Статьи по вопросам личной безопасности. Сборник №1

Требование наличия кодового слова, ассоциированного с сервисом, остается. То есть, продолжая пример, первая часть пароля для гугла остается прежней: bulka. Счетчик изменений тоже остается: 01. Зато больше запоминать ничего не надо. Если к паролю bulka01 применить операцию хеширования, и отделить первые двенадцать символов вычисленного хеша, мы получим очень качественный двенадцатисимвольный пароль: MTEyMGRiM2Fj. Небольшая тонкость в том, что разновидностей процедур хеширования достаточно много, и нужно еще помнить, какая именно используется. Но тут многообразие обманчиво, и выбирать особенно не из чего. Функция SHA256 на сегодняшний день является стандартом, и на ней смело можно остановиться.

У хеш-функции есть две приятные особенности. Во-первых, она необратима. Это значит, что по хешу определить исходную фразу настолько тяжело, что с этим не справятся современные компьютеры за обозримое время. А по первым двенадцати символам хеша восстановить ключевую фразу невозможно даже теоретически. Во-вторых, изменение даже одного символа в исходной фразе повлечет за собой кардинальное изменение всего хеша. Например, следующий в череде изменений пароль bulka02 после хеширования алгоритмом SHA256 и отделения первых двенадцати символов будет иметь вид: ZDE5YTQ3Njgx. Сравните с MTEyMGRiM2Fj (хешем от bulka01) – ничего общего. Таким образом, случайная компрометация хешированного пароля не даст злоумышленнику ключа к системе, по которой меняются пароли.

Применение хеширования избавляет от необходимости подгадывать определенное количество символов, чтобы пароль не получился слишком длинным (о длине пароля мы еще поговорим). Более того, чем длиннее пароль перед хешированием, тем он надежнее. Мы предлагаем пользоваться не отдельными словами, а целыми фразами. Например, возьмем в качестве пароля фразу: to be, or not to be, that is the question. Удалим из нее знаки препинания, пробелы, и добавим четырехзначный счетчик: tobeornottobethatisthequestion0001. Затем применим функцию SHA256, отделим первые двенадцать символов, и получим: ZmM2Zjg0N2Mx. Точно так же можно брать и фразы на русском, написанные транслитом или в английской раскладке клавиатуры.

Теперь несколько практических рекомендаций. В сети есть очень много предложений вычислить хеш прямо онлайн, ничего не скачивая. Так делать нельзя, потому что ваш пароль утечет в интернет. Надо найти программу, скачать ее, и установить у себя на компьютере. Запускать ее лучше в песочнице, на случай вирусов. Также будет полезно не разрешить ей соединяться с интернетом. Программе, рассчитывающей хеш, интернет не нужен, и если она пытается туда выйти, значит дело не чисто. И последнее. Установив программу, проследите, чтобы она считала хеш так же, как и все те программы, что делают это онлайн на разных сайтах. Учтите, что один и тот же хеш можно выводить разными символами. Ищите результат, похожий на приведенные выше примеры. Если увидите, что в результатах нет букв k,l,m,n и далее, значит это не то, что надо. Кроме того, программирование с ошибками никто не отменял. В качестве проверки программы можете ввести bulka01 и прочесть первые двенадцать символов. Это должно быть MTEyMGRiM2Fj.

Сколько и каких символов должен содержать пароль

Сразу надо разделить все пароли на две большие категории. Первая это пароли, вводимые для получения доступа к онлайн сервисам. Ко второй относятся пароли, защищающие архивы и зашифрованные файлы. Требования к ним разные. Мы не рекомендуем использовать пароли к онлайн сервисам длиннее двенадцати символов. На сегодняшний день этого вполне достаточно, так как прямой перебор путем отправки запроса на сервер и получения ответа идет слишком медленно даже для взлома существенно более коротких паролей. Кроме того, ни один уважающий себя ресурс не позволит вводить пароли как из пулемета, на определенной попытке ip адрес просто заблокируют. С другой стороны слишком длинные пароли могут на сервере молча обрезаться или, что еще хуже, некорректно обрабатываться. Так что длина в двенадцать символов является оптимальной в современных реалиях. Для шифрования файлов, напротив, необходимо использовать как можно большее количество символов в предлагаемых алгоритмом рамках. Здесь оптимальным будет пароль в тридцать два символа. Минимально допустимым может считаться двадцатисимвольный пароль.

