Каким должен быть надежный пароль?
Этот вопрос является едва ли не самым важным для обеспечения безопасности пользователей в интернете. Многие компании работают сегодня над дополнительными средствами защиты – от двухуровневой системы идентификации (когда помимо пароля необходимо вводить еще и одноразовый код, который присылается на номер телефона пользователя) до встроенных в компьютеры сканеров отпечатков пальцев. И все же именно пароли остаются на сегодняшний день главным средством защиты. И главной мишенью киберпреступников, которые идут ради достижения своей цели на любые ухищрения – от элементарного подбора возможных вариантов и до создания сложных программ-шпионов. Вот несколько советов, касающихся надежности паролей и правил их использования.
- Идеальный пароль должен быть одновременно достаточно простым для вас – чтобы вы могли его запомнить, и достаточно сложным для всех остальных – чтобы хакеры не смогли о нем догадаться или найти его путем простого перебора.
- В пароле желательно использовать буквы верхнего и нижнего регистра, а также цифры и специальные символы. Разумеется, это осложняет задачу запомнить пароль, но делает его намного более надежным.
- Не используйте в качестве пароля собственное имя, дату рождения, индекс и адрес, а также имена и даты рождения ваших близких, клички домашних животных, номера автомобилей и т.д. Вся эта информация известна достаточно широкому кругу лиц, и нет никакой гарантии, что она не окажется известна и киберпреступникам, которые попытаются добраться до вашего пароля.
- Не используйте для разных сайтов аналогичные пароли, отличающиеся на одну буку или цифру – например, User1, User2, User3 и т. д. И ни в коем случае не используйте один и тот же пароль для нескольких различных сайтов. В этом случае, если ваш пароль станет достоянием хакеров, они получат одновременный доступ ко всем вашим ресурсам.
- Никогда не используйте пароли, которые легко подобрать. Пароли типа 12345 или abcde можно считать почти стопроцентной гарантией того, что ваша учетная запись рано или поздно будет взломана. Причем скорее рано, чем поздно. И, кстати, варианты типа a1b2c3d4e5 тоже не представляют никакой сложности для подбора.
- Никому не сообщайте свой пароль. И помните, что просьба сообщить его стороны какой-либо организации, даже если вы зарегистрированы на ее сайте, наверняка исходит не от организации, а от мошенников, выдающих себя за ее представителей.
Возврат к списку
как сочинить и где хранить
Мы видим, что создать такой пароль, в котором выполнялись бы все или большинство перечисленных условий, — уже нетривиальная задача. Конечно, можно воспользоваться многочисленными сервисами и программами, предлагающими создать по-настоящему сложный стойкий пароль любой заданной длины. Проблема только в запоминании такого пароля. Вернёмся к обсуждению задачи хранения чуть позже, а пока рассмотрим технику создания сложных, но запоминаемых паролей.
Правила мнемотехники говорят нам, что лучше всего запоминается то, что имеет для нас смысл. Выделю «для нас», поскольку очень важно даже в качестве части пароля не использовать заезженные слова, давно попавшие во все словари злоумышленников. Однозначно нельзя использовать слова: password, secret, key и их тривиальные производные. Хорошей основой пароля будет любая максимально персонализированная информация, уникально значимая именно для вас. Предложу несколько идей на выбор:
- номер автомобиля латиницей, заглавными буквами, например P450Ch299;
- код домофона с номером квартиры, например 123#4398;
- имя домашнего питомца с заглавной буквы, например Murzik;
- ваше домашнее или школьное прозвище;
- любимый герой мультфильма или книги, например Chernomor;
- номер вашей группы в университете, например А-01-12.
Конечно, есть люди, которым известна данная информация, однако её очень трудно отождествить с вами как с пользователем сайта интернет-магазина. На всякий случай можно подстраховаться и использовать в качестве секретного слова что-то из вашего личного прошлого: номер своего первого автомобиля, который давно уже продан, имя домашнего питомца из детства и т. п. В итоге мы получим строчку символов, несущую смысл только для вас и по этой причине хорошо запоминаемую, а точнее, уже находящуюся у вас в памяти. Назовём все придуманные вами строчки базовыми парольными словами.
Сами по себе базовые парольные слова слишком короткие, чтобы использоваться в качестве пароля. Сделать пароль длиннее можно путем перечисления нескольких базовых парольных слов через какой-либо специальный знак, не обязательно разделительный. Можно взять, к примеру, восклицательный знак, или даже открывающуюся скобку. Взяв таким образом в цепочку 2—3 базовых слова, мы уже получаем отличный пароль, стойкость которого достигает достаточного уровня.
Такой пароль безусловно хорош, но нам ведь нужно уметь производить запоминающиеся пароли во множестве и без особых усилий. Комбинировать в разном порядке базовые парольные слова — плохая идея, поскольку порядок лишен смысла, и вы будете постоянно путаться. Кроме того, комбинаций небольшого числа мнемоничных базовых слов не так уж и много, в отличие от сайтов в интернете, с которыми вам потребуется иметь дело.
Решением этой проблемы является использование имени сайта непосредственно в качестве части пароля. Можно предложить схему «имя сайта»—«базовое слово №1»—«базовое слово №2». Количество символов, скорее всего, будет достаточным для стойкого пароля, а также не возникнет вопросов с придумыванием и запоминанием пароля для конкретного сайта.
Понятно, что такая схема (включая мелкие детали её реализации), а также базовые парольные слова должны оберегаться вами как самый большой секрет. Не стоит записывать пароли, созданные с помощью подобной схемы, поскольку посторонний человек, увидев два или три ваших пароля, мгновенно поймёт способ их генерации. Однако до тех пор, пока вы держите всё в голове, никто не сможет подобрать ваши пароли.
Иногда всё же приходится пароли записывать и хранить. Во-первых, иногда пароль создается самим сайтом и по какой-то причине его не хочется менять. Во-вторых, у вас наверняка есть уже пять, а то и десять паролей, которые вы запомнили, несмотря на их абсолютную бессмысленность, и вам жалко с ними расставаться. В-третьих, есть пароли, которые создаются для служебных целей и используются несколькими людьми. Конечно, такой пароль нельзя создавать по личной секретной схеме.
В любом случае, для хранения паролей есть места более удобные и надёжные, чем блокнот в письменном столе. Рассмотрим некоторые из подходящих вариантов.
Во-первых, очень удобно пользоваться менеджером паролей в браузере. В этом случае пароли ассоциируются с сайтами и часто ввод логина и пароля производится браузером автоматически, экономя время и повышая удобство. Важно отметить, что менеджер паролей в браузере должен быть защищён своим паролем. Этот мастер-пароль должен быть стойким и для него стоит использовать иную схему, чем обычно. Например, составьте его из других базовых слов.
Не рекомендую хранить пароли даже в запароленном менеджере на компьютере, который не является вашим персональным и к которому может иметь легитимный доступ большое количество людей. В таком случае при посещении сайтов, требующих ввода пароля, всегда следите, чтобы сайт не запомнил случайно ваш логин и пароль для последующего входа. Если вы всё-таки случайно дали браузеру запомнить свои данные аутентификации, то в настройках приватности браузера всегда можно стереть информацию об этом сайте.
Во-вторых, пароли можно хранить в специальных программах-менеджерах паролей, которые устанавливаются на смартфон. Вход в такую программу всегда защищён отпечатком пальца, графическим ключом или паролем, так что случайный человек не получит доступа к вашим секретам, даже если вы потеряете смартфон.
Программы — менеджеры паролей делятся на два больших класса: требующие доступ в интернет для своей работы и работающие автономно. С точки зрения здоровой паранойи не вижу смысла доверять программе, которая хранит мои секреты, используя интернет. Объективно такая программа без труда может передавать всю хранимую информацию разработчику программы, что делает бессмысленной саму задачу защиты ваших паролей от чужих глаз. Автономные программы хранят зашифрованные пароли на самом мобильном устройстве, что позволяет вам быть уверенными в их секретности.
Единственная проблема с автономным хранилищем паролей — это возможная потеря или выход из строя смартфона. Для этой цели зашифрованную базу с паролями нужно периодически сохранять в каком-либо онлайн-хранилище либо копировать на отдельный носитель (извлекаемую карту памяти). Таким образом, ваши пароли будут не только секретными, но и надёжно защищенными от потери.
Расширенные настройки безопасности – Zoom Центр справки и поддержки
Обзор
Раздел «Безопасность» позволяет владельцам и администраторам настроить определенные методы аутентификации и настройки для пользователей учетной записи. В число этих параметров входят парольные ограничения, распространяющиеся на способы входа в систему, а также прочие настройки профиля пользователя.
Примечание. Настройки безопасности, связанные с паролями конференций, можно изменить в настройках учетной записи.
В этой статье рассматриваются следующие вопросы:
Необходимые условия
- Учетная запись «Профессиональная», «Бизнес», «Образование» или «Предприятие»
- Владелец учетной записи, администратор или пользователь, роль которого обладает правами на управление безопасностью
Доступ к настройкам безопасности
Чтобы получить доступ к настройкам безопасности, выполните следующие действия:
- Войдите в учетную запись на веб-портале Zoom.
- В меню навигации нажмите Расширенные, а затем — Безопасность.
Настройки безопасности
Аутентификация
- Основное требование к паролю: требования к паролю, используемому для входа в Zoom. Эти настройки невозможно изменить, и они влияют только на определенные пароли Zoom, все прочие методы аутентификации будут по-прежнему использовать собственные требования к паролям.
- Правила усиленного пароля. Позволяет накладывать дополнительные требования на пароли пользователей, в том числе:
- Иметь минимальную длину. Длину пароля можно увеличить с минимального значения в 8 символов до 14 символов.
- Срок действия пароля истекает автоматически, и пароль необходимо изменить через установленное количество дней. Позволяет задавать дату истечения срока действия паролей, в результате чего пользователи будут вынуждены создавать новые пароли после истечения их срока действия. Можно задать срок в 30, 60, 90 или 120 дней.
- Пользователи не могут повторно использовать любой пароль, использованный в предыдущие разы. Запрещает пользователям повторно использовать старые пароли, которые использовались в рамках заданного числа ранее созданных паролей. Число ранее созданных паролей может находиться в диапазоне от 3 до 12.
- Пользователи могут изменить пароль максимальное количество раз за 24 часа. Определяет количество изменений пароля пользователем в течение 24-часового периода. Можно задать значение в диапазоне от 3 до 8.
Безопасность
- Только администратор учетной записи может изменять имена пользователей, изображения профиля, адреса электронной почты для входа в систему и ключ организатора. Установите флажки, чтобы право изменять имена пользователей, изображения профиля, адреса электронной почты для входа в систему и ключ организатора было только у вас.
- Только администратор учетной записи может изменять идентификатор персональной конференции и имя персональной ссылки лицензированных пользователей. Разрешить только вам менять PMI и имя персональной ссылки лицензированных пользователей.
