочей станции, где сертификат записывается на устройство аутентификации. Кроме того, еще одна копия сертификата хранится в службе AD в качестве атрибута пользователя, для которого он выпущен. В процессе выдачи сертификата агент по выпуску должен ввести личный идентификационный номер пользователя, который применяется для ограничения использования на устройстве секретного ключа. Агент по выпуску сертификатов может также установить личный идентификационный номер администратора. Личный идентификационный номер пользователя может быть введен лишь ограниченное число раз, обычно — три, после чего карта блокируется. Когда карта заблокирована, администратор должен с помощью личного идентификационного номера администратора разблокировать ее и ввести новый идентификационный номер пользователя. В случае утери или кражи смарт-карты либо ключа с сертификатами хранящийся на нем сертификат может быть отозван, и тогда устройство не может быть использовано в целях аутентификации, даже если личный идентификационный номер известен злоумышленнику или раскрыт им.
Пользователь регистрируется в системе, устанавливая смарт-карту в устройство для считывания данных или подключая ключ с сертификатами к порту USB. Затем пользователю предлагается ввести уже не свое имя и пароль, а личный идентификационный номер. Данный номер используется для разблокирования устройства и, в частности, для обеспечения использования секретного ключа при проведении криптографических операций. В сущности, секретный ключ никогда не покидает устройства. Сертификат пользователя считывается с устройства и пересылается на контроллер домена в рамках операции регистрации по протоколу Kerberos. Сертификат подвергается проверке; в частности, уточняется, был ли он выдан с помощью PKI, интегрированной в AD, не истек ли срок действия сертификата и не был ли он отозван. Если сертификат действителен, содержащийся в нем открытый ключ используется для шифрования ключа сеанса регистрации в системе, который возвращается на рабочую станцию пользователя и направляется на смарт-карту или устройство ключа с сертификатами для дешифрации секретного ключа. Если операция шифрования выполняется успешно, стандартный сеанс регистрации по спецификации Kerberos продолжается. Дополнительные сведения о сеансах регистрации Kerberos в системах Windows можно найти в статье “Windows 2000 Kerberos Authentication” http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/confeat/kerberos.mspx.
Смарт-карты и ключи с сертификатами можно использовать также для регистрации на Web-сайтах и в приложениях. Механизм, применяемый в случае регистрации на Web-сайте, обычно предусматривает использование Secure Sockets Layer (SSL) /Transport Layer Security (TLS), а сертификаты применяются для установления подлинности пользователей. Если вы используете Microsoft IIS, можете настроить Web-сайты таким образом, чтобы вместо анонимной, базовой или интегрированной (NT LAN Manager-NTLM) схемы аутентификации на них применялась схема SSL/TLS. В последнем случае можно с легкостью добавить дополнительный уровень безопасности, так что, если пользователь по недосмотру останется зарегистрированным в системе, злоумышленник, не имеющий доступа к смарт-карте или ключу с сертификатами, а также к личному идентификационному номеру, не сможет просматривать не предназначенные для посторонних посетителей Web-сайты. Существует также возможность устанавливать соответствие сертификатов с конкретными учетными записями пользователей в IIS. Эта возможность может быть очень полезной, если в организации имеются Web-серверы, функционирующие в лесу корпоративной сети, если вы предлагаете клиентам и партнерам регистрироваться на ваших серверах и знаете, что они пользуются смарт-картами либо ключами с сертификатами. И хотя эти сертификаты выпущены не вами, вы можете принять решение доверять им и “привязать” их к учетным записям пользователей в лесу корпоративной сети.
Следующий способ не так надежен, как аутентификация с помощью смарт-карт и ключей с сертификатами. Но как бы то ни было, создав для пользователя сертификат стандарта X.509v3, вы предоставляете ему возможность регистрироваться на Web-сервере и хранить сертификат в своем профиле Windows. Интерфейс прикладного программирования Data Protection (DPAPI), обеспечивающий безопасность таких ключей, как секретный ключ сертификата, можно настроить таким образом, чтобы пользователю приходилось вводить личный идентификационный номер всякий раз, когда он хочет получить доступ к своему секретному ключу. В этом случае мы опять-таки имеем дело с двухфакторной аутентификацией. Вы можете затребовать сертификаты и секретные ключи для своих пользователей и партнеров, затем зашифровать их и направить адресатам по каналам электронной почты. Затем вы сможете предоставить симметричные ключи, необходимые для разблокирования и установки сертификата и секретного ключа по внешнему каналу связи или с помощью сообщений электронной почты, зашифрованных по стандарту S/MIME.
