Какой пароль может быть: How Do I Create a Strong and Unique Password?
Содержание
Хотите оставаться в безопасности в Интернете? Вот какой длины должны быть ваши пароли
Когда вы создаете учетную запись в Интернете, вы обычно видите рекомендуемую или требуемую длину вашего пароля. Но когда на каждом веб-сайте или платформе предлагается разная длина пароля, может быть сложно точно определить, какой длины должен быть ваш пароль.
6 символов? 12 символов? 24 символа? Варианты бесконечны.
Содержание
- Основы безопасности паролей
- Традиционные требования к паролям для веб-сайтов
- Насколько важна сложность пароля?
- Что делает пароль надежным: минимальная и максимальная длина
- Надежность пароля и энтропия
- Длина пароля и сложность
- Запоминание сложных паролей с помощью 1Password
- Пароли, которые необходимо запомнить (и ввести)
- 1Password генератор = надежный пароль length
Краткий ответ заключается в том, что при использовании 1Password для создания паролей, которые вам не нужно запоминать, вы должны использовать тот, который предлагает 1Password.
В зависимости от версии 1Password, которую вы используете, вы можете увидеть предлагаемый пароль в своем браузере — в этом случае используйте его. Если вместо этого вы перешли к генератору паролей 1Password, выберите длину 20. А для паролей, которые вам нужно запомнить, используйте генератор списка слов 1Password с четырьмя словами.
Длинный ответ? Продолжайте читать, чтобы узнать, какой длины должен быть пароль и что делает пароль достаточно надежным для защиты вашего присутствия в Интернете.
Основы безопасности паролей
Сначала давайте рассмотрим различные типы паролей, которыми мы располагаем.
Пароли, которые необходимо запомнить. Всегда найдутся пароли, которые нужно знать наизусть. Например, пароль для ноутбука вашей компании или пароль, необходимый для разблокировки вашего менеджера паролей. В таких случаях мы рекомендуем использовать надежную, но запоминающуюся парольную фразу.
Пароли, которые вам не нужно запоминать.
Если вы используете безопасный менеджер паролей, такой как 1Password, вам не нужно запоминать остальные учетные данные для входа. Менеджер паролей сделает за вас всю тяжелую работу, создавая, сохраняя и автоматически заполняя пароли, которые слишком надежны, уникальны и случайны для человеческого мозга.
Если вы используете безопасный менеджер паролей, такой как 1Password, вам не нужно запоминать остальные учетные данные для входа. Менеджер паролей сделает за вас всю тяжелую работу, создавая, сохраняя и автоматически заполняя пароли, которые слишком надежны, уникальны и случайны для человеческого мозга.Вы должны использовать генератор паролей, чтобы придумать оба типа паролей. Может возникнуть соблазн думать, что имя питомца вашей бабушки достаточно безопасно, чтобы защитить ваши активы. Однако пароли, созданные людьми, легко расшифровываются системами взлома паролей. Люди, которые разрабатывают и настраивают программное обеспечение для взлома, знают о том, как люди создают пароли, больше, чем кто-либо другой.
Итак, в дальнейшем мы будем предполагать, что вы используете безопасный генератор паролей.
Традиционные требования к паролям для веб-сайтов
Большинство требований, предъявляемых к веб-сайтам и другим службам, не применяются, если вы используете генератор паролей.
Эти правила были разработаны, чтобы побудить пользователей придумывать надежные пароли самостоятельно, без поддержки менеджера паролей.
Оказывается, эти правила и требования не нужны. На самом деле эксперты не советуют предъявлять какие-либо требования, кроме минимальной длины пароля. Тем не менее, люди могут по-прежнему сталкиваться с такими требованиями к паролям в течение длительного времени, пока веб-сайты по всему миру не обновят свои политики.
Насколько важна сложность пароля?
Существует распространенное мнение, что использование цифр и специальных символов повышает надежность пароля. Но последствия этих требований различаются для паролей, созданных человеком, и правильно сгенерированных паролей.
