Пароли

Опубликовано: Windows
Создание и использование надежных паролей

Метод третий: человек-действие-объект

Метод Person-Action-Object (PAO) – еще один интересный способ создания паролей или парольных фраз. И, как и два других предшествующих ему метода, PAO также чрезвычайно безопасен.

Человеческий мозг умеет запоминать самые причудливые происшествия, и метод PAO рассчитывает на то же самое при создании запоминающихся паролей.

Шаг 1. Выберите человека, объект и свяжите их с помощью действия. Например, «Майкл Джексон ест самолет во Флориде».

Шаг 2: Добавьте цифры и символы в кодовую фразу, чтобы завершить, или уберите пару букв из каждого слова и соедините их вместе, чтобы создать пароль. Пример: «Майкл Джексон управляет самолетом3 во Флориде» или же «20i @ anail123»

Зачем мне сложный пароль, если на сервере предусмотрена защита от взлома?

Практически все современные веб-системы оснащены системой защиты, автоматически блокирующей аккаунты при нескольких (обычно 3-5) неудачных попытках авторизации подряд. Это означает, что такие методы взлома, как брутфорс и атака по словарю/радужным таблицам, малоэффективны. Сервер, на который осуществляется атака, просто заблокирует учетную запись, и все последующие попытки авторизации будут проигнорированы системой.

Это говорит о том, что взлома даже относительно слабых (с низким уровнем энтропии) паролей будет весьма затруднителен. Если, конечно, атакующий не подберет парольную фразу за то немногое количество попыток, которое разрешено конкретным сервером.

Однако это не повод пренебрегать рекомендациями по созданию сложных паролей с высокой энтропией. Киберпреступники, к примеру, могут завладеть какими-либо данными, хранящимися на сервере в зашифрованном виде. Для их расшифровки потребуется цифровой ключ, созданный на основе заданного пользователем пароля при регистрации в той или иной веб-системе. И в этом случае количество попыток подбора пароля уже не будет ничем и никем ограничено – злоумышленнику просто останется дождаться, пока его брутфорс-программа закончит свою работу по взлому похищенной зашифрованной информации.

Поэтому никогда не стоит надеяться на присутствующую на том или ином сайте систему защиты от брутфорса и атаки по словарям. Всегда лучше перестраховаться, создав такой пароль, который не удастся взломать за короткое время даже при использовании мощной вычислительной техники.

Не ходите по левым ссылкам

Зарегистрировать сайт odnaklssniki.ru (схожий по написанию) и повесить на него страницу ввода логина/пароля — очень просто. Еще проще купить бота для отправки этой ссылки в личку/по почте всем подряд, сократив ее на bit.ly и приписав: «Ой, смотри как Вася мог такое в комментарии к твоей фотке написать». Этим промышляют очень много людей. Эпидемия фишинга началась более 15 лет назад, но люди еще ведутся и авторизируются на липовых страницах.

Еще бывают случаи, когда человек хочет подсоединиться к Wi-Fi в кафе, а его просят подтвердить свою личность, зайдя под свои логином и паролем в соцсеть. Те же яйца, только в профиль.

Более современный вариант — заражение компьютера вирусом, который будет перенаправлять человека на поддельный сайт в тот момент, когда он введет адрес настоящего сайта, а после кражи логина/пароля авторизировать человека там, где он хотел.

Лучший способ защиты — внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Еще можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).

Обратный способ

Выходом может стать обратный способ генерации. Вы создаете в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Обычно сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит к ним чуть приглядеться, как становится очевидно: пароль помнить и не нужно. Для примера возьмем очередной вариант с random.org — RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые 3 буквы в нем заглавные, а следующие 3 — прописные. 8 — это дважды (от английского t — twice) 4. Посмотрите немного на этот пароль, и вы обязательно найдете собственные ассоциации с этим набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Преимущество обратного способа в том, что случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком. Минус акронимов в том, что со временем распространение такой методики снизит ее эффективность, а обратный метод останется столь же надежным, даже если все люди Земли будут использовать его тысячу лет.

Случайный пароль не попадет в список популярных комбинаций, а злоумышленник, использующий метод массированной атаки, подберет такой пароль только брутфорсом.

Берем несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62^8=218 триллионов вариантов.