- Разрешить импорт фотографий из библиотеки фотографий на устройстве пользователя. Позволяет разрешить или запретить пользователю устанавливать фотографии со своего мобильного устройства в качестве изображения профиля.
- Скрыть платежную информацию от администраторов. Переопределяет значение параметра «Управление ролью для оплаты услуг», заданного для роли администратора по умолчанию, и блокирует администратору доступ к разделу оплаты услуг в учетной записи.
Примечание. Владелец и любой другой пользователь с правами на оплату услуг в своей роли сможет по-прежнему осуществлять доступ к разделу «Оплата услуг». - Пользователи должны войти в систему повторно после периода бездействия. Выполняет принудительный выход пользователей из системы на веб-портале и/или в клиенте для ПК через заданное время.
- Для веб-портала можно задать значение в диапазоне от 10 до 120 минут.
- Для клиента Zoom можно задать значение в диапазоне от 5 до 120 минут.
- Пользователи должны ввести ключ организатора следующей длины, чтобы получить роль организатора. Позволяет задать необходимую длину ключа организатора, можно задать значение в диапазоне 6-10 цифр.
- Использовать двухэтапную проверку с помощью Google Authenticator. Включить двухфакторную аутентификацию для пользователей.
Способы входа в систему
- Разрешить пользователям входить в систему с помощью системы единого входа (SSO). Эта настройка позволит пользователям входить в систему с помощью SSO, используя именной URL вашей компании.
Примечание. Если для вашей учетной записи включен управляемый домен, вы можете заставить пользователей использовать SSO, если они входят в систему с помощью этого заданного домена. - Разрешить пользователям входить в систему с помощью Google. Эта настройка позволит пользователям входить в систему с помощью учетных данных Google.
Примечание. Если для вашей учетной записи включен управляемый домен, вы можете заставить пользователей входить в систему с помощью Google, если они входят в систему с помощью этого заданного домена. - Разрешить пользователям входить в систему с помощью Facebook. Эта настройка позволит пользователям входить в систему с помощью учетных данных Facebook.
Надежные пароли: как их создать и чем они полезны?
Почему важно иметь надежный пароль
Надежный пароль – это главный барьер, который мешает взломать большинство ваших аккаунтов в сети. Если вы не пользуетесь современными методиками создания паролей, то вполне возможно, что мошенники смогут подобрать их буквально за несколько часов. Чтобы не подвергать себя риску кражи идентификационных данных и не стать жертвой вымогательства, вам нужно создавать пароли, которые могут противостоять усилиям хакеров, вооруженных современными средствами взлома.
Слабость вашего аккаунта – это настоящая мечта для киберпреступника. Но этим мечтам лучше никогда не сбываться, и поэтому вам нужно предпринять определенные действия, чтобы укрепить стойкость своих паролей.
Угрозы безопасности паролей
Скомпрометированные пароли открывают киберпреступникам доступ к вашим важнейшим личным данным. Так что вам нужны такие пароли, которые хакерам нелегко будет угадать или подобрать.
Большинство пользователей сейчас умеют создавать пароли, которые тяжело подобрать вручную. Когда-то этого было достаточно, чтобы противостоять краже данных. Помните, что преступники будут использовать любую информацию о вас, которую смогут найти, а также распространенные способы составления паролей, чтобы угадать ваш пароль. Когда-то вы могли использовать простую «хu7р0с7b» – подстановку похожих символов. Но сейчас она уже известна хакерам.
Современные киберпреступники используют сложные технологии, чтобы украсть ваши пароли. Это очень важно знать, потому что многие пытаются составлять пароли, которые трудно отгадать человеку, но не принимают в расчет существование эффективных алгоритмов и специальных программ, которые учитывают пользовательские «хитрости» при разгадывании паролей.
Вот некоторые из методов, которые помогают хакерам проникнуть в ваш аккаунт:
Перебор по словарю: использование программы, которая автоматически комбинирует распространенные слова из словаря, используя их часто встречающиеся сочетания. Пользователи стараются придумывать пароли, которые легко запомнить, так что подобные методы взлома следуют очевидным шаблонам.
Данные из социальных сетей и другая раскрытая вами личная информация также могут оказаться полезными злоумышленникам. Пользователи часто используют для составления паролей имена и дни рождения, клички домашних животных и даже названия любимых спортивных команд. Всю эту информацию очень легко узнать, потратив немного времени на изучение ваших аккаунтов в соцсетях.
При брутфорс-атаках используются автоматические программы, перебирающие все возможные сочетания символов до тех пор, пока не найдется ваш пароль. В отличие от перебора по словарю, брутфорс-алгоритмы с трудом справляются с длинными паролями. А вот короткие пароли в некоторых случаях удается подобрать буквально за несколько часов.
Фишинг – это попытка заставить вас самостоятельно отдать мошеннику деньги или важную информацию. Мошенники обычно пытаются выдать себя за представителей организаций, которым вы доверяете, или даже за ваших знакомых. Они могут позвонить вам по телефону, написать SMS, электронное письмо или сообщение в соцсетях. Кроме того, они могут пользоваться поддельными приложениями, сайтами или аккаунтами в социальных сетях. Если вы считаете, что вам нужна защита от фишинга, рекомендуем вам установить Kaspersky Internet Security.
Утечки данных – это еще одна опасность, угрожающая и паролям, и другой важной информации. Компании все чаще становятся жертвами взлома; хакеры могут продавать или публиковать украденные данные. Утечки данных представляют для вас особенно большую угрозу, если вы используете один и тот же пароль в разных местах: весьма вероятно, что ваши старые аккаунты могут быть скомпрометированы, и это открывает для злоумышленников доступ и к другим вашим данным.
Как создать надежный пароль
Чтобы защититься от новейших методов взлома, вам нужны сверхнадежные пароли. Если вы хотите узнать, насколько надежен ваш пароль, и повысить его стойкость, мы подготовили несколько вопросов и советов, которые помогут вам:
Типы надежных паролей
Существует два основных подхода к составлению надежных паролей.
Кодовые фразы основаны на сочетании нескольких существующих слов. В прошлом довольно часто использовались редкие слова с подстановкой символов и вставкой случайных символов посередине, например «Tr1Ck» вместо «trick» или «84sk37b4LL» вместо «basketball». Сейчас алгоритмы взлома уже знакомы с этим методом, так что хорошие кодовые фразы обычно представляют собой сочетание распространенных слов, не связанных друг с другом и расположенных в бессмысленном порядке. Или, как вариант, – предложение, которое разбивается на части, и эти части расставляются по правилам, известным только пользователю.
Пример кодовой фразы – «коровА!жгИ%алыЙ?фагоТъ» (здесь использованы слова «корова», «жги», «алый» и «фагот»).
Кодовые фразы работают, потому что:
- их легко запомнить;
- они устойчивы и к словарным, и к брутфорс-алгоритмам подбора.
Цепочки случайных символов – это бессистемные сочетания символов всех видов. В таких паролях задействованы строчные и прописные буквы, символы и числа в случайном порядке. Поскольку расстановка символов не следует никакому определенному методу, угадать такой пароль невероятно трудно. Даже специализированным программам могут понадобиться триллионы лет, чтобы взломать такой пароль.
Пример цепочки случайных символов: «f2a_+Vm3cV*j» (ее можно запомнить, например, с помощью мнемонической фразы: «фрукты два ананаса подчеркнули и добавили VISA музыка 3 цента VISA умножает джинсы»).
Цепочки случайных символов работают, потому что:
- их практически невозможно угадать;
- их очень сложно взломать;
- их можно запомнить с помощью мышечной памяти и мнемотехники.
Примеры надежных паролей
Теперь, когда вы ознакомились с типами надежных паролей и правилами их составления, давайте закрепим эти знания.
Для этого мы возьмем несколько примеров хороших паролей и попробуем сделать их еще лучше.
Пример 1: dAmNmO!nAoBiZPi?
Почему этот пароль считается надежным?
- Он соответствует кодовой фразе: «Дай мне мороженого! на обед из Питера?»
- В нем используется правило: берутся только две первые буквы из каждого слова, каждая вторая буква пароля – прописная.
- Пароль длинный – 16 символов.
- В нем используются специальные символы: «!» и «?».
- В нем используются прописные и строчные буквы.
Как улучшить этот пароль?
- Добавьте символы, чтобы сделать его еще длиннее.
- Добавьте цифры.
- Пример: dAmNmO!7nAoBvPi?6
Пример 2: !HMnrsQ4VaGnJ-kK
Почему этот пароль считается надежным?
- Он сгенерирован случайно с помощью генератора паролей.
- Пароль длинный – 16 символов.
- В нем используются специальные символы: «!» и «-»
- В нем используются прописные и строчные буквы.
Как улучшить этот пароль?
- Придумайте мнемоническую фразу, чтобы его запомнить.
- Пример: «! ХЭВИ МЕТАЛ не решает слушай QUEEN 4 ВЕСЕЛЫХ ананаса ГОЛЬФЫ не ДЖИНСЫ — короче КОРОТКОГО»
Пример 3: яростьуткапростолуна
Почему этот пароль считается надежным?
- Он основан на кодовой фразе, использующей несколько распространенных, но не связанных между собой слов.
- Пароль длинный – 20 символов.
Как улучшить этот пароль?
- Используйте разнообразные символы – строчные и прописные буквы, символы, числа.
- Замените некоторые символы одного типа символами другого.
- Пример: !Рость%Тка?Росто4Уна (использовано следующее правило: вторая буква каждого слова заменяется на строчную, первая – на символ).
Как пользоваться паролями и как их запоминать
Пароли предоставляют вам доступ ко множеству важных сервисов, так что храните их как можно надежнее.
Чтобы обеспечить безопасность:
- Не записывайте пароли на бумажках.
- Не храните пароли в приложении «Заметки» на телефоне.
- Не сохраняйте пароли в автозаполнении браузера.
Вместо этого пользуйтесь следующими методами:
Активируйте двухфакторную аутентификацию на всех ваших самых ценных аккаунтах. Это дополнительная проверка безопасности после успешного ввода пароля. Для двухфакторной аутентификации используются методы, доступ к которым есть только у вас: электронная почта, SMS, биометрия (например, отпечаток пальца или Face ID) или USB-ключ. Двухфакторная аутентификация не пропустит мошенников и злоумышленников в ваш аккаунт, даже если они украдут ваши пароли.
Часто обновляйте самые важные пароли. И старайтесь, чтобы новый пароль был не похож на старый. Менять лишь несколько символов в прежнем пароле – вредная практика. Обновляйте пароли регулярно, например каждый месяц. Даже если вы обновляете не все пароли, регулярно меняйте их хотя бы для следующих сервисов:
- интернет-банкинг;
- оплата счетов;
- основной пароль менеджера паролей;
- социальные сети;
- электронная почта;
- личные кабинеты телефонного оператора и интернет-провайдера.
