Як створити та запам'ятати надійний пароль. Вигадуємо стійкий до злому пароль. Практичні рекомендації Правильно генеруємо пароль

Багато сайтів намагаються допомогти користувачам встановити складніші паролі. Для цього встановлюють базові правила, які вимагають зазвичай вказати хоча б одну велику літеру, одну малу літеру, одну цифру і так далі. Правила зазвичай примітивні на кшталт таких:

"password" => [ "required", "confirmed", "min:8", "regex:/^(?=\S*)(?=\S*)(?=\S*[\d]) \S*$/", ];
На жаль, такі прості правила означають, що пароль Abcd1234 буде визнаний хорошим і якісним, як і Password1 . З іншого боку пароль mu-icac-of-jaz-doad не пройде валідацію.

Ось перші два паролі.

А ось два паролі, які не пройдуть перевірку на надійність.

Що ж робити? Може, не варто примушувати до використання спецсимволів і впроваджувати нові правила, на кшталт заборони на повтор декількох символів поспіль, використання не одного, а двох-трьох спецсимволів і цифр, збільшення мінімальної довжини пароля і т.д.

Замість цього досить зробити просту річ - просто встановити обмеження на мінімальну ентропіюпароля, і все! Можна використовувати для цього готовий оцінювач zxcvbn.

Є й інші рішення, окрім zxcvbn. Буквально минулого тижня на конференції з безпеки ACM Computer and Communications Security було представлено наукову роботу (pdf) фахівців з безпеки з науково-дослідного підрозділу Symantec Research та французького дослідницького інституту Eurecom. Вони розробили нову програмудля перевірки надійності паролів, яка оцінює приблизно необхідних спроб брутфорсу, використовуючи метод Монте-Карло . Пропонований спосіб відрізняється тим, що вимагає мінімальну кількість обчислювальних ресурсів на сервері, підходить для великої кількості імовірнісних моделей і водночас досить точний. Метод перевірили на паролях з бази 10 млн. паролів Xato, які лежать у відкритому доступі (копія на Archive.org) - він показав гарний результат. Правда, це дослідження Symantec Research і Eurecom носить швидше теоретичний характер, принаймні свою програму вони не виклали в відкритий доступу будь-якому прийнятному вигляді. Проте сенс роботи зрозумілий: замість евристичних правил перевірки паролів веб-сайтам бажано впровадити перевірку на ентропію.

Аналізатор паролів SeaMonkey

Цей аналізатор паролів розроблений як частина проекту SeaMonkey – вільного набору програм для роботи в Internet, створеного та підтримуваного організацією Seamonkey Council, яка виділилася з Mozilla Foundation. Сам механізм аналізу пароля є частиною. Алгоритм його полягає у обчисленні ваги пароля, що грунтується на даних про символи, у тому числі цей пароль складено. Вага пароля обчислюється за такою формулою:
pwstrength= ((pwlength * 10) - 20) + (numeric * 10) + (numsymbols * 15) + (upper * 10) , де

• pwlengthдорівнює 5, якщо кількість символів у паролі більше 5, або дорівнює довжині пароля;
• numericдорівнює 3, якщо кількість цифр у паролі більше 3, інакше - дорівнює кількості цифр;
• numsymbolsвважається рівним 3, якщо число символів у паролі, відмінних від букв, цифр та знаків підкреслення, більше 3, інакше – кількості таких символів;
• upperодно 3, якщо кількість літер у верхньому регістрі більше 3, або кількості великих літер або.

Після обчислення вага пароля нормується таким чином, щоб значення його полягало в інтервалі від 0 до 100. Нормування проводиться в тому випадку, коли значення ваги не потрапляє в цей діапазон. У разі коли pwstrengthменше 0, значення pwstrengthприрівнюють до нуля, а коли більше 0, значення ваги встановлюють рівним 100. Ранжування пароля за ступенем стійкості залишено на розсуд розробників, що використовують бібліотеку.
Як видно, описаний аналізатор не використовує жодних перевірок з використанням словників, що робить його оцінки дещо односторонніми, і, ймовірно, менш точними в порівнянні з програмами від Google та Microsoft, розглянутими вище.

Password Strength Meter (jQuery plugin)

Ще одним варіантом оцінювача пароля, що працює на клієнтській стороні, є Password Strength Meter () – плагін, