Какой пароль можно придумать сложный: Какой можно придумать пароль и никогда его не забыть — совет от хакера

Как создать и придумать надежный и сложный пароль?

Чтобы снизить риск взлома электронного кошелька или аккаунта в Instagram, нужно придумать сложный и надежный пароль. Он должен состоять минимум из 10 символов (лучше — больше). 

Главная его сложность должна заключаться в том, чтобы злоумышленники не могли узнать комбинацию обычным подбором символов и цифр. Поэтому нужно соблюдать некоторые рекомендации, которые помогут быстро придумать надежный и сложный пароль.

Используйте цифры, символы и буквы

Первое правило сложного и надежного пароля — используйте не только цифры, но еще буквы и специальные символы. Но без банального 1234qwerty. Нужно придумать что-то сложное: например, kl_234jh2184mnh0BN. 

В такой комбинации нет никакого смысла — это просто набор букв, символов и цифр. Поэтому запомнить такой пароль очень сложно, а вот забыть — очень просто. Поэтому, придумывая такую комбинацию, необходимо обязательно сохранить ее в отдельном файле — на ПК, смартфоне или планшете.

Меняйте регистр

Как мы определили выше, в пароле должны быть буквы. Старайтесь менять регистр — то есть используйте заглавные буквы. Лучше, если заглавная буква будет где-нибудь в середине. Например, 99passWord00. 

Если вы используете один пароль на 3-4 сайтах, то делайте в них небольшие изменения. А именно — изменяйте регистр букв для каждого аккаунта. Например, на первом сайте будет пароль mm77Jpass, а на втором — mM77jpass.

Пароли-перевертыши

Здесь все просто: выберите слово или дату и напишите ее задом-наперед. Это будет ваш сложный пароль-перевертыш. 

Простой пример: вы хотите использовать дату своего рождения — 01051987. Это значит, что в пароле эта цифра будет выглядеть так: 78915010. Аналогичным образом поступайте со словами.

Если вы выбрали слово Rocket, то для пароля оно будет выглядеть так: tekcoR. Объединяйте слова и цифры — teckoR78915010. Это крайне сложная комбинация, а значит вероятность того, что злоумышленник разгадают ее при помощи классического подбора паролей — очень мала.  

Используйте MultiPassword

Воспользуйтесь системой хранения паролей MultiPassword. Это удобный и, что самое главное, надежный инструмент, где вы можете хранить данные от любых веб-сайтов: начиная от форумов и заканчивая электронными кошельками.

Все логины и пароли находятся под защитой. Система работает на всех платформах: есть веб-версия, которую можно запустить на компьютере, телефоне, планшете; есть расширение для браузера; есть десктопная версия.

Удобно, что в MultiPassword есть встроенный генератор надежных паролей. Он автоматически подберет сложную комбинацию — нужно только нажать одну кнопку. Можно выбрать любой понравившийся вариант для пароля и сразу сохранить его в MultiPassword.

Благодаря этому вам не придется запоминать сложную комбинацию. Еще в системе есть автозаполнение форм — MultiPassword сам введет логин и пароль на сайте. Достаточно просто сохранить данные в личном кабинете.

Обсудить

Похожие статьи

Больше для вас

Как создать сложный пароль

Содержание

  • Введение
  • Методы взлома паролей
  • Логическое угадывание
  • Перебор паролей по словарю
  • Метод грубой силы
  • Использование человеческого фактора
  • Создание сложных паролей
  • Как создать сам пароль
  • Заключение

Введение

Одной из самых существенных проблем, связанных с обеспечением безопасности в организации являются пароли к учетным записям важных пользователей. Даже если вы тщательно спланируете и настроите параметры безопасности групповой политики, включая настройки брандмауэра в режиме повышенной безопасности, развернете антивирусное программное обеспечение и будете поддерживать в обновленном состоянии систему и антивирусное ПО, настроите политики IPSec, развернете сервера защиты доступа к сети, а у учетных записей ваших пользователей будут недостаточно сложные пароли, безопасность всей вашей компании может быть под угрозой.

Разумеется, вы можете, и даже должны, при помощи групповой политики задать ограничение по созданию сложных паролей, установить интервал для блокировки учетной записи в случае неправильного ввода пароля, а также настроить политики аудита для анализа неудачных попыток входа в систему. Но даже пароли, которые операционная система будет считать сложными (то есть длина пароля будет превышать определенное количество символов, пароль будет содержать символы верхнего, нижнего регистра, а также цифры), могут на самом деле оказаться уязвимыми и простыми для злоумышленников, которые будут их взламывать. Именно этот этап обеспечения безопасности вашей компании может оказаться для вас наиболее сложным, так как здесь ваше участие играет лишь посредственную роль, а любое халатное отношение со стороны ваших пользователей может летально сказаться на инфраструктуре всей компании. Другими словами, в этом случае вам нужно постараться заставить ваших же пользователей создавать безопасные пароли, запоминать их, периодически эти пароли менять, а также держать эти пароли при себе, что, по сути, может оказаться намного сложнее, чем спланировать инфраструктуру организации, а также развернуть и поддерживать в рабочем состоянии сервера с соответствующими серверными ролями.