Наконец, помните: если ваш пароль удобен для вас, скорее всего, он удобен и для взломщиков. Сложные пароли – лучший способ защитить себя.
Используйте менеджер паролей, например Kaspersky Password Manager. Главное достоинство менеджера паролей – шифрование и доступ из любого места, где есть интернет. Некоторые продукты уже содержат встроенное средство для генерации и оценки надежности паролей.
Статьи по теме:
Пароль должен содержать буквы разных регистров — как его придумать и создать?
При регистрации на сайтах от пользователей зачастую требуют придумать такой пароль, который бы содержал в себе буквы разных регистров (т.е. не только строчных, но и прописных). Для чего это нужно? Каким должен быть пароль, отвечающий современным требованиям безопасности работы в сети, и как его создать? Ответим на эти вопросы.
Зачем в пароле буквы разных регистров?
Компьютерные программы или даже целые операционные системы относятся к буквам по-разному. Например, в Windows в одной и той же папке нельзя хранить файлы (или другие папки) с одинаковыми именами, независимо от того, как они написаны — большими (в верхнем регистре), маленькими (в нижнем регистре) или и большими, и маленькими буквами любого алфавита. К примеру, рядом с файлом «Документ.doc» нельзя создать файл «документ.doc» или «ДОКУМЕНТ.DOC» — системой оба названия являются одинаковыми. А вот в Linux и основанных на ней операционных системах (к примеру, Ubuntu) в одну и ту же папку можно разместить файлы/папки с одинаковыми именами, если в них используются буквы разных регистров. Т.е. для Linux файлы «документ.doc» и «ДОКУМЕНТ.DOC» являются совершенно разными.
Примерно то же самое можно сказать и о паролях. Каждый символ в пароле имеет свой уникальный код. И код этот отличается для большой буквы «А» и для строчной «а». И благодаря этому, как минимум, вдвое увеличивается устойчивость парольной фразы к взлому методом перебора, т.е. к брутфорс-атакам либо атакам по словарю.
Для справки — брутфорс-атака предполагает поочередный перебор всех возможных символов, из которых может быть создан пароль. Если бы защищенная паролем веб-система (файл, программа, сайт и т.д.) одинаково воспринимала бы и большие и маленькие буквы, тогда список возможных символов для перебора сократился бы на 26 единиц (при использовании в пароле английских букв). Кажется, что это немного. Но если пароль состоит из 10 знаков, то в сумме эти 26 больших букв создают дополнительные варианты написания парольной фразы. А чем больше вариантов, тем сложнее пароль взломать.
Какой пароль может считаться надежным?
Исходя из вышесказанного, пароль, в котором присутствуют и большие, и маленькие буквы — однозначно, в разы надежнее парольной фразы, состоящей из буквы только в верхнем или только в нижнем регистре. Однако наличие обоих разновидностей букв не делают пароль отвечающим современным требованиям кибербезопасности. Он также должен:
- Содержать, как минимум, 8 (лучше 12-14) знаков.
- Содержать цифры и, если это позволяет форма регистрации, спецсимволы. Например, скобки, математические знаки, знаки препинания, буквы иностранных алфавитов (вплоть до иероглифов) и т.п.
Существуют и другие требования к создаваемым паролям, но приведенные выше — такие, которыми нельзя пренебрегать.
Как создать сложный пароль?
Создать пароль с маленькими и большими буквами можно вручную (вот подробная инструкция) либо при использовании специализированных на этом программ — генераторов сложных паролей. При самостоятельном создании сложного пароля можно, например, использовать такой простой способ:
- Напечатайте несколько английских или русских слов, переключив клавиатуру в английскую раскладку. Для примера это будут слова — «eto moy parol».
- Некоторые из букв переведите в верхний регистр, чтобы получилось что-то вроде — «eTO moY PaRol».
- Теперь вместо пробелов (можно еще и в начале или в конце), вставьте цифры, а лучше двух или трехзначные числа (можно дату какую-нибудь вставить) — «eTO18moY12PaRol1989».
- Если система, в которой осуществляется регистрация, позволяет использовать спецсимволы, не будет лишним использовать и их — «%eTO18$moY12$PaRol1989%».
В нашем случае получился довольно длинный пароль, состоящий из 23 знаков. Если система не позволяет использовать такие длинные парольные фразы, просто удалите некоторые символы.
Гораздо проще создавать надежные пароли, используя для этого генераторы — утилиты для компьютера или скрипты, размещаемые на различных сайтах. Также можно использовать систему хранения паролей MultiPassword, в которую встроен генератор надежных паролей.
В качестве другого примера рассмотрим сервис AZPassword, который предлагает сразу три способа создания сложных паролей:
1. Генерация пароля (или одновременно нескольких — вплоть до 50 штук) по параметрам. Просто задаем желаемую длину (до 30 знаков), затем указываем программе, какие символы использовать в пароле — цифры, спецсимволы, русские/английские буквы в верхнем/нижнем регистре:
2. Создание пароля на основе введенной фразы, закодированной посредством алгоритма шифрования Base64. Довольно интересная функция. Нам нужно ввести в соответствующее поле программы любую фразу (можно даже любые символы, доступные на клавиатуре), после чего утилита, используя алгоритм Base64, сгенерирует надежный пароль.
3. Создание пароля путем кодирования введенной фразы алгоритмом ROT47. Функция, аналогичная предыдущей, но в результате шифрования в парольной фразе будут присутствовать спецсимволы.
Заметим, что шифрование одной и то же фразы алгоритмами Base64 и ROT47 всегда приводит к одному и тому же результату, независимо от того, выполняется ли кодирование в программе AZPassword или где-либо еще (например, на каком-нибудь сайте). Эта особенность метода позволяет быстро генерировать пароль непосредственно перед его вводом в форму авторизации на сайте, в компьютерной системе и т.д. Достаточно лишь точно вписать фразу (последовательность символов), на основе которой был изначально сгенерирован пароль.
Для надежного хранения паролей рекомендуем использовать систему MultiPassword:
- Современные технологии защиты (AES-256, RSA, PBKDF2, HKDF).
- Оконечное шифрование данных.
- Двойная защита паролей и другие технологии защиты паролей.
Сложные пароли не должны быть трудными для запоминания
Билл Бёрр – человек, занимающийся общими правилами по созданию сложных паролей, которые, по его мнению, должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, — признал свою ошибку. По словам Бюрра, эти правила «сводят людей с ума», при этом не обязательно, что пароли получатся сильными.
Четырнадцать лет плохих паролейВ 2003 году, когда Бёрр работал в Национальном институте стандартов и технологий (NIST), он опубликовал доклад, который стал справочным руководством по созданию безопасных паролей — NIST Special Publication 800-63. Appendix A. Руководство содержало две основные рекомендации. Первая: пароли должны представлять собой комбинацию из цифр, заглавных и прописных букв, а также специальных символов. Вторая: пароль необходимо менять каждые 90 дней. С момента своей публикации, руководство Билла Бёрра стало базой, на которой основывалось создание паролей. Многие компании стали использовать его и запретили своим пользователям использовать пароли, которые не отвечали этим требованиям. Так что же изменилось? Почему Бёрр сожалеет о своей роли в установлении статуса кво современных паролей?
Короткий ответ: люди все еще используют небезопасные пароли. В тех случаях когда пароли не должны соответствовать рекомендациям Бёрра и NIST, пользователи зачастую используют легко запоминающиеся (и также легко взламываемые) пароли, такие как “123456”, “111111” или “password”. Но проблема выходит за рамки этого. Даже если вы применяете логику Бёрра и NIST и конвертируете “password” в “P @ ssw0rd!”, все равно он остается легко взламываемым паролем. Когда многие пользователи используют такой пароль, то он становится шаблоном, который кибер-преступники могут использовать для доступа к своему аккаунту.
РешениеБёрр – не единственный, кто признал, что изобретенный им метод устарел, а в некоторых случаях может быть даже небезопасным. Сам NIST обновил свои принципы цифровой идентификации в Digital Identity Guidelines, чтобы отразить новые изменения. По мнению данного института, ключ к безопасному паролю – это использование сложных фраз со словами, которые мы можем легко запомнить. Такой принцип представлен в комичном комиксе ниже с популярного xkcd.
Изображение: xkcd
В верхней строке показан пароль с буквенно-цифровыми символами, заглавными буквами и специальными символами (по сути, это «идеальный пароль» с точки зрения старого мышления), который может быть подобран примерно за 3 суток. Нижняя строка показывает, как фраза из четырех слов увеличивает время для подбора пароля до 550 лет. На протяжении многих лет мы прибегали к паролям, которые мы сами с трудом могли запомнить, но при этом они были легко угадываемыми для машин.
Время переменЕсли вы еще не сделали этого, то настало самое время сменить политику паролей в вашей компании. Одна из причин, почему многие сотрудники ставят под угрозу безопасность компании, — это выбор легко запоминающегося пароля, который также можно легко взломать. Иногда оказывается, что некоторые пароли, которые очень сложно запомнить, также можно достаточно легко подобрать. Поэтому важно подчеркнуть, что этот новый способ создания паролей сочетает в себе простоту и безопасность.
В новых рекомендациях NIST не рекомендуется регулярно менять пароли, а делать это скорее в случае крайней необходимости (например, после какого-то инцидента безопасности). Причина кроется в том, что пользователи могут воспользоваться более простым вариантом и сделать небольшие изменения в пароле, что сведет на нет все преимущества от изменения пароля. Более того, необходимость регулярно просить и даже требовать смены пароля может способствовать развитию “усталости от безопасности” среди сотрудников – это все более распространенная проблема среди всех видов компаний.
Билл Бёрр и NIST признали, что их метод не эффективен. Теперь ответственность лежит на нас. Внедрение новых принципов поможет создавать более безопасные пароли и защищать предприятие от кибер-преступников.
Panda Security в России
+7(495)105 94 51, [email protected]
http://www.pandasecurity.com
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Каким должен быть безопасный пароль?
Пароль – наше все. Безопасный пароль – это первая гарантия того, что ваша личная информация находится под надежным «замком». По нашим данным, около 80% пользователей недооценивают роль пароля в защите от киберугроз и легкомысленно относятся к его созданию и хранению. Если ваш пароль имеет хотя бы один из приведенных ниже признаков, немедленно замените его, следуя рекомендациям специалистов антивирусной лаборатории Zillya!
Признаки опасного пароля
1. Один из ваших паролей – 123456, password, Iloveyou, 111111, qwerty или admin и т. п. Поздравляем, вы не одни. Вот уже несколько лет эти варианты не покидают десятку самых популярных паролей, найденных в сети из-за утечек.
2. Ваш пароль – имя, фамилия, номер телефона, имя супруга, сестры, название родного города. Срочно поменяйте его, пока не поздно. Хакеры не дремлют и с удовольствием воспользуются вашей предсказуемостью.