И те и другие пароли должны содержать только заглавные и строчные латинские буквы и цифры. Некоторые сервисы пропагандируют и даже требуют включения в пароль экзотических символов. Что ж, если вы столкнулись с подобным требованием, подчинитесь ему. Но делать такие вещи по собственной инициативе мы не рекомендуем. Существует стандартный набор символов, которые по идее должны обрабатываться так же, как и буквы, и их, опять же по идее, можно безопасно включать в пароль. Но это в теории. На практике же иногда попадаются программисты с совершенно удивительной способностью разместить грабли там, где их, казалось бы, разместить невозможно в принципе. Поэтому лучше не рисковать.

Напоследок расскажем об одной исключительной ситуации, которую надо уметь обрабатывать. Некоторые сервисы могут потребовать пароль, в обязательном порядке содержащий хотя бы одну цифру, одну строчную букву и одну заглавную букву. А значит если хеш вашего пароля не содержит одного из обязательных символов, сервис его не примет. Существует два способа решения этой проблемы.

Сложный способ требует модификации алгоритма получения конечного пароля. Здесь самым удобным будет вариант брать не 1-12 символы из хеша, а 2-13. Если и с этим паролем что-то не так, то 3-14, и так далее. Вероятность того, что любые идущие подряд 12 символов длинной последовательности полного хеша будут забракованы, стремится к нулю. Но теоретически такое возможно. Тогда придется проскочить один порядковый номер в очереди при смене пароля. Например, если будут забракованы все возможные 12-символьные пароли, получающиеся из bulka59 не подойдут, то надо пропустить этот пароль, и сразу ставить bulka60.

Существует и более легкий путь. Все будет прекрасно работать, если к любому паролю в обязательном порядке добавлять, например, Aa1. Тогда, вне зависимости от хеша, конечный пароль будет обязательно содержать все необходимые символы. Но серьезный человек так не поступит. Потому что последовательность Aa1 позволит идентифицировать личность (пусть и анонимную), как одного и того же пользователя. Конечно, все сервисы хором поют сладкую песню, что все хранятся у них на сервере только в хешированном виде, и даже их собственные сотрудники не знают ваш любимый пароль. Но давайте оставим эти сказки детям, верящим в Деда Мороза и Карлсона.

Логин тоже важен

Во всех инструкциях к регистрации на сайтах очень любят поговорить о паролях и попроверять их на надежность. О логине либо не говорят вообще ничего, либо укажут символы, которые он может содержать. А вы никогда не думали о том, что плохой логин или никнейм может привести к расконспирации?

Худший из всех возможных логинов тот, который содержит ваши персональные данные. Sokolov1994 – очень плохой логин, если ваша фамилия Соколов, и вы родились в 1994 году. Vasya_10_12, ChertanovoYuzhnoe, Pythonprogrammer – тоже отвратительные логины. Но это как бы лежит на поверхности. Юзер, который кажется себе тонким конспиратором, может взять ник Vasya, в то время, как его зовут Петя, и радоваться, что всех перехитрил. А по факту он во всеуслышание заявил о своей принадлежности к русскоговорящему сообществу. Выдать могут не только буквы, но и цифры. Наличие трех шестерок в нике сообщит о христианском культурном пространстве, а специфический порядок написания числа и месяца выдаст американца.

Хороший ник это обычное английское слово и несколько одинаковых или идущих подряд цифр (кроме 666). Простое английское слово может знать и китаец, и индус, и француз. А постучать пальцем по какой-нибудь цифре это первое, что придет в голову человеку любой национальности, когда ник с его любимым словом занят. Хорошие ники это cucumber111 и tomato1234.