Даже при отсутствии лимитов на попытки в течение определенного временного промежутка самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор такого пароля. Для уверенности добавляем в такой пароль всего 1 дополнительный символ, и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом. Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:

Количество знаков

Количество вариантов

Время перебора

1

36

менее секунды

2

1296

менее секунды

3

46 656

менее секунды

4

1 679 616

17 секунд

5

60 466 176

10 минут

6

2 176 782 336

6 часов

7

78 364 164 096

9 дней

8

2,821 109 9?1012

11 месяцев

9

1,015 599 5?1014

32 года

10

3,656 158 4?1015

1 162 года

11

1,316 217 0?1017

41 823 года

12

4,738 381 3?1018

1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Что делает пароль и парольную фразу надежными

Надежный пароль:

Надежная парольная фраза:
  • содержит не менее восьми символов;
  • не состоит из целого слова;
  • значительно отличается от предыдущего пароля;
  • содержит от 20 до 30 символов;
  • состоит из слов, образующих фразу;
  • не содержит распространенные фразы, содержащиеся в литературе и музыке;
  • не содержит слов, которые можно найти в словаре;
  • не содержит имени пользователя, настоящего имени или названия организации;
  • значительно отличается от предыдущего пароля или парольной фразы.

И парольные фразы содержат символы, относящиеся к четырем категориям:

Пароль или парольная фраза могут соответствовать всем вышеуказанным требованиям и все равно быть ненадежными
. Например, ПривитВ7!
 отвечает всем характеристикам надежного пароля, однако, он ненадежен, так как содержит целое слово. Пароль Прив1т В 7!
 является надежным вариантом
 – в слове некоторые буквы заменены на цифры, а сам пароль содержит пробелы.

Как проверить устойчивость пароля?

Устойчивость символьной комбинации к подбору можно узнать на специальных веб-сервисах. Рассмотрим наиболее популярные:

Онлайн-служба от антивирусной лаборатории Касперского. Определяет по символьному набору и длине ключа, сколько понадобится времени на его взлом на различных компьютерах. После анализа последовательности в статистике отображается время для поиска на ZX-Spectrum (легендарной 8-ми битной машине 80-х), Mac Book Pro (модели 2012 года), суперкомпьютере Tianhe-2 и в сети ботнетов Conficker.

Онлайн-утилита на огромном сервисном портале 2IP.ru. После отправки ключа на сервер, выдаёт его статус (надёжный, ненадёжный) и время, затрачиваемое на его взлом.

Parolemanager.com/russian/password-tester.html

Даёт подробную характеристику ключа:

  • качество последовательности, численно выраженное в специальных единицах;
  • количество операций, необходимое для подбора;
  • время, необходимое для вычисления комбинации (локально и удалённо).

Успешного вам составления ключа и безопасного пользования интернетом!

А что вообще означает выражение «подобрать пароли»?

Хакер что, сидит за компьютером, и пробует одну за другой возможные комбинации? Конечно же, нет! Всё автоматизировано — Мюль говорит, что в таких случаях он просто открывает специальную программу под названием John the Ripper и загружает в неё скачанный с хакерского форума текстовый файл со списком «банальных» слов — названия футбольных команд, определений из словаря, цифры и т.п. Поэтому о паролях вроде spartak92 лучше забыть – киберпреступник разгадает его довольно быстро. Впрочем, хакеру может осложнить жизнь и длинный пароль из обычных слов:

Другое дело, что рано или поздно это всё равно произойдет — так как это общеупотребительные слова, John the Ripper через какое-то время выдаст искомую комбинацию. А вот техника, описанная выше, вас не подведет — ведь с её помощью вы получаете не слово, а бессмысленный набор букв и цифр. Ещё один полезный совет: делайте пароль максимально длинным (10-20 символов). Чем больше символов, тем больше времени потребуется на то, чтобы перебрать все возможные варианты.

Каким должен быть пароль, устойчивый к взлому?

