Какой пароль должен быть: Sorry, this page can’t be found.

В нем говорится, что хороший пароль должен состоять из восьми или более символов, не быть вашим именем пользователя, настоящим именем или названием компании, и, по сути, вообще не содержать полного слова. Он также должен отличаться от паролей, используемых где-либо еще, и содержать по крайней мере по одному из следующих символов: заглавная буква, строчная буква, число и символ (например, £ или $).

Приложения для защиты ваших паролей

Теперь, когда мы это прояснили, позвольте нам познакомить вас с некоторыми из лучших, которые мы нашли, чтобы помочь держать хакеров в страхе.

1Password

Это менеджер паролей. Он запоминает все ваши пароли, позволяет генерировать пароли и легко выполняет вход на сайты и в приложения.

Попробуйте прямо сейчас: 1Password

LastPass

LastPass доступен в подавляющем большинстве интернет-браузеров и мобильных устройств и может использоваться как на Windows, так и на Mac.Он устанавливается как расширение в вашем браузере и отображается в виде кнопки на панели инструментов браузера, чтобы вы могли быстро и легко управлять своей учетной записью LastPass.

Хотя он запомнит все ваши пароли для всех ваших учетных записей, он требует, чтобы вы запомнили только один мастер-пароль для входа в систему, что не должно быть слишком сложно. Вам нужно сделать этот пароль как можно более надежным, чтобы никто не взломал и не украл все остальные ваши пароли.

Вы сохраняете пароли в «хранилище» и можете либо добавить их вручную, либо получить LastPass, чтобы сохранить их автоматически при следующем входе на определенный сайт или службу.

Если вы хотите изменить один из ваших текущих паролей на другой, вы можете, и LastPass может сгенерировать случайную последовательность букв и цифр, чтобы сделать вашу учетную запись более безопасной. И, конечно же, вам не нужно беспокоиться о запоминании сложной последовательности, поскольку LastPass сделает это за вас.

Вы также можете загрузить мобильное приложение на свое устройство, и все ваши сохраненные пароли будут синхронизироваться, пока вы помните этот важнейший мастер-пароль. Хотя он запоминает пароли для любых веб-сайтов, которые вы посещаете на своем мобильном устройстве, вам нужно будет внести небольшую ежемесячную плату за то, чтобы он запомнил пароли для ваших приложений.

Вам не нужно просто сохранять пароли учетных записей в LastPass, поскольку он также может быть местом для хранения заметок, паролей Wi-Fi или сведений о ваших водительских правах, и вы можете сохранить данные своей дебетовой и кредитной карты, чтобы вы могли заполняйте их автоматически, когда вы идете покупать что-то в Интернете.

Бесплатная версия LastPass ограничена одним активным устройством (например, ноутбуком или телефон), а не обоими, но вы можете внести небольшую ежегодную плату за премиум-доступ.

KeePass

KeePass — это бесплатный менеджер паролей с открытым исходным кодом для Windows.Вы можете установить его на компьютеры Linux и Mac, но вам нужно будет запустить его через Mono, который позволяет устанавливать приложения Microsoft на разных платформах.

Доступны неофициальные порты для устройств iOS и Android.Это означает, что вы можете создать базу данных на своем компьютере и скопировать ее на свой телефон для использования в дороге.

KeePass работает так же, как LastPass, сохраняя имена пользователей и пароли для разных учетных записей в базе данных в виде зашифрованных файлов. Вы также можете хранить заметки и другие файловые вложения.

База данных паролей защищена мастер-паролем, ключевыми файлами и / или данными текущей учетной записи Windows, и все хранится локально на вашем компьютере, а не в облаке.

KeePass имеет генератор паролей, позволяющий создавать сверхзащищенные пароли для различных учетных записей, и поддерживает огромное количество подключаемых модулей, все из которых можно увидеть на веб-сайте KeePass.

Из-за несколько более сложного способа установки KeePass на Mac и системы на базе Linux, мы бы сказали, что это действительно достойный соперник для пользователей Windows.

Dashlane

Dashlane работает очень похоже на LastPass. Он работает в различных браузерах и мобильных устройствах и может генерировать пароли длиной до 28 символов, что делает их практически невозможными для обхода.Dashlane будет отслеживать пароли, которые вы сохранили для всех своих учетных записей, и мгновенно сообщит вам, если какая-либо из ваших учетных записей будет взломана.

При первой установке Dashlane он просканирует историю всех установленных вами интернет-браузеров и проверит наличие сохраненных паролей. Все, что он найдет, он может затем импортировать. Это действительно удобный способ мгновенно сохранить все ваши пароли, вместо того, чтобы запоминать, где у вас есть учетные записи, или сохранять их вручную каждый раз, когда вы входите на новый веб-сайт.

Когда вы входите в Dashlane, вам нужно будет ввести свой адрес электронной почты, а затем код безопасности, который будет отправлен на этот адрес электронной почты. После того, как вы его введете, вам будет предложено ввести мастер-пароль.

Если какой-либо из ваших сохраненных паролей устарел и нуждается в обновлении, Dashlane может сделать это одним нажатием кнопки. Просто выберите пароли, которые вы хотите изменить, нажмите «изменить», и они будут обновлены и сохранены с новыми. Он также может сказать вам, насколько безопасны ваши текущие пароли, в этом случае с этим писателем пароли определенно могут быть обновлены.

Однако, в отличие от LastPass, Dashlane не может хранить пароли для приложений на ваших мобильных устройствах.

Существует премиум-уровень Dashlane, который дает вам неограниченную синхронизацию паролей на всех ваших устройствах, дает вам безопасную и зашифрованную резервную копию вашей учетной записи в облаке и позволяет вам войти в свою учетную запись Dashlane из любого веб-браузера.