В этой статье я немного расскажу о том по каким причинам какие пароли нельзя создавать, а также как именно нужно создавать пароли для своих учетных записей. Рассмотрим все по прядку.

Методы взлома паролей

К одному из наиболее распространенных методов атаки на любую инфраструктуру можно отнести взлом паролей пользователей, которые проходят проверку подлинности для того чтобы можно было получить доступ к внутренней сети организации. Соответственно, если злоумышленник получит доступ к учетной записи пользователя, у него будет возможность достучаться до каких-либо внутренних документов компании и к прочей защищенной информации. Помимо учетных записей пользователей для доступа к внутренней сети организации, также часто злоумышленники стараются взламывать аккаунты электронной почты, социальных сетей, блогов и прочего. Поэтому пользователям следует объяснить, что нельзя для всех своих учетных записей использовать одинаковый пароль, а уж тем более простой пароль.

В принципе, существует много методов взлома паролей, но в этой статье будут вкратце рассмотрены лишь основные методы, которые наиболее распространены в наше время. К этим методам можно отнести логическое угадывание, перебор паролей по словарю, метод грубой силы (или полный перебор), а также самый серьезный метод – использование человеческого фактора.

Логическое угадывание

Этот метод является самым простым, и начинают обычно именно с логического угадывания пароля. Например, злоумышленник может попробовать угадать пароль ваших пользователей, зная имя, фамилию вашего пользователя и, скажем, его год рождения. Например, если пользователь создаст пароль типа «Фамилия + год рождения» или логин, указанный в обратном порядке, можно особо не волноваться, такой пароль будет взломан через несколько минут.

Перебор паролей по словарю

Так как многие пользователи в качестве паролей любят указывать к какой-либо своей учетной записи одно слово, будь то название вулкана в Исландии или имя любимого кролика и, максимум, добавлять к такому паролю одну цифру, злоумышленники могут взломать такой пароль, используя заранее отобранные пароли, которые загружаются из специальных словарей. В такие словари обычно включаются слова из разных языков, которые могут использовать неопытные или безразличные к своей безопасности пользователи. Подбор пароля, используя данный метод, обычно не занимает много времени и злоумышленник сможет получить доступ к данным ваших пользователей буквально через несколько часов. А так как подобных словарей в просторах Интернета очень много, следует сразу объяснять пользователям, что им не следует использовать такие пароли, так как пострадать может не только их учетная запись в социальной сети, а и вся инфраструктура предприятия.

Еще одним методом, связанным с перебором по словарю, называется перебор по таблице хешированных паролей. Этот метод используется тогда, когда злоумышленник смог определить хеши паролей и ему остается лишь найти в базе данных пароль, который будет полностью соответствовать данному хешу.

Метод грубой силы

Метод грубой силы (brute force) или полный (прямой) перебор отличается от предыдущего метода тем, что при подборе пароля используется не определённый словарь, согласно которому можно подобрать простой пароль, а большое количество любых возможных комбинаций. В этом случае, как вы понимаете, все зависит лишь от сложности пароля и количества символов. Думаю, многие из вас видели следующую таблицу, исходя из которой, можно приблизительно оценить сложность создаваемых паролей, если учесть что в паролях будут только лишь буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду:














Количество знаков

Количество вариантов

Время перебора

1

36

менее секунды

2

1296

менее секунды

3

46 656

менее секунды

4

1 679 616

17 секунд

5

60 466 176

10 минут

6

2 176 782 336

6 часов

7

78 364 164 096

9 дней

8

2,821 109 9?1012

11 месяцев

9

1,015 599 5?1014

32 года

10

3,656 158 4?1015

1 162 года

11

1,316 217 0?1017

41 823 года

12

4,738 381 3?1018

1 505 615 лет

Соответственно, более-менее стойким паролем можно считать пароль, длина которого будет состоять не менее чем из восьми символов. Так как при написании этой статьи, основной задачей стояло рассмотрение методов создания стойких паролей, в ней не будут рассматриваться средства реализации перебора паролей методом грубой силы.

Использование человеческого фактора

Несмотря на то, что при использовании человеческого фактора не применяется какая либо технология, этот метод в большинстве случаев считается самым действенным и иногда даже самым быстрым, так как в этом случае злоумышленники получают пароли незаконным методом от самих пользователей, причем, последние об этом могут даже не подозревать. Прежде всего, при использовании этого метода получения пользовательских паролей злоумышленник обычно узнает имена сотрудников организации, которые он может, как знать изначально, так и найти на том же, скажем, веб-сайте компании, а уже после этого, согласно продуманному заранее сценарию злоумышленник может получить от пользователей практически любые данные. Методов получения пользовательских паролей, используя человеческий фактор, очень много. Вкратце рассмотрим основные способы:

