Создаем и запоминаем длинный пароль за небольшой отрезок времени / Хабр
Здравствуйте. Хочу в этот воскресный вечер дополнить цепочку статей о создании паролей. Я не стану рассказывать о паролях для различных сайтов или служб, куда больше меня в последнее время волнует мастер-пароль, длинный и надежный, чтоб не меньше 20 символов. При этом как то не охото заморачиваться с запоминанием и придумыванием. Так же я крайне не одобряю использование части пароля как намек на то, от чего он используется, не люблю использование шаблона и прочее, что снижает безопасность. Интересует только рандом. Такой пароль создается обычно один и надолго, а у кого то и на всю жизнь. Многим приходилось заниматься придумыванием подобных вещей, и многие сталкивались с двумя проблемами:
Проблема №1 — Придумать.
Обычно, когда нужно срочно что-то придумать, зачастую соображалка резко отключается и фантазия объявляет забастовку. А в случае, когда нужно придумать безопасный пароль, некоторые, я в том числе, могут сидеть часами и в результате ни к чему не прийти.
Проблема №2 — Запомнить.
Допустим мы воспользовались генератором и увидели вариант «JnFayt4j6LfUBLNqsNw7LhuTby». Хорошо если первое пришедшее в голову слово будет не матерное. Запомнить такой пароль можно лишь зубрешкой, на которую может уйти не мало времени, а забыть такой пароль при длительном не использовании не трудно.
В данной статье я предложу метод создания и легкого запоминания вот таких паролей. И так…
Задача:
1. Составить пароль приличной длины.
2. Запомнить составленный пароль.
Условия:
Уложиться в 15 минут (постараться уложиться).
Решение:
1. Для начала разберемся с тем, какой длины пароль нам необходим. Обычно нас не ограничивают в узких рамках и количество символов может быть довольно большим. С длиной определились? Хорошо, запускаем генератор, ведь нам нужна помощь Великого Рандома.
M56ZpEiRGVBdCjwR96cdF7SMY
TF25xfBQYCEBifsu8jqYT4izo
torhJFBusKzdPosURgr966xhP
pjwPXKEcHSbdjKdS3fcebfFPC
xb6ghWhmodomaUkH8ZS5Kfec4
fwRN33FST7VGfR2oGdu7xvG9T
qRKZSZQyUMZUkUqYsck7jfnXz
EHFtPexypPPFthpTCyLGFSFZt
V2cyqYKqUbzqnLE4QMQmRK5hN
Все эти действия можно уложить не напрягаясь в 1 минуту (если только генератор не грузится долго)
2. Открываем блокнот, копируем то, что получилось (результатов 10-15). Теперь нам необходимо поделить их на блоки по 5 символов, чтобы получилось примерно следующее:
TF25x fBQYC EBifs u8jqY T4izo
torhJ FBusK zdPos URgr9 66xhP
pjwPX KEcHS bdjKd S3fce bfFPC
xb6gh Whmod omaUk H8ZS5 Kfec4
fwRN3 3FST7 VGfR2 oGdu7 xvG9T
qRKZS ZQyUM ZUkUq Ysck7 jfnXz
EHFtP exypP PFthp TCyLG FSFZt
V2cyq YKqUb zqnLE 4QMQm RK5hN
Теперь пробегаемся глазами по каждому блоку и выписываем те, что наиболее легко запомнить. Я выбрал для себя следующие:
R96cd EBifs T4izo FBusK URgr9 KEcHS Whmod omaUk H8ZS5 3FST7 oGdu7 EHFtP 4QMQm
Выбирал я на основе читаемости или ассоциаций.
omaUk — легко запоминается на слух «омаук», «ома ю кей»
Whmod — ассоциация «wh mod»
EBifs — no comments
H8ZS5 — просто не показался сложным для запоминание
В результате мы потратили еще минут 5 (2 на копирование и разбивку и 3 на выписывание понравившихся блоков)
3. Снова смотрим на то, что выписали и определяемся на каких блоках мы остановимся. Для 25 символов нам нужно 5 блоков. При окончательном выборе нам остается лишь избежать ситуации, в которой при отсеивании могут остаться лишь блоки без цифр. Мне наиболее всего понравились блоки Whmod H8ZS5 EBifs 3FST7 4QMQm. Остается последний этап — запомнить его.
Плюс еще 2 минуты.
4. Я почти уверен, что пока вы проделывали предыдущие шаги, пару или тройку блоков вы уже запомнили (пусть даже пока и без регистра). Теперь стоит задуматься в каком порядке расположить блоки. Я выбрал Whmod EBifs 4QMQm 3FST7 H8ZS5, потому что смог сходу его выговорить. Теперь откройте еще один блокнот или возьмите листок и ручку и постарайтесь зрительно вспомнить и написать все блоки с учетом регистра. В предыдущих шагах мы потратили 8 минут. Думаю за оставшиеся 7 вполне под силу выучить новый пароль, да еще и написать его раз 20 для практики.
Вывод:
Мы получили пароль, который удовлетворяет условиям задачи, и является при этом легким и надежным. Отчасти он так и остался рандомным, так как по сути мы лишь поменяли местами части результата генератора. Брутфорс такой пароль подбирать замучается, а наша паранойя будет спокойна, пока мы сами не предоставим ей повод беспокоиться. Используя данный метод можно без лишних проблем запомнить и куда более длинный пароль. Конечный результат зависит лишь от вашей памяти и усидчивости.
