29 декабря 2016 в 14:49

Разработка → Стратегия управления личными паролями

В современной жизни обычному айтишнику приходится сталкиваться с множеством паролей. Некоторые используют один пароль во всех случаях, некоторые — системы управления паролями вроде LastPass или KeePass, кто-то придумывает пароли на основе какого-то правила, зависящего от сайта, на котором пароль будет использоваться. В любом случае мы пытаемся найти компромисс между комфортом использования и безопасностью нашей информации? В этой заметке представлен один из возможных вариантов управления паролями.

Мастер-пароль

  • Достаточно длинный пароль — не менее 8 символов, лучше — больше.
  • Случайная комбинация, сгенерированная программой.
  • Используемые символы — как минимум большие и малые латинские буквы и цифры, лучше ещё и спецсимволы. Для 8 символов число комбинаций будет около 360 триллионов.
  • Используется для защиты основных аккаунтов: логин в учётную запись на компьютере, хранилище паролей, основная почта, важный крипто-контейнер и т.д. Желательно сделать число использований данного пароля не больше 5, чтобы минимизировать вероятность компрометации.
  • Далее этот пароль называется Мастер-пароль.

Стратегия управления Мастер-паролем

  • Генерируется случайная последовательность из букв, цифр, спецсимволов (удобно использовать специальные программы-генераторы).
  • Проверятся, насколько удобно её набирать на клавиатуре компьютера.
  • Если удобно, последовательность сохраняется на бумажке, в доступном обычно для автора месте (кошелёк).
  • Там она будет хранится до момента надёжного запоминания (несколько дней).
  • Если неудобно, то перегенерируем ещё раз.
  • Используемый в настоящий момент Мастер-пароль сохраняется в списке старых.
  • На всех сервисах, где используется Мастер-пароль устанавливается новый.
  • Начинаем использовать пароль, желательно стараться не заглядывать в бумажку, чтобы запомнить быстрее.
  • Для удобства запоминания при каждом использовании пытаемся его проговорить, как стишок — задействуется больше нейронов для запоминания.
  • При интенсивном использовании он запоминается достаточно быстро, 1-2-3 дня.
  • После запоминания бумажка уничтожается.
  • Необходима регулярная смена данного пароля (для себя установил правило: не реже 1 раза за 18 месяцев).
  • Старые Мастер-пароли хранятся вместе с остальными паролями (на случай, если они были где-то использованы, иначе есть опасность забыть неиспользуемый пароль и навсегда потерять доступ к информации).

Все остальные пароли

  • Их удобно хранить в менеджерах (LastPass, KeePass и др.)
  • Их можно сделать достаточно длинными (символов 20), всё рано руками вводить их не придятся, так как менеджеры позволяют заполнять поля формы.
  • Необходимо должны регулярно сохраняться в бэкап паролей (большинство менеджеров это умеют) в текстовый файл и зашифровывать его с использованием мастер пароля из первого списка (например, хранить его в крипто-контейнере).

Конверт

  • Наиболее важные пароли из списка (возможно все) должны быть распечатаны на бумаге и запечатаны в конверт.
  • Не в коем случае не распечатывать Мастер-пароль, он хранится только в памяти, гарантия его сохранности — регулярное использование.
  • Конверт помечен чем-то необычным для непосвещённого, но не дающим основания полагать что там внутри (например, QR-кодом, кусочком исходного кода, включите вашу фантазию).
  • Внутри этого конверта лежит ещё один с сообщением для вскрывшего первый конверт, и запретом на вскрытие внутреннего (можно, на нескольких языках).
  • Если первый конверт всё-таки привлёк чьё-то внимание и распалил любопытство, он может быть вскрыт.
  • В таком случае факт вскрытия станет известен хозяину.
  • Вскрытие внутреннего конверта однозначно трактуется как неслучайная попытка получить несанкционированный доступ к чувствительной информации.
  • Даже в этом случае Мастер-пароль от основных систем останется секретным.
  • Необходимо регулярно проверять целостность конверта.
  • После обнаружения вскрытия конверта следует произвести переустановку паролей для систем, компрометация которых является чувствительной.

Спасибо за внимание. Надеюсь, это будет кому-то полезно. Дискуссии — приветствуются!