Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

Генераторы паролей используются для создания особо сложных и длинных паролей. Генераторов паролей – несчетное множество. Каждый школьник, обладая начальными навыками программирования, может создать программу, генерирующую случайную последовательность символов.

Все генераторы паролей работают одинаково. Вы устанавливаете параметры (длину пароля, использование больших и маленьких букв, цифр) и получаете один или несколько сгенерированных паролей.

Типичный пример онлайн-генератора паролей – сайт http://genpas.narod.ru/. Вам даже не придется устанавливать какую-либо программу – пароль там можно сгенерировать в любое время, лишь бы был доступ к Интернету.

Зайдите на этот сайт (рис. 9.1) и установите флажки: Заглавные буквы, Маленькие буквы, Цифры, Знаки. Введите длину пароля (20 символов) и количество паролей, которые требуется сгенерировать. Так можно за один раз сгенерировать пароли для каждого используемого вами сервиса. Использовать один универсальный пароль крайне не рекомендуется – если его подберут, получат доступ ко всем вашим аккаунтам.

Рис. 9.1. Генератор паролей

Генератор сгенерировал следующие пароли:

Z№ 3w(iarjzt}}C5BoQy

Qzq;q;(m7ZkD{nF.hS}+

vl<wqkNSi~pPK%T5nLje

UP3uD{fYqw~{}=T*zVrp

9_H"90x)ZS?kKK0q>JDR

pGRBE№XQIRo+LKyjsG4g

h8CKnxz4s7KY9"*q=<7

r6K.iPASzvH=xVrPHgMn

attGYge{(]_!z?.>J;o6

0zu-pz666EwE<z1EuOC

Эти пароли идеальные – их сложно подобрать (в словаре их точно не будет), а подбор методом грубой силы займет значительное время. Но всегда есть обратная сторона медали – такие пароли невозможно запомнить. Методы помощи вашей памяти будут рассмотрены в разд. 9.3.

Сгенерировать сложный пароль, как было показано, очень просто. Совсем иное дело – его запомнить, что практически невозможно, если, конечно, у вас не феноменальная память на разную абракадабру.

Где же хранить пароль (точнее пароли – ведь их у вас будет много)? Предлагаю несколько вариантов:

✓ на желтой липкой бумажке, приклеенной к монитору, – самое глупое решение (надеюсь, все понимают почему);

✓ в обычном текстовом файле – довольно удобно, поскольку все пароли сразу под рукой. Но у этого способа один недостаток – файл виден невооруженным взглядом. Его может прочитать любой желающий – шпионская программа (если каким-то образом узнает, что у вас там пароли), ваши знакомые, коллеги и т. д.;

✓ в обычном текстовом файле, размещенном на зашифрованном носителе, – вот это самый практичный способ. Можно также зашифровать отдельный файл, а не весь носитель, если у вас кроме файла с паролями больше нет конфиденциальной информации. Правда, и у этого способа есть свой недостаток – если ключи доступа к носителю потеряются, вы навсегда потеряете свои пароли. Поэтому имеет смысл сделать копию файла паролей (например, на флешку) или распечатать его на бумаге и хранить в надежном месте (например, в сейфе);

✓ использование средств браузера – с одной стороны, довольно удобный способ. Но шпионские программы уже давно научились воровать сохраненные в браузере пароли, да и в случае вынужденного сброса браузера вы их тоже потеряете. Поэтому я бы не рекомендовал прибегать к этому способу. Все-таки вероятность вынужденного сброса браузера выше, чем вероятность выхода из строя зашифрованного носителя;

✓ использование специальных программ – существуют программы, предназначенные для хранения и автоматического ввода сложных паролей. Этот способ хорош тем, что обеспечивает не только надежное хранение паролей, но и их автоматический ввод. Вам уже не придется вручную выделять строку символов (а ведь легко при этом не захватить один из символов, и пароль окажется неверным).

Теперь рассмотрим самый последний способ хранения и ввода паролей. Надеюсь, что с желтыми бумажками, текстовым файлом и браузером вы можете разобраться самостоятельно.

Существует много программ для хранения и автоматического ввода паролей. Раньше я пользовался программой Password Commander – довольно удобным менеджером паролей, но, к сожалению, его разработка прекращена. Сейчас в Интернете можно найти старые версии этой программы, но применить их получится разве что пользователям Windows 2000/Windows XP.