3. Пароль состоит только из букв или цифр и содержит менее пяти символов. Для автоматической системы взломов ваш аккаунт – лакомый кусочек.
4. Придумывая пароль, вы выбираете слова из словаря, вспоминаете имена популярных исполнителей или групп.
5. Вы любите использовать одинаковые или смежные символы – например, 222222 или xcvbnm – и популярные аббревиатуры? Все это путь к тому, что в один прекрасный день пользователем вашего аккаунта может стать кто-то другой.
Конечно, некоторые сайты просто не дадут выбрать вам ненадежный пароль. Однако далеко не все ресурсы так заботятся о защите личных данных пользователя. Кроме того, если у вас одинаковые пароли для разных аккаунтов – например, для социальных сетей, электронной почты или интернет-банкинга, риск взлома возрастает в несколько раз.
Правила надежного пароля
Существует несколько простых правил, соблюдая которые вы уменьшите шансы кибермошенников на успех. Например, надежным пароль будет, если:
1. Он состоит более чем из восьми символов.
2. В пароле перемешаны буквы и цифры, используется нижний и верхний регистры и другие символы (например, Ju25lix/93aHl, SPR45kg78#1 и т.д.).
3. Пароль, на первый взгляд, состоит из бессмысленных слов, но вы знаете логику его образования (чтобы вы его запомнили). Например, ваш любимый месяц года – май (may), в мае цветет сирень (lilac), в мае празднуется День победы (victory), а война закончилась в 1945 году. Путем небольшого микса цифр и букв получается – 19/MalivI_45.
4. Вы используете в его создании одновременно кириллицу и латиницу.
5. Слова в пароле написаны с ошибками, некоторые буквы перепутаны или заменены.
Создав пароль, сразу подумайте, где и как лучше его хранить. В этом случае можно воспользоваться несколькими вариантами.
1. Память. Разумеется, самый надежный способ – запомнить пароль, но удержать в памяти множество паролей от разных аккаунтов бывает довольно сложно.
2. Менеджер паролей. Будьте осторожны: в данном случае вам все-таки придется запомнить один пароль, забыв который вы потеряете доступ ко всем остальным.
3. Отдельный текстовый файл (не используйте для названия файлов слова – pass, password, пароль). Поместите данный файл в архив и закройте его паролем.
Выбрать, как лучше хранить пароли, – личное дело каждого пользователя. Более подробно о менеджерах паролей, читайте в наших следующих статьях. Также помните, что антивирусные программы значительно повышают уровень защиты личного компьютера от троянцев, ворующих пароли у пользователей.
Какой пароль мне использовать?
Пароль должен состоять не менее чем из 9 символов.
Два правила о паролях
- Пароли длиной от 9 до 15 символов имеют ряд ограничений:
- Он не должен содержать общих слов или замен.
- Он не должен включать ваше имя пользователя или настоящее имя
- Он должен содержать символы более чем в одной из этих групп: строчные буквы, прописные буквы, цифры и знаки препинания.# $ #%
- Пароли длиной более 15 символов должны соответствовать следующим правилам:
- Он не должен включать ваше имя пользователя или настоящее имя.
- Он должен содержать как минимум два типа символов (строчные, прописные, цифры, знаки препинания).
Например:
ОК: моя кошка недовольна
ОК: моя кошка несчастна.
Плохо: моя кошка недовольна
Как создать хороший пароль
Вариант 1 : Самый простой способ — использовать парольную фразу длиной более 15 символов.Вы можете выбрать все, что захотите, поэтому будет относительно легко найти то, что вы запомните. Вот два примера:
- У меня прекрасный кот
- Мой двор всегда зеленый.
Обратите внимание, что вам нужно придумать собственную фразу; приведенные выше примеры использовать не следует.
Вариант 2 : Другой вариант — войти на страницу наших учетных записей, перейти по ссылке «Установить / отключить пароль» в левом столбце и выбрать одно из предложений, предлагаемых системой.Выбирая предложение, не вырезайте и не вставляйте! Введите пароль дважды, чтобы убедиться, что вы можете ввести его надежно.
Запишите его и храните в кошельке (не на мониторе или где-либо еще). В пределах неделю вы запомните это, так же, как вы можете помнить свое номер телефона и номер социального страхования, даже если они не «легко вспомнить». Не забудьте уничтожить любую бумажную запись, как только вы ее запомните.
Вариант 3 : Создайте свой собственный пароль, следуя правилам, перечисленным выше в отношении паролей длиной от 9 до 15 символов.
Неверные пароли
Систематический Атаки подбора пароля сложны и будут обычно «взламывают» пароли следующих типов:
- Те, которые содержат ваш сетевой идентификатор, имя пользователя, ваш первый, средний, или фамилия, или любая их обычная перестановка.
- Те, которые происходят непосредственно от слов или фраз любого язык. Встраивание числа или сдвига регистра в слово (из любой язык) не является действительным паролем. Примеры неверных паролей: time2go, big $ deal, ivyLeague, 2morrow, money $ и Ivyleague.
- Все заглавные буквы или все строчные. Например, ivyleague, IVYLEAGUE и jklasdf недействительные пароли.
- Те, которые состоят из всех чисел; встраивание десятичные знаки минус или плюс внутри числа не сделайте действующий пароль.
Наконец, пароли конфиденциальны. НЕ ДАЙТЕ ПАРОЛЬ К ЛЮБОМУ!
Ссылки по теме
25 паролей, которые нельзя использовать
(Pocket-lint) — самые плохие пароли, которые обычно используются, дает нам представление о том, что люди используют, но, что более важно, то, что вам не следует использовать.
Взлом учетной записи — реальная и реальная угроза, поэтому абсолютно необходимо убедиться, что у вас есть надежный и надежный пароль для всех ваших учетных записей. Нам постоянно советуют избегать использования одного и того же пароля для всего, но запоминание такого количества разных паролей может стать кошмаром.
К счастью, существуют программы и приложения, которые справятся с этой задачей за вас и помогут обезопасить вас в сети. Но прежде чем мы это сделаем, стоит отметить, что вот самые популярные пароли, используемые в Интернете, о которых вам даже не следует думать.
Пароли, которые вам не следует использовать
Кажется, людям все еще нравится использовать: «123456» и «пароль», причем оба они занимают первые места в списках наиболее часто используемых паролей каждый год. NordPass говорит, что людям нравится использовать свои имена, любимые группы и другие пароли, которые легко угадать.
Несмотря на уговоры экспертов по безопасности, многие из нас по-прежнему используют удобные для восстановления пароли для большинства наших учетных записей в Интернете. В 2016 году Gemalto опросила 9000 потребителей со всего мира, в том числе в Великобритании и США, и обнаружила, что 70 процентов респондентов считают, что ответственность за защиту и безопасность данных клиентов лежит на компаниях (тогда как только 30 процентов считали, что это не так. себе).
Итак, неудивительно, что ежегодный список часто используемых паролей все еще содержит строки символов и букв, которые даже самые простые хакеры могут вычислить и использовать против вас.
Подсчитано, что почти 10 процентов людей использовали по крайней мере один из 25 худших паролей в ежегодных списках, и почти 3 процента людей использовали худший пароль, 123456. Ой.
Подобные данные собираются в результате различных взломов паролей, включая 5 миллионов с лишним паролей, просочившихся в 2018 году от таких компаний, как Yahoo, Starwood и других.
К сожалению, эти данные показали, что пароли типа «123456789», «обезьяна» и «qwerty» используются множеством людей со всего мира.
Полный список наихудших паролей:
- 123456
- 123456789
- qwerty
- пароль
- 1234567
- 12345678
- 12345
- iloveyou 20003 91111
- iloveyou 20003 91111 9009
- 111111 9009 9
- админ
- qwertyuiop
- 654321
- 555555
- прекрасный
- 7777777
- добро пожаловать
- 888888
- принцесса
- дракон
- пароль1
- 123qwe
В нем говорится, что хороший пароль должен состоять из восьми или более символов, не быть вашим именем пользователя, настоящим именем или названием компании, и, по сути, вообще не содержать полного слова. Он также должен отличаться от паролей, используемых где-либо еще, и содержать по крайней мере по одному из следующих символов: заглавная буква, строчная буква, число и символ (например, £ или $).
Приложения для защиты ваших паролей
Теперь, когда мы это прояснили, позвольте нам познакомить вас с некоторыми из лучших, которые мы нашли, чтобы помочь держать хакеров в страхе.
1Password1Password
Это менеджер паролей. Он запоминает все ваши пароли, позволяет генерировать пароли и легко выполняет вход на сайты и в приложения.
Попробуйте прямо сейчас: 1Password
LastPassLastPass
LastPass доступен в подавляющем большинстве интернет-браузеров и мобильных устройств и может использоваться как на Windows, так и на Mac.Он устанавливается как расширение в вашем браузере и отображается в виде кнопки на панели инструментов браузера, чтобы вы могли быстро и легко управлять своей учетной записью LastPass.
Хотя он запомнит все ваши пароли для всех ваших учетных записей, он требует, чтобы вы запомнили только один мастер-пароль для входа в систему, что не должно быть слишком сложно. Вам нужно сделать этот пароль как можно более надежным, чтобы никто не взломал и не украл все остальные ваши пароли.
Вы сохраняете пароли в «хранилище» и можете либо добавить их вручную, либо получить LastPass, чтобы сохранить их автоматически при следующем входе на определенный сайт или службу.
Если вы хотите изменить один из ваших текущих паролей на другой, вы можете, и LastPass может сгенерировать случайную последовательность букв и цифр, чтобы сделать вашу учетную запись более безопасной. И, конечно же, вам не нужно беспокоиться о запоминании сложной последовательности, поскольку LastPass сделает это за вас.
Вы также можете загрузить мобильное приложение на свое устройство, и все ваши сохраненные пароли будут синхронизироваться, пока вы помните этот важнейший мастер-пароль. Хотя он запоминает пароли для любых веб-сайтов, которые вы посещаете на своем мобильном устройстве, вам нужно будет внести небольшую ежемесячную плату за то, чтобы он запомнил пароли для ваших приложений.
Вам не нужно просто сохранять пароли учетных записей в LastPass, поскольку он также может быть местом для хранения заметок, паролей Wi-Fi или сведений о ваших водительских правах, и вы можете сохранить данные своей дебетовой и кредитной карты, чтобы вы могли заполняйте их автоматически, когда вы идете покупать что-то в Интернете.
Бесплатная версия LastPass ограничена одним активным устройством (например, ноутбуком или телефон), а не обоими, но вы можете внести небольшую ежегодную плату за премиум-доступ.
KeePassKeePass
KeePass — это бесплатный менеджер паролей с открытым исходным кодом для Windows.Вы можете установить его на компьютеры Linux и Mac, но вам нужно будет запустить его через Mono, который позволяет устанавливать приложения Microsoft на разных платформах.