Sticky Password

Sticky Password — это еще один инструмент браузера, который хранит ваш пароль за ключом главного пароля, но также может полагаться на аутентификацию по отпечатку пальца для входа в вашу учетную запись.Он поддерживается на нескольких платформах, включая iOS, Windows, Mac и Android, и имеет обширную поддержку браузера.

Уровень бесплатного пользования не позволяет синхронизировать данные между устройствами, это преимущество зарезервировано для уровня «Премиум». С его помощью вы можете синхронизировать данные своего пароля со своими устройствами через локальный Wi-Fi или через облако, вы также можете сохранить зашифрованную резервную копию своих паролей в облаке, если хотите.

Если вы платите за премиум-уровень, часть денег идет на поддержку находящихся под угрозой исчезновения ламантинов, так что вы принесете пользу, а также сохраните свои учетные записи в безопасности.

Мы предпочитаем интерфейс LastPass и Dashlane, но Sticky Password по-прежнему прост в использовании и является отличным вариантом для хранения всех ваших паролей в одном месте.

Отличные общие советы по обеспечению безопасности ваших паролей

В наши дни у нас так много учетных записей на различных сайтах, и будь то социальные сети, покупки или электронная почта, кажется, что нужно помнить все больше и больше паролей.

Эти пароли настолько важны, поскольку они защищают значительный объем информации о вас, которую вы не хотели бы попадать в чужие руки, поэтому вот несколько советов, как сделать ваши пароли более безопасными.

Хотя сложно запомнить один пароль, не говоря уже о 10, в любом случае стоит попробовать, так как лучше убедиться, что все ваши пароли не совпадают.

Создайте систему, которую вы легко запомните и которая использует базовый пароль, но добавляет элемент для рассматриваемого сайта, например PasswordTwitter.

Не записывайте свои пароли

Заманчиво записывать свои пароли, особенно когда у вас разные пароли для разных учетных записей, запоминание их всех может быть минным полем, но не делайте этого.

Скорее всего, у вас есть несколько кусочков бумаги с различными паролями на них, и если вы это сделаете, вам следует избавиться от них. Точно так же, если они у вас есть по электронной почте или автоматически сохраняются, убедитесь, что у вас есть заблокированная заставка на вашем компьютере, чтобы, если ваш компьютер был украден, вы не предложили все свои пароли ворам.

Сделайте так, чтобы его было сложно угадать

В идеале ваши пароли должны состоять более чем из 8 символов и состоять из комбинации букв и цифр.Есть сайты, которые заставляют это делать, в то время как другие нет, но в любом случае это стоит использовать как практическое правило.

Вы можете попробовать составить слово и заменить гласные числами, взять фразу и использовать первую букву каждого слова для создания пароля или удалить несколько букв из слова, например Facebook.

Другие советы по усложнению подбора паролей включают добавление случайных знаков препинания, неправильное написание слова, использование двух или более слов с добавлением символа подчеркивания или дефиса между ними или использование очень длинного слова.

Не выдавайте

Не выдавать это может показаться очевидным, но это не мешает людям игнорировать это золотое правило. Возможно, вы просто даете его своему партнеру или другу, прося их проверить вашу электронную почту, или вы можете передавать его коллеге по той или иной причине.

Какой бы ни была причина, это недостаточно хорошо. Пароли следует держать при себе, несмотря ни на что.

Регулярно меняйте свой пароль

Хотя вам ни в коем случае нельзя менять пароль на основании запроса, отправленного по электронной почте или с веб-сайта, стоит регулярно менять пароли.

Один совет для этого, но убедитесь, что вы помните, на что вы его изменили, — это добавить элемент к вашему текущему паролю, который повторяется каждые 12 месяцев или имеет тему.

Например, вы можете сделать что-то вроде Password1 для января и Password12 для декабря, и если вы измените их не по порядку, это повысит надежность вашего пароля.

Следите за своими данными

Помимо того, что у вас есть надежный пароль и что вы случайно не оставите себя незащищенным, стоит также следить за своими данными.

Вы можете использовать эту систему для отслеживания ваших адресов электронной почты. «Был ли я взломан?» — это бесплатная служба уведомлений, которая предупредит вас, если данные, связанные с вашим адресом (а) электронной почты, будут взломаны и просочились в сеть. Это может быть полезно для обеспечения безопасности ваших учетных записей и обновления паролей при необходимости.

Использовать двухфакторную аутентификацию

Многие службы, приложения и устройства умного дома предлагают двухфакторную аутентификацию (также известную как двухэтапная), которая требует ввода дополнительного кода при входе в систему.Это не то же самое, что пароль, это случайно сгенерированный одноразовый код, который либо отправляется на ваш мобильный телефон с помощью текстового сообщения, либо через приложение, такое как Google Authenticator.

Такая система предлагает дополнительный уровень безопасности помимо надежного пароля, который может иметь решающее значение.

Последние отчеты показывают опасность неиспользования двухфакторной аутентификации, когда такие вещи, как умные домашние камеры безопасности, были взломаны, что дало ужасающий вид на дома людей и вторжение в частную жизнь гнусных сторон.

Вы можете использовать двухфакторную аутентификацию для любых вещей, включая саму электронную почту, если вы, например, пользуетесь Gmail. Мы не можем рекомендовать эту защиту в достаточной степени.

Написано Адрианом Уиллингсом и Максом Лэнгриджем.

7 экспертов по паролям о том, как заблокировать вашу онлайн-безопасность

Что касается выдуманных праздников, то «Всемирный день паролей» не имеет такого же значения, как, скажем, День отца или даже Национальный день масленичных (март). 8-й).Тем не менее, это такой же хороший повод исправить ваши плохие пароли. Или еще лучше, чтобы наконец понять, что пароль, который вы считали правильным, все еще требует некоторой доработки.