· Фишинг. Является довольно распространенным методом получения от пользователей необходимой информации. Сам термин фишинг (phishing) происходит от английского слова fishing, что переводится как рыбная ловля и представляет собой вид мошенничества, основной задачей которого является получение доступа к конфиденциальным данным пользователей. Сама атака происходит следующим образом: пользователю на почтовый ящик приходит письмо, скажем, от банка, где пользователю предлагают, перейдя по предоставленной ссылке, в целях обеспечения безопасности сменить на сайте свой пароль. На самом деле, такая ссылка ведет на сайт хакера со страницей, которая очень похожа на страницу банка и при попытке смены своего пароля, пароль будет отправлен злоумышленнику;

· Заражение компьютеров средствами троянских коней. Как вы знаете, троянским конем называется вредоносная программа, которая распространяется злоумышленниками, при помощи которой он может получить доступ данным, в зависимости от того, какую он поставил перед собой задачу. В свою очередь, пользовательские пароли не являются исключениями;

· Кви про кво. Данный метод пошел от латинского выражения qui pro quo (одно вместо другого), что также обозначает недоразумение, возникшее в результате того, что одно лицо, вещь или понятие принято за другое. В случае с хищением паролей, этот способ подразумевает звонок злоумышленников в компанию. Злоумышленник может представиться техническим специалистом и узнать о уязвимостях, которые могут быть в организации и воспользоваться ими. Или же просто узнать пользовательский пароль по телефону ;

· Претекстинг. Этот способ самый простой. По большому счету, используя данный метод хищения пароля, злоумышленник, может быть даже, в какой-то степени, далек от хикинга, так как в данном случае, выполняются действия, отработанные по заранее составленному претексту или, проще говоря, сценарию. Он может начать общаться с пользователем на каком-то веб-сайте, средствами переписки по электронной почте, UIM-мессенджерам и т. д. По вполне понятным причинам, данный метод может занять значительно больше времени, чем все указанные раньше, но, тем не менее, он тоже востребован.

Простейший метод хищения пароля изображен на следующей иллюстрации:

Создание сложных паролей

Скорее всего, вы все видели следующую картинку.

Здесь довольно-таки в простой и шуточной форме нарисовано, какие пароли можно создавать и как с такими паролями будут взаимодействовать ваши пользователи. Если честно, то с методом, который указан на картинке можно не согласиться, так как второй пароль может быть быстрее взломан, чем первый, хоть на это и уйдет у злоумышленника какое-то время.

Прежде всего, как я уже говорил в начале статьи, в любом случае вам нужно настраивать ограничения по созданию сложных паролей при помощи групповой политики, причем, привязывать такие политики следует не для какого-то конкретного подразделения, а для всего домена. Разумеется, настроив политики безопасности, вы предотвратите создание паролей типа «123456» или «qwerty», которые так любят указывать пользователи, пользовательские пароли могут быть все равно уязвимыми для хакеров.

Например, если у вас в отделе продаж есть пользователь Владимир, который родился 9-го числа какого-то месяца, его паролем вполне может быть что-то вроде «Vladimir9». Как видите, длина такого пароля девять символов, что, скорее всего, будет превышать предустановленную средствами групповой политики длину пароля. Помимо этого, в данном пароле есть буквы из разного регистра (ну негоже ведь, свое имя указывать с маленькой буквы ) и в данном пароле есть цифры (в указанном случае, день рождения пользователя). Соответственно, пароль будет удовлетворять требованиям, указанным при помощи групповой политики, но взломать его можно буквально в считанные секунды.

Вам нужно постараться убедить своих пользователей создавать для любых своих учетных записей сложные пароли, создавать разные пароли для каждой учетной записи, а также хранить свои пароли у себя в памяти. Последние два момента являются наиболее сложными, так как большинство пользователей привыкло иметь один пароль для своей учетной записи в Active Directory, а также, хорошо, если так, иметь один пароль на почтовые ящики, социальные сети, трекреы, форумы и так далее. Если вы все таки заставили своих пользователей создать сложный пароль, обратите внимание на то, что многие любят записывать его на бумажке и клеить к своему монитору, на клавиатуру и т.п., что является недопустимым, так как это уже паролем назвать сложно.

Как создать сам пароль

Желательно, чтобы пользовательский пароль был не менее чем из 8 символов, причем, чтобы в пароле в произвольном порядке были написаны буквы латиницей в разных регистрах, пароль содержал цифры и, чтобы там еще были специальные символы. Если пароль создается для учетной записи, которая будет выполнять вход на сервер, то желательно создавать пароли, длина которых будет превышать 12 символов. В большинстве случаев, пользователи редко заморачиваются придумыванием таких паролей. Поэтому, вам нужно будет или вместо них придумывать пароли, что крайне неудобно, т.к. если у вас 20 пользователей, это займет какое-то время, но вы с этим справитесь, но если у вас более 100 пользователей, то на такое бессмысленное занятие уйдет целый день. А их ведь еще нужно периодически менять, т.к. ни один пароль не может быть совершенным.