Очень сложные пароли список. Сложные пароли
Пароль от электронной почты — это твой ключ.
Пароль должен быть достаточно простым для вас, чтобы вы его не забыли, но не настолько, чтобы его можно было взломать и воспользоваться вашим адресом.
Пароли, которые часто взламывают
- электронная почта, потому что так можно получить доступ ко всем сервисам, на которых вы зарегистрировались,
- ICQ, особенно короткие номера, которые продают, или просто хулиганят от вашего имени,
- Skype, по той же причине,
- ВКонтакте.
Пароли, которые легко взломать
- дата рождения,
- 111, 333, 777 или что вроде этого,
- 12345 или qwert — буквы клавиатуры идущие подряд.
- простые имена — sergey, vovan, lena …
- русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.
Самые распространенные пароли в мире
- 123456 (290,731)
- 12345 (79,078)
- 123456789 (76,790)
- Password (61,958)
- iloveyou (51,622)
- princess (35,231)
- rockyou (22,588)
- 1234567 (21,726)
- 12345678 (20,553)
- abc123 (17,542)
- Nicole (17,168)
- Daniel (16,409)
- babygirl (16,094)
- monkey (15,294)
Jessica (15,162)- Lovely (14,950)
- michael (14,898)
- Ashley (14,329)
- 654321 (13,984)
- Qwerty (13,856)
Список самых распространенных паролей
Защищенный пароль
- длинный (8-12-15 символов),
- сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!),
- не из словаря, то есть не слово, не имя. ..
- отдельный пароль для каждого отдельного сервиса.
- не связанный с вами (адрес. номер сотового…).
Если вам приходится очень много регистрироваться, то почему бы не сделать группы паролей, напр. один пароль для всех форумов, где вы регистрируетесь потому, что там красть нечего (если вы не известный человек, разве что друзья подшутят).
Инсайдеры
Инсайдеры — это люди, которые имеют прямой доступ к вашим данным, например сотрудники Mail.ru, где находится ваша почта или сайтов Одноклассники, ВКонтакте. Недобросовестный сотрудник просто может взять ваш пароль.
Поэтому не пользуемся сомнительными сервисами. В продаже паролей был уличен Mail.ru.
Не должно быть одинаковых паролей
- для доступа эл.почты,
- эл. платежные системы (WebMoney , RBK Money , Яндекс.Деньги …).
Одинаковые пароли
Для легкости запоминания пароля люди используют одинаковый пароль для всего.
Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем.
Остальные пароли можно группировать. Например:
- Простой пароль и логин для регистрации во всех временных и не важных мест. Скажем, мы хотим что-то скачать на этом сайте, а от нас требуют регистрацию. Шансов мало, что мы вообще туда зайдет, защищать нам нечего, потому пишем что-то простое и уникальное (чтобы было свободно). Напр. логин
- Надежный пароль для всех форумов и социальных сетей и т.д.
Потому, как бы ни был сложен ваш пароль — мы не делаем один пароль для всего!!!
Самый сложный и охраняемый пароль
Это пароль вашей электронной почты. Если получить доступ к вашей почте, то можно получить доступ ко всем местам, где вы регистрировались. Поэтому этот пароль должен быть надежным.
Хранить пароли удобно в специальных программах —
Продолжаем тему безопасности. Мы уже говорили про , и методы защиты своей страницы.
В любом случае мы придем к тому, что уровень безопасности аккаунта, будет во многом зависеть от того, насколько сложный пароль вы установите для вк (см. ).
Почему-то, многие пользователи не сильно затрудняются, и используют самые простые комбинации. А ведь такая халатность может выйти боком (см. ).
Как придумать сложный пароль вконтакте
Да по сути, как и на любом другом сайте. Используйте несколько основных принципов.
- Используйте буквы и цифры
- Набирайте пароль в разных раскладках клавиатуры
- Не храните данные на компьютере
- Длина пароля — не менее 8 символов
Что из этого можно вынести. Не стоит ограничиваться стандартным паролем, в духе:
Хорошо хоть то, что на многих сайтах ввели правило, использовать буквы латинского алфавита, и по крайней мере, одну цифру или специальный символ. Но на деле получается не сильно лучше:
Как вы можете догадаться, взломать или подобрать такую комбинацию, для злоумышленника не составит особого труда.
Так какой же пароль можно назвать безопасным? Вот пример:
[email protected]#@$
Здесь использованы цифры, буквы в разных раскладках и специальные символы.
Видео урок: какой пароль можно придумать для страницы вконтакте
Заключение
Что хочу еще вам сказать. Воздержитесь от того, чтобы хранить свои пароли на компьютере. Не стоит записывать их в блокнот, и держать на рабочем столе. Велика вероятность их кражи.
Вконтакте
Сегодня мы поговорим с вами о том, что такое самые сложные пароли. Как их придумать? Можно ли запомнить? Или лучше записывать на бумажку и везде носить с собой? Давайте попробуем разобраться с вами в этом непростом вопросе.