Теперь вы знаете основы защиты паролей. Не записывайте их, возьмите менеджер паролей, по возможности используйте двухфакторную аутентификацию и не используйте ничего, о чем легко догадаться. (Глядя на вас, толпа «111111»).

Все эти советы по-прежнему в силе, и вы должны их придерживаться. Хорошо сделано! Но теперь пришло время для продвинутого курса для начинающих.WIRED обратился к специалистам по безопасности паролей за их любимым неожиданным советом, передовыми методами, которые могут избавить вас от самой головной боли в долгосрочной перспективе. Вот семь советов и приемов, которые помогут защитить ваши цифровые замки.

1. Думайте о длине, а не о сложности

«Более длинный пароль обычно лучше, чем более случайный пароль, — говорит Марк Бернетт, автор Perfect Passwords , — если пароль составляет не менее 12-15 символов. . »

На самом деле длинный пароль, состоящий только из строчных букв, может быть более выгодным, чем создание правильной комбинации буквенно-цифровой тарабарщины.«Обычно все, что требуется, — это пароль всего на два символа длиннее, чтобы восполнить недостаток других типов символов, таких как заглавные буквы, числа или символы», — говорит Бернетт.

Другими словами, время, потраченное на то, чтобы ваш пароль выглядел как проклятие Папайя, лучше потратить на набор еще двух (легче запоминающихся) простых букв.

2. Keep It Weird

Это не значит, что вам следует довольствоваться «111111111111111.» Чем длиннее, тем лучше, но такая длина дает меньшую отдачу, если вы все еще не смешиваете ее.

«Мы видели, как многие люди стараются быть более безопасными, добавляя символы в пароли, но если эти более длинные пароли основаны на простых шаблонах, они подвергают вас так же высокому риску того, что ваша личность будет украдена хакерами», — говорит Морган Слейн, генеральный директор SplashData, компании по управлению паролями, которая ежегодно публикует список худших паролей того года.

Slain также предлагает избегать общепринятых терминов о спорте и поп-культуре — «Звездных войн» фраз были особенно популярны в прошлом году — независимо от длины.Чем чаще используется пароль, тем менее безопасным он будет, поэтому используйте то, что никто другой не сделал бы (в идеале, случайную строку).

3. Не объединяйте специальные символы

Многие поля ввода пароля теперь требуют, чтобы вы использовали комбинацию букв верхнего и нижнего регистра, цифр и символов. Это хорошо! Просто держите их отдельно.

«Размещайте цифры, символы и заглавные буквы в середине пароля, а не в начале или конце», — говорит Лорри Фейт Кранор, главный технолог FTC и профессор компьютерных наук Карнеги-Меллона.«Большинство людей помещают заглавные буквы в начало, а цифры и символы в конце. Если вы сделаете это, вы получите очень мало пользы от добавления этих специальных символов ».

Это та часть, которая «большинство людей» доставляет вам неприятности. «Речь идет о предсказуемости, основанной на том, сколько людей это делают», — говорит Крэнор. Избегание предварительной или обратной загрузки паролей специальными символами также дает вам гораздо больше возможностей для работы, что создает более узкое место для любого, кто пытается взломать.

4.Never Double Dip

Вы выполнили все рекомендации по паролю, вплоть до последнего & $ @. Чтобы кто-то взломал, потребуются годы. На самом деле ваш пароль настолько хорош, и вам потребовалось так много времени, чтобы его запомнить, что вы решили использовать его на нескольких учетных записях.

Как создать надежный пароль, который вы не забудете

Лучший пароль — это тот, который сложно взломать и который легко запомнить. Тем не менее, некоторые из наиболее часто используемых паролей легко угадать, например, «пароль» или «123456».Такие пароли могут сделать вас жертвой взлома паролей и других видов взлома. Не используйте их! Вместо этого создайте надежный пароль.

Даже если у вас сложный пароль, использование одного и того же пароля для всех ваших учетных записей в Интернете опасно.Представьте, что хакер взломал этот единственный пароль. В целях безопасности вы должны создать уникальный и трудный для взлома пароль для всех ваших учетных записей.

Так вы знаете, как создать хороший пароль? И как можно запомнить более одного из них? Вот несколько советов и приемов, которые помогут сохранить индивидуальные надежные пароли для всех ваших учетных записей в Интернете.

Как создать надежный пароль

Поскольку вам всегда нужно помнить хотя бы один пароль, мы сначала рассмотрим, как вручную создать безопасный пароль.Далее мы также покажем вам, как использовать инструмент, который может создавать пароли, которые практически невозможно взломать, и запоминать их за вас.

Характеристики безопасного пароля

Каждый пароль должен соответствовать следующим критериям:

• Вы не можете найти пароль в словаре
• Он содержит специальные символы и цифры.
• Он содержит сочетание прописных и строчных букв.
• Он содержит не менее 10 символов
• Его нелегко угадать на основе информации пользователя, такой как дата рождения, почтовый индекс или номер телефона.

Обратите внимание, что некоторые учетные записи не позволяют использовать специальные символы.В этом случае вам следует увеличить длину и сделать пароль как можно более абстрактным. Аналогичным образом, если длина пароля ограничена 6 или 8 символами, убедитесь, что вы охватили как можно больше других моментов.

Как запомнить пароль

Даже если вы используете менеджер паролей, вам нужно хотя бы запомнить мастер-пароль для этого инструмента.Как это сделать, соблюдая при этом все вышеперечисленные критерии? Вы начинаете с того, что легко запомните, — с базового пароля. Затем вы применяете логические правила, чтобы изменить свой базовый пароль на что-то почти неузнаваемое.