Пользователям более новых операционных систем (Vista, Windows 7) рекомендую попробовать программу KeePass Password Safe – бесплатную утилиту, имеющую к тому же portable-версию, что позволяет запускать ее с флешки. Скачать программу можно по адресу: http://keepass.info/download.html.

Принцип работы этой программы (рис. 9.2) очень прост. Сначала нужно создать базу паролей с помощью команды File | New. При этом вас попросят ввести главный пароль для этой базы – он будет использоваться по умолчанию для всех остальных парольных записей, но при необходимости вы можете указать отдельный пароль для каждой записи.

Рис. 9.2. Основное окно программы KeePass

После создания базы данных паролей нужно добавить в нее несколько записей. Каждая запись – это пароль для доступа к чему-то. Выполните команду Edit | Add entry. В открывшемся окне (рис. 9.3) введите описание пароля, имя пользователя (если нужно) и сам пароль. Созданный пароль появится в выбранной группе паролей (задается параметром Group). Для копирования пароля щелкните по записи и нажмите комбинацию клавиш <Ctrl>+<C>. Для копирования имени пользователя используется комбинация <Ctrl>+<B>. Затем перейдите в форму для ввода паролей и вставьте имя пользователя и пароль.

Рис. 9.3. Добавления пароля

Как видите, использование подобных программ не вызывает каких-либо затруднений. На практике они очень облегчают жизнь, особенно, если у вас отдельный пароль к каждому ресурсу. Помнить 20–30 разных и сложных паролей просто невозможно.

Кроме программы KeePass могу порекомендовать программу Secure Data Manager (http://sdm.sourceforge.net/). Вот только для работы этой программы нужна виртуальная машина Java 1.4.1 JRE (J2SETM v 1.4.1) или более новая. Если таковая не установлена в вашей системе, ее придется установить. Программа сама по себе довольно удобная, архив с программой занимает всего 2 Мбайт, а вот JRE… Нет смысла устанавливать JRE в свою систему, особенно, если в данный момент она вам не нужна, да и устанавливать JRE ради программы в 2 Мбайт – это как из пушки по воробьям…

А так – обе программы (KeePass и Secure Data Manager) являются программами с открытым кодом и распространяются по лицензии GPL, а это автоматически означает отсутствие "черных ходов" – можете быть уверены, эти программы не "сливают" на сторону ваши пароли. Исходный код этих программ доступен любому желающему, поэтому, если бы программы передавали пароли третьим лицам, это было бы сразу ясно.

Однако помните, что раз исходный код программ доступен каждому желающему, скачивать программы можно только с их официальных сайтов, а не с разных "файлопомоек", где злоумышленники могут изменить код программы, откомпилировать ее и выложить в общий доступ. Если вы скачаете такую "модифицированную" программу, есть вероятность, что ваши пароли будут кому-то переданы, а этого не хотелось бы…

Какой способ использую я? Раньше – менеджер паролей, сейчас вернулся к более консервативному способу – зашифрованному текстовому файлу, хотя признаю, что использование менеджеров паролей – более удобный способ.

А о шифровании данных мы поговорим в главе 10.

Глава 10. Ваш личный сейф. Шифрование информации и пароли

Любой компьютер, будь то ноутбук или стационарный компьютер, позволяет установить пароль на BIOS – при включении компьютера (еще до загрузки ОС) вы увидите запрос на ввод пароля. Если пароль неправильный, компьютер даже не подумает загружать операционную систему.

Стоит ли устанавливать пароль на BIOS или ограничиться паролем учетной записи? Вы должны понимать, что пароль на BIOS – не панацея, и отпугнет он только дилетанта. Если кому-то в руки (а мы говорим именно о физическом доступе к компьютеру – ведь по сети пароль BIOS не введешь) попадет ваш компьютер, обойти такой пароль не составит труда.

Во-первых, есть так называемые инженерные пароли – универсальные пароли, при вводе которых гарантируется доступ в BIOS. Какой именно инженерный пароль подойдет к вашему компьютеру, зависит от производителя и номера версии BIOS. Так что злоумышленнику не обязательно долго заниматься перебором вашего пароля, если он знает инженерный пароль.

Во-вторых, для сброса пароля BIOS достаточно выполнить несложную процедуру его сброса – переключить первый джампер материнской платы в положение сброса или просто отключить батарейку на несколько минут. Вариант с батарейкой универсальный, поскольку избавляет от необходимости искать первый джампер и читать документацию по материнской плате.