Одно из преимуществ применения смарт-карт и ключей с сертификатами состоит в том, что выпущенные и хранящиеся на них сертификаты могут быть использованы не только для регистрации в системах Windows и для доступа к ресурсам Web-серверов. Эти сертификаты можно задействовать для шифрования и заверения цифровыми подписями почтовых сообщений и документов, а также для доступа к Windows RRAS через виртуальные частные сети. Применение этих устройств для регистрации на рабочих станциях дает и другое преимущество: они используют пару ключей сертификата. Тем самым снижается риск раскрытия введенных пользователями слабых паролей злоумышленниками, которые прослушивают передаваемый по протоколу Kerberos трафик между рабочей станцией и контроллером домена.
Системы на основе ключей
Ключи на базе сертификатов не являются единственной формой ключей, применяемых для обеспечения безопасности процедуры аутентификации. Возможно, наибольшее распространение получила разработанная компанией RSA Security система аутентификации на базе ключей, именуемая SecurID. RSA Security поставляет несколько версий продукта, от монтируемых в стойке серверных устройств до программной версии, именуемой RSA SecurID for Microsoft Windows, которая разработана специально для использования в средах Windows (http://www.rsasecurity.com/node.asp?id=1173).
Системы аутентификации на основе ключей являются двухфакторными. Конструктив ключа — это обычно либо умещающееся в бумажнике устройство размером с кредитную карту, либо ключ размером с брелок. Каждое устройство имеет уникальный серийный номер и, как правило, дату истечения срока, после которой ключ уже не может использоваться. Функционирование ключа сводится к отображению раз в 60 секунд уникального номера, обычно состоящего из шести цифр. Когда ключ выдается пользователю, то подвергается операции сброса личного идентификационного номера, в ходе которой ключ синхронизируется с программными средствами сервера. При регистрации на рабочей станции, сервере виртуальной частной сети или Web-сервере пользователь должен ввести имя пользователя, пароль (факультативно: это зависит от конкретного решения), номер, отображаемый ключом в данное время и, как правило, четырехзначный личный идентификационный номер, который выдается пользователю один раз и никогда не меняется. Пользователям предоставляется ограниченное число попыток ввести текущий номер ключа и личный идентификационный номер. В случае, если неправильные номера вводятся несколько раз подряд, учетная запись пользователя блокируется. Поскольку от пользователя требуется знание личного идентификационного кода, злоумышленник не сможет сразу воспользоваться украденным ключом для получения доступа к системе. Администратор может прервать связь утерянного или украденного ключа с учетной записью пользователя, тем самым лишая злоумышленника возможности задействовать ключ. Если утерянный ключ найдется, его можно будет ассоциировать с учетной записью другого пользователя.
Аутентификация на базе ключей отличается высокой надежностью и хорошо себя показала в гетерогенных сетях. Ее недостаток — необходимость устанавливать аутентификационные серверные программы под конкретные аутентификационные продукты, а также развертывать клиентские программы аутентификации на настольных системах и ноутбуках каждого пользователя. Еще один минус — относительно высокая стоимость ключей, особенно с учетом того обстоятельства, что в конечном итоге срок действия ключей истекает и их нужно заменять новыми.
В качестве альтернативы дорогостоящим аппаратным ключам некоторые поставщики, в том числе RSA, предлагают программные ключи, которые устанавливаются на устройствах, подобных Pocket PC. Так же как и аппаратные ключи, их программные собратья подлежат синхронизации посредством операции сброса персонального идентификационного номера в процессе ассоциирования ключа с учетной записью пользователя.
Устройства для считывания биометрических данных
Самыми известными из эксплуатируемых ныне устройств этой категории являются устройства считывания отпечатков пальцев. Все чаще ноутбуки поставляются со встроенными дактилоскопическими считывателями, и вы можете легко приобрести устройство считывания отпечатков пальцев, подключаемое через порт USB. Реже встречаются устройства считывания отпечатков ладоней, а также считыватели, фиксирующие расстояние между растопыренными пальцами пользователя и давление, оказываемое ими на выпуклые датчики на поверхности устройства. Системы распознавания радужной оболочки глаза, а также голоса пока не находят широкого применения, за исключением организаций, действующих в условиях высокой защищенности.