Основы мастерства
Итак, первым делом стоит попробовать основные приемы, используемые для создания трудных пассвордов, которые легко запоминает владелец. Сейчас мы научимся с вами этим маневрам.
Самый сложные пароли, как правило, создаются из простых символов. Тем не менее, если сделать комбинацию значимой для вас, то можно будет надеяться на легкое запоминание. Например, в основу заложите какую-нибудь важную дату или имя человека. Главное, старайтесь не рассказывать знакомым о своей задумке. Иначе вас могут легко взломать.
Кроме того, самый сложный пароль в мире содержит какое-нибудь слово. Или имя. Все то, что вы пожелаете. Придумайте что-нибудь такое, что сможете запомнить сами. Кличка вашего домашнего питомца, имя друга или собственный ник — все это приписываете к основе. А лучше всего перед ней. Так вы сможете легко и просто придумать пассворд, который будет довольно трудно разузнать.
Также хорошим приемом является использование зеркальной комбинации специальных символов: тильды, «кракозябры», звездочки-проценты и так далее. Самый сложные пароли стоит заключать в подобные «ворота». Таким образом, если уж кто-то и сможет разгадать основу вашего пассворда, то вряд ли злоумышленникам под силу выявить зеркальную комбинацию.
Каждому — свое
Что же, теперь давайте попытаемся придумать, как же нам не запутаться в многочисленных паролях. Ведь лучше всего на каждом сайте использовать что-то свое. Если вы — активный пользователь интернета, то не сможете обойтись без специального правила запоминания и составления паролей.
Оно заключается в том, чтобы перед началом комбинации (а точнее, до того как вы напишите первые «зеркальные» отображения) ставить заметку, на каком сайте вы используете пароль. Например, от «Скайпа» — sk, «Аськи» — icq, и так далее.
Также можно записывать данные буквы в конце основного пароля. Тоже вполне интересный ход. Мало кто станет ломать над таким голову. К тому же сейчас взломщики не способны разгадывать настолько заковыристые пассворды. Это значит, что данные будут в целости и сохранности долгое время. Тем не менее, давайте продолжим рассматривать, как составляются самые сложные пароли. Есть еще одно интересное правило, которое поможет вам.
Изменения
Один маленький совет: при долгосрочном использовании одного и того же пассворда лучше немного видоизменять его. Но делать это стоит так, чтобы вы сами не запутались. 09;
— $-)astral967rutack(-$2015.
Попробуйте придумать что-нибудь самостоятельно. На самом деле это не так сложно, как может показаться на первый взгляд. Тем не менее, если у вас все равно не получается ничего путного, можно воспользоваться еще один довольно интересным способом. Сейчас мы с ним ознакомимся.
Генераторы
Сейчас в народе огромной популярностью пользуются специальные программы-генераторы паролей. Они способны в один клик выдать вам какую-то очень сложную (а порой и тяжело запоминающуюся) комбинацию, которая защитит личные данные на долгое время.
К сожалению, даже самые сложные пароли, сгенерированные такой программкой, можно взломать. Достаточно подобрать правильный подход. Так что наиболее надежным способом защиты является придуманный самостоятельно пассворд. Немного потренируйтесь, и вы заметите, что предложенные правила помогают.
1 голос
Доброго времени суток, уважаемые читатели моего блога. Знаете ли вы, что список самых простых паролей появился в Сети в 2009 году. Сразу после того, как одному хакеру удалось массово взломать 32 миллиона аккаунтов на Facebook.
Самое удивительное, что среди самых популярных шифров встречались такие как Epsilon793 и 8675309. Первый фигурировал в фильме «Звездный путь», а второй в песне Tommy Tutone.
А ведь тем, кто использовал эти комбинации казалось, что они придумали самые сложные пароли. Кстати, о таких мы сегодня и поговорим.
2009 год выдался не самым лучшим для крупных компаний. Пока один хакер взламывал 32 миллиона аккаунтов на фэйсбуке, другой работал всего над одним. От панели администратора Twitter, что в дальнейшем привело к угону аккаунтов у Барака Обамы и Бритни Спирс.
Все потому, что кто-то догадался в админке использовать невероятно сложную комбинацию, а именно слово: «Счастье». Наверное, администратору казалось, что никто и пытаться не станет взламывать Твиттер.
Не будьте наивными. Не думайте, что никому не нужен. Некоторые люди взламывают аккаунты пачками и продают эти сведения, а другие могут делать это просто так, третьи же по цепочке получают по настоящему важные сведения.
Если кому-то удастся взломать пароль, который вы используете для одноклассников, то дальше по нему могут восстановить даже данные банковской карты. И все равно, что вы ей никогда не пользовались на этом сайте.
Что я могу сказать о случаях, когда на нескольких ресурсах используют одни и те же шифры? Некоторые хакеры специально выбирают слабенькие ресурсы с несерьезной защитой аккаунтов и быстро узнают нужные данные. Все остальные сведения добываются по цепочке, один за другим. Когда они идентичные – вы значительно проще и быстрее.
Кстати, в свободном доступе есть программы, которые теоретически помогают восстановить пароль, а фактически взломать его. Кстати, в наиболее продвинутых версиях хранятся огромные списки стандартизированных паролей, в секунду они подбирают более 2 миллиардов вариантов к одному логину или email.