Поэтому вы можете или направлять пользователей на сайты с генераторами паролей, например, на сайт http://genpas.narod.ru или на сайты с подобным функционалом. Таких сайтов на самом деле очень много. Также вы можете на своем внутреннем веб-сервере написать страницу, которая будет предоставлять такой же функционал, что тоже вряд ли займет много времени, даже если у вас нет навыков в веб-программировании. А о наличии такой страницы на сайте вы можете уведомить пользователей, скажем, при помощи официальной рассылки. Соответственно, вашим пользователям не нужно будет тратить время на то, чтобы придумать сложный пароль, а останется лишь его запомнить.

Также вы можете рассказать своим пользователям о простых сценариях, позволяющих создать сложный, но легко запоминающийся пароль. Различных интересных сценариев можно придумать сотни. Рассмотрим несколько таких сценариев.

1. Возьмите два русских слова – глагол и имя существительное. Например, слова «готовить» и «подсвечник». Добавьте произвольное число, которое будет разделено на две части, например, год рождения любимого писателя, скажем, 1966, а также возьмите любой специальный символ, пусть будет, например, знак вопроса. Теперь запишите все, что нашли ранее в следующем порядке: первое слово с большой буквы, первые две цифры из года рождения, знак вопроса, второе слово с большой буквы и последние две цифры. Должно получиться что-то в этом роде: «Готовить19?Подсвечник66». теперь наберем полученный пароль на английской раскладке. В результате, у вашего пользователя будет следующий пароль: «Ujnjdbnm19?Gjlcdtxybr66». В таком пароле получилось 23 знака, причем, подобрать его методом перебора по словарю нереально, а используя метод грубой силы у злоумышленника уйдет, мягко говоря, не один месяц.

2. Возьмите любую скороговорку, например, «В недрах тундры выдры в гетрах тырят в ведра ядра кедров» и возьмите дату рождения двоюродной тети пользователя, скажем, 29 октября 1957. Теперь запишите каждую первую букву каждого слова на английском языке, причем, запишите каждую вторую букву в верхнем регистре и между некоторыми словами проставляйте по одной цифре, а в конце пароля поставьте знак восклицания. Должно получиться следующее: «vN2tV9vG10tV19vY57k!». Опять же, такой пароль подобрать будет очень сложно.

3. Возьмите любую строку самого любимого стихотворения, например, «Недаром помнит вся Россия про день Бородина!» и запишите по две буквы из каждого слова на английской раскладке, причем, для каждого нового слова укажите букву в верхнем регистре. В конце можете поставить день своего рождения. Например, в данном случае должно получиться следующее: «YtGjDcHjGhLt<j!24». получен еще один сложный пароль.

4. Возьмите сложное слово, которое вы помните, но чтобы это слово не часто использовалось в разговорной речи. Например, возьмем слово, которое стыдно не знать, а именно название вулкана, который извергался в Исландии в 2010 году, а именно: Эйяфьядлайёкюдль. В этом слове 16 букв, поэтому вставим после 8-й буквы год события, т.е. 2010 и напишем все слова, как и в предыдущих примерах на английской раскладке. Получим следующий сложный пароль: «”qzamzlk2010fq`r.lkm».

Разных интересных сценариев можно еще придумать очень много. Самое главное то, что такие пароли не сложно запомнить и они считаются сложными.

Проверить сложность созданного пароля можно многими способами. Например, у компании Microsoft есть средство проверки паролей, которое позволит вам узнать, насколько надежным получился сгенерированный вами пароль. Для этого перейдите на страницу средства проверки паролей и в соответствующем текстовом поле введите свой пароль. Вы сразу получите уведомление, в котором будет указан тип сложности вашего пароля. Пример этого средства показан на следующей иллюстрации:

Заключение

В этой статье было рассказано о методах взлома пользовательских паролей, а также о том, как можно создать сложный для взлома пароль, но который будет довольно простым для запоминания. Я надеюсь, что при помощи указанных в этой статье четырех простых примеров у вас получится научить своих пользователей следить за сохранностью своих данных и создавать сложные пароли. А какие сценарии для генерирования сложных паролей применяете Вы?



Взломай это: Как подобрать надежные пароли и сохранить их такими

Если что-то и ассоциируется у людей с современными технологиями, так это пароли. Они повсюду, и большинство из нас ежедневно использует их для десятков дел. Тем не менее, большинство людей поразительно безразличны к безопасности своих паролей. Большинство из нас, вероятно, знает кого-то, кто использует один и тот же пароль для всего , от своего компьютера и электронной почты до своих учетных записей в Facebook и банковских счетов, и этот пароль может быть чем-то столь же очевидным, как их день рождения или название улицы, на которой они выросли. И мы также, вероятно, знаем кого-то, у кого на боковой панели монитора есть наклейка с надписью «Пароли» (выделена красным цветом, с двойным подчеркиванием) со списком всего, от Twitter до Netflix, просто лежащего на открытом воздухе для любого, кто может его прочитать.