Существуют общие рекомендации по созданию устойчивых к брутфорсу паролей. Конечно, со временем они будут пополняться все новыми и новыми пунктами – ведь, как мы уже выяснили, считавшийся очень надежным пароль вчера уже завтра может потерять этот свой статус. Но на ближайшие несколько лет будут оставаться актуальными нижеследующие рекомендации по созданию сложных парольных фраз:

  • Количество символов в пароле – 8 или более (желательно вообще от 12). Чем длиннее – тем лучше.
  • Включайте в пароль буквы в верхнем и нижнем регистре (т.е. строчные и заглавные) и цифры.
  • При возможности (если того не запрещает система, в которой выполняется регистрация) включайте в пароль спецсимволы (вроде знака процента, символ доллара, амперсанд и т.п.) и/или буквы из неанглийских алфавитов (русские буквы – отличный вариант).

Эти рекомендации, впрочем, могут считаться соблюденными и в случае таких паролей, как, например: «1/8/2000Qwerty». Вроде бы все в пароле присутствует и большие/маленькие буквы, числа и спецсимволы (в данном случае слеши «/»). И состоит он из 14 знаков. Однако на счет надежности подобных парольных фраз можно поспорить. Все дело в том, что даже соответствующие всем правилам создания парольные фразы могут оказаться неустойчивыми ко второму способу взлома – перебору по словарю/радужным таблицам.

К счастью, жизнь хакерам можно сильно усложнить, создав пароль, соответствующий следующим рекомендациям:

  • Не используйте в парольных фразах общеизвестные (словарные) слова – такие быстро взламываются методом атаки по словарю. Также следует избегать использования имен, кличек животных, географических названий – в общем, любых слов, о существовании которых известно очень широко.
  • Даже при комбинировании словарных слов с любыми числами не сделает пароль устойчивым к взлому. Не поможет и замена букв символами, схожими с написанием с заменяемыми буквами. Речь идет о таких паролях, как, например, «c@lcul@t0r»

    Однако использовать словарные слова в целях запоминания пароля можно, но их должно быть несколько написанных подряд, разделенных цифрами и/или спецсимволами. Конечно же, не забываем про буквы в верхнем регистре. Замена букв похожими на них символами тоже возможна (при соблюдении остальных рекомендаций). Вот, к примеру, сильный пароль: «1TrEe#Car#Sun#T@ble1»

    . В распоряжении киберпреступников, однозначно, имеются словари и/или радужные таблицы, содержащие подобные написания обычных слов (даже если словарей нет, их несложно сгенерировать путем замены букв).

  • Не используйте никакие последовательности букв, о которых можно легко догадаться. Сюда относится, например, чередование букв в алфавитном порядке («abcdefg» или в обратной последовательности) либо в порядке их расположения на клавиатуре – «uytrewq», «zxcvbnm»

    Если все-таки последовательности нужно использовать для лучшего запоминания пароля, тогда их можно, к примеру, разбавить цифрами и/и спецсимволами: «#aS12dF13gH14jK15l#».

    .

  • Не используйте широко известные наборы цифр, даже если они комбинируются со спецсимволами и/или буквами: номера телефонов, серийные номера документов, регистрационные номера автомобилей, даты и т.п. Пароль вроде «01/15/1985», «54-05-123456» или «A123AB197»

    Если и нужно использовать наборы цифр, то просто следуем описанным выше рекомендациям. Также можно, к примеру, комбинировать наборы друг с другом, разделяя их какими-нибудь словами: «A123AB197mashina01/15/1985».

     легко подбирается при использовании соответствующих алгоритмов генерации словарей.

И еще кое-что. Старайтесь использовать на разных сайтах разные пароли. В противном случае, если злоумышленнику удастся взломать какой-нибудь один сайт, полученный в ходе атаки пароль, он обязательно будет использовать в попытках зайти на другие сайты.

Используйте менеджер паролей для достижения наилучших результатов

Сложно соблюдать все эти правила для каждой учетной записи, которую необходимо защитить в Интернете. Это особенно верно, когда другая распространенная проблема с паролем заключается в использовании одного и того же пароля для нескольких учетных записей. Если кто-то узнает ваш пароль к одному сайту, он попробует его повсюду с вашим адресом электронной почты.

Лучшее решение – начать использовать менеджер паролей . Эти приложения позволяют генерировать абсолютно случайные пароли любой длины и блокировать их в хранилище, которое открывается с вашим единственным главным паролем. Сделайте этот главный пароль надежным, и это единственный, который вам нужно запомнить.

Это избавляет от необходимости самостоятельно придумывать надежные, но запоминающиеся пароли.