Другое дело – ноутбуки. Некоторые модели нельзя разобрать с помощью обычной отвертки – нужна специальная, а обычной можно сорвать шлицы винтов, после чего открыть корпус вообще будет проблематично. Одним словом, пароль на BIOS может создать больше проблем владельцу ноутбука, нежели злоумышленнику. Ведь если вы забудете пароль и не сможете разобрать ноутбук (вопрос о гарантии сейчас поднимать не будем), то придется обращаться в сервисный центр – только они смогут сбросить пароль. Вот только там еще придется доказывать, что ноутбук ваш… Надеюсь, у вас сохранились гарантийный талон, чек, упаковка и прочие принадлежности, способные доказать законность владения (что вы ни у кого его не украли).

А злоумышленник? Даже если у него не будет специальной отвертки, ему проще вытащить жесткий диск (он закрывается крышкой, прикрученной к корпусу четырьмя винтами) и подключить его к своему компьютеру. Это раньше для подключения жесткого диска от ноутбука к стационарному компьютеру нужен был специальный адаптер, сегодня на ноутбуки устанавливаются обычные SATA-диски, которые отличаются от своих стационарных собратьев только меньшими размерами.

Как видите, проку от пароля на BIOS нет. Впрочем, из каждого правила есть исключения. Большинство BIOS позволяют установить пароли раздельно: на загрузку компьютера и на вход в SETUP – программу настройки BIOS компьютера. Я бы рекомендовал установить пароль именно на BIOS SETUP – дабы дети или просто малограмотные в компьютерном смысле пользователи, работающие с вашим компьютером, не смогли установить в BIOS SETUP неправильные параметры. В этом случае загрузка системы будет произведена без пароля, а если кто-то захочет войти в SETUP, компьютер попросит его ввести пароль.

Если вы таки решили установить пароль BIOS, прочитайте руководство по вашей материнской плате – в нем описана процедура установки пароля в вашей версии BIOS. В этой процедуре нет ничего сложного и любой пользователь, обладающий минимальными знаниями английского языка, сможет установить пароль.

Из соображений безопасности рекомендуется задать пароль для своей учетной записи, если вы этого не сделали при установке системы. Для домашнего стационарного компьютера пароль не обязателен (если, конечно, вы не хотите закрыть доступ к компьютеру своим родственникам). А вот для корпоративного (офисного) компьютера и ноутбука – пароль обязателен.

Чтобы задать (или изменить) пароль пользователя, выполните команду Панель управления | Учетные записи пользователей и семейная безопасность | Изменение пароля Windows (рис. 10.1).

Рис. 10.1. Учетные записи пользователей и семейная безопасность

Нужно, чтобы родственники или коллеги тоже пользовались компьютером? Тогда одного пароля для вашей учетной записи недостаточно. Необходимо создать отдельную учетную запись для каждого пользователя, который должен работать с компьютером. Есть как минимум три причины создать дополнительные учетные записи.

Разграничение доступа к файлам и папкам – другие пользователи не смогут просмотреть ваш пользовательский каталог. Посмотрите на рис. 10.2. Работая под незамысловатым именем Пользователь, я попытался получить доступ к пользовательскому каталогу пользователя Денис. В ответ система сообщила, что у меня пока нет разрешения на доступ к этой папке. Если нажать кнопку Продолжить, система предложит получить доступ к этой папке, но в обмен на пароль ее владельца (рис. 10.3). Если пользователь не знает пароля владельца каталога, доступ к нему он не получит.

Рис. 10.2. Отказ в доступе

Рис. 10.3. Ввод пароля для получения доступа

Естественно, вашего пароля другие пользователи знать не будут, а вы им его не сообщите (зачем тогда затевать разграничение доступа, если другие пользователи будут знать ваш пароль?). Да и что делать другим пользователям в вашем личном каталоге? Правильно – нечего. Если есть необходимость обмена файлами между пользователями, то можно использовать папку Общие (C: ПользователиОбщие или C: UsersPublic). В эту папку (рис. 10.4) можно поместить фильмы, музыку, изображения, общие документы и т. п.