Создайте простой для запоминания базовый пароль

Ваш базовый пароль может быть основан на фразе, названии места или имени и номере телефона.Теперь вы можете использовать несколько приемов для создания надежного базового пароля, который вы не забудете. Вот некоторые предложения:

• Произвольно заменяйте буквы цифрами (например,грамм. MakeUseOf становится Mak3Us30f )
• Выберите предложение и сократите его до первых букв каждого слова (например, Золотое правило «Делайте с другими то, что вы хотите, чтобы они с вами делали», становится Dtowywttdty )
• Возьмите слово и переверните его по буквам (например, technology становится ygolonhcet )

Приведенные выше примеры не особо безопасны.Хотя вы не найдете ни одного из полученных базовых паролей в словаре, они по-прежнему не соответствуют другим характеристикам безопасного пароля.

Поэтому убедитесь, что ваше начальное слово или фраза достаточно длинные (минимум 10 символов) и сочетает в себе все вышеперечисленные принципы, чтобы ввести числа, специальные символы и орфографию в верхнем и нижнем регистре.)

Обратите внимание, что мой базовый пароль соответствует всем вышеперечисленным критериям.Его нельзя найти в словаре, он содержит специальные символы, сочетание прописных и строчных букв, его длина 17 символов, и вы не можете угадать его на основе моей личной информации.

Используйте гибкие правила для пароля

Компьютер может вычислять и распознавать закономерности намного быстрее, чем человеческий мозг.Но в одном люди все еще лучше умеют быть творческими. Это ваше огромное преимущество перед инструментами взлома!

Как видите, в своем пароле я заменил некоторые буквы на цифры или специальные символы.Однако я не использовал жестких правил. Я заменил t на 2 или 7 . Использование правил замены символов, т.е. всегда замена на на @ , ослабит ваш пароль.

Вот несколько идей, как сделать так, чтобы хакеру было еще труднее взломать ваш пароль:

• Не используйте распространенные замены (например,грамм. @ для A или a)
• Если у вас есть повторяющиеся буквы в вашем пароле, смешайте свои замены (например, 8 или (для B или b)
• Скажите слово и нажмите, наберите его пальцами в месте etpmh («неправильный» сдвинут).
• Выберите узор на клавиатуре и введите его попеременно с помощью клавиши Shift (например,грамм. Xdr% 6tfCvgz /)

Создание индивидуальных паролей для каждой учетной записи

Если у вас есть надежный базовый пароль, вы можете использовать его для создания индивидуальных паролей для каждой из ваших учетных записей в Интернете.) eBa для eBay.

Обратите внимание: хотя этот тип пароля сложно взломать самостоятельно, его легко понять.Если ваш индивидуальный базовый пароль когда-либо просочится, вам придется изменить все основанные на нем пароли, прежде чем кто-то выяснит вашу систему.

Мы настоятельно рекомендуем вам использовать действительно уникальные и безопасные пароли для всех ваших учетных записей.Вот почему вам нужен менеджер паролей. Это также чрезвычайно важно для обеспечения безопасности ваших банковских счетов в Интернете.

Используйте менеджер паролей

Теперь, когда вы создали безопасный базовый пароль, используйте его в качестве главного пароля для вашего менеджера паролей.Вы также можете использовать его всякий раз, когда вам нужно создать пароль на месте, не имея доступа к вашему менеджеру паролей. Для всего остального используйте лучший менеджер паролей для создания и хранения сверхбезопасных и уникальных паролей. (Вот несколько типов менеджеров паролей, из которых вы можете выбрать.)

Менеджер паролей также может сказать вам, насколько сложны и, следовательно, безопасны ваши пароли.Вы даже можете использовать его, чтобы проверить сложность вашего базового пароля.

Я использую LastPass, кроссплатформенный менеджер паролей, которым можно пользоваться бесплатно.LastPass поставляется с функцией Generate Secure Password . Обратите внимание, как на скриншоте ниже под паролем есть полная зеленая полоса? Это означает, что это надежный пароль. Слишком короткий и / или слишком простой пароль приведет к гораздо более короткой полосе красного или оранжевого цвета.

Если вам не нравится LastPass, попробуйте Google Password Manager или необычный менеджер паролей RememBear.

Обратите внимание, что онлайн-менеджеры паролей уязвимы для взлома.После серии угроз безопасности в начале 2017 года мы даже рекомендовали вам временно прекратить использование LastPass. Следовательно, мы также собрали здесь несколько альтернативных менеджеров паролей.

Как только вы начнете использовать менеджер паролей, вы обнаружите, что он может гораздо больше, чем просто создавать и хранить пароли.И попробуйте эти способы организовать свой менеджер паролей.

Регулярно обновляйте пароли

Это самая сложная часть.Чтобы обеспечить безопасность с помощью надежного пароля, вам необходимо обновлять пароль каждые несколько недель или месяцев. Чем чаще, тем лучше. Сделать это можно несколькими способами. Вот несколько идей, которые упростят его.

Измените только базовый пароль

• Измените используемые вами замены специальных символов.
• Обратное использование прописных и строчных букв.
• Введите пароль при включенной блокировке Shift.

Изменить весь пароль

• Измените способ идентификации используемой учетной записи (например,грамм. используйте последние три, а не первые три буквы, поэтому GMa станет ail , а eBa станет Bay )
• Измените положение букв, идентифицирующих учетную запись (например, поместите их вперед или в середину вашего базового пароля)
• Добавьте дату последней смены пароля сзади и отметьте ее в своем календаре.

Другими словами, используйте свое человеческое преимущество: проявите творческий подход и мыслите нестандартно.И используйте менеджер паролей, чтобы уменьшить количество паролей, которые вам нужно менять вручную.