Оптимальное количество символов в логине и пароле

Логин

Логин – это уникальное имя пользователя, которое используется для входа в систему. Обычно логин должен содержать от 5 до 20 символов. Слишком короткий логин может быть легко угадан, а слишком длинный может быть неудобен в использовании. Также не рекомендуется использовать личную информацию в логине, такую как имя, дата рождения или номер телефона, чтобы избежать взлома аккаунта.

Пароль

Пароль – это секретный код, который используется вместе с логином для входа в систему. Количество символов в пароле должно составлять не менее 8-10 символов, чтобы обеспечить надежность. Пароль должен содержать как минимум одну заглавную букву, одну строчную букву, одну цифру и один специальный символ, такой как !, @, # или $. Также не рекомендуется использовать одинаковые пароли для разных аккаунтов, чтобы избежать их взлома.

Кроме того, необходимо периодически изменять пароль и не использовать простые или очевидные комбинации, например, 123456 или qwerty. Также рекомендуется не хранить пароли на бумаге или в файле на компьютере, а использовать менеджеры паролей для безопасного хранения и автоматического заполнения при входе в систему.

Сколько времени нужно, чтобы взломать ключ из 4-7 символов?

Пароли длиной от 4 до 7 символов являются самыми слабыми. Как мы видим ниже, их не рекомендуется использовать. Основываясь на приведенной выше таблице из Hive Sytems, мы сократили ее содержимое, чтобы взять ее за пример. Таким образом, это было бы следующим образом:

Если внимательно посмотреть на эту таблицу, можно сделать быстрый вывод. В этом смысле мы должны отметить, что подавляющее большинство этих ключей можно взломать практически мгновенно. Даже если наш пароль состоит из цифр, заглавных букв, строчных букв и символов, у нас тоже не будет хорошего пароля. Следовательно, киберпреступник может получить ваш пароль от одной секунды до 6 минут в худшем случае.

Поэтому из этой статьи мы не советуем использовать эти короткие пароли из-за их хрупкости. Любой злоумышленник в короткие сроки может быть легко убит с нашего аккаунта.

Самые распространенные пароли в мире

Каждый год охранные компании публикуют данные о наиболее распространенных паролях. Они получают эту информацию от утечки данных, что позволяет им видеть, что в противном случае было бы частной информацией.

Точный рейтинг паролей меняется каждый год, но в списках наиболее распространенных паролей (например, в Википедии ) это всегда одни из самых популярных:

  1. 123456
  2. 123456789
  3. картинка1
  4. пароль
  5. 111111
  6. 123123
  7. qwerty
  8. abc123
  9. Я тебя люблю
  10. админ

Ясно, что все эти пароли ужасны. Их использование равнозначно отсутствию пароля. Любой, кто пытается взломать учетную запись, сразу же попробует использовать такие простые пароли, поскольку они самые распространенные, и это имеет смысл.

Однако, если вы думаете, что находитесь в безопасности только потому, что вашего пароля нет в этом списке, не расслабляйтесь. Эти пароли плохи, потому что они иллюстрируют характеристики паролей, которые легко взломать, и, возможно, ваш собственный пароль тоже.

Ниже приведены конкретные объяснения тенденций использования слабых паролей и причин, по которым они создают такую ​​проблему.

Определение сложности

Сложность ключа — мера устойчивости к подбору на символьном уровне посредством ручных и автоматизированных методов (логического вычисления, подбора по словарю). Она определяется количеством попыток взломщика, то есть, сколько ему понадобится времени на вычисление составленной пользователем комбинации.

На сложность пароля влияют следующие факторы:

  • Количество символов в ключе.
    Чем больше знаков в последовательности, тем лучше. У комбинации из 5 знаков есть большая вероятность быстрого взлома. А вот на подбор последовательности из 20 знаков могут уйти годы, десятилетия и даже века.
  • Чередование прописных и строчных литер.
    Примеры: ключ dfS123UYt с использованием регистра заглавных букв на порядок сложней этой же комбинации, но только с маленькими литерами — dfs123uyt.
  • Символьные наборы.
    Разнообразие типов символов усиливает устойчивость. Если сделать ключ из маленьких и больших букв, цифр и спецсимволов длиной в 15-20 знаков, шансов его подобрать практически нет.