Эти методы могут звучать как что-то из поколения наших бабушек и дедушек, но это не совсем так: на прошлой неделе я наблюдал, как полноправный представитель поколения D пытался перейти с Samsung Galaxy S (эм, Fascinate) на HTC Rezound через свой ноутбук. Как он перемещал все свои пароли? У него в кошельке была бумажка со «всеми его паролями» — и под всеми он подразумевал три. Один для электронной почты и социальных сетей, один для электронной почты его двоюродной бабушки («Я проверяю его для нее») и еще один для всего остального. Глядя через плечо, все три были обычными словами: мофандл, бормотание, и лилиан. Угадайте, что принадлежало его тете?

К счастью, есть простые способы сделать пароли трудными для угадывания и легкими для запоминания. К сожалению, технологическая индустрия иногда мешает их использованию. Вот краткое изложение распространенных слабых мест в паролях и некоторые способы улучшить ваши пароли и вашу безопасность в Интернете.

Неясность против сложности

Распространенная истина о паролях состоит в том, что они должны никогда не легко угадать. Большинство технически подкованных людей согласны с тем, что никто не должен использовать информацию о себе в качестве пароля: это включает в себя дни рождения, адреса и имена друзей и членов семьи (включая родителей, братьев и сестер, супругов, детей и даже домашних животных). Точно так же пароль делает исключительно плохой пароль — как и все другие часто используемые одноразовые пароли.

Этот вечнозеленый совет часто интерпретируется как означающий, что пароли должны быть неясными, или термином, который никто никогда бы не подумал, что вы бы выбрали, будь у них миллион лет. Да, неясность может сработать — и это чертовски лучше, чем подбор очевидного пароля. Однако малоизвестный пароль защищает вас только от людей, которые что-то о вас знают. Скорее всего, большинство людей пытаются взломать ваши пароли не знаю тебя.

В большинстве случаев взлом паролей происходит не так, как это изображают в фильмах, где Наш Герой (или Злодей) сидит за клавиатурой, пробует одну-две фразы, трет подбородок, а затем подсматривает детскую фотографию на столе. Ага! Введите волшебное слово и вуаля, безопасность обойдена. В реальном мире подавляющее большинство взломов паролей автоматизировано, когда компьютеры буквально бросают каждое слово в словаре (а затем и некоторые) в систему в надежде наткнуться на правильный термин. Такой подход может работать, потому что компьютеры могут пробовать пароли намного быстрее, чем люди могут их набирать, и они могут работать 24 часа в сутки, семь дней в неделю, без перерывов на туалет. Автоматические взломщики паролей ничего не знают о пользователях, которых они пытаются скомпрометировать: это метод грубой силы.

Итак, оказывается, что ключом к надежному паролю является не его неизвестность , а его сложность — то, что снижает вероятность его угадывания автоматическим взломщиком паролей. Тем не менее, чтобы создать хороший сложный пароль, нужно немного знать, как пароли взламываются.

Взлом паролей

В общих чертах у взломщиков паролей обычно есть два подхода. Один из них — буквально попробовать предварительно составленный список возможных паролей. Обычно они начинаются с очень распространенных паролей (например, пароль или qwerty ) и перейти к менее распространенным терминам и, в конечном итоге, использовать список слов, составленный из онлайн-словаря и других источников. Этот подход с большей вероятностью найдет пароли, которые являются допустимыми словами или их вариантами, даже если они неясны.

Еще один подход к взлому пароля состоит в том, чтобы попробовать допустимые последовательности букв, цифр и символов, независимо от их значения. Взломщик паролей, использующий этот подход, может начинаться с aaaaaaaa для восьмисимвольного пароля, затем попробуйте aaaaaaab , затем aaaaaaac и так далее вверх по алфавиту, чередуя прописные и строчные буквы и добавляя цифры и символы. Этот подход с большей вероятностью найдет пароли, которые «удобны для машины» или сгенерированы случайным образом. Такой пароль, как 4De78Hf1 , найти таким образом не сложнее, чем подростка .

Итак, какова вероятность того, что пароль будет угадан? В настоящее время большинство систем позволяют пользователям создавать пароли с использованием букв (верхнего и нижнего регистра), цифр и набора символов. Допустимые символы часто различаются в зависимости от системы (некоторые разрешают почти все, другие — только несколько), но для наших целей давайте предположим, что это означает, что каждый символ в пароле может быть одним из примерно 80 значений — два алфавита по 26 букв в каждом, десять цифр, и 18 символов. (Теоретически для каждого символа должно быть доступно не менее 127 значений, но на практике это число меньше.)

При использовании метода полного перебора это означает, что для случайного подбора односимвольного пароля потребуется не более 80 попыток. Пароль из четырех символов может потребовать более 40 миллионов попыток (80 × 80 × 80 × 80 = 40 960 000), а пароль из восьми символов — более 1,6 квадриллиона (1 677 721 600 000 000).

Если бы взломщик паролей мог угадывать 1000 раз в секунду, ему потребовалось бы около месяца, чтобы запустить все комбинации четырехсимвольного пароля, и более 53 000 лет для запуска всех комбинаций 8-символьного пароля. Это кажется довольно безопасным, верно?