Лучший ноутбук 2021 года: лучшие ноутбуки общего и премиум-класса для работы из дома и не только Дэн Грэбэм ·Доступны неофициальные порты для устройств iOS и Android.Это означает, что вы можете создать базу данных на своем компьютере и скопировать ее на свой телефон для использования в дороге.
KeePass работает так же, как LastPass, сохраняя имена пользователей и пароли для разных учетных записей в базе данных в виде зашифрованных файлов. Вы также можете хранить заметки и другие файловые вложения.
База данных паролей защищена мастер-паролем, ключевыми файлами и / или данными текущей учетной записи Windows, и все хранится локально на вашем компьютере, а не в облаке.
KeePass имеет генератор паролей, позволяющий создавать сверхзащищенные пароли для различных учетных записей, и поддерживает огромное количество подключаемых модулей, все из которых можно увидеть на веб-сайте KeePass.
Из-за несколько более сложного способа установки KeePass на Mac и системы на базе Linux, мы бы сказали, что это действительно достойный соперник для пользователей Windows.
DashlaneDashlane
Dashlane работает очень похоже на LastPass. Он работает в различных браузерах и мобильных устройствах и может генерировать пароли длиной до 28 символов, что делает их практически невозможными для обхода.Dashlane будет отслеживать пароли, которые вы сохранили для всех своих учетных записей, и мгновенно сообщит вам, если какая-либо из ваших учетных записей будет взломана.
При первой установке Dashlane он просканирует историю всех установленных вами интернет-браузеров и проверит наличие сохраненных паролей. Все, что он найдет, он может затем импортировать. Это действительно удобный способ мгновенно сохранить все ваши пароли, вместо того, чтобы запоминать, где у вас есть учетные записи, или сохранять их вручную каждый раз, когда вы входите на новый веб-сайт.
Когда вы входите в Dashlane, вам нужно будет ввести свой адрес электронной почты, а затем код безопасности, который будет отправлен на этот адрес электронной почты. После того, как вы его введете, вам будет предложено ввести мастер-пароль.
Если какой-либо из ваших сохраненных паролей устарел и нуждается в обновлении, Dashlane может сделать это одним нажатием кнопки. Просто выберите пароли, которые вы хотите изменить, нажмите «изменить», и они будут обновлены и сохранены с новыми. Он также может сказать вам, насколько безопасны ваши текущие пароли, в этом случае с этим писателем пароли определенно могут быть обновлены.
Однако, в отличие от LastPass, Dashlane не может хранить пароли для приложений на ваших мобильных устройствах.
Существует премиум-уровень Dashlane, который дает вам неограниченную синхронизацию паролей на всех ваших устройствах, дает вам безопасную и зашифрованную резервную копию вашей учетной записи в облаке и позволяет вам войти в свою учетную запись Dashlane из любого веб-браузера.
Sticky PasswordSticky Password
Sticky Password — это еще один инструмент браузера, который хранит ваш пароль за ключом главного пароля, но также может полагаться на аутентификацию по отпечатку пальца для входа в вашу учетную запись.Он поддерживается на нескольких платформах, включая iOS, Windows, Mac и Android, и имеет обширную поддержку браузера.
Уровень бесплатного пользования не позволяет синхронизировать данные между устройствами, это преимущество зарезервировано для уровня «Премиум». С его помощью вы можете синхронизировать данные своего пароля со своими устройствами через локальный Wi-Fi или через облако, вы также можете сохранить зашифрованную резервную копию своих паролей в облаке, если хотите.
Если вы платите за премиум-уровень, часть денег идет на поддержку находящихся под угрозой исчезновения ламантинов, так что вы принесете пользу, а также сохраните свои учетные записи в безопасности.
Мы предпочитаем интерфейс LastPass и Dashlane, но Sticky Password по-прежнему прост в использовании и является отличным вариантом для хранения всех ваших паролей в одном месте.
Отличные общие советы по обеспечению безопасности ваших паролей
В наши дни у нас так много учетных записей на различных сайтах, и будь то социальные сети, покупки или электронная почта, кажется, что нужно помнить все больше и больше паролей.
Эти пароли настолько важны, поскольку они защищают значительный объем информации о вас, которую вы не хотели бы попадать в чужие руки, поэтому вот несколько советов, как сделать ваши пароли более безопасными.
Используйте разные паролиХотя сложно запомнить один пароль, не говоря уже о 10, в любом случае стоит попробовать, так как лучше убедиться, что все ваши пароли не совпадают.
Создайте систему, которую вы легко запомните и которая использует базовый пароль, но добавляет элемент для рассматриваемого сайта, например PasswordTwitter.
Не записывайте свои пароли
Заманчиво записывать свои пароли, особенно когда у вас разные пароли для разных учетных записей, запоминание их всех может быть минным полем, но не делайте этого.
Скорее всего, у вас есть несколько кусочков бумаги с различными паролями на них, и если вы это сделаете, вам следует избавиться от них. Точно так же, если они у вас есть по электронной почте или автоматически сохраняются, убедитесь, что у вас есть заблокированная заставка на вашем компьютере, чтобы, если ваш компьютер был украден, вы не предложили все свои пароли ворам.
Сделайте так, чтобы его было сложно угадать
В идеале ваши пароли должны состоять более чем из 8 символов и состоять из комбинации букв и цифр.Есть сайты, которые заставляют это делать, в то время как другие нет, но в любом случае это стоит использовать как практическое правило.
Вы можете попробовать составить слово и заменить гласные числами, взять фразу и использовать первую букву каждого слова для создания пароля или удалить несколько букв из слова, например Facebook.
Другие советы по усложнению подбора паролей включают добавление случайных знаков препинания, неправильное написание слова, использование двух или более слов с добавлением символа подчеркивания или дефиса между ними или использование очень длинного слова.
Не выдавайте
Не выдавать это может показаться очевидным, но это не мешает людям игнорировать это золотое правило. Возможно, вы просто даете его своему партнеру или другу, прося их проверить вашу электронную почту, или вы можете передавать его коллеге по той или иной причине.
Какой бы ни была причина, это недостаточно хорошо. Пароли следует держать при себе, несмотря ни на что.
Регулярно меняйте свой пароль
Хотя вам ни в коем случае нельзя менять пароль на основании запроса, отправленного по электронной почте или с веб-сайта, стоит регулярно менять пароли.
Один совет для этого, но убедитесь, что вы помните, на что вы его изменили, — это добавить элемент к вашему текущему паролю, который повторяется каждые 12 месяцев или имеет тему.
Например, вы можете сделать что-то вроде Password1 для января и Password12 для декабря, и если вы измените их не по порядку, это повысит надежность вашего пароля.
Следите за своими данными
Помимо того, что у вас есть надежный пароль и что вы случайно не оставите себя незащищенным, стоит также следить за своими данными.
Вы можете использовать эту систему для отслеживания ваших адресов электронной почты. «Был ли я взломан?» — это бесплатная служба уведомлений, которая предупредит вас, если данные, связанные с вашим адресом (а) электронной почты, будут взломаны и просочились в сеть. Это может быть полезно для обеспечения безопасности ваших учетных записей и обновления паролей при необходимости.
Использовать двухфакторную аутентификацию
Многие службы, приложения и устройства умного дома предлагают двухфакторную аутентификацию (также известную как двухэтапная), которая требует ввода дополнительного кода при входе в систему.Это не то же самое, что пароль, это случайно сгенерированный одноразовый код, который либо отправляется на ваш мобильный телефон с помощью текстового сообщения, либо через приложение, такое как Google Authenticator.
Такая система предлагает дополнительный уровень безопасности помимо надежного пароля, который может иметь решающее значение.
Последние отчеты показывают опасность неиспользования двухфакторной аутентификации, когда такие вещи, как умные домашние камеры безопасности, были взломаны, что дало ужасающий вид на дома людей и вторжение в частную жизнь гнусных сторон.
Вы можете использовать двухфакторную аутентификацию для любых вещей, включая саму электронную почту, если вы, например, пользуетесь Gmail. Мы не можем рекомендовать эту защиту в достаточной степени.
Написано Адрианом Уиллингсом и Максом Лэнгриджем.
7 экспертов по паролям о том, как заблокировать вашу онлайн-безопасность
Что касается выдуманных праздников, то «Всемирный день паролей» не имеет такого же значения, как, скажем, День отца или даже Национальный день масленичных (март). 8-й).Тем не менее, это такой же хороший повод исправить ваши плохие пароли. Или еще лучше, чтобы наконец понять, что пароль, который вы считали правильным, все еще требует некоторой доработки.
Теперь вы знаете основы защиты паролей. Не записывайте их, возьмите менеджер паролей, по возможности используйте двухфакторную аутентификацию и не используйте ничего, о чем легко догадаться. (Глядя на вас, толпа «111111»).
Все эти советы по-прежнему в силе, и вы должны их придерживаться. Хорошо сделано! Но теперь пришло время для продвинутого курса для начинающих.WIRED обратился к специалистам по безопасности паролей за их любимым неожиданным советом, передовыми методами, которые могут избавить вас от самой головной боли в долгосрочной перспективе. Вот семь советов и приемов, которые помогут защитить ваши цифровые замки.
1. Думайте о длине, а не о сложности
«Более длинный пароль обычно лучше, чем более случайный пароль, — говорит Марк Бернетт, автор Perfect Passwords , — если пароль составляет не менее 12-15 символов. . »
На самом деле длинный пароль, состоящий только из строчных букв, может быть более выгодным, чем создание правильной комбинации буквенно-цифровой тарабарщины.«Обычно все, что требуется, — это пароль всего на два символа длиннее, чтобы восполнить недостаток других типов символов, таких как заглавные буквы, числа или символы», — говорит Бернетт.
Другими словами, время, потраченное на то, чтобы ваш пароль выглядел как проклятие Папайя, лучше потратить на набор еще двух (легче запоминающихся) простых букв.
2. Keep It Weird
Это не значит, что вам следует довольствоваться «111111111111111.» Чем длиннее, тем лучше, но такая длина дает меньшую отдачу, если вы все еще не смешиваете ее.
«Мы видели, как многие люди стараются быть более безопасными, добавляя символы в пароли, но если эти более длинные пароли основаны на простых шаблонах, они подвергают вас так же высокому риску того, что ваша личность будет украдена хакерами», — говорит Морган Слейн, генеральный директор SplashData, компании по управлению паролями, которая ежегодно публикует список худших паролей того года.
Slain также предлагает избегать общепринятых терминов о спорте и поп-культуре — «Звездных войн» фраз были особенно популярны в прошлом году — независимо от длины.Чем чаще используется пароль, тем менее безопасным он будет, поэтому используйте то, что никто другой не сделал бы (в идеале, случайную строку).