Пара слов о софте

Точнее даже не пара, а одно, так как мы намерены порекомендовать всего один программный продукт: KeePass. Этот хранитель паролей имеет целый ряд преимуществ, которые делают его на голову выше конкурентов.

1. Открытый исходный код.

2. Бесплатность.

3. Использование стойкого алгоритма AES (256-бит).

4. Портативная версия для Windows.

5. Порт под линукс: KeePassX.

6. Удобная организация каталогов.

7. Настройка автозаполнения.

8. Возможность хранить текстовую информацию.

9. Возможность присоединять файлы и хранить их в зашифрованной базе.

10. Встроенный генератор паролей.

Если вы все же решите подобрать себе что-нибудь другое, выбирайте только продукт с открытым кодом, и которым, по возможности, пользуется еще кто-то, кроме автора. Также сразу отметите все программы, хранящие пароли в облаке – добром такое не кончается. И позаботьтесь о регулярном создании резервных копий зашифрованной базы паролей.

Мифы о киллерах

Пришло время развенчать некоторые распространенные мифы о наемных убийцах. Разумеется, любое правило немыслимо без исключений. Специалист, близко знакомый с предметом, вероятно сможет вспомнить необычных персонажей и необычные ситуации, не укладывающиеся в рамки статистического большинства. Но наша цель состоит как раз в обратном – рассказать о том, чего не бывает в подавляющем большинстве случаев.

Миф №1: Профессия киллера высоко оплачивается

Время от времени приходится слышать о каких-то чудовищных суммах, выплаченных за убийство вполне себе обычных граждан, в лучшем случае охраняемых коллективом бывших вояк или уголовников разной степени дилетантства. Такая "охрана" может помешать киллеру даже средней квалификации разве что случайно. Поэтому суммы в десятки тысяч долларов за такую работу не имеют ни малейшей связи с реальностью, если, конечно, цель не занимает одну из ключевых должностей в государстве и не охраняется профессионалами высокого уровня. Ценник за подобные услуги стартует от нескольких сотен долларов у наркоманов и гастарбайтеров, и заканчивается в районе нескольких тысяч долларов у более-менее сносных специалистов. Но это если платить напрямую киллеру, чего в жизни практически никогда не бывает. В профессионально исполненном заказном убийстве обязательно присутствует цепочка посредников, которые за свои услуги возьмут никак не менее половины гонорара, поэтому цена для конечного потребителя вырастает в разы. Но собственно киллер этого никак не почувствует и все равно получит ровно столько, сколько стоит именно его работа.

Миф №2: Киллеры – люди свободные и независимые

В жизни все обстоит с точностью до наоборот. Дело в том, что в такую специфическую профессию просто так не приходят, как можно прийти в профессию, например, автослесаря или программиста. Не может начинающий киллер дать рекламу своих услуг, ему нужен своего рода импрессарио, который возьмет на себя организационные вопросы. Но такой импрессарио тоже не может давать рекламу, и получается замкнутый круг. На практике киллер всегда обслуживает определенную криминальную структуру, у которой, в силу специфики деятельности, периодически появляются заказы. А чтобы не было сюрпризов, наемного убийцу держат на коротком поводке компроматом, располагая исчерпывающей информацией по проведенным им ликвидациям. Со свободными художниками, которых мы видим в кино, связываться серьезные люди не станут. Только прочно сидящий на крючке киллер будет послушно выполнять любую работу, да и платить ему можно существенно меньше.