Рис. 10.4. Общая папка

Ограничение прав пользователя – вы будете администратором на данном компьютере, а все остальные – обычными пользователями. Пользователи имеют доступ к уже установленным программам, а также имеют право изменять параметры системы, не влияющие на безопасность компьютера и не затрагивающие настройки других пользователей. А вот администратор имеет полный доступ к компьютеру, может устанавливать программы и может изменять любые настройки.

Персональные настройки – каждый пользователь сможет выбрать свою тему рабочего стола, установить фоновые изображения рабочего стола и т. д.

Итак, для создания новой учетной записи выполните команду Панель управления | Учетные записи пользователей и семейная безопасность | Добавление или удаление учетных записей пользователей | Создание учетной записи (рис. 10.5). Далее нужно ввести имя пользователя и выбрать тип учетной записи (Обычный доступ или Администратор).

Рис. 10.5. Создание учетной записи пользователя

После этого вы увидите окно с уже созданными учетными записями пользователя (рис. 10.6). Выберите только что созданную учетную запись. Вы можете изменить пароль учетной записи, имя учетной записи, рисунок, установить родительский контроль (актуально для учетных записей детей) и изменить другие параметры (рис. 10.7).

Рис. 10.6. Список учетных записей

Рис. 10.7. Изменение параметров учетной записи

UAC (User Account Control) – контроль учетных записей пользователей. Впервые UAC появился в Windows Vista. Компонент UAC из соображений безопасности запрашивает подтверждение действий, требующих прав администратора. Вирус или другая вредоносная программа, которой необходимы права администратора, не сможет их получить, поскольку UAC приостановит выполнение программы до вашего разрешения. Если вы знаете, что это за программа, то можете продолжить ее выполнение или завершить ее.

Недостатков у UAC два. Первый заключается в том, что UAC раздражает своей назойливостью, особенно если производится много административных действий. Второй – в том, что окно UAC не выводит достаточно информации о том, что собирается сделать программа.

UAC отключается элементарно – в панели управления, для этого даже не нужно редактировать реестр. Для отключения UAC выполните следующие действия (рис. 10.8):

Откройте Панель управления.

Установите удобный вам размер значков (Мелкие значки или Крупные значки) и зайдите в раздел Учетные записи пользователей.

Выберите команду Изменение параметров контроля учетных записей.

Переместите ползунок вниз, выбрав Никогда не уведомлять.

Нажмите кнопку OK.

Согласитесь с предупреждением об отключении UAC и нажмите кнопку Да.

Перезагрузите компьютер.

Рис. 10.8. Отключение UAC

Из соображений безопасности лучше не отключать UAC для пользовательских учетных записей (только если вы установили сверхбезопасный брандмауэр). Но и для них можно сделать работу с UAC немного удобнее. Дело в том, что когда UAC срабатывает, весь рабочий стол затемняется и блокируется – пользователь не может больше обратиться ни к одной программе, пока не разрешит или не запретит выполнение программы.

Внимание!

Чуть ранее было сказано, что UAC не нужно отключать для пользовательских учетных записей. Для учетной записи администратора его можно отключить – предполагается, что администратор знает, что делает. Но это только в том случае, если вы прислушались к моим рекомендациям и выполняете ежедневные операции (работа с Интернетом, с документами, игры и т. п.) под обычной учетной записью, а учетная запись администратора используется вами по прямому назначению – для администрирования системы. Если это не так, ни в коем случае не отключайте UAC.

Данную функцию можно отключить. Перейдите в следующий раздел реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

Найдите параметр PromptOnSecureDesktop и присвойте ему значение 0. Закройте редактор реестра и перезагрузите компьютер.

В Windows 7 есть одна особенность. Если вы отключили UAC, гаджеты и боковая панель будут работать некорректно. Чтобы все было в порядке и гаджеты работали, как и раньше, вам нужно изменить всего один параметр реестра. Перейдите в следующий раздел реестра:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionSidebarSetting

Измените значение параметра AllowElevatedProcess в 1. Чтобы изменения вступили в силу, компьютер нужно перезагрузить.

Самые дорогие выпуски Windows 7: Профессиональная (Professional), Корпоративная (Enterprise) и Максимальная (Ultimate) – поддерживают функцию шифрования файлов и каталогов (система EFS). Зашифрованные файлы нельзя просмотреть на другом компьютере – в случае, если, например, другой пользователь системы скопирует зашифрованную вами папку или даже украдет ваш жесткий диск.