- Чем более комфортен пароль для запоминания, тем он проще для взломщиков. Если шифр не вызывает у вас никаких ассоциаций, его будет сложнее взломать. Даже самый, казалось бы, изощренный ход мысли можно предугадать.
- Никогда не используйте одинаковые или очень простые пароли, если волнуетесь за собственную безопасность.
- Всегда думайте о защите ваших данных, даже незначительная информация может привести к получению секретных и значимых сведений.
- Ну и последнее, о чем я еще не упоминал – не храните пароли в обычном ворде на компьютере или в сообщениях на телефоне. При целенаправленной атаке, да со специализированным оборудованием не составит никакого труда получить полный доступ ко всем данным на этих устройствах. Кольнет кому-то, а вы потом страдать будете.
Как придумать надежный пароль
Существует множество способов придумать очень надежный пароль. Но, как я уже говорил, лучше всего не пытаться найти каких-либо алгоритмов, а создавать все наобум. Понятное дело, что в таком случае возникнет множество проблем.
Начиная с того как запомнить всю эту информацию (хранить в Яндекс браузере или Google нельзя) и заканчивая бесконечными повторениями из-за ошибок при вводе.
И тем не менее нам на помощь как впрочем и всегда, приходит два способа. Один бесплатный, другой простой. Начнем с первого. Как придумать пароль, который будет сложно взломать? В интернете нет ничего невозможного, вот только чем сложнее шифр, тем меньше людей могут его взломать и вообще будут пытаться это сделать.
Кстати, одна моя знакомая работает в крутой фармацевтической компании. Чтобы получить доступ к своему ноутбуку, она должна ввести специальную флешку в определенный слот (из пяти имеющихся), затем в течение трех минут прописать свой пароль, который автоматически меняется каждые 15 минут, а в момент ввода флешки в слот отправляется ей на телефон.
Если девушка три раза не успевает закончить ввод по истечение времени, приходится звонить в техподдержку собственной компании.
Вот такая защита, а вы говорите. Как действовать вам?
- Берете любое изречение, детский стишок или куплет из известной песни и записываете его в русской раскладке, в то время как печатаете на английской клавиатуре. Некоторые буквы по аналогии замените цифрами, а вместо пробелов между словами используйте заглавные буквы.
Допустим: U0ke,0qDfg0n. На русской раскладке, то это будет выглядеть так: «Г0луб0йВаг0н». К сожалению, не исключено, что где-то я ошибся. Кстати, в моем случае это всего лишь короткий пример. Ваш надежный шифр должен состоять из куда большего количества строчек песенки.
Метод довольно неплохой, но учтите, что если им начнут пользоваться часто, то довольно быстро появится программа со списком самых популярных песен, афоризмов и детских стишков. Автоматическая замена букв цифрами не займет много времени.
- Можно использовать только первые буквы каждого слова неизвестной песни.
Допустим, МммалИ0и0и0вт («Миллион алых роз»). Здесь я тоже заменил одну из букв на цифру. Кстати, вы можете усложнить и придумать свои замены. Не обязательно вместо О писать ноль, можно все буквы «Т» заменить на «8». Но опять же, не используйте одну и ту же схему для разных сайтов, чтобы вас не взломали по цепочке.
- Взгляните на клавиатуру и нарисуйте клавишами какой-то узор. Главное, запомнить его.
Допустим o90pli или i9olkju8 – круги. Можете , чтобы запоминать было удобнее.
Как создать самый сложный пароль
Я уже неоднократно рассказывал про эту программу, но тема того требует. Для заполнения форм на разных сайтах, придумывания и запоминания паролей я использую RoboForm .
Очень полезный сервис, который можно установить на все браузеры и устройства. О том, как с ним работать я уже рассказывал в одной из своих статей и даже упоминал случай, который случился со мной из-за откладывания установки и неосторожности. Можете прочитать в моем блоге — .
Робоформ – это отличный генератор, с которым невозможно забыть ни один из шифров. Они создаются автоматически, без какого-либо алгоритма. Что-то из серии «удариться головой о клавиатуру». Потом надежно шифруются. То есть ваш пароль хранится мало того что под паролем, так еще и в зашифрованном виде.
Вы можете установить программу на все устройства: телефон, планшет, компьютеры и всегда найдете пароль от нужного сайта, где бы вы ни находились. Очень удобно, особенно если делаете .
Звонит заказчик, которого вы не видели 15 лет (это частое явление) и требует, чтобы вы немедленно выслали ему логин от админки. Вам не составит труда это сделать в кратчайший срок и забыть о дурном заказчике. Ни одного нерва на него не потратите, ни одной негативной эмоции.
Ну вот и все. Теперь вы знаете как создавать сложные пароли для вк, своих сайтов, любых сервисов, делать это быстро и никогда не терять нужные данные.
Если вам понравилась эта статья – подписывайтесь на рассылку и узнавайте самую достоверную и актуальную информацию. До новых встреч и желаю вам удачи.
Большинство интернет-мошенников не заморачиваются с изощрёнными методами кражи паролей. Их цель — легко угадываемые комбинации. 1% всех существующих паролей подбирается с 4 попыток.