Принцип работы устройств для считывания биометрических данных прост.
Прибор считывает биометрические данные, проводит необходимые измерения и сводит их результаты к уникальному значению (это хеш). К примеру, устройство считывания отпечатков пальцев может рассчитать отношение между гребешком и впадиной папиллярного узора на пальце и преобразовать его в значение хеш-функции. Впрочем, здесь следует иметь в виду одно обстоятельство. Относительно дешевые устройства для считывания биометрических данных могут чаще совершать ошибки типа I и II, чем более дорогостоящие устройства. Ошибка типа I — это ошибка исключения (скажем, отпечаток пальца пользователя или другие его биометрические данные ошибочно признаются недействительными). Ошибка типа II, более опасная, — это ложное распознавание (ситуация, когда отпечаток пальца или иные биометрические данные другого человека ошибочно признаются данными пользователя). Вследствие недостаточной надежности биометрической технологии производители многих устройств считывания биометрических данных, включая разработчика продукта Fingerpring Reader компанию Microsoft, не рекомендуют применять эти устройства для управления доступом к корпоративным сетям или важной финансовой информации. Средство для считывания биометрических данных по своей природе однофакторное устройство идентификации; оно базируется на том, что биометрические данные каждого человека уникальны. Некоторые системы биометрической аутентификации требуют введения пользователем персонального идентификационного номера с целью сокращения числа ошибок типа II.
Если вы решите воспользоваться устройствами считывания биометрических данных, вам нужно будет наряду с ними установить программные средства, используемые для аутентификации пользователей. Чтобы иметь возможность работать с устройствами считывания биометрических данных, необходимо записать биометрическую информацию о лицах, идентичность которых будет устанавливаться с помощью считывателей. Часто каждый биометрический параметр считывается неоднократно, а иногда сканированию подвергается несколько участков тела (например, указательные пальцы левой и правой руки). Затем эти записанные биометрические данные ассоциируются с учетной записью пользователя. Каждый раз по предъявлении биометрических данных устройство считывает их и сопоставляет результирующее уникальное значение со значениями, ассоциированными с учетными записями пользователей. Таким образом выявляется пользователь, представивший свои биометрические данные.
По большому счету назначение устройств считывания биометрических данных состоит в том, чтобы свести к минимуму объем учетных данных, которые должны держать в памяти пользователи, а не в том, чтобы вообще устранить необходимость в использовании учетных данных. К примеру, когда пользователь регистрируется на Web-сайте, система биометрической аутентификации записывает используемые при этом учетные данные, а также действие, передающее учетные данные на Web-сайт (скажем, нажатие на кнопку регистрации). Когда пользователь вновь посещает этот Web-сайт, он просто предъявляет считывающему устройству свою биометрическую информацию, а считыватель извлекает учетные данные из защищенного хранилища, заполняет Web-форму и имитирует действие, необходимое для передачи учетных данных на Web-сайт и для регистрации пользователя.
Объединенные системы аутентификации, решения SSO и средства InfoCard
Назначение объединенных систем аутентификации (Federated Autentication systems) и средств однократной процедуры регистрации (Single Sign-On, SSO) не в том, чтобы отменить практику использования учетных данных, а в том, чтобы сократить объем учетных данных, которыми приходится оперировать пользователям. В объединенных системах аутентификации Web-службы, к которым обращается пользователь, в свою очередь обращаются к каталогу или серверу аутентификации в домене либо в лесу пользователя (или в эквивалентной единице) для получения ключа аутентификации, который может применяться для идентификации пользователя. Ключ либо представлен в учетной записи пользователя на целевой системе, либо сам по себе имеет доверие со стороны приложения, выполняемого на целевой системе. Более подробные сведения о разработанном специалистами Microsoft варианте системы объединенной аутентификации, Active Directory Federated Services (ADFS), можно найти по адресу http://www.microsoft.com/WindowsServer2003/R2/Identity_Management/ADFSwhitepaper.mspx.