Надежные пароли везде

Мы показали вам, как создать безопасный и легко запоминающийся пароль.Мы также объяснили, почему менеджеры паролей помогают повысить безопасность ваших учетных записей. Теперь вам нужно применить эти знания на практике. Как вы генерируете надежные пароли? Вы использовали онлайн-генератор паролей? Были ли у вас когда-нибудь взломаны учетные записи из-за слабого пароля?

Кроме того, ознакомьтесь с нашими руководствами по сбросу учетных данных и защите себя, а также о том, как узнать, хранит ли веб-сайт пароли в виде открытого текста, и что вам следует делать.

С помощью Excel вы можете легко переносить данные из вертикального положения в горизонтальное.Вот 3 способа сделать это!

Читать далее

Получая степень доктора философии, Тина начала писать о потребительских технологиях в 2006 году и никогда не останавливалась.Теперь также редактор и специалист по оптимизации, вы можете найти ее в Твиттере или прогуляться по близлежащей тропе.

Подпишитесь на нашу рассылку новостей

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Еще один шаг…!

Подтвердите свой адрес электронной почты в только что отправленном вам электронном письме.

Какой длины должен быть ваш пароль? Данные, лежащие в основе политики безопасной длины пароля.

При учете рисков для сред важно понимать, что MFA эффективен только для защиты определенных типов интерактивных учетных записей, а не всех векторов атак аутентификации на уровне протокола. Он отлично подходит для защиты интерфейсов входа в систему, таких как Office 365 или аналогичный, но не для защиты аутентификации на уровне протокола (например,грамм. Перебор блока сообщений сервера (SBM), если MFA не применяется, или устаревшие протоколы, такие как IMAP / POP и т. Д.). Вот почему мы повсеместно рекомендуем, чтобы все привилегированные учетные записи использовали пароль длиной не менее 25 символов, а обычные пользователи использовали пароли длиной не менее 16 символов .

Почему организациям сложно ответить на вопрос: «Какой длины должен быть пароль?»

Организации часто и оправданно не хотят, чтобы безопасность затмевала удобство использования и, вместе с тем, эффективность бизнеса.Общие припевы, которые мы слышим:

• «Наше руководство никогда не пойдет на это».
• «У наших пользователей достаточно трудные времена с 8-символьными паролями, ИТ-отдел будет завален запросами поддержки, связанными с паролями, если мы перейдем к минимальной длине пароля в 16 символов»
• «Наш бизнес развивается рыночными темпами, мы не можем заставить пользователей возиться, пытаясь получить доступ к своим системам, потому что они не могут вспомнить длинный сложный пароль. Только подумайте о деньгах, которые мы можем потерять.”
• «Наши пользователи в конечном итоге будут писать свои длинные пароли на стикерах и в записных книжках, открывая пароли для взлома из-за небезопасного хранения». (Здесь есть простое решение: внедрить и обучить пользователей использованию менеджеров паролей, что значительно снизит сложность создания и использования надежных паролей).

Все они имеют одну общую черту: они делают упор на удобство использования, а не на безопасность, что понятно. Ведение бизнеса сопряжено с определенными рисками, и организации не могут позволить себе обезопасить себя до состояния паралича, который не позволяет им эффективно вести бизнес.

Поиск баланса между безопасностью паролей и удобством использования

По мере того, как организации внедряют инструкции по определению длины их паролей, важно понимать данные, чтобы определить требования к безопасной длине и сложности пароля. Для начала важно понимать, что утечки данных часто связаны с компрометацией учетных записей из-за слабых паролей. Утечки данных также часто обходятся очень дорого. По сути, балансировка сводится к старой поговорке InfoSec: «Платите сейчас или платите позже.”

Когда дело доходит до безопасности, всегда дешевле платить сейчас, чем платить позже

В LMG мы работаем с той точки зрения, что с безопасностью всегда дешевле платить сейчас, чем платить позже. Если вы считаете, какой длины должен быть ваш пароль, вот несколько веских причин для увеличения требований к минимальной длине пароля в политике паролей вашего домена и внедрения надежного MFA:

• Хотя текущее руководство NIST 800-63B гласит, что «запоминаемые секреты должны состоять не менее чем из 8 символов, если они выбраны подписчиком», тестеры проникновения LMG обычно находят это недостаточным — если только они не контролируются сильным MFA — с учетом скорости современные вычислительные устройства.
• В качестве основы: тестеры на проникновение LMG могут взломать любой 8-значный хэш пароля Microsoft NT LAN Manager (NTLM) менее чем за 8 часов (при условии, что пространство символов включает в себя все прописные, строчные, цифры и символы) .
  • Напротив, время, необходимое LMG для вычисления всего 10-символьного пространства, составляет чуть более 8 лет, 12 символов — это 77000 лет , 14 символов — это 710,5 миллиона лет, а 16 символов — 6,5 триллиона лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
• Для хэшей запроса / ответа NetNTLMv1, которые труднее взломать, чем хэши NTLM, и которые нельзя передать с помощью «передачи хеша», LMG может взломать любой 8-значный хеш-пароль примерно за 15 часов или меньше.
  • Напротив, t время, необходимое LMG для вычисления всего 10-символьного пространства, чуть больше 16.53 года, 12 знаков — это 152 383 года, 14 знаков — 1,4 миллиарда лет, а 16 знаков — 12,9 триллиона лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
• Для хэшей запроса / ответа NetNTLMv2, которые труднее взломать, чем хэши NetNTLMv1, и которые также не могут быть переданы с использованием «передачи хэша», LMG может взломать любой 8-значный хэш пароля примерно за 7 дней.
  • Напротив, время, необходимое L MG для вычисления полного 10-символьного пространства, составляет чуть более 188 лет, 12 символов — 1 миллион 735 тысяч лет, 14 символов — 5 миллиардов 835 миллионов лет и 16 символов — более 147. триллион лет. (Обратите внимание, что эти скорости основаны на существующей инфраструктуре системы взлома LMG, хорошо финансируемые злоумышленники могут достичь гораздо более высоких скоростей.)
• Люди предрасположены использовать пароли, которые легче запомнить, а значит, их легче угадать или взломать — часто увеличивая число в существующем пароле или изменяя специальный символ, добавленный к ранее используемому паролю.Злоумышленники знают об этом и соответствующим образом отформатируют атаки, чтобы воспользоваться этим поведением.