Как такое возможно? Очень просто. Вот великолепная четвёрка самых распространённых в мире комбинаций: password, 123456, 12345678, qwerty. После перебора этих вариантов в среднем открывается 1% всех «дверей». Перебор — это система, позволяющая по порядку попробовать все возможные версии пароля. Для пароля из 5 цифр это 100 тысяч комбинаций. Программа справляется с такой задачей за считанные секунды. Приличные почтовые сервисы не позволяют бесконечно вводить неправильные пароли, но такая защита настроена не везде.
Кроме топ-5 самых примитивных паролей, существуют типичные ошибки, которые допускают беспечные пользователи. Использование последовательных комбинаций и повторяющихся символов вроде «222222», «abcdefg» или сочетание соседних букв на клавиатуре не будут надёжным паролем. Также замена похожих цифр и символов, напоминающие буквы, например, @ в слове «п@п@», — это очевидный ход и для мошенников тоже.
И напоследок: не применяйте в качестве пароля своё имя или имена своих близких, даты рождения, номер страхового полиса, логин или другую личную информацию. Эти данные в руках мошенников будут сразу же использованы против вас.
Пароли 101: как их взламывают и почему чем длиннее, тем лучше Мы хотели поделиться им в качестве напоминания об одном из самых простых способов защитить себя в Интернете.
Специалисты службы безопасности, такие как наша, часто сталкиваются с некоторыми распространенными заблуждениями, когда дело доходит до паролей. Хуже всего чувство ложного смирения.
Слишком многие люди не верят, что создание и запоминание сложного пароля стоит усилий, потому что они не верят, что какой-либо злоумышленник нацелится на них по отдельности. «Зачем им пытаться преследовать мой аккаунт?» они спрашивают. «Они ни за что не нападут на меня лично».
Давайте раз и навсегда разберемся с одной вещью: речь идет не о , а о . Речь идет о получении доступа.
Если они случайно наткнутся на ваше имя пользователя, почему бы им не попытаться угадать ваш пароль? Почему бы не проверить, изменили ли вы его по умолчанию или сделали одним из наиболее часто используемых паролей?
Проще говоря, злоумышленнику не потребуется , чтобы нацелиться на вас лично. Во многих случаях они извлекли все возможные пароли из любой базы данных, к которой им удалось получить доступ. Вы видели много таких утечек в новостях. Кроме того, они могут находиться в вашей сети, собирая случайные хэши паролей из сетевого трафика. Имея их на руках, им просто нужно самим взломать пароли.
Здесь более сложный пароль помогает помешать злоумышленникам.
В большинстве случаев злоумышленник получает хэш вашего пароля, а не ваш пароль в виде обычного читаемого текста. Итак, что это значит, и как вы можете использовать преимущества хеширования для защиты своих данных?
Хэш пароля является результатом обработки вашего пароля одним из многих доступных математических алгоритмов, известных как алгоритмы хеширования. Результатом этого процесса является кажется случайной строкой символов, которую мы называем хешем.
Целью хеширования является обеспечение безопасного хранения паролей. Мы не хотим хранить пароли в виде простого текста, потому что если бы мы это сделали, любой, у кого был бы доступ к базе данных, мог бы прочитать любой пароль. Однако по хэшу нельзя сказать, какой был исходный пароль. Невозможно (теоретически, в зависимости от выбранного алгоритма) взять хэш пароля и обратить его, чтобы раскрыть исходный пароль.
Как насчет примера?
Скажем, мой пароль «test1234» — хотя я бы никогда не использовал его, потому что он, очевидно, очень слабый. Когда я применяю свой пароль через алгоритм хэширования (точнее, MD5), в результате получается хэш «16d7a4fca7442dda3ad93c9a726597e4». Этот хэш хранится в базе данных.
Теперь, если бы я дал кому-то «16d7a4fca7442dda3ad93c9a726597e4», они бы не догадались, что мой пароль «test1234», потому что его невозможно отменить обратно через алгоритм.
Посмотрите, что произойдет, если я просто изменю один символ в своем пароле на «Test1234»: в результате получится хэш «2c9341ca4cf3d87b9e4eb905d6a3ec45». Это две совершенно разные, кажущиеся случайными строки символов, хотя исходные пароли так похожи. Это хорошо.
Тогда как же злоумышленники так легко взламывают пароли и при чем здесь сложность?
Особенность хэшей паролей заключается в том, что для одних и тех же паролей, проходящих через один и тот же алгоритм, хэш никогда не меняется. Каждый раз, когда я беру «test1234» и прогоняю его через алгоритм MD5, в результате получается «16d7a4fca7442dda3ad9».3c9a726597e4». Откуда плохие парни знают, что этот хэш «16d7a4fca7442dda3ad93c9a726597e4» указывает на пароль «test1234»? Введите взломщики паролей.
Взломщик паролей придумывает собственные пароли, подвергает их алгоритму хеширования, а затем сравнивает полученные хэши с хэшами захваченных пользователей. Как правило, взломщик использует слова из словаря в качестве основы для пароля. Вот почему пароли, в которых используются общеупотребительные слова (например, «spring19» или «test1234») довольно легко взламываются.