Программа для хранения паролей

Конечно, запомнить подобное достаточно сложно, однако решения уже есть. В данный момент в интернете имеются различные программы, которые хранят пароли в отдельных базах и используют их по мере необходимости.

Использование данного софта необходимо постольку, поскольку запомнить сложные пароли практически невозможно. А менеджеры паролей существенно облегчат задачу и обеспечат безопасность.

Поскольку менеджеров паролей много, все называть не имеет смысла, да и функции там почти идентичные. Наиболее известный пример — KeePass Password Safe (бесплатная программа). При помощи данной программы можно сохранять все пароли в одном месте. Также доступна функция автоматичного ввода пароля.

Но бывают ситуации, когда все же необходимо помнить пароль, например для доступа к аккаунту в социальной сети или к почте. Тут действительно можно придумать что-то запоминающееся. Но всегда нужно помнить, что лучше вставлять буквы и кириллицы, и латиницы, цифры и специальные символы. Пускай там будет 8-9 символов, но зато пароль будет безопасным.

Какой и как придумать пароль: принципы и сценарии

Пароль – единственное, что по-настоящему защищает все наши важные данные от взлома. Существует масса способов взламывать пользовательские аккаунты и получать доступ к конфиденциальной, личной, деловой, финансовой информации. Это особенно актуально для владельцев компаний, которые озабочены вопросом безопасности своих данных

Злоумышленникам часто достаточно взломать почту одного сотрудника, чтобы получить доступ к важной деловой информации целой компании. Вот почему так важно заниматься образованием сотрудников относительно безопасности в Сети, в частности, объяснять, какие бывают пароли и как правильно создать пароль

И это не менее важно для отдельных пользователей, которые используют интернет для общения и совершения платежных операций с введением данных своих банковских карточек.

Пароли из 8-11 символов становятся лучше, но этого недостаточно

Теперь очередь паролей от до 11 символов. Как и в предыдущем случае, для лучшей иллюстрации примеров я создал уменьшенную таблицу на основе основной. Таким образом, мы можем увидеть в таблице следующие результаты:

Здесь первое, что мы ценим, это то, что они могут мгновенно узнать наш пароль, только если мы будем использовать только цифры. Если мы будем использовать только строчные буквы, это займет от нескольких секунд до суток. Используя строчные и прописные буквы, мы перейдем от 22 минут до 5 лет в зависимости от количества символов в нашем пароле. Кроме того, если мы затем сложим числа, оно увеличится еще больше, установив минимальное время в час до 41 года для паролей из 11 символов.

Однако, сравнивая его с предыдущей категорией, если мы используем символы, мы видим, что все кардинально меняется. Чтобы узнать свой 8-значный пароль, потребуется 8 часов, а для 11-значного пароля — 400 лет.

Поэтому рекомендуется использовать пароль из 10 или 11 символов, а также прописные и строчные буквы, плюс символы.

Генераторы

Что такое генераторы?

Генераторы — это специальные программы, которые могут быстро и безопасно создавать уникальные и сложные пароли. Эти программы используются для защиты пользовательских аккаунтов от взлома.

Преимущества использования генераторов

  • Генераторы обеспечивают высокую безопасность пользовательских данных;
  • Генераторы создают пароли, которые трудно подобрать вручную;
  • Генераторы позволяют экономить время на придумывание сложных паролей;
  • Генераторы часто предлагают дополнительные функции, такие как сохранение паролей в зашифрованных базах данных или генерацию PIN-кодов.

Как использовать генератор?

Для использования генератора нужно запустить программу и выбрать соответствующие опции (например, длину пароля и использование символов). После нажатия на кнопку «Сгенерировать» генератор создаст уникальный пароль, который можно использовать для защиты своих аккаунтов.

2. Пароль по умолчанию.

Поразительно, что пароль используется так же широко. Многие устройства, такие как беспроводные маршрутизаторы, имеют этот пароль по умолчанию. Однако большинство этих устройств также содержат предупреждения о том, что вам необходимо изменить пароль по умолчанию на более безопасный после входа в систему.

Неудивительно, что многие люди ленивы и либо отказываются, либо забывают изменить пароли по умолчанию. Если они используют пароль по умолчанию, то взломать чью-то сеть Wi-Fi не составит труда. Существуют целые веб-сайты, посвященные каталогу паролей по умолчанию для различных моделей маршрутизаторов, которые доступны любому желающему.