3. Не объединяйте специальные символы
Многие поля ввода пароля теперь требуют, чтобы вы использовали комбинацию букв верхнего и нижнего регистра, цифр и символов. Это хорошо! Просто держите их отдельно.
«Размещайте цифры, символы и заглавные буквы в середине пароля, а не в начале или конце», — говорит Лорри Фейт Кранор, главный технолог FTC и профессор компьютерных наук Карнеги-Меллона.«Большинство людей помещают заглавные буквы в начало, а цифры и символы в конце. Если вы сделаете это, вы получите очень мало пользы от добавления этих специальных символов ».
Это та часть, которая «большинство людей» доставляет вам неприятности. «Речь идет о предсказуемости, основанной на том, сколько людей это делают», — говорит Крэнор. Избегание предварительной или обратной загрузки паролей специальными символами также дает вам гораздо больше возможностей для работы, что создает более узкое место для любого, кто пытается взломать.
4.Never Double Dip
Вы выполнили все рекомендации по паролю, вплоть до последнего & $ @. Чтобы кто-то взломал, потребуются годы. На самом деле ваш пароль настолько хорош, и вам потребовалось так много времени, чтобы его запомнить, что вы решили использовать его на нескольких учетных записях.
Как создать надежный пароль, который вы не забудете
Лучший пароль — это тот, который сложно взломать и который легко запомнить. Тем не менее, некоторые из наиболее часто используемых паролей легко угадать, например, «пароль» или «123456».Такие пароли могут сделать вас жертвой взлома паролей и других видов взлома. Не используйте их! Вместо этого создайте надежный пароль.
Даже если у вас сложный пароль, использование одного и того же пароля для всех ваших учетных записей в Интернете опасно.Представьте, что хакер взломал этот единственный пароль. В целях безопасности вы должны создать уникальный и трудный для взлома пароль для всех ваших учетных записей.
Так вы знаете, как создать хороший пароль? И как можно запомнить более одного из них? Вот несколько советов и приемов, которые помогут сохранить индивидуальные надежные пароли для всех ваших учетных записей в Интернете.
Как создать надежный пароль
Поскольку вам всегда нужно помнить хотя бы один пароль, мы сначала рассмотрим, как вручную создать безопасный пароль.Далее мы также покажем вам, как использовать инструмент, который может создавать пароли, которые практически невозможно взломать, и запоминать их за вас.
Характеристики безопасного пароля
Каждый пароль должен соответствовать следующим критериям:
- Вы не можете найти пароль в словаре
- Он содержит специальные символы и цифры.
- Он содержит сочетание прописных и строчных букв.
- Он содержит не менее 10 символов
- Его нелегко угадать на основе информации пользователя, такой как дата рождения, почтовый индекс или номер телефона.
Обратите внимание, что некоторые учетные записи не позволяют использовать специальные символы.В этом случае вам следует увеличить длину и сделать пароль как можно более абстрактным. Аналогичным образом, если длина пароля ограничена 6 или 8 символами, убедитесь, что вы охватили как можно больше других моментов.
Как запомнить пароль
Даже если вы используете менеджер паролей, вам нужно хотя бы запомнить мастер-пароль для этого инструмента.Как это сделать, соблюдая при этом все вышеперечисленные критерии? Вы начинаете с того, что легко запомните, — с базового пароля. Затем вы применяете логические правила, чтобы изменить свой базовый пароль на что-то почти неузнаваемое.
Создайте простой для запоминания базовый пароль
Ваш базовый пароль может быть основан на фразе, названии места или имени и номере телефона.Теперь вы можете использовать несколько приемов для создания надежного базового пароля, который вы не забудете. Вот некоторые предложения:
- Произвольно заменяйте буквы цифрами (например,грамм. MakeUseOf становится Mak3Us30f )
- Выберите предложение и сократите его до первых букв каждого слова (например, Золотое правило «Делайте с другими то, что вы хотите, чтобы они с вами делали», становится Dtowywttdty )
- Возьмите слово и переверните его по буквам (например, technology становится ygolonhcet )
Приведенные выше примеры не особо безопасны.Хотя вы не найдете ни одного из полученных базовых паролей в словаре, они по-прежнему не соответствуют другим характеристикам безопасного пароля.
Поэтому убедитесь, что ваше начальное слово или фраза достаточно длинные (минимум 10 символов) и сочетает в себе все вышеперечисленные принципы, чтобы ввести числа, специальные символы и орфографию в верхнем и нижнем регистре.)
Обратите внимание, что мой базовый пароль соответствует всем вышеперечисленным критериям.Его нельзя найти в словаре, он содержит специальные символы, сочетание прописных и строчных букв, его длина 17 символов, и вы не можете угадать его на основе моей личной информации.
Используйте гибкие правила для пароля
Компьютер может вычислять и распознавать закономерности намного быстрее, чем человеческий мозг.Но в одном люди все еще лучше умеют быть творческими. Это ваше огромное преимущество перед инструментами взлома!
Как видите, в своем пароле я заменил некоторые буквы на цифры или специальные символы.Однако я не использовал жестких правил. Я заменил t на 2 или 7 . Использование правил замены символов, т.е. всегда замена на на @ , ослабит ваш пароль.
Вот несколько идей, как сделать так, чтобы хакеру было еще труднее взломать ваш пароль:
- Не используйте распространенные замены (например,грамм. @ для A или a)
- Если у вас есть повторяющиеся буквы в вашем пароле, смешайте свои замены (например, 8 или (для B или b)
- Скажите слово и нажмите, наберите его пальцами в месте etpmh («неправильный» сдвинут).
- Выберите узор на клавиатуре и введите его попеременно с помощью клавиши Shift (например,грамм. Xdr% 6tfCvgz /)
Создание индивидуальных паролей для каждой учетной записи
Если у вас есть надежный базовый пароль, вы можете использовать его для создания индивидуальных паролей для каждой из ваших учетных записей в Интернете.) eBa для eBay.
Обратите внимание: хотя этот тип пароля сложно взломать самостоятельно, его легко понять.Если ваш индивидуальный базовый пароль когда-либо просочится, вам придется изменить все основанные на нем пароли, прежде чем кто-то выяснит вашу систему.
Мы настоятельно рекомендуем вам использовать действительно уникальные и безопасные пароли для всех ваших учетных записей.Вот почему вам нужен менеджер паролей. Это также чрезвычайно важно для обеспечения безопасности ваших банковских счетов в Интернете.
Используйте менеджер паролей
Теперь, когда вы создали безопасный базовый пароль, используйте его в качестве главного пароля для вашего менеджера паролей.Вы также можете использовать его всякий раз, когда вам нужно создать пароль на месте, не имея доступа к вашему менеджеру паролей. Для всего остального используйте лучший менеджер паролей для создания и хранения сверхбезопасных и уникальных паролей. (Вот несколько типов менеджеров паролей, из которых вы можете выбрать.)
Менеджер паролей также может сказать вам, насколько сложны и, следовательно, безопасны ваши пароли.Вы даже можете использовать его, чтобы проверить сложность вашего базового пароля.
Я использую LastPass, кроссплатформенный менеджер паролей, которым можно пользоваться бесплатно.LastPass поставляется с функцией Generate Secure Password . Обратите внимание, как на скриншоте ниже под паролем есть полная зеленая полоса? Это означает, что это надежный пароль. Слишком короткий и / или слишком простой пароль приведет к гораздо более короткой полосе красного или оранжевого цвета.
Если вам не нравится LastPass, попробуйте Google Password Manager или необычный менеджер паролей RememBear.
Обратите внимание, что онлайн-менеджеры паролей уязвимы для взлома.После серии угроз безопасности в начале 2017 года мы даже рекомендовали вам временно прекратить использование LastPass. Следовательно, мы также собрали здесь несколько альтернативных менеджеров паролей.
Как только вы начнете использовать менеджер паролей, вы обнаружите, что он может гораздо больше, чем просто создавать и хранить пароли.И попробуйте эти способы организовать свой менеджер паролей.
Регулярно обновляйте пароли
Это самая сложная часть.Чтобы обеспечить безопасность с помощью надежного пароля, вам необходимо обновлять пароль каждые несколько недель или месяцев. Чем чаще, тем лучше. Сделать это можно несколькими способами. Вот несколько идей, которые упростят его.
Измените только базовый пароль
- Измените используемые вами замены специальных символов.
- Обратное использование прописных и строчных букв.
- Введите пароль при включенной блокировке Shift.
Изменить весь пароль
- Измените способ идентификации используемой учетной записи (например,грамм. используйте последние три, а не первые три буквы, поэтому GMa станет ail , а eBa станет Bay )
- Измените положение букв, идентифицирующих учетную запись (например, поместите их вперед или в середину вашего базового пароля)
- Добавьте дату последней смены пароля сзади и отметьте ее в своем календаре.
Другими словами, используйте свое человеческое преимущество: проявите творческий подход и мыслите нестандартно.И используйте менеджер паролей, чтобы уменьшить количество паролей, которые вам нужно менять вручную.
Надежные пароли везде
Мы показали вам, как создать безопасный и легко запоминающийся пароль.Мы также объяснили, почему менеджеры паролей помогают повысить безопасность ваших учетных записей. Теперь вам нужно применить эти знания на практике. Как вы генерируете надежные пароли? Вы использовали онлайн-генератор паролей? Были ли у вас когда-нибудь взломаны учетные записи из-за слабого пароля?
Кроме того, ознакомьтесь с нашими руководствами по сбросу учетных данных и защите себя, а также о том, как узнать, хранит ли веб-сайт пароли в виде открытого текста, и что вам следует делать.
3 способа горизонтального переноса данных в ExcelС помощью Excel вы можете легко переносить данные из вертикального положения в горизонтальное.Вот 3 способа сделать это!
Читать далее
Об авторе Тина Зибер (Опубликовано 827 статей)Получая степень доктора философии, Тина начала писать о потребительских технологиях в 2006 году и никогда не останавливалась.Теперь также редактор и специалист по оптимизации, вы можете найти ее в Твиттере или прогуляться по близлежащей тропе.
Более От Тины ЗиберПодпишитесь на нашу рассылку новостей
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Еще один шаг…!
Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.
Какой длины должен быть ваш пароль? Данные, лежащие в основе политики безопасной длины пароля.