О шифровании файлов нужно знать следующее:

✓ лучше всего шифровать не отдельные файлы, а создать папку, поместить туда все файлы, которые вы хотите зашифровать, и зашифровать всю папку;

✓ помните, что при копировании зашифрованных объектов на диски, которые не поддерживают шифрование (например, на раздел FAT32 или флешку), файлы будут автоматически расшифрованы.

А как же с кражей данных? Если некто проникнет к вашему компьютеру во время вашего отсутствия, а рабочий стол не будет заблокирован (вы не выполнили ни блокировку, ни завершение сеанса, а просто встали из-за стола и отошли), то он сможет скопировать зашифрованные файлы, скажем, на свою флешку. Система просто не сможет отличить, где вы, а где – злоумышленник. Поэтому, если у вас есть конфиденциальные данные, не забывайте блокировать компьютер, когда отходите от него. А вот если кто-то украдет ваш компьютер или жесткий диск, не зная пароля от вашей учетной записи, он не сможет прочитать зашифрованные файлы;

✓ не нужно шифровать все файлы подряд, иначе система станет изрядно подтормаживать – ведь ей придется расшифровывать все файлы "на лету".

Для шифрования папки (или файла – последовательность действий такая же) щелкните на ней правой кнопкой мыши и выберите команду Свойства. В области Атрибуты нажмите кнопку Другие. В открывшемся окне (рис. 10.9) включите атрибут Шифровать содержимое для защиты данных и нажмите кнопку ОK, затем еще раз нажмите кнопку ОK в окне свойств папки.

Рис. 10.9. Включение шифрования

Система спросит вас, нужно шифровать только эту папку или все вложенные в нее папки и файлы. Лучше выбрать второй вариант – К данной папке и ко всем вложенным папкам и файлам (рис. 10.10).

Все, осталось только подождать, пока файлы будут зашифрованы (рис. 10.11). Название зашифрованной папки в Проводнике будет отмечено зеленой подсветкой.

Рис. 10.10. Как шифровать папку

Рис. 10.11. Шифрование файлов

Представим, что у вас есть конфиденциальный документ (пусть это будет документ MS Word), и вы не хотите, чтобы его смог открыть кто-либо еще, кроме вас. Как это можно организовать?

Один из вариантов – использовать стандартное шифрование Windows 7. Но это шифрование не всегда работает, как нужно. Например, в ряде случаев после переустановки Windows пользователи не могли получить доступ к своим зашифрованным файлам. Проблемы могут возникнуть (это же Windows!), даже если все делать по инструкции…

Примечание

Не верите? Прочитайте следующую тему форума – пользователь все сделал правильно, но все равно столкнулся с проблемой расшифровки файлов после переустановки системы:

http://social.technet.microsoft.com/Forums/ru/windows7ru/thread/b616823d-fd4d-44d7-a4a1-c5a0ef9a52bb.

Если набрать такой длинный адрес сложно, можете воспользоваться его сокращенной версией: http://tinyurl.com/5rtbjdv.

Не мудрено, что пользователи пытаются найти более предсказуемые решения. Некоторые из них идут по пути наименьшего сопротивления. Тот же MS Word позволяет установить пароль на открытие файла. Другие упаковывают конфиденциальные файлы в архив (например, с помощью программы WinRAR) и устанавливают на архив пароль. Но такие формы защиты хороши только от дилетантов и легко взламываются с помощью специальных программ, которые без особых проблем можно скачать в Интернете. Выход, как всегда, есть, и вы сейчас узнаете, какая защита файлов является почти идеальной.

Если у вас имеются действительно конфиденциальные данные, вам нужно использовать программу TrueCrypt – лучшую бесплатную программу для шифрования "на лету". Программа работает во всех 32– и 64-разрядных системах Windows, Linux и Mac OS X. Поскольку последние две операционные системы в этой книге не рассматриваются, мы остановимся именно на Windows-версии.

Программа позволяет создать виртуальный зашифрованный логический диск (на обычном жестком диске он будет храниться в виде файла). С помощью TrueCrypt вы также сможете полностью зашифровать весь раздел жесткого диска или другого любого носителя, например флешку.

Все данные, сохраненные в томе TrueCrypt, шифруются. Также будут зашифрованы имена файлов и каталогов. Со смонтированным томом TrueCrypt можно работать как с обычным логическим диском, вы даже можете проверять "поверхность" этого диска и производить дефрагментацию.