Взломщик паролей также использует различные комбинации символов в зависимости от набора правил, который ему дает хакер. Набор правил — это то, как взломщик паролей манипулирует символами для создания пароля.
Например, взломщик попытается заменить «а» на «@», «е» на «3», сделать все буквы заглавными, добавить цифры в конце и так далее. Это распространенные лингвистические «уловки» среди пользователей, поэтому хакеры знают, что им стоит попробовать.
Возвращаясь к «test1234», взломщик паролей быстро создает свои собственные пароли и получает «Test1234», но видит, что результирующий хэш — «2c9341ca4cf3d87b9e4eb905d6a3ec45 — это не то же самое, что «16d7a4fca7442dda3ad93c9a726597e». Затем он пробует «test1234», хеширует его и видит, что этот — это такой же, как украденный хэш. Взломщик паролей сообщает хакеру, что «test1234» привел к совпадению хэша.
Так обнаруживаются пароли при получении хэшей. Взломщик паролей очень быстро (в большинстве случаев миллиарды раз в секунду) создает свой собственный пароль, пропускает его через алгоритм хеширования и проверяет, совпадает ли полученный хэш с хэшем пользователя. Хакер не выполняет работу; компьютерная программа есть.
Вот как взламываются пароли, но если все это происходит случайно и компьютеризировано, то зачем создавать более сложные пароли?
Чтобы ответить на этот вопрос, вот комикс, показывающий статистику, стоящую за вопросом (она встроена ниже).
Как видите, длина — ваш друг, когда речь идет о надежных паролях. Чем длиннее пароль, тем больше времени потребуется для его взлома. Когда взломщику паролей нужно ввести больше символов, чтобы угадать правильный пароль, вероятность того, что он угадает пароль, экспоненциально снижается.
Другими словами, вам не нужен сложный пароль с большим количеством причудливых специальных символов, если у вас есть длинный пароль.
Многие организации (включая Relativity) отказываются от сложных паролей и вместо этого используют парольных фраз , устанавливая не менее 20 символов. Это побуждает пользователя придумывать целое предложение или фразу вместо слова с некоторыми специальными символами или цифрами. Опять же, длина увеличивает энтропию, которая увеличивает неизвестное, и поэтому его труднее угадать.
Для тех упрямых пользователей, которые хотят сохранить свой пароль из одного слова, вот несколько советов: ставьте цифры и специальные символы в начале, середине, и конце вашего пароля. Это поможет увеличить длину и, следовательно, увеличить его сложность и сложность взлома. Другой вариант — ввести эти цифры и специальные символы.
Допустим, ваш пароль «Spring19!» Мы можем добавить сложности, изменив его на «Springnineteenexclamationpoint». Мы только что взяли пароль, который, скорее всего, будет взломан за считанные минуты (если не раньше), и увеличили его до 30-символьного пароля, значительно увеличив его энтропию. Вы даже можете добавить пробелы между каждым словом, если это позволит вам. Или, что еще лучше, добавьте еще один символ между каждым словом: «Весна&девятнадцать&восклицательный знак&точка». Теперь это надежный пароль, и его достаточно легко запомнить.
Надлежащая практика использования паролей необходима для обеспечения безопасности ваших данных, потому что в современных условиях злоумышленникам может быть проще получить доступ к хэшам, чем вы думаете. В некоторых средах кто-то с правом доступа к вашей сети — авторизованным или нет — может получить доступ к хэшам паролей в течение первых 10 минут после подключения к сети. Добавьте к этому время, необходимое для взлома слабых паролей, которые мы обсуждали здесь, и это означает, что может пройти менее 15 минут, прежде чем они получат действительные учетные данные для начала входа в систему.
Вы должны помочь помешать людям, которые воспользуются этой уязвимостью, получить доступ ко всем данным вашей организации.
Си Джей Вимер — менеджер службы безопасности Relativity, Calder7. Он провел годы, взламывая компании и говоря им, что нужно исправить, хотя он понятия не имеет, почему он так увлечен надежностью паролей.
Защита паролем: сложность и длина [обновлено в 2021 г.]
Когда дело доходит до аутентификации пользователя, пароль является и остается наиболее часто используемым механизмом; пароли используются для доступа к компьютерам, мобильным устройствам, сетям или операционным системам. По сути, они являются частью нашей повседневной жизни. Со временем требования изменились, и в настоящее время пароль большинства систем должен состоять из длинного набора символов, часто включающего цифры, специальные символы и комбинацию прописных и строчных букв. Надежность пароля рассматривается как функция его сложности и/или длины; но что важнее, размер или сложность?
Любые системы, независимо от того, какой метод используется для идентификации и/или аутентификации, могут быть взломаны. Защищенные паролем системы или сбор данных (например, банковские счета, социальные сети и системы электронной почты) ежедневно проверяются и подвергаются частым атакам, проводимым не только с помощью методов фишинга и социальной инженерии, но и с помощью инструментов для взлома паролей. . Дебаты всегда открыты, и вопрос длины и сложности разделяет экспертов и пользователей. Оба имеют свои плюсы и минусы, а также своих сторонников.