Поэтому всякий раз, когда вы получаете новое устройство или учетную запись и получаете имя пользователя и пароль по умолчанию (например, admin / password ), сделайте себе одолжение и немедленно измените его. Пароли по умолчанию похожи на проржавевший замок, который кто-то может просто снять с ваших ворот.

Правила создания безопасных паролей

Первая и, возможно, самая важная рекомендация – не использовать один и тот же пароль во многих местах. Хотя несколько паролей запомнить сложнее, чем один, это значительно повышает нашу безопасность в случае утечки данных. Выбранный пароль также должен быть относительно длинным – старайтесь нацеливаться на 10 или более символов! В результате число возможных комбинаций явно увеличивается, не только снижая риск, но и увеличивая время, необходимое для подбора пароля.

Абсолютный минимум составляет восемь символов, и любой пароль ниже этого порога является открытым приглашением для киберпреступника!

Другое правило – использование различных типов символов – цифр, прописных и строчных букв, а также специальных символов. Хотя не каждая страница допускает такие варианты, где это приемлемо, мы должны использовать их каждый раз. Это значительно повышает уровень безопасности! Однако, не переусердствуйте – если вы не собираетесь использовать внешнее программное обеспечение (об этом чуть позже) и хотите помнить все пароли, то нужно создавать такие коды, которые мы можем легко воспроизвести по памяти. Стоит использовать последовательности, которые связывают нас с какими-то личными событиями или выражениями.

Как определяется сложность пароля?

Сложность парольной фразы определяется информационной энтропией, которая измеряется в битах. Чем бит энтропии содержит пароль, тем сложнее его взломать. К примеру, созданный вновь пароль имеет битность в 20 единиц. Чтобы взломать его методом перебора символов, потребуется перебрать 220 или 1048576 вариантов. Однако с довольно высокой вероятностью взлом может быть осуществлен раза в два быстрее – все зависит от того, с какой позиции начался перебор.

Есть специальный алгоритм оценки энтропии и, как следствие, сложности пароля (в данном случае алгоритм оценки энтропии применяется для паролей, состоящих исключительно из чисел и/или строчных букв английского алфавита):

  • Первый символ парольной фразы имеет энтропию в 4 бита.
  • Следующие 7 символов добавляют еще 14 бит энтропии (по 2 бита на каждый символ), т.е. 8-значный пароль имеет 18-битную энтропию (4 бита первого символа плюс 14 бит последующих 7 символов).
  • Следующие 12 символов (от 9-го до 20-го) увеличивают общую битность энтропии еще на 18 бит (по 1,5 бит за каждый символ). Исходя их этого, 20-значный пароль имеет общую сумму энтропий всех символов, которая составит 32 бита.
  • Дальнейшие символы (21-й и далее) увеличивают энтропию на 1 бит. Так, 25-значный пароль будет иметь 37-битную энтропию, и для его отгадывания путем перебора придется сделать 137 млрд. 438 млн. 953 тыс. 472 попытки.

Увеличить сложность пароля (для этого конкретного случая) можно за счет использования в нем неалфавитных символов (спецсимволов, которые можно напечатать на обычной клавиатуре) и букв в верхнем регистре (заглавных букв). В этом случае энтропия дополнительно вырастит на 6 бит.

Таким образом, сложность пароля определяется количеством и типом символов, из которых он состоит.

Каким должен быть сильный ключ

Мы говорили о важности безопасного пароля, а также о различных вариантах, которыми мы располагаем, чтобы проверить, действительно ли мы используем такие ключи. Теперь мы дадим несколько советов по созданию действительно надежных и сложных паролей, которые защитят нас в сети

Уникальные и случайные пароли

Важно использовать пароли, которые уникальный и совершенно случайный. Мы никогда не должны использовать один и тот же пароль на нескольких сайтах

В случае кражи по какой-либо причине может произойти так называемый эффект домино, который повлияет на другие личные аккаунты.

Поэтому первый совет заключается в том, что ключ, который мы создаем, является полностью случайным, и мы не используем его более чем в одном месте. Это первый камень в построение абсолютно надежного пароля.