Как найти правильный баланс между безопасностью и удобством использования?

Речь идет не только о том, «какой длины должен быть пароль?» В организациях должны быть инструкции по безопасной длине пароля. Вот несколько советов по разработке политики паролей:

• По возможности установите требования к минимальной длине пароля (например, 16 символов для обычных пользователей).
• Как часть этого изменения, начните с внедрения утвержденного менеджера паролей и обучите всех пользователей его использованию, чтобы обеспечить принятие в сообществе пользователей. Включите требование об использовании диспетчера паролей в официальную политику паролей организации и оговорите, что ни при каких обстоятельствах пароли не должны храниться небезопасно (например, в незашифрованном виде).
• Требовать, чтобы все привилегированные учетные записи (администраторы и учетные записи служб) использовали пароли из 25 или более символов. Рассмотрите возможность внедрения решения для управления привилегированными учетными записями (PAM), чтобы еще больше снизить риск компрометации привилегированных учетных записей.
• Требовать от всех обычных пользователей использовать пароль длиной не менее 16 символов. Это изменение безопасной длины пароля может потребоваться со временем, переходя от 8 до 10 символов, затем до 12 символов и т. Д. — с заявленной целью минимальной длины пароля в 16 символов к определенному моменту в время.
• Следует поощрять пользователей использовать парольные фразы вместо использования одного слова с числами и символами, чтобы соответствовать политике паролей.
• Политики блокировки учетной записи должны обеспечивать достаточно длительную продолжительность блокировки и приемлемо строгий порог блокировки.
• Политика паролей должна выполняться с использованием технических средств контроля, а пароли пользователей должны периодически проверяться, чтобы гарантировать, что пользователи не используют пароли по умолчанию или ненадежные пароли.
• Пароли не нужно менять с интервалами в 90 или 180 дней, так как это способствует плохой практике использования паролей. Вместо этого LMG рекомендует обучать пользователей разнице между надежными и ненадежными паролями и менять пароли ежегодно или каждый раз, когда есть подозрение на компрометацию пароля.
• Крайне важно четко и регулярно сообщать о своих политиках и ожиданиях пользователей в области безопасности всем в вашей организации.Прочтите наши советы по созданию политик допустимого использования.

Если ваша организация не может или не будет требовать минимальную длину пароля из 16 символов, следует повсеместно внедрить решение MFA без использования SMS, чтобы снизить риск взлома учетной записи из-за слабых паролей. Вы также можете реализовать регулирование проверки подлинности, при котором запросы проверки подлинности, которые достигают определенной настраиваемой емкости в пределах временного окна, должны либо блокироваться, либо регулироваться, что снижает риск атак грубой силы на открытые интерфейсы.

В заключение, если MFA не применяется повсеместно в вашей ИТ-среде, целесообразно использовать пароли длиной не менее 16 символов. Принимая во внимание стоимость таких изменений, помните, что в отношении информационной безопасности дешевле заплатить сейчас, чем платить позже, и инвестиции, сделанные сейчас для реализации политики безопасных паролей и обеспечения безопасности ваших учетных записей пользователей, снизят риск. компрометации аккаунта и риска утечки данных.

Об авторе

Бен Каст

Бен Каст — старший консультант по безопасности в LMG Security.Он проводил тестирование на проникновение для компаний, размер которых варьируется от публичных компаний с оборотом в несколько миллиардов долларов до малых и средних организаций. Он имеет более чем 20-летний опыт работы в сфере ИТ, который включает разработку программных продуктов, управление проектами, внедрение и консультирование. Он имеет степень Университета Монтаны и сертифицированный GIAC тестер проникновения (GPEN).

Краткое руководство по безопасным паролям | ConnectSafely

Надежный пароль — ваша первая линия защиты от злоумышленников и самозванцев.Прокрутите вниз, чтобы просмотреть видео, основанное на этих советах.

Скачать PDF.

Можно ли делиться паролями?

Как правило, мы рекомендуем никогда никому не сообщать свой пароль. Тем не менее, могут быть моменты, когда обмен паролями может быть нормальным, например, помощь стареющим родителям. Еще одно возможное исключение — это маленькие дети, которые делятся паролями с родителями.

Что делает надежный пароль?

Сделайте пароль длиной не менее 12 символов.Эксперты по безопасности рекомендуют «парольную фразу», а не просто пароль. Такая фраза должна быть относительно длинной — около 20 символов и состоять из, казалось бы, случайных слов, связанных вместе с числами, символами и буквами верхнего и нижнего регистра. Подумайте о том, что вы можете вспомнить, но другие не могли догадаться, например о YellowChocolate # 56CadillacFi $ h.

Есть еще совет?

Включите цифры, заглавные буквы и символы. Рассмотрите возможность использования $ вместо S или 1 вместо L, или включения & или%, но обратите внимание, что $ 1ngle НЕ является хорошим паролем.Воры паролей на это. Но Mbf $ TJ1ravng (сокращение от «Мой лучший друг Сэм Ти Джонс — действительно очень хороший парень») — отличный пароль. И это может показаться очевидным, но исследования показали, что многие люди публикуют свой пароль на мониторе с помощью стикеров. Плохая идея. Если вам необходимо записать это, спрячьте записку где-нибудь, где ее никто не сможет найти.