Неверные пароли
Посмотрим правде в глаза, большинство пользователей склонны создавать ужасные пароли и редко их меняют. Сегодня каждая система, устройство, учетная запись, которая нам ежедневно нужна, имеет свои правила создания паролей, и становится сложно (а может и невозможно) отслеживать все ключи доступа. Запись паролей, повторное использование одного и того же пароля для всех систем, использование легко запоминаемых слов или фраз или создание более коротких ключей доступа — это проблемы, которые являются прямым следствием чрезмерного количества паролей, которые нам всем приходится использовать на регулярной основе. . Имея слишком много ключевых слов, которые нужно запомнить, люди часто выбирают более слабые пароли, которые менее безопасны как в сети, так и в автономном режиме.
Слабые и ненадежные пароли являются проблемой безопасности и воротами для взломов, которые могут затронуть не только целевых пользователей. Важно создавать ключи, обеспечивающие правильный баланс между тем, чтобы их было легко запомнить и чтобы другим (злоумышленникам или самозванцам) было трудно их угадать, взломать или взломать.
Среди инцидентов безопасности, о которых было сообщено в отдел CERT Института разработки программного обеспечения (SEI) и которые связаны с неправильно выбранными паролями, большая часть вызвана человеческими ошибками. Фраза «безопасность настолько сильна, насколько сильно самое слабое звено» подчеркивает важность роли пользователей в цепочке безопасности и необходимость их обучения и помощи в выборе ключей доступа, которые эффективно защищают активы и данные. Эволюция взлома паролей продолжается, и наличие слабых паролей может только сделать работу хакеров еще проще.
Согласно ежегодному исследованию информационной безопасности государственного сектора за 2015 год, отчету i-Sprint Innovations и eGov Innovation, «Слабая безопасность аутентификации является основной причиной утечки данных, на которую приходится 76% скомпрометированных записей». Кроме того, в исследовании Enterprise Innovation отмечается, что «простая аутентификация на основе пароля» не является адекватным средством защиты всех этих ценных данных. Проблема в том, что большое количество организаций полагаются исключительно на аутентификацию на основе пароля и не выбрали более безопасные системы аутентификации (например, аутентификацию на основе PKI, OTP или контекста, или же биометрические идентификаторы). .
Лучшие пароли?
Соображения относительно длины и сложности пароля являются ключевыми в поиске идеального пароля. Сложность часто рассматривается как важный аспект безопасного пароля. Случайная комбинация буквенно-цифровых символов и символов интуитивно кажется лучшей защитой от взлома. Атаки по словарю, осуществляемые благодаря инструментам, ищущим наиболее вероятные словосочетания, не смогут своевременно «угадать» такие пароли. Но действительно ли они эффективны против всех атак? Возможно нет. Сложные пароли часто имеют тенденцию быть короче, чем парольные фразы, например, и атака грубой силой с помощью инструментов, которые быстро перебирают все возможные комбинации ключей, пока не получат правильный результат, может легко взломать их, поскольку чем короче пароль, тем наименьшее количество возможные комбинации. Этот тип атаки был в центре печально известного взлома iCloud, в результате которого были обнаружены личные фотографии сотен знаменитостей.
Атаки полным перебором, благодаря более высокой вычислительной мощности новых машин, а также предсказуемости определенных комбинаций символов, выбранных пользователями, становятся особенно эффективными. Фактически, из-за сложности запоминания последовательностей случайных чисел пользователи часто выбирают предсказуемые последовательности, состоящие из последовательных чисел и повторений (например, 123, 4545) или соседних клавиш клавиатуры (qwerty, zxc и т. д.). Пользователи также могут совершать ряд других рискованных действий, например записывать пароли или сокращать количество используемых символов. Когда пользователь может запомнить такие пароли, он также склонен использовать их последовательно во всех системах.
Итак, стоит ли использовать длинный пароль? Возможно. Длинные пароли часто связаны с увеличением энтропии пароля, которая в основном является мерой неопределенности ключа. Увеличение энтропии рассматривается как прямо пропорциональное надежности пароля. Таким образом, длинный список легко запоминающихся слов или фраз-паролей может быть на самом деле более безопасным, чем более короткий список случайных символов.
Длинные пароли, состоящие из настоящих слов, определенно легче запомнить, и они могут помочь пользователям управлять ими более безопасным способом. Однако могут возникнуть проблемы, если пользователи выберут слова, слишком связанные друг с другом или слишком личные; это открыло бы двери для инструментов паролей на основе словаря, позволяющих угадывать правильную последовательность даже при наличии большего количества возможных комбинаций. Использование чего-то запоминающегося или знакомого (фамилии, имени домашнего животного или улицы) даже в пароле достаточной длины и сложности нецелесообразно, поскольку делает его весьма уязвимым для обнаружения злоумышленниками.
Итак, что делает пароль безопасным?