Ну, не совсем. С чисто статистической точки зрения, у взломщика есть 50/50 шансов найти пароль в раза вдвое меньше . Что еще более тревожно, у людей, занимающихся взломщиками паролей, есть и другие способы улучшить свои шансы. Помните, как пароль был одним из худших паролей? Угадайте, что также является очень плохим паролем? Passw0rd, , заменяя букву O цифрой ноль. Пока взломщики паролей извлекают свои общие слова из словаря, они также пробуют распространенные варианты этих слов, заменяя нули на O, знаки @ и 4 на A, 3 на E, 1 и ! для I, 7 для T, 5 для S и так далее. Точно так же 0qww294e — ужасный пароль — это просто пароль , сдвинутый на одну строку вверх на стандартной английской клавиатуре. Эти методы основаны на предпочтениях пользователей в отношении легко запоминающихся паролей. К сожалению, заменяя (или используя заглавные буквы) один или два символа в легко запоминающемся термине, люди в основном делают свои пароли более неясными, но не намного более безопасными. На самом деле типичные выбранные пользователем восьмисимвольные пароли со смешанным регистром, числами и символами обычно имеют только около 30 бит энтропии, или немногим более миллиарда возможных комбинаций. Почему? Потому что список терминов, на которых люди основывают свои пароли, намного меньше, чем общее количество возможных комбинаций букв, цифр и символов.

Как быстро можно взломать пароли? Попытка ввести 1000 паролей в секунду может показаться невозможной — в конце концов, большинство сервисов, как правило, блокируют нас от наших собственных учетных записей, если мы неправильно вводим пароль три или четыре раза, часто сбрасывая пароль и требуя от нас ответа на контрольные вопросы, чтобы создать новый. Эти приемы «шлюза» улучшают безопасность учетной записи и, кстати, также являются отличным ослепляюще простым способом раздражать людей. (Я не могу сказать вам, сколько раз мне блокировали доступ к моей учетной записи iTunes из-за взлома паролей, но, вероятно, больше сотни.)

Однако злоумышленники, намеревающиеся взломать пароли, не стучатся в переднюю дверь службы и не пытаются (буквально) миллионы раз войти в одну и ту же учетную запись. Они либо используют менее общедоступные методы аутентификации, которые не подлежат блокировке (например, частный API для партнеров или приложений), распространяют свои атаки на широкий круг учетных записей, чтобы избежать периодов блокировки, либо (в лучшем случае) применяют пароль. методы взлома украденных паролей. Большинство систем шифруют данные паролей, которые они хранят, но эти зашифрованные файлы настолько же безопасны, как и сама система. Если злоумышленники могут получить доступ к зашифрованному файлу паролей (для начала, через дыру в системе безопасности, скомпрометированную машину или социальную инженерию), они могут очень быстро атаковать его, как только он окажется в их собственных системах. Вот почему истории о злоумышленниках, получающих информацию об учетной записи (таких как Stratfor, Epsilon, Sony и Zappos), вызывают беспокойство. После того, как зашифрованные данные будут извлечены, злоумышленники могут применить гораздо более мощные инструменты, чтобы взломать их.

В реальном мире это означает, что цифра в 1000 паролей в секунду крайне консервативна. Типичное настольное вычислительное оборудование в наши дни может проверять миллиона паролей в секунду на соответствие обычным технологиям шифрования. Точно так же в настоящее время существуют инструменты для взлома паролей, использующие графические процессоры, и операторы криминальных ботнетов также занимаются взломом паролей. Они могут распределить рабочую нагрузку между тысячами компьютеров. Объедините эту грубую мощь с изощренной эвристикой (например, попробуйте варианты цифр и букв в общих словах), и нет ничего необычного в том, чтобы взломать типичный восьмизначный пароль пользователя менее чем за полчаса.

Выстрел себе в ногу

Выше мы отметили, что восьмисимвольный пароль с прописными и строчными буквами, цифрами и символами может иметь более квадриллиона возможных комбинаций, но большинство восьмисимвольных паролей, используемых сегодня, попадают в пул всего около миллиарда комбинаций. Это потому, что люди не машины. Если компьютеру достаточно использовать в качестве пароля tortoise или Y&4nS0\2 , угадайте, какой из них легче запомнить человеку? Теперь угадайте, какой из них более безопасный.

Некоторые системы реализуют требования к паролям, призванные гарантировать, что пользователи не используют легко взломанные пароли. Обычный подход заключается в том, чтобы пароли пользователей содержали по крайней мере одну заглавную букву, одну цифру, один символ и имели длину не менее восьми символов. (Некоторые системы не предъявляют требований, но предлагают показатель «надежности пароля» как меру того, насколько эффективным, по их мнению, может быть пароль. ) Некоторые системы также требуют, чтобы пользователи меняли свои пароли время от времени (скажем, каждые 30 или 45 дней) и предотвратить повторное использование паролей.