- Придуманный человеком пароль из 11 символов, состоящий из букв, цифр и символов смешанного регистра, может выглядеть так:
Letmein!123. - 11-символьный пароль, сгенерированный 1Password с использованием только букв смешанного регистра, может выглядеть так:
lwlXgHeaWiq.
Сгенерированный пароль, даже если он не содержит цифр или специальных символов, будет значительно сложнее угадать, чем созданный человеком.
Это может показаться нелогичным, но те же самые требования к сложности, которые могут помочь людям придумывать лучшие пароли, на самом деле ослабляют пароли, созданные машинами. Хорошая новость заключается в том, что созданные машинами системы настолько сильны, что вред, наносимый требованиями сложности, ничтожен.
Что делает пароль надежным: минимальная и максимальная длина
Большинство веб-сайтов обычно требуют, чтобы минимальная длина пароля составляла 8–10 символов. Когда возникает задача создать новый пароль, многие люди стараются придумать что-то как можно короче и как можно быстрее. Они хотят зарегистрироваться, войти в систему и продолжить свой день.
Мы поняли! Но вот в чем загвоздка: только выполнение минимальных требований к паролю делает вас более уязвимым для взлома пароля. Если от вас не требуется иного, убедитесь, что ваш пароль состоит не менее чем из 11 символов.
Так какой пример надежного пароля? Взгляните на следующее:
-
CjyPATxm3PY -
zpdGnrGGARj -
APnWFX7z3VM
Эти примеры показывают, что правильно сгенерированные пароли не всегда требуют чрезмерного количества специальных символов. Генератор паролей 1Password предназначен для создания сложных паролей с цифрами и символами, если это необходимо, поскольку они все еще требуются на многих сайтах.
Длина сгенерированного пароля 1Password по умолчанию составляет 19 или 20 символов, в зависимости от версии. Но на самом деле это перебор! Когда пароль правильно сгенерирован, 11–15 символов обеспечивают более чем достаточную защиту для обычного пользователя. Однако мы знаем, что большинство людей чувствуют себя более комфортно и безопасно с более длинной версией.
Надежность пароля и энтропия
Термин «энтропия», определяемый как мера неопределенности или случайности, относится к надежности вашего пароля.
Прежде чем двигаться дальше, нам нужно поговорить о методе, используемом для создания паролей, и о том, как это влияет на энтропию. Допустим, у вас есть схема, которая генерирует 11-символьные пароли из букв, цифр и символов. Каждый возможный результат должен быть столь же вероятным — если вероятность того, что он выдаст Letmein!123 , выше, чем lwlXgHeaWiq , то использование энтропии в качестве основы не имеет смысла. Некоторые популярные генераторы паролей не создают пароли единообразно, но мы позаботились о том, чтобы безопасный генератор паролей 1Password делал это.
Так как же работает энтропия?
Пароль с энтропией 20 бит в два раза труднее взломать, чем пароль с 19 битами. 20-битный пароль вдвое сложнее взломать, чем 21-битный пароль. Пароль с 20-битной энтропией выбирается равномерно и случайным образом из 2²⁰ возможных различных паролей. Это чуть более 1 миллиона, и примерно столько же, сколько можно получить от 4-символьного сгенерированного пароля.
Поскольку системы подбора паролей могут подбирать сотни тысяч раз в секунду (если пароли хорошо хешированы) или десятки миллионов раз в секунду (если пароли плохо хешированы), 20-битный пароль слишком слаб для большинства целей. 11-символьный пароль, составленный только из букв смешанного регистра, имеет около 65 бит энтропии, чего более чем достаточно практически для любых целей.
Длина пароля в зависимости от сложности
Используя энтропию в качестве меры, мы можем вернуться к вопросу о том, как длина и сложность символов влияют на надежность пароля.
Давайте сравним две пары настроек генерации паролей — 11 или 12 символов, требующие цифры и только буквы.
| 11 знаков | 12 знаков | 16 знаков | 20 знаков | |
|---|---|---|---|---|
| Только буквы | 62,70 | 68,41 | 91,21 | 114,01 |
| Требуются цифры | 65,26 | 71,26 | 95,18 | 119,04 |
Урок здесь состоит в том, что при сложении чисел увеличивается Надежность паролей увеличивается даже за счет небольшого увеличения длины.