В LMG Security (LMG) нас часто спрашивают: «Как долго должен быть ваш пароль?» Отличный вопрос. Если строгая многофакторная аутентификация (MFA) не используется организацией повсеместно, мы рекомендуем, чтобы пароли пользователей состояли не менее чем из 16 символов. Привилегированные учетные записи (администраторы и служебные учетные записи) должны иметь длину 25 или более символов, когда это возможно.(Да, существуют эффективные способы управления такими длинными паролями! Прочтите советы по реализации.) Мы также рекомендуем, чтобы пароли были сложными, но при этом делали акцент на безопасной длине пароля.При учете рисков для сред важно понимать, что MFA эффективен только для защиты определенных типов интерактивных учетных записей, а не всех векторов атак аутентификации на уровне протокола. Он отлично подходит для защиты интерфейсов входа в систему, таких как Office 365 или аналогичный, но не для защиты аутентификации на уровне протокола (например,грамм. Перебор блока сообщений сервера (SBM), если MFA не применяется, или устаревшие протоколы, такие как IMAP / POP и т. Д.). Вот почему мы повсеместно рекомендуем, чтобы все привилегированные учетные записи использовали пароль длиной не менее 25 символов, а обычные пользователи использовали пароли длиной не менее 16 символов .
Почему организациям сложно ответить на вопрос: «Какой длины должен быть пароль?»
Организации часто и оправданно не хотят, чтобы безопасность затмевала удобство использования и, вместе с тем, эффективность бизнеса.Общие припевы, которые мы слышим:
- «Наше руководство никогда не пойдет на это».
- «У наших пользователей достаточно трудные времена с 8-символьными паролями, ИТ-отдел будет завален запросами поддержки, связанными с паролями, если мы перейдем к минимальной длине пароля в 16 символов»
- «Наш бизнес развивается рыночными темпами, мы не можем заставить пользователей возиться, пытаясь получить доступ к своим системам, потому что они не могут вспомнить длинный сложный пароль. Только подумайте о деньгах, которые мы можем потерять.”
- «Наши пользователи в конечном итоге будут писать свои длинные пароли на стикерах и в записных книжках, открывая пароли для взлома из-за небезопасного хранения». (Здесь есть простое решение: внедрить и обучить пользователей использованию менеджеров паролей, что значительно снизит сложность создания и использования надежных паролей).
Все они имеют одну общую черту: они делают упор на удобство использования, а не на безопасность, что понятно. Ведение бизнеса сопряжено с определенными рисками, и организации не могут позволить себе обезопасить себя до состояния паралича, который не позволяет им эффективно вести бизнес.
Поиск баланса между безопасностью паролей и удобством использования
По мере того, как организации внедряют инструкции по определению длины их паролей, важно понимать данные, чтобы определить требования к безопасной длине и сложности пароля. Для начала важно понимать, что утечки данных часто связаны с компрометацией учетных записей из-за слабых паролей. Утечки данных также часто обходятся очень дорого. По сути, балансировка сводится к старой поговорке InfoSec: «Платите сейчас или платите позже.”
Когда дело доходит до безопасности, всегда дешевле платить сейчас, чем платить позже
В LMG мы работаем с той точки зрения, что с безопасностью всегда дешевле платить сейчас, чем платить позже. Если вы считаете, какой длины должен быть ваш пароль, вот несколько веских причин для увеличения требований к минимальной длине пароля в политике паролей вашего домена и внедрения надежного MFA:
- Хотя текущее руководство NIST 800-63B гласит, что «запоминаемые секреты должны состоять не менее чем из 8 символов, если они выбраны подписчиком», тестеры проникновения LMG обычно находят это недостаточным — если только они не контролируются сильным MFA — с учетом скорости современные вычислительные устройства.
- В качестве основы: тестеры на проникновение LMG могут взломать любой 8-значный хэш пароля Microsoft NT LAN Manager (NTLM) менее чем за 8 часов (при условии, что пространство символов включает в себя все прописные, строчные, цифры и символы) .
- Напротив, время, необходимое LMG для вычисления всего 10-символьного пространства, составляет чуть более 8 лет, 12 символов — это 77000 лет , 14 символов — это 710,5 миллиона лет, а 16 символов — 6,5 триллиона лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
- Для хэшей запроса / ответа NetNTLMv1, которые труднее взломать, чем хэши NTLM, и которые нельзя передать с помощью «передачи хеша», LMG может взломать любой 8-значный хеш-пароль примерно за 15 часов или меньше.
- Напротив, t время, необходимое LMG для вычисления всего 10-символьного пространства, чуть больше 16.53 года, 12 знаков — это 152 383 года, 14 знаков — 1,4 миллиарда лет, а 16 знаков — 12,9 триллиона лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
- Для хэшей запроса / ответа NetNTLMv2, которые труднее взломать, чем хэши NetNTLMv1, и которые также не могут быть переданы с использованием «передачи хэша», LMG может взломать любой 8-значный хэш пароля примерно за 7 дней.
- Напротив, время, необходимое L MG для вычисления полного 10-символьного пространства, составляет чуть более 188 лет, 12 символов — 1 миллион 735 тысяч лет, 14 символов — 5 миллиардов 835 миллионов лет и 16 символов — более 147. триллион лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
- Люди предрасположены использовать пароли, которые легче запомнить, а значит, их легче угадать или взломать — часто увеличивая число в существующем пароле или изменяя специальный символ, добавленный к ранее используемому паролю.Злоумышленники знают об этом и соответствующим образом отформатируют атаки, чтобы воспользоваться этим поведением.
Как найти правильный баланс между безопасностью и удобством использования?
Речь идет не только о том, «какой длины должен быть пароль?» В организациях должны быть инструкции по безопасной длине пароля. Вот несколько советов по разработке политики паролей:
- По возможности установите требования к минимальной длине пароля (например, 16 символов для обычных пользователей).
- Как часть этого изменения, начните с внедрения утвержденного менеджера паролей и обучите всех пользователей его использованию, чтобы обеспечить принятие в сообществе пользователей. Включите требование об использовании диспетчера паролей в официальную политику паролей организации и оговорите, что ни при каких обстоятельствах пароли не должны храниться небезопасно (например, в незашифрованном виде).
- Требовать, чтобы все привилегированные учетные записи (администраторы и учетные записи служб) использовали пароли из 25 или более символов. Рассмотрите возможность внедрения решения для управления привилегированными учетными записями (PAM), чтобы еще больше снизить риск компрометации привилегированных учетных записей.
- Требовать от всех обычных пользователей использовать пароль длиной не менее 16 символов. Это изменение безопасной длины пароля может потребоваться со временем, переходя от 8 до 10 символов, затем до 12 символов и т. Д. — с заявленной целью минимальной длины пароля в 16 символов к определенному моменту в время.
- Следует поощрять пользователей использовать парольные фразы вместо использования одного слова с числами и символами, чтобы соответствовать политике паролей.
- Политики блокировки учетной записи должны обеспечивать достаточно длительную продолжительность блокировки и приемлемо строгий порог блокировки.
- Политика паролей должна выполняться с использованием технических средств контроля, а пароли пользователей должны периодически проверяться, чтобы гарантировать, что пользователи не используют пароли по умолчанию или ненадежные пароли.
- Пароли не нужно менять с интервалами в 90 или 180 дней, так как это способствует плохой практике использования паролей. Вместо этого LMG рекомендует обучать пользователей разнице между надежными и ненадежными паролями и менять пароли ежегодно или каждый раз, когда есть подозрение на компрометацию пароля.
- Крайне важно четко и регулярно сообщать о своих политиках и ожиданиях пользователей в области безопасности всем в вашей организации.Прочтите наши советы по созданию политик допустимого использования.
Если ваша организация не может или не будет требовать минимальную длину пароля из 16 символов, следует повсеместно внедрить решение MFA без использования SMS, чтобы снизить риск взлома учетной записи из-за слабых паролей. Вы также можете реализовать регулирование проверки подлинности, при котором запросы проверки подлинности, которые достигают определенной настраиваемой емкости в пределах временного окна, должны либо блокироваться, либо регулироваться, что снижает риск атак грубой силы на открытые интерфейсы.
В заключение, если MFA не применяется повсеместно в вашей ИТ-среде, целесообразно использовать пароли длиной не менее 16 символов. Принимая во внимание стоимость таких изменений, помните, что в отношении информационной безопасности дешевле заплатить сейчас, чем платить позже, и инвестиции, сделанные сейчас для реализации политики безопасных паролей и обеспечения безопасности ваших учетных записей пользователей, снизят риск. компрометации аккаунта и риска утечки данных.
Об авторе
Бен Каст
Бен Каст — старший консультант по безопасности в LMG Security.Он проводил тестирование на проникновение для компаний, размер которых варьируется от публичных компаний с оборотом в несколько миллиардов долларов до малых и средних организаций. Он имеет более чем 20-летний опыт работы в сфере ИТ, который включает разработку программных продуктов, управление проектами, внедрение и консультирование. Он имеет степень Университета Монтаны и сертифицированный GIAC тестер проникновения (GPEN).
Краткое руководство по безопасным паролям | ConnectSafely
Надежный пароль — ваша первая линия защиты от злоумышленников и самозванцев.Прокрутите вниз, чтобы просмотреть видео, основанное на этих советах.
Скачать PDF.
Можно ли делиться паролями?
Как правило, мы рекомендуем никогда никому не сообщать свой пароль. Тем не менее, могут быть моменты, когда обмен паролями может быть нормальным, например, помощь стареющим родителям. Еще одно возможное исключение — это маленькие дети, которые делятся паролями с родителями.
Что делает надежный пароль?
Сделайте пароль длиной не менее 12 символов.Эксперты по безопасности рекомендуют «парольную фразу», а не просто пароль. Такая фраза должна быть относительно длинной — около 20 символов и состоять из, казалось бы, случайных слов, связанных вместе с числами, символами и буквами верхнего и нижнего регистра. Подумайте о том, что вы можете вспомнить, но другие не могли догадаться, например о YellowChocolate # 56CadillacFi $ h.
Есть еще совет?
Включите цифры, заглавные буквы и символы. Рассмотрите возможность использования $ вместо S или 1 вместо L, или включения & или%, но обратите внимание, что $ 1ngle НЕ является хорошим паролем.Воры паролей на это. Но Mbf $ TJ1ravng (сокращение от «Мой лучший друг Сэм Ти Джонс — действительно очень хороший парень») — отличный пароль. И это может показаться очевидным, но исследования показали, что многие люди публикуют свой пароль на мониторе с помощью стикеров. Плохая идея. Если вам необходимо записать это, спрячьте записку где-нибудь, где ее никто не сможет найти.
Можно ли использовать один и тот же пароль на нескольких сайтах и в разных приложениях?
Нет. Если какой-либо из ваших сайтов будет взломан или если человек, работающий с этим сайтом, украдет ваш пароль, преступники могут попытаться использовать его на других сайтах и в приложениях.Измените их хотя бы немного, добавив уникальные буквы, цифры или символы для каждой учетной записи.
Что такое многофакторная аутентификация?
Иногда называемая двухфакторной аутентификацией, многофакторная аутентификация предоставляет другой — часто необязательный — «шаг» при разблокировке учетной записи, устройства или документа.