Подсчитайте с помощью букв, цифр и символов

Мы не должны создавать пароль, состоящий только из букв или цифр. В идеале он должен содержать смесь всего возможного . Прописные и строчные буквы, цифры и другие специальные символы. Таким образом, диапазон возможностей очень широк, поэтому мы генерируем почти бесконечное количество комбинаций. Еще один способ повысить надежность.

Иметь подходящую длину

Конечно, пароля будет жизненно важным фактором. Не то же самое, что взломать пароль, который состоит всего из 4 символов, чем другой, состоящий из 16. Каждая цифра, каждый введенный нами символ увеличивает безопасность в геометрической прогрессии.

Не используйте слова или данные, которые нас связывают

Это немного следует из того, что мы упоминали ранее, относительно важности использования случайных ключей. Мы никогда не должны использовать слова или данные, которые могут иметь к нам отношение

Например, было бы ошибкой, если бы в нашем пароле было наше имя или номер телефона. Это может облегчить атаки методом перебора и взломать пароль.

Периодически меняйте пароль

Хотя этот момент не имеет прямого отношения к созданию надежного пароля, очень важно поддерживать безопасность. Мы должны поменять ключи периодически, поскольку иногда могут возникать атаки, утечки и проблемы, которые подвергают их риску

Вкратце, это некоторые факторы, которые мы должны принять во внимание для создания полностью безопасных паролей. Мы всегда должны стараться использовать надежные ключи, которые содержат все, что мы указали, и таким образом избежать проблем

Создание сложного ключа

Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.

Способ №1: подмена букв

Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» — «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.

Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:

«Опасная зона» запишем как «onACHA9I#3OHA».

Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» — «n», «я» — «9I», «з» — «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.

В помощь таблица символьных обозначений русских букв:

Способ №2: создание «читаемого» ключа в генераторе

1. Откройте в браузере онлайн-сервис — http://genpas.peter23.com/.

2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».

3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.

4. Нажмите кнопку «Генерировать».

5. Выберите наиболее оптимальный вариант из генерированных последовательностей.

6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:

Xoh)ohfo1koh

  • Xoh) — можно прочитать как «Хох» + «смайлик»;
  • oh — «ох»;
  • fo1 — пусть это будет какая-то загадочная аббревиатура;
  • koh — кох — опять вариация начального слога.

Способ №3: добавка спецсимволов в простые слова

1. Возьмите за основу какое-либо хорошо знакомое вам слово:

space2017

2. Придумайте сочетание спецсимволов из 2 или 3 знаков.

«+_&»

3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.

+_&space2017&_+

4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.

Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).

К каким выводам пришли исследователи

  1. Наиболее оптимальная парольная политика, по мнению исследователей, – настройка минимальной длины пароля и одновременная проверка пароля с помощью нейронной сети. Лучше всего в экспериментах себя показала политика вида 1c12+NN10: пароль не менее 12 символов с угадываемостью не менее 10 млрд попыток. Это обеспечивает достаточную защиту от офлайн-атак и необходимый уровень удобства.
  2. Если проверка с помощью нейронных сетей не подходит, то исследователи рекомендуют задавать длину пароля не менее 8 символов и одновременно проверять пароли по словарям. Такая проверка обеспечивает меньшую защиту, но достаточно эффективна против онлайн-атак. При этом, защиту можно усилить, если увеличить минимальную длину пароля.
  3. Проверка по словарю будет эффективнее, если использовать методы нечеткого поиска. То есть, лучше включать в поиск не только точные совпадения, но и вариации вроде P@$$w0rd.
    Если же используется точный поиск, стоит запускать проверку по максимально доступному словарю скомпрометированных паролей.
  4. Пользователи испытывают больше неудобства, если им требуется создать пароль с разными классами символов. Если же пользователю нужно только соблюдать длину не менее 8–-16 символов и пройти проверку “угадываемости” пароля, то парольная политика воспринимается как удобная.

Похожие записи:

  1. Google drive в проводнике windows
  2. Windows audio ошибка 1067 процесс был неожиданно завершен
  3. Windows 10 обновить и завершить работу вместо завершить работу
  4. Как установить виндовс 10 21h1
0
Понравилась статья? Поделиться с друзьями:
Гуру настройки

Похожие записи:

  1. Google drive в проводнике windows
  2. Windows audio ошибка 1067 процесс был неожиданно завершен
  3. Windows 10 обновить и завершить работу вместо завершить работу
  4. Как установить виндовс 10 21h1
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.