Большее увеличение длины создает огромную разницу для создания сложных паролей. Как правило, каждый бит соответствует удвоению числа возможных вариантов (и, следовательно, удвоению объема работы, которую необходимо выполнить злоумышленнику).
Это делает 16-значный пароль, состоящий только из букв (91 бит), в 8 миллионов раз сложнее угадать, чем 12-символьный (68 бит), а 12-символьный пароль с цифрами (71 бит) всего в восемь раз сложнее. взломать, чем буквы-только один.
Вот пример, чтобы дать вам представление о том, что означают некоторые из этих битов. Если 70-битный пароль хорошо хеширован, то почти наверняка будет за пределами диапазона, который может взломать крупное правительство. Если он плохо хеширован, это может быть в силах крупного правительства, готового выделить как минимум сотни тысяч долларов на усилия по взлому. Обстоятельства, при которых кто-то избрал бы эту линию атаки, трудно себе представить. 90-битный пароль выходит далеко за рамки того, что может сделать даже самый решительный и хорошо обеспеченный злоумышленник.
Запоминайте сложные пароли с помощью 1Password
Запоминать длинные пароли сложно. Запоминаете много длинных паролей? Угу.
Вот тут-то и приходит на помощь безопасный менеджер паролей, такой как 1Password. Он сгенерирует, запомнит и автоматически заполнит ваши учетные данные, так что вам не придется беспокоиться о запоминании 15–20 символов тарабарщины.
Пароли, которые необходимо запомнить (и ввести)
Исключением являются пароли, которые необходимо запомнить, например, для входа в учетную запись 1Password. В этих случаях тип пароля, который мы обычно рекомендуем — пароль, состоящий из случайных символов, — не будет реалистичным, потому что его слишком сложно запомнить. Вместо этого вы должны использовать парольные фразы, которые объединяют несколько реальных, но не связанных между собой слов, таких как «мяч-оранжевый-луна-машина».
Парольная фраза из четырех слов (56 бит) достаточно надежна для пароля, который вы используете для входа в 1Password, потому что мы хорошо его хэшируем.
По нашим оценкам, взлом этой системы обойдется злоумышленнику примерно в 76 миллионов долларов США.
Ваш секретный ключ означает, что взлом паролей не является эффективной атакой на хранящиеся у нас данные. Однако надежность пароля вашей учетной записи и нашего хеширования — это ваша защита от попытки взлома данных, украденных с одного из ваших устройств.
Сколько времени потребуется киберпреступнику для взлома парольной фразы? Это зависит от ресурсов, которые злоумышленник может использовать, поэтому полезнее говорить о затратах злоумышленника, а не о времени. Взлом пароля учетной записи из четырех слов (56 бит) обойдется злоумышленнику примерно в 76 миллионов долларов, а для взлома пароля из пяти слов (71 бит) потребуется более триллиона долларов, учитывая способ их хэширования. Даже если правительству удастся взломать парольную фразу из четырех слов, оно, скорее всего, попробует менее затратный способ атаки.
Вывод: пароль для вашей учетной записи 1Password является важной частью вашей цифровой защиты.
Поскольку это пароль, который защищает все, что вы храните в 1Password, важно выбрать хороший пароль.
Генератор 1Password равен длине надежного пароля
Одним из преимуществ использования правильно сгенерированных паролей является то, что мы можем точно знать, насколько они надежны. Пароли сохраняют свою надежность, даже если злоумышленник точно знает, как они были сгенерированы. Это противоположно многим хитрым схемам, которые люди придумывают для создания паролей.
Все это приводит к интересному парадоксу.
Чем популярнее становится схема паролей, тем больше злоумышленников будет настраивать свои системы, чтобы приспособиться к ней. Однако правильный генератор паролей остается безопасным, даже если его используют все и злоумышленник знает каждую деталь схемы. Мне нравится называть это «кантианским принципом» советов по созданию паролей: хорошо, если все так делают.