Можно ли использовать один и тот же пароль на нескольких сайтах и ​​в разных приложениях?

Нет. Если какой-либо из ваших сайтов будет взломан или если человек, работающий с этим сайтом, украдет ваш пароль, преступники могут попытаться использовать его на других сайтах и ​​в приложениях.Измените их хотя бы немного, добавив уникальные буквы, цифры или символы для каждой учетной записи.

Что такое многофакторная аутентификация?

Иногда называемая двухфакторной аутентификацией, многофакторная аутентификация предоставляет другой — часто необязательный — «шаг» при разблокировке учетной записи, устройства или документа.

Многие службы, от банковских до приложений для социальных сетей, предлагают многофакторную аутентификацию в качестве опции, обеспечивающей дополнительную защиту ваших учетных записей, помимо надежного пароля.Типичный метод — отправить текстовое или другое сообщение на зарегистрированное на вас мобильное устройство с кодом, который необходимо ввести, чтобы подтвердить, что это действительно вы. Есть также приложения, которые можно использовать для генерации кодов. В большинстве случаев вам не потребуется использовать этот код при входе в систему с известного (ранее аутентифицированного) устройства, такого как компьютер, планшет или телефон.

Мы рекомендуем по возможности использовать как надежный пароль, так и многофакторную аутентификацию.

Больше способов оставаться в безопасности

Рассмотрите возможность использования диспетчера паролей. Программы или веб-службы, такие как RoboForm или LastPass, которые работают на персональных компьютерах и мобильных устройствах, позволяют создавать разные, очень надежные пароли для каждого из ваших сайтов. Многие браузеры, включая Chrome, Safari и Edge, имеют бесплатные встроенные менеджеры паролей. Но вам нужно запомнить только один пароль для доступа к программе или защищенному сайту, на котором хранятся ваши пароли. Убедитесь, что у вас есть очень надежный пароль для диспетчера паролей, потому что в случае взлома его можно использовать для доступа ко всем вашим учетным записям.

Не поддавайтесь «фишинговым» атакам. Будьте очень осторожны, прежде чем нажимать на ссылку (даже если она выглядит с законного сайта) с просьбой войти в систему, изменить пароль или предоставить любую другую личную информацию. Это может быть законная или «фишинговая» афера, когда введенная вами информация переходит к хакеру. В случае сомнений войдите в систему вручную, набрав в окне браузера известный вам URL-адрес сайта.

Убедитесь, что ваши устройства в безопасности. Вредоносное программное обеспечение, включая «регистраторы клавиатуры», которые записывают все нажатия клавиш, использовалось для кражи паролей и другой информации. Чтобы повысить безопасность, убедитесь, что вы используете новейшее программное обеспечение для защиты от вредоносных программ и что ваша операционная система, приложения и браузер обновлены.

Используйте на телефоне распознавание отпечатков пальцев или лиц. Большинство телефонов можно заблокировать, поэтому единственный способ их использовать — это ввести код, обычно строку цифр или, возможно, рисунок, который вы рисуете на экране.Некоторые телефоны позволяют регистрировать отпечатки пальцев, что довольно безопасно. Некоторые приложения, особенно финансовые, позволяют открывать их с помощью сканирования отпечатка пальца или лица. (Ваш отпечаток пальца или скан лица остается на вашем телефоне и не предоставляется компаниям.)

Если вы хотите распечатать эти советы, вот их PDF-файл. Пожалуйста, свяжитесь с [email protected] для получения разрешения на перепечатку или отправьте сообщение

Какой длины должен быть пароль?

Долгое время считалось, что лучшие и наиболее практичные пароли состоят из случайной комбинации прописных и строчных букв, цифр и одного или двух специальных символов.В таком случае длина пароля должна составлять всего восемь символов.

Случайность по-прежнему важна, но, как оказалось, размер важнее. Гораздо более.

Чем дольше, тем лучше. Традиционные восьмизначные пароли теперь легко взломать. Пароль должен состоять как минимум из 12 символов, в идеале — 16 или более. Использование парольной фразы из нескольких слов позволяет легко запоминать даже более длинные пароли.

Масштабные взломы аккаунтов

Когда вы слышите о том, что в результате взлома у какого-то поставщика услуг было украдено большое количество учетных записей, вы, естественно, беспокоитесь, что теперь хакер может иметь доступ к именам и паролям ваших учетных записей.Если служба сохранила ваши фактических паролей, это действительно могло быть так. (Как я уже говорил ранее, если служба хранит ваши фактических паролей, они не понимают безопасности или приняли ужасно неверные решения.)

Фактически, большинство служб хранят зашифрованную (технически «хешированную») форму вашего пароля. Например, если моим паролем был «пароль» (а это, конечно, очень ненадежный пароль), тогда служба могла бы хранить «5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8», хеш-значение, соответствующее этому паролю.

Это означает, что хакеры , а не получают список имен пользователей и паролей. Они получают список имен пользователей и паролей хэшей .

И что замечательно в хэшах, так это то, что вы можете вычислить хэш из пароля, но вы не можете сделать обратное: вы не можете вычислить пароль из хеша .

В результате можно было бы подумать, что хеширование невозможно будет взломать, не так ли?

К сожалению, не очень.

Атаки по словарю

Самый распространенный тип атаки на пароли — это просто высокоскоростная игра в угадывание.Это не работает при просмотре фактической страницы входа в систему; они медленные и быстро откажут в доступе после слишком большого количества сбоев. Но этот метод прекрасно работает, если у хакера есть вся база данных хэшей учетных записей и паролей на своем компьютере.