Такие требования и повышают безопасность паролей, но они также значительно усложняют запоминание паролей. Это означает, что значительная часть пользователей сразу же придумает способы подорвать безопасность системы для собственного удобства. Конечно, некоторые люди могут справиться с такими паролями, как 9.3nDs(# ), но многие другие люди будут реагировать на загруженные паролем стикеры по бокам мониторов, заметки в своих кошельках или документ Microsoft Word на своем рабочем столе. удобно помечены как «Пароли», чтобы при необходимости их можно было копировать и вставлять. Требования к созданию паролей также имеют тенденцию снижать производительность и увеличивать расходы на поддержку (как для сотрудников, так и для клиентов), поскольку больше людей забывают свои пароли или блокируют свои учетные записи. , требующее ручного вмешательства.

Создание сложных паролей

Святым Граалем паролей может показаться сложный пароль, достаточно сложный для того, чтобы взломать его с помощью автоматизированных методов, но достаточно простой, чтобы помнить, что пользователи не ставят под угрозу безопасность, храня или управляя ими небезопасно.

Вот несколько советов по созданию сложных, легко запоминающихся паролей:

  • Используйте длинные пароли. Если у восьмизначного пароля может быть 1,6 квадриллиона возможных комбинаций, представьте, сколько может быть у 16-значного пароля? (около 2,8 нонмиллиона, или 2,8 30 .) Однако, что, возможно, более важно, набор значений для 16-значного пароля с использованием общих терминов и вариантов составляет чуть менее 1,2 квинтиллиона, тогда как для восьмизначного пароля он был чуть более миллиарда. Использование более длинных паролей — это самый простой способ сделать пароли более сложными и безопасными.
  • Используйте комбинированные слова. Как сделать длинные пароли легко запоминающимися? Одним из распространенных методов является использование серии из трех-пяти простых, не связанных друг с другом терминов. Как правило, их так же легко запомнить, как и PIN-коды; когнитивно люди склонны запоминать целые слова как отдельные единицы. Однако эти пароли могут быть очень сложными, по крайней мере, с точки зрения взлома паролей. И эти пароли легко составить, просто осмотревшись или перевернув книгу на случайную страницу. Взглянув налево в окно, я вижу игрушечную лягушку, машину и окно чьей-то кухоньки. Новый пароль: FrogHubcapCupboard — это 18 символов, но нужно запомнить только три слова. Справа: RunnerCameraGlueString — четыре коротких слова, 22 символа. Я использовал заглавные буквы только для разделения слов. Добавление дополнительных символов или замен может увеличить сложность — просто не усложняйте пароль настолько, чтобы не стать жертвой слабости сложных паролей.
  • Используйте фразы или тексты песен. Другой способ создания длинных паролей — использование частей фраз или текстов песен. Что касается текстов, относительно распространенные песни, возможно, лучше, чем особенно важные для вас: опять же, вы не хотите, чтобы люди, которые хорошо вас знают, могли угадать ваши пароли только потому, что вы большой поклонник Майкла Болтона (или нет). . Примеров паролей, составленных из фаз или текстов песен, может быть 9.0003 You’reNoJackKennedy (19 символов), iShotaManinReno (15 символов), impeepinandimcreepin (20 символов).
  • Использовать мнемонику. Недостатком длинных паролей является сложность их ввода, особенно на мобильном устройстве. Еще один трюк, который некоторые люди находят полезным для создания сложных коротких паролей, — это использование первого символа каждого слова во фразе или тексте. «Сколько дорог должен пройти человек» может стать HmrmamwD — всего восемь символов, но относительно сложный с точки зрения программы для взлома паролей. Точно так же фраза «Встряхни, встряхни, как полароид» может стать SiSiLapp  — может быть, не очень хорошо, но лучше, чем черепаха . Этот трюк также может помочь создать хорошие пароли для систем, в которых все еще есть ограничение на длину паролей.

Эти рекомендации в целом помогут вам придумывать простые для запоминания сложные пароли. Конечно, при работе с системами паролей с требованиями к составу (имеется в виду, что они предполагают смешанный регистр, числа или символы), вам все равно придется придумывать необычные варианты паролей, чтобы выполнить эти требования. Просто помните, что с более длинными паролями вы можете делать замены и изменения в очевидных местах — обычно такие длинные пароли легче запомнить даже с требованиями, чем короткие бессмысленные пароли.