Многие службы, от банковских до приложений для социальных сетей, предлагают многофакторную аутентификацию в качестве опции, обеспечивающей дополнительную защиту ваших учетных записей, помимо надежного пароля.Типичный метод — отправить текстовое или другое сообщение на зарегистрированное на вас мобильное устройство с кодом, который необходимо ввести, чтобы подтвердить, что это действительно вы. Есть также приложения, которые можно использовать для генерации кодов. В большинстве случаев вам не потребуется использовать этот код при входе в систему с известного (ранее аутентифицированного) устройства, такого как компьютер, планшет или телефон.
Мы рекомендуем по возможности использовать как надежный пароль, так и многофакторную аутентификацию.
Больше способов оставаться в безопасности
Рассмотрите возможность использования диспетчера паролей. Программы или веб-службы, такие как RoboForm или LastPass, которые работают на персональных компьютерах и мобильных устройствах, позволяют создавать разные, очень надежные пароли для каждого из ваших сайтов. Многие браузеры, включая Chrome, Safari и Edge, имеют бесплатные встроенные менеджеры паролей. Но вам нужно запомнить только один пароль для доступа к программе или защищенному сайту, на котором хранятся ваши пароли. Убедитесь, что у вас есть очень надежный пароль для диспетчера паролей, потому что в случае взлома его можно использовать для доступа ко всем вашим учетным записям.
Не поддавайтесь «фишинговым» атакам. Будьте очень осторожны, прежде чем нажимать на ссылку (даже если она выглядит с законного сайта) с просьбой войти в систему, изменить пароль или предоставить любую другую личную информацию. Это может быть законная или «фишинговая» афера, когда введенная вами информация переходит к хакеру. В случае сомнений войдите в систему вручную, набрав в окне браузера известный вам URL-адрес сайта.
Убедитесь, что ваши устройства в безопасности. Вредоносное программное обеспечение, включая «регистраторы клавиатуры», которые записывают все нажатия клавиш, использовалось для кражи паролей и другой информации. Чтобы повысить безопасность, убедитесь, что вы используете новейшее программное обеспечение для защиты от вредоносных программ и что ваша операционная система, приложения и браузер обновлены.
Используйте на телефоне распознавание отпечатков пальцев или лиц. Большинство телефонов можно заблокировать, поэтому единственный способ их использовать — это ввести код, обычно строку цифр или, возможно, рисунок, который вы рисуете на экране.Некоторые телефоны позволяют регистрировать отпечатки пальцев, что довольно безопасно. Некоторые приложения, особенно финансовые, позволяют открывать их с помощью сканирования отпечатка пальца или лица. (Ваш отпечаток пальца или скан лица остается на вашем телефоне и не предоставляется компаниям.)
Если вы хотите распечатать эти советы, вот их PDF-файл. Пожалуйста, свяжитесь с [email protected] для получения разрешения на перепечатку или отправьте сообщение
Какой длины должен быть пароль?
Долгое время считалось, что лучшие и наиболее практичные пароли состоят из случайной комбинации прописных и строчных букв, цифр и одного или двух специальных символов.В таком случае длина пароля должна составлять всего восемь символов.
Случайность по-прежнему важна, но, как оказалось, размер важнее. Гораздо более.
Чем дольше, тем лучше. Традиционные восьмизначные пароли теперь легко взломать. Пароль должен состоять как минимум из 12 символов, в идеале — 16 или более. Использование парольной фразы из нескольких слов позволяет легко запоминать даже более длинные пароли.
Масштабные взломы аккаунтов
Когда вы слышите о том, что в результате взлома у какого-то поставщика услуг было украдено большое количество учетных записей, вы, естественно, беспокоитесь, что теперь хакер может иметь доступ к именам и паролям ваших учетных записей.Если служба сохранила ваши фактических паролей, это действительно могло быть так. (Как я уже говорил ранее, если служба хранит ваши фактических паролей, они не понимают безопасности или приняли ужасно неверные решения.)
Фактически, большинство служб хранят зашифрованную (технически «хешированную») форму вашего пароля. Например, если моим паролем был «пароль» (а это, конечно, очень ненадежный пароль), тогда служба могла бы хранить «5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8», хеш-значение, соответствующее этому паролю.
Это означает, что хакеры , а не получают список имен пользователей и паролей. Они получают список имен пользователей и паролей хэшей .
И что замечательно в хэшах, так это то, что вы можете вычислить хэш из пароля, но вы не можете сделать обратное: вы не можете вычислить пароль из хеша .
В результате можно было бы подумать, что хеширование невозможно будет взломать, не так ли?
К сожалению, не очень.
Атаки по словарю
Самый распространенный тип атаки на пароли — это просто высокоскоростная игра в угадывание.Это не работает при просмотре фактической страницы входа в систему; они медленные и быстро откажут в доступе после слишком большого количества сбоев. Но этот метод прекрасно работает, если у хакера есть вся база данных хэшей учетных записей и паролей на своем компьютере.
Эти атаки начинаются с исчерпывающего списка возможных слов и известных общих паролей (включая имена, ненормативную лексику, аббревиатуры и т. Д.) И, возможно, нескольких правил, позволяющих попробовать интересные и распространенные способы запутывания слов людьми.Они вычисляют хэш каждого предположения, и, если он совпадает с тем, что было найдено в базе данных украденной информации об учетной записи, они вычислили пароль для этой учетной записи.
Как мы вскоре увидим, хакерам легко сделать огромное количество предположений за короткий промежуток времени.
Вот почему вы не используете короткий пароль и не используете распространенные обфускации, верно?
Вот почему лучше всего подходит пароль, созданный из абсолютно случайной комбинации символов. Это заставляет хакеров перейти к настоящей атаке методом перебора всех возможных комбинаций, чтобы получить доступ.
Атаки грубой силой
Компьютеры быстрые. Фактически, компьютер на вашем столе настолько быстр, что его способность выполнять простые операции измеряется миллиардами операций в секунду.
Создание хэша пароля — непростая операция. Тем не менее, это все еще то, что сегодня можно сделать очень быстро на большинстве машин. Распределите работу по нескольким машинам — возможно, через ботнет — и количество вычислительной мощности, которая может быть задействована при взломе паролей, просто поражает.
В результате теперь можно вычислить зашифрованные значения хеш-функции для всех возможных восьмизначных паролей , состоящих из букв и цифр в верхнем и нижнем регистре.
Шестьдесят два возможных символа (26 строчных, 26 прописных, 10 цифр) в каждой из восьми позиций дают нам 221 919 451 578 090 или более 221 триллиона комбинаций.
Это кажется большим, пока вы не поймете, что автономная атака (которую легко выполнить, если вы украли базу данных с именами пользователей и зашифрованными паролями) может быть завершена за несколько часов.(Это предполагает технологию, которая может «угадывать» примерно 10 миллиардов паролей в секунду — что вполне возможно.)Неважно, какой у вас пароль; если он состоит из восьми символов и состоит из прописных и строчных букв и цифр, теперь он есть у хакеров — даже если он был хорошо хэширован службой, из которой они его украли.
Почему 12 лучше, а 16 еще лучше
Как мы видели, восьмизначные пароли дают вам более 221 триллиона комбинаций, которые можно угадать в автономной атаке методом грубой силы за часы.
Двенадцать символов дают вам более трех секстиллионов (3 279 156 381 453 603 096 810). Время автономного перебора в этом случае будет измеряться в веках .
Sixteen снимает расчет с графика. Сегодня.
Вот почему 16 лучше, чем 12, и оба лучше, чем восемь.
А как насчет специальных символов?
Я пропустил специальные символы.
Допустим, система, которую вы используете, позволяет использовать любой из 10 различных «специальных символов» в дополнение к A – Z, a – z и 0–9.Теперь вместо 62 символов у нас есть 72 варианта на позицию.
Это дает нам 700 триллионов возможностей для восьмизначного пароля.
По сравнению с исходными 62 буквами и цифрами, добавление только одного «обычного» символа делает девятисимвольный пароль значительно более безопасным.
Это приводит нас к более чем 13 квадриллионам возможностей.
Да, добавление и использование специальных символов делает ваш пароль лучше, но значительно лучше , но — это добавление еще одного символа.
Итак, два. Или шесть.
Длинные пароли хороши, парольные фразы лучше
Разница действительно смысловая, но в целом:
- Пароль — это случайная строка символов.
- Парольная фраза — это более длинная строка слов.
Зачем пропускать фразу ? Потому что их легче запомнить, поэтому их легче создавать длинные — и, как мы видели, длина пароля, возможно, является самым простым способом повысить безопасность пароля.
«BT6aKgcAN44VK4yw» — очень красивый и надежный 16-значный пароль, который сложно запомнить. Фактически, единственный способ использовать это — с программным обеспечением менеджера паролей, которое запоминает его для вас.
С другой стороны, «Его флис был белым, как ты ничего не знаешь, Джон Сноу», состоящий из 50 знаков, удивительно длинный, надежный и, самое главное, запоминающийся . Как и в случае с теперь уже каноническим примером «Правильная скоба для лошадиных батарей», вам может быть трудно забыть его.Самая большая проблема с паролями? Многие службы, использующие пароли, не допускают пробелов или таких длинных паролей.
Разве сервисы не должны исправлять это и делать лучше?
Безусловно, должны. И многие так и делают.
Как я уже говорил выше, пароли вообще не должны храниться в обычном тексте где-либо в службе, хотя некоторые из них это делают.
Существуют методы, которые значительно усложняют атаки методом перебора — и тем не менее, многие используют методы, которые проще , чем приведенный выше пример.
Существуют службы, которые отлично справляются с защитой вашей информации. Есть также сервисы, которых нет. Проблема в том, что вы действительно не можете быть уверены в том, что есть что.
Чтобы быть в безопасности, вы должны вести себя так, как будто они все в опасности.
Чистая прибыль
Суть в том, чтобы оставаться в безопасности:
- Не верьте, что служба , которую вы используете, правильно обрабатывает пароли. Хотя многие так и поступают, становится до боли ясно, что многие этого не делают, и вы не будете знать, с каким типом имеете дело, пока не станет слишком поздно.
- Используйте более длинные пароли: минимум 12 символов, 16, если возможно.
- Используйте еще более длинные парольные фразы там, где они поддерживаются или когда информация является особенно конфиденциальной.
- Используйте разные пароли для каждого входа на сайт. Таким образом, взломанный пароль для одной службы не даст хакерам доступа ко всем остальным.
Даже самые лучшие восьмизначные пароли больше не должны считаться безопасными.Двенадцать — это «достаточно на данный момент», но вам действительно стоит подумать о переходе на 16 в долгосрочной перспективе.
Медленный компьютер?
Ускорьтесь с моим специальным отчетом: 10 причин, по которым ваш компьютер работает медленно , теперь обновлено для Windows 10.
СЕЙЧАС: назовите свою цену! Вы сами решаете, сколько платить — и да, это означает, что вы можете получить этот отчет совершенно бесплатно , если захотите. Получите свою копию прямо сейчас!
.