Эти атаки начинаются с исчерпывающего списка возможных слов и известных общих паролей (включая имена, ненормативную лексику, аббревиатуры и т. Д.) И, возможно, нескольких правил, позволяющих попробовать интересные и распространенные способы запутывания слов людьми.Они вычисляют хэш каждого предположения, и, если он совпадает с тем, что было найдено в базе данных украденной информации об учетной записи, они вычислили пароль для этой учетной записи.

Как мы вскоре увидим, хакерам легко сделать огромное количество предположений за короткий промежуток времени.

Вот почему вы не используете короткий пароль и не используете распространенные обфускации, верно?

Вот почему лучше всего подходит пароль, созданный из абсолютно случайной комбинации символов. Это заставляет хакеров перейти к настоящей атаке методом перебора всех возможных комбинаций, чтобы получить доступ.

Атаки грубой силой

Компьютеры быстрые. Фактически, компьютер на вашем столе настолько быстр, что его способность выполнять простые операции измеряется миллиардами операций в секунду.

Создание хэша пароля — непростая операция. Тем не менее, это все еще то, что сегодня можно сделать очень быстро на большинстве машин. Распределите работу по нескольким машинам — возможно, через ботнет — и количество вычислительной мощности, которая может быть задействована при взломе паролей, просто поражает.

В результате теперь можно вычислить зашифрованные значения хеш-функции для всех возможных восьмизначных паролей , состоящих из букв и цифр в верхнем и нижнем регистре.

Шестьдесят два возможных символа (26 строчных, 26 прописных, 10 цифр) в каждой из восьми позиций дают нам 221 919 451 578 090 или более 221 триллиона комбинаций.

Неважно, какой у вас пароль; если он состоит из восьми символов и состоит из прописных и строчных букв и цифр, теперь он есть у хакеров — даже если он был хорошо хэширован службой, из которой они его украли.

Почему 12 лучше, а 16 еще лучше

Как мы видели, восьмизначные пароли дают вам более 221 триллиона комбинаций, которые можно угадать в автономной атаке методом грубой силы за часы.

Двенадцать символов дают вам более трех секстиллионов (3 279 156 381 453 603 096 810). Время автономного перебора в этом случае будет измеряться в веках .

Sixteen снимает расчет с графика. Сегодня.

Вот почему 16 лучше, чем 12, и оба лучше, чем восемь.

А как насчет специальных символов?

Я пропустил специальные символы.

Допустим, система, которую вы используете, позволяет использовать любой из 10 различных «специальных символов» в дополнение к A – Z, a – z и 0–9.Теперь вместо 62 символов у нас есть 72 варианта на позицию.

Это дает нам 700 триллионов возможностей для восьмизначного пароля.

По сравнению с исходными 62 буквами и цифрами, добавление только одного «обычного» символа делает девятисимвольный пароль значительно более безопасным.

Это приводит нас к более чем 13 квадриллионам возможностей.

Да, добавление и использование специальных символов делает ваш пароль лучше, но значительно лучше , но — это добавление еще одного символа.

Итак, два. Или шесть.

Длинные пароли хороши, парольные фразы лучше

Разница действительно смысловая, но в целом:

• Пароль — это случайная строка символов.
• Парольная фраза — это более длинная строка слов.

Зачем пропускать фразу ? Потому что их легче запомнить, поэтому их легче создавать длинные — и, как мы видели, длина пароля, возможно, является самым простым способом повысить безопасность пароля.

«BT6aKgcAN44VK4yw» — очень красивый и надежный 16-значный пароль, который сложно запомнить. Фактически, единственный способ использовать это — с программным обеспечением менеджера паролей, которое запоминает его для вас.

Самая большая проблема с паролями? Многие службы, использующие пароли, не допускают пробелов или таких длинных паролей.

Разве сервисы не должны исправлять это и делать лучше?

Безусловно, должны. И многие так и делают.

Как я уже говорил выше, пароли вообще не должны храниться в обычном тексте где-либо в службе, хотя некоторые из них это делают.

Существуют методы, которые значительно усложняют атаки методом перебора — и тем не менее, многие используют методы, которые проще , чем приведенный выше пример.

Существуют службы, которые отлично справляются с защитой вашей информации. Есть также сервисы, которых нет. Проблема в том, что вы действительно не можете быть уверены в том, что есть что.

Чтобы быть в безопасности, вы должны вести себя так, как будто они все в опасности.

Чистая прибыль

Суть в том, чтобы оставаться в безопасности:

• Не верьте, что служба , которую вы используете, правильно обрабатывает пароли. Хотя многие так и поступают, становится до боли ясно, что многие этого не делают, и вы не будете знать, с каким типом имеете дело, пока не станет слишком поздно.
• Используйте более длинные пароли: минимум 12 символов, 16, если возможно.
• Используйте еще более длинные парольные фразы там, где они поддерживаются или когда информация является особенно конфиденциальной.
• Используйте разные пароли для каждого входа на сайт. Таким образом, взломанный пароль для одной службы не даст хакерам доступа ко всем остальным.

Даже самые лучшие восьмизначные пароли больше не должны считаться безопасными.Двенадцать — это «достаточно на данный момент», но вам действительно стоит подумать о переходе на 16 в долгосрочной перспективе.

Медленный компьютер?

Ускорьтесь с моим специальным отчетом: 10 причин, по которым ваш компьютер работает медленно , теперь обновлено для Windows 10.

СЕЙЧАС: назовите свою цену! Вы сами решаете, сколько платить — и да, это означает, что вы можете получить этот отчет совершенно бесплатно , если захотите. Получите свою копию прямо сейчас!