Еще несколько советов

Что еще нужно учитывать при выборе паролей:

  • Используйте отдельные пароли для отдельных служб. Не используйте пароль социальной сети для онлайн-банкинга. Если пароль на одном сервисе скомпрометирован, остальные должны быть в безопасности.
  • Тщательно выбирайте важные пароли. Системы единого входа могут быть чрезвычайно удобными, но они также создают единую точку отказа для нескольких служб. Примерами могут служить пароли к учетным записям в службах Google, Yahoo и Microsoft, где один взломанный пароль может дать кому-то доступ к электронной почте, документам, изображениям, социальным сетям, блогам, библиотекам фотографий, спискам контактов, адресным книгам и многому другому. Точно так же с таким количеством сайтов (даже Digital Trends ), принимающих входы в Facebook и Twitter, скомпрометированный пароль социальной сети может иметь далеко идущие последствия.
  • Смените свои пароли. Заманчиво думать, что если один из ваших паролей будет взломан, вы сразу узнаете: ваша электронная почта исчезнет, ​​ваш блог станет набором лулз-графики, ваш список подарков Amazon может быть заполнен неловкими вариантами, ваша учетная запись PayPal может быть убрано. Однако это не всегда так: если кто-то взломает ваш пароль, явного признака может не быть, по крайней мере, не сразу. Регулярно меняя свой пароль, вы гарантируете, что даже если кто-то взломает, его окно возможности использовать вас будет ограничено. Частота смены паролей зависит от того, как вы пользуетесь онлайн-сервисами. Для всего, что связано с реальными деньгами, я обычно рекомендую пользователям менять свои пароли каждые 30-90 дней — чем больше денег, тем чаще.

Ни один пароль не является безопасным

Возможно, самое важное, что нужно помнить о паролях, это то, что любой пароль может быть взломан: вопрос лишь в том, сколько времени и усилий кто-то готов потратить на это. Приведенные здесь советы помогут снизить вероятность того, что ваши пароли будут взломаны случайными злоумышленниками и даже друзьями и родственниками, но ни один пароль не является полностью безопасным. Если безопасный доступ к службе очень важен для вас, рассмотрите возможность изучения различных форм многофакторной аутентификации, чтобы еще больше снизить вероятность несанкционированного доступа.

Изображение предоставлено: Shutterstock / jamdesign / Татьяна Попова / Педро Мигель Соуза

Рекомендации редакции
  • Лучшие предложения Adobe Photoshop на декабрь 2022 г.

  • Резюме Reddit: как увидеть свой год Reddit 2022 в обзоре

  • Google, возможно, только что исправила самую досадную проблему Chrome

  • Как использовать новую функцию сообществ в Microsoft Teams

  • Лучшие VPN-сервисы 2022 года: лучший выбор на сегодняшний день

Как создать пароль, который легко запомнить и сложно подобрать

Взлом, мошенничество, мошенничество, кража личных данных. Эти слова звучат во всех новостях и, к сожалению, затронули миллионы людей. К сожалению, в ближайшее время эти преступления не исчезнут. Поэтому блог на этой неделе будет посвящен другому способу защитить себя.

Вы когда-нибудь задумывались о том, насколько надежны ваши пароли? Вам следует. Пароли жизненно важны для защиты ваших домашних компьютеров, а также ваших банковских счетов и кредитных карт. Из-за этого пароли могут вызвать изрядное беспокойство, если вам нужно запомнить так много из них.

Один из способов решить эту дилемму — разработать метод/схему создания паролей, которые легко запомнить, но трудно угадать другим. Вот лишь несколько советов по разработке пароля.

  • Используйте схему паролей, которая содержит символы, одинаковые для всех ваших паролей, с другими символами, уникальными для сайта, на который вы входите. Например, если вы любите собак и используете символ акций (или какой-либо другой способ представить компанию), вы можете придумать пароль для Yahoo, который будет «yhoodog2015».
  • Используйте кодовую фразу и превратите ее в пароль. «Кока-кола и улыбка» может быть «aCokeAndaSmile».
  • Создайте составное слово, используя пару маленьких слов. «Моя собака Оди» может стать «Моей собакой Оди».
  • Возьмите слово или фразу и удалите из нее гласные. «Лети как орел» становится «flylkngl».
  • Выберите запоминающееся слово или имя, а также число той же длины, что и слово, и смешайте их. «Кеннеди» плюс «1234567» теперь «K1e2n3n4e5d6y7».

В дополнение к этим предложениям всегда рекомендуется смешивать буквы верхнего и нижнего регистра в пароле и добавлять в пароль специальные символы (например, @, $, ! и т. д.), чтобы его было труднее угадать или взломать. . Просто делайте это так, чтобы вам было легко запомнить, например, заменяя каждую букву S на $ или 5. Чтобы сделать ваш пароль еще более надежным, помните, что чем длиннее, тем лучше

В приведенной ниже таблице лучше показано, как эти методы могут повысить пароль. В нем перечислены различные пароли и время, необходимое хакеру для их взлома.

Пароль Время взломать Способ усиления
Пароль < 1 секунды Нет метода
P@55w0rd 3 дня Замена букв символами и цифрами
wbmidog01 7 часов Представительство компании, слово и номер
Wbmidog01 39 дней То же, что и выше, но добавлена ​​заглавная буква
1Xa5jK@9# 275 дней Случайный 9-символьный пароль
Du4*fB9$0т 58 лет Случайный пароль из 10 символов
T4@nk$J04n@bil 2 миллиарда лет Использование смешанного регистра и замена букв цифрами и специальными символами.

Imacros | Все права защищены © 2021