Готовы защитить себя с помощью надежных и достаточно длинных паролей и кодовых фраз? Посетите генератор паролей 1Password, чтобы начать.
Примечание редактора. Последний раз эта статья обновлялась 6 декабря 2021 г.
Подпишитесь на 14 дней бесплатно!
Нужна помощь в создании уникальных и надежных паролей? Защитите свои пароли и свою информацию, зарегистрировав учетную запись 1Password. Ваши первые 14 дней бесплатно!
Попробуйте 1Password БЕСПЛАТНО
Джеффри Голдберг
Главный архитектор безопасности
4 совета по созданию безопасных паролей
Рекомендуется
Опубликовано
по
Кирк МакЭлхерн
В предыдущей статье я описал четыре типа паролей, которые не следует создавать, если только вы не хотите, чтобы ваш аккаунт был взломан. Учитывая, насколько ценны ваши пароли, важно, чтобы они были надежными, но при этом не слишком сложными для запоминания. Пароли защищают не только вашу учетную запись электронной почты, ваши учетные записи в социальных сетях и любые веб-сервисы, которые вы используете, но и многие учетные записи, связанные с вашей кредитной картой, такие как учетные записи Amazon, eBay и PayPal.
Вот четыре совета, показывающие, как создавать безопасные пароли:
Совет №1: Размер имеет значение
Чем больше паролей, тем лучше. Благодаря мощности современных компьютеров 6-символьный пароль можно легко взломать, используя методы «грубой силы» (когда компьютер просто пробует все возможные комбинации символов) за считанные секунды. Восьмисимвольный пароль может занять несколько часов, если он достаточно сложный; 10 символов заняли бы еще больше времени. Если вы хотите быть действительно безопасным, используйте 12 символов или больше. Но также убедитесь, что ваши пароли не относятся к обычно используемому типу, например, к тем, которые перечислены на этой странице Википедии.
Совет № 2. Разнообразие придает вкус жизни
В паролях можно использовать символы четырех типов:
- строчные буквы (a, b, c и т. д.)
- заглавные буквы (A, B, C и т. д.)
- цифр (1, 2, 3 и т. д.)
- «специальные символы», в том числе знаки пунктуации (. ; ! и т. д.) и другие символы (# * и т. д.)
; ! и т. д.) и другие символы (# * и т. д.)Есть 26 строчных букв, 26 прописных букв, 10 цифр и, в зависимости от веб-сайта, до пары десятков специальных символов (большинство сайтов не позволяют использовать определенные символы).
Если вы создаете пароль из 8 случайных цифр (то есть только цифр), существует 10 8 (100 миллионов) вариантов — все от 00000000 до 99999999. Однако, если вы используете 8 случайных строчных букв, число подскакивает до 26 8 (более 208 миллиардов, с б). С комбинацией цифр, прописных и строчных букв и специальных символов количество возможностей для 8-символьного псевдослучайного пароля может исчисляться сотнями миллиардов.
Объедините это с советом № 1, используя более длинный пароль, и вы увидите, как эти числа увеличиваются быстрее, чем Вселенная во время Большого Взрыва. Конечно, эти цифры предполагают действительно псевдослучайные пароли. Например, если бы вы выбрали пароль из 10 символов, например Password1! , взлом пароля не займет много времени.
Но 10-символьный пароль, такой как [email protected] , такой же длинный, а также использующий верхний и нижний регистры, цифры и специальные символы, будет значительно труднее взломать, потому что он не содержит слов или предсказуемых шаблонов. .
Совет № 3: создавайте уникальные пароли
Лучший способ создать уникальные пароли — генерировать псевдослучайные пароли и хранить их в вашем менеджере паролей, но мы забегаем вперед; это совет №4.
Предположим, вам нужно придумать пароль, который вам нужно будет часто вводить, поэтому он должен быть запоминающимся, но вы также хотите, чтобы он был относительно надежным. Вот простой способ создать уникальные запоминающиеся пароли, которые трудно взломать. Вы можете использовать такой пароль для учетной записи пользователя на вашем iPhone или Mac, что очень важно: если кто-то сможет получить доступ к вашему телефону или компьютеру, он сможет получить доступ к вашей электронной почте, вашим файлам и всей вашей личной информации.