Интересная статья в блоге Microsoft TechNet показывает, как, глядя на формулу для вычисления битов энтропии (мера в битах того, насколько сложно взломать пароль), подчеркивается роль длины. Формула выглядит следующим образом: log(C) / log(2) * L, где C — размер набора символов, а L — длина пароля; с математической точки зрения ясно, как L, длина, играет преобладающую роль в вычислении битов энтропии. C обычно включает символы, символы нижнего и верхнего регистра и цифры, всего 96 возможных символов или меньше, если некоторые из них исключены: «Глядя на пароли в этом свете, действительно становится ясно, насколько важнее длина пароля по сравнению с определенными требованиями к сложности. В дополнение к этому, если вы используете пароли с набором символов из 10 (только цифры), чтобы достичь того же количества энтропии, что и с набором из 94 символов (все возможные символы ASCII), у вас есть только двойной длина пароля. Иными словами, пароль длиной 16 символов, состоящий только из цифр, обеспечивает тот же уровень сложности для взлома, что и 8-символьный пароль, состоящий из 9 возможных вариантов.4 возможных персонажа».
Кажется, что комбинация подходов может работать лучше: длинные и довольно сложные пароли.
- Длинные . Короткие пароли относительно легко взломать, поэтому идея состоит в том, чтобы создавать более длинные пароли для большей безопасности и сделать их менее предсказуемыми. Так какова желаемая или необходимая длина? Исследование, проведенное в 2010 году Технологическим исследовательским институтом Джорджии (GTRI), показало, как 12-символьный случайный пароль может удовлетворять требованиям минимальной длины, чтобы обойти программное обеспечение для взлома и взлома кода, сказал Джошуа Дэвис, научный сотрудник GTRI. Ричард Бойд, старший научный сотрудник GTRI, говорит: «Восьмисимвольных паролей сейчас недостаточно… и если вы ограничите свои символы только буквами алфавита, их можно будет взломать за считанные минуты». В любом случае, на всякий случай следует использовать пароль длиной 12 или более символов.
- Надежный и сложный . Надежные пароли по-прежнему важны. Эксперты по безопасности согласны с тем, что буквенно-цифровые символы в верхнем и нижнем регистре являются хорошей практикой для повышения надежности паролей и делают их способными противостоять атакам с угадыванием и методом грубой силы. Чтобы добавить сложности без ущерба для простоты использования, пользователи могли изменять парольные фразы, вставляя пробелы, знаки препинания и орфографические ошибки.
Хотя, в конечном счете, любые пароли могут быть скомпрометированы, комбинация этих двух подходов может использоваться для увеличения времени, необходимого для их взлома любым методом атаки.
Конечно, пользователи также должны знать, что надежность пароля — это еще не все. Например, рискованное поведение, такое как использование функций автоматического сохранения в браузерах или сохранение паролей в открытом виде в файлах на рабочем столе, может привести к компрометации даже самого надежного пароля. Падение молитвы тактики социальной инженерии также сведет на нет цель использования любых надежных паролей, которые невозможно взломать.
Защита также должна обеспечиваться с помощью мер, реализуемых системными администраторами, которые могут использовать инструменты для ограничения количества попыток взлома пароля, которые могут быть предприняты до того, как система откажет в доступе к данным. Требование другого подтверждения личности для получения доступа к ресурсу, например, тому, что есть у пользователя, также является дополнительной защитой в дополнение к использованию паролей. Кроме того, в компании регулярный аудит паролей поможет укрепить систему безопасности, убедившись, что сложность и надежность всех паролей доступа адекватны, а пользователям предлагается изменить свои пароли, если они окажутся слишком слабыми.
Заключение
Аутентификация на основе пароля уже некоторое время существует как простейшая форма безопасности, требующая от пользователей подтверждения своей личности; поэтому они не исчезнут в ближайшее время и, вероятно, продолжат играть важную роль в сетевой безопасности в будущем даже с учетом других, безопасных альтернатив в методах аутентификации. Другими словами, пароли не исчезнут, несмотря на их недостатки; поэтому люди должны знать, как сделать пароли «менее» предсказуемыми. Пока «человеческая слабость не будет сведена к минимуму или устранена», возможно, «устранение взаимодействия человека с паролями и автоматизация их выбора и изменения будет важным шагом вперед на нескольких уровнях», — отмечает Ричард Уолтерс, генеральный директор/вице-президент по управлению идентификацией и доступом, Intermedia, в Пост 9 в журнале Infosecurity Magazine0005
Пользователям предлагается применять правила сложности и длины, а также базовые меры безопасности, чтобы свести к минимуму вероятность того, что их пароли будут скомпрометированы. Как уже упоминалось, слабая аутентификация по паролю не обеспечивает безопасности и подвержена нескольким типам атак, поэтому продолжают изучаться способы усиления паролей. Как правило, часто добавляется дополнительный уровень безопасности. Объединение двухфакторной аутентификации, например, обеспечивает пользователям более высокий уровень безопасности, поскольку предлагает определенный тип физической или вторичной проверки.
Стратегия многофакторной аутентификации может быть лучшим способом идентификации и проверки пользователей; тем не менее, если пароль слабый, вся система аутентификации будет ослаблена. Поэтому важность создания паролей, способных противостоять атакам, по-прежнему имеет первостепенное значение.
Осведомленность пользователей важна для понимания важности использования паролей, которые действительно могут защитить активы данных. Конечно, даже самый надежный пароль не может противостоять атакам, подобным тем, которые были совершены против базы данных учетных данных, когда хакеры просто собирают множество паролей и аутентификационной информации, чтобы расшифровать их и использовать на досуге; но это другой вопрос.