Миф №3: Киллеры – крутые ребята

В кино обычно так: наемный убийца накачан, владеет приемами карате, стреляет из любого оружия точно в цель, лазает по отвесным стенам как таракан, и вдобавок без проблем гоняет на всех транспортных средствах, от самоката до самолета. При этом желательно, чтобы он был чертовски обаятелен и сексуален, и обязательно в костюме с галстуком и черных очках. В жизни все совсем по-другому. В уголовной иерархии убийцы стоят практически в самом низу, в противоположность элите – ворам, мошенникам, фальшивомонетчикам и даже профессиональным картежникам. Всем перечисленным профессиям надо долго и старательно учиться, а чтобы достичь высот, нужен еще и немалый талант. А вот грабителем, рэкетиром и убийцей может стать каждый дебил, и часто именно из этой категории граждан убийц и готовят. Ни о каком обаянии, ни о какой утонченности или крутизне речь здесь не идет. Типичный убийца это амбал с психическими отклонениями, освоивший один-два способа отправлять людей на тот свет.

Конечно, в каждой профессии есть место творчеству, как и люди, достигшие высокого мастерства. Но они тоже не похожи на крутых парней. Стрелки берегут руки как скрипачи и подолгу тренируются в тире. В результате никакого карате, часто остеохондроз и пивной живот. Талантливые подрывники и отравители получаются из гиков, над которыми издевались в школе. В зрелом возрасте к очкам и затравленному виду у них добавляется лысина и мятый костюм, который купила мама, но гладить его от старости уже не может. Бывают в виде исключения профессиональными убийцами и женщины, но там такая проблема с головой, что затравленным очкарикам и не снилось. Так что, увы, образ крутого и обаятельного киллера остается жить исключительно на киноэкранах.

Миф №4: У наемных убийц существует кодекс поведения

Когда речь заходит о кодексах в преступном мире, у разумного человека появляется вопрос: какой кодекс вообще может быть у тех, кто сознательно и регулярно нарушает все законы, от библейских до государственных? Правда, воры еще пытаются для виду налепить некое подобие благородства. Например "правильный" домушник, забравшись в квартиру, обязательно оставит хозяину самое необходимое – один комплект одежды, тарелку, ложку… Известны случаи, когда вор, увидев крайнюю степень нищеты и детскую коляску, не только не крал вещи, но и оставлял на видном месте деньги. Такие выходки действительно иногда практиковались раньше. Помимо бравады они преследовали еще одну цель – заручиться поддержкой бедных слоев населения, к которым при случае можно было обратиться за помощью. Именно с этой целью устраивал пиры и раздачи денег нищим Мишка Япончик.

Киллеры возможности подобного маневра лишены начисто, так как ни передумать убивать, ни убить частично они не могут. И не любит их никто, включая их собственных боссов и заказчиков. Дело в том, что запрет на убийство себе подобных является древнейшим и строжайшим табу во всех человеческих сообществах. И тот, кто нашел в себе силы превозмочь этот запрет, бессознательно считается окружающими уже как бы не совсем человеком. Ну подумайте сами, захотелось бы вам дружить с тем, кому в принципе ничего не мешает вас безнаказанно убить? В такой ситуации придумывать какие-то кодексы совершенно бессмысленно, и никто, кроме писателей и сценаристов, этим не занимается.

Миф №5: Наемный убийца – универсальный солдат

Такое заблуждение тоже встречается, хотя и не так часто, как остальные. Здравый человек все-таки понимает, что быть профессиональным хирургом, акробатом и оперным певцом одновременно невозможно. Но под действием обильно производимых киностудиями боевиков у обывателя создается подспудное впечатление, что один и тот же киллер может и подстрелить, и взорвать, и отравить, и устроить несчастный случай. Конечно же, это не так. Хороший стрелок мог за всю жизнь ни разу не подержать взрывчатку в руках, не говоря уже о том, чтобы ее квалифицированно применить. Да и зачем ему? В таком деле риск слишком велик, чтобы экспериментировать. Научился попадать в голову со ста метров, и хорошо, и пользуйся. Киллеры высокого класса, наоборот, стараются как можно глубже разобраться в многочисленных тонкостях своей узкой специализации, чтобы пожить подольше. Уж они-то как никто иной знают, что может произойти вследствие недобросовестного отношения к поставленной задаче.