Для начала попробуйте придумать короткую фразу или предложение, которое запомнится вам, но желательно, чтобы оно не было аксиомой или чем-то еще в общедоступных записях, таких как книга. В качестве примера предположим, что вы большой поклонник телесериала «Игра престолов» и считаете его величайшим из всех времен («КОЗА», как говорят дети). Ваша первая мысль может состоять в том, чтобы создать такой пароль — , пожалуйста, не используйте ни один из этих примеров :
gotisthegoat
Это 12 символов, так что это довольно долго, но все буквы в нижнем регистре. Давайте добавим пару заглавных букв, чтобы сделать его более сложным, но не в предсказуемых местах (например, первая буква пароля или слово в нем):
GOtistHegoAt
Это немного лучше. Но теперь давайте оживим его парой цифр. Их должно быть легко запомнить, верно? Как насчет этого:
g0tisth4goAt
И добавление даже одного специального символа значительно усложняет взлом:
[электронная почта защищена]
Если что-то подобное слишком сложно запомнить, можно немного упростить.
Чтобы сделать его немного более запоминающимся, давайте просто используем одну заглавную букву, одну цифру и один специальный символ, а также добавим в конце 13-й символ:
.
[электронная почта защищена]
Опять же, не используйте эти конкретные примеры паролей. Но если вы выполнили это упражнение самостоятельно, теперь у вас есть пароль, который является относительно безопасным и при этом запоминающимся. Согласно сайту How Secure Is My Password, для взлома последнего приведенного выше примера предположительно потребуется около 2 миллионов лет для взлома одного компьютера. Однако при относительно недорогих технологиях, которые сегодня легко доступны злоумышленникам, таких как кластеры облачных вычислений, это число значительно завышено. Страница Password Haystacks GRC оценивает, что для взлома этого пароля потребуется «огромный массив взлома» до 16 500 лет.
Он также достаточно сложен, чтобы кто-то, наблюдая за тем, как вы его печатаете (атака, называемая «сёрфинг через плечо»), с трудом запомнил его.
Таким образом, такой пароль, безусловно, должен быть достаточно хорошим для входа в ваш компьютер или телефон.
Это правда, что этот пароль сложно ввести, но следующий совет объясняет, как это обойти.
Совет № 4. Используйте связку ключей для хранения паролей или используйте менеджер паролей
Даже если вы запомнили один действительно безопасный пароль, вам не следует использовать его повторно для всех ваших веб-сайтов и сервисов. Это происходит из-за атак с заполнением учетных данных; если база данных одного сайта взломана, хакеры могут попытаться повторно использовать общедоступные комбинации имени пользователя и пароля для входа на другие сайты. Поскольку запомнить несколько десятков сложных паролей невозможно, вам понадобится безопасный способ хранения всех этих уникальных паролей. Вот где на помощь приходит менеджер паролей.
Если вы в основном используете устройства Apple, вы можете использовать связку ключей в macOS и iOS для хранения паролей.
Связка ключей — это то, что «запоминает» пароли, когда вы вводите их в Safari, а также пароли, которые вы используете для почты и других программ. Вы также можете использовать один из многих доступных менеджеров паролей (выберите авторитетный и известный, но не LastPass). Просто убедитесь, что мастер-пароль, который вы используете для этого программного обеспечения, такой же надежный, как в приведенном выше примере.
Как я могу узнать больше?
Каждую неделю в подкасте Intego Mac Podcast эксперты Intego по безопасности Mac обсуждают последние новости Apple, рассказы о безопасности и конфиденциальности и дают практические советы по максимально эффективному использованию устройств Apple. Не забудьте подписаться на подкаст , чтобы не пропустить ни одной серии.
Вы также можете подписаться на нашу рассылку новостей по электронной почте и следить за Блогом безопасности Mac , чтобы быть в курсе последних новостей Apple о безопасности и конфиденциальности.