Примером предназначенного для использования в среде Web решения SSO может служить система Microsoft Passport (http://www.passport.com). Она используется главным образом корпорацией Microsoft, однако ничто не мешает любому предприятию взять на вооружение систему Passport, чтобы пользователи могли с ее помощью регистрироваться на Web-сайтах этого предприятия. Отметим, кстати, что возможность использования Passport реализована в таких изделиях, как Windows Server 2003 и Microsoft Internet Information Services (IIS) 6.0. Дополнительные сведения об использовании системы Passport для обслуживания Web-сайтов приведены по адресу http://technet2.microsoft.com/WindowsServer/en/Library/34153b8f-c4ba-48b0-82e4-7e0a568aacd71033.mspx. Там же можно найти пошаговые инструкции и ссылки на дополнительные ресурсы. Следует заметить, что, перед тем как приступить к развертыванию оснащенного средствами Passport приложения, вам придется зарегистрироваться в Microsoft и уплатить взнос. Microsoft обязалась обеспечить совместимость службы Passport и решений, разрабатываемых участниками проекта Liberty Alliance. Это консорциум, созданный с целью разработки спецификаций для определения объединенных протоколов управления идентификацией (http://www.projectliberty.org).
Возможно, наиболее перспективная инициатива в области управления несколькими наборами учетных данных — это новая технология InfoCard, над которой работают специалисты Microsoft. Несмотря на свое название, InfoCard не является аппаратным устройством; это интегрированное в профиль пользователя Windows средство согласованного управления несколькими учетными записями. Более подробная информация о технологии InfoCard опубликована по адресу http://msdn.microsoft.com/windowsvista/building/infocard.
Дилемма пароля
Управление доступом к сетям и Web-сайтам — это проблема, с которой приходится иметь дело каждому ИТ-профессионалу. Методы аутентификации, предполагающие использование имен пользователей и паролей, имеют множество недостатков, и потому многие компании отходят от практики их использования. Я представил вам ряд широко распространенных и простых в применении альтернатив именам пользователей и паролям. В одной из следующих статей я остановлюсь на деталях развертывания и использования описанных выше технологий и решений.
Джон Хоуи
(jhowie@microsoft.com) — директор организации World Wide Services and IT Technical Community for Security at Microsoft. Имеет многолетний опыт работы в сфере защиты информации и является обладателем сертификатов CISA, CISM и CISSP
КОГДА БЕЗ ПАРОЛЕЙ НЕ ОБОЙТИСЬ
Несмотря на наличие на рынке альтернативных средств аутентификации, может случиться так, что без имен пользователей и паролей обойтись будет невозможно. Вот несколько рекомендаций для таких случаев.
- Требующие введения имен пользователей и паролей Web-сайты посещайте лишь в том случае, если в них реализована технология Secure Sockets Layer (SSL). Если подключиться к Web-сайту по протоколу HTTP Secure (HTTPS) невозможно или если при выходе на этот сайт в вашем браузере не появляется значок замка, не посещайте этот сайт.
- Выбирайте надежные пароли длиной не менее восьми символов. Они должны состоять из символов верхнего и нижнего регистров, чисел и знаков пунктуации. По возможности используйте парольные фразы длиной не менее 16 символов (например, “TheCOwJumpedOverTheMOOn!”). Они легко запоминаются, их почти невозможно взломать методом перебора вариантов и трудно атаковать с помощью так называемых “парольных таблиц” (rainbow tables — наборов возможных хешей паролей и их заранее рассчитанных текстовых эквивалентов).
- Для каждой системы используйте особый пароль (и, если возможно, особое имя пользователя). Если ваши учетные данные для одной системы станут достоянием злоумышленника, он не сможет использовать их на других системах.
- Если для каждой учетной записи вы будете применять отдельное имя пользователя и пароль, у вас накопится большой объем различных учетных данных. В этом случае я рекомендую приобрести недорогое средство аутентификации с помощью биометрических данных, например устройство считывания отпечатков пальцев, которое позволит хранить каждый набор имен пользователя и паролей и автоматически регистрироваться на Web-сайтах, предъявив биометрические данные. Вместо считывателя биометрической информации можно приобрести программное хранилище учетных данных, такое как CodeWallet Pro (http://www.developerone.com/codewalletpro/) или RoboForm (http://www.roboform.com).
- Не храните на Web-сайтах сведения о своей кредитной карте или другую позволяющую идентифицировать вас информацию. Вновь и вновь вводить персональные данные при каждом посещении сайта — занятие малоприятное, но все-таки это лучше, чем менять кредитную карту или разбираться с последствиями кражи персональных данных.
Автор: Джон Хоуи
Источник: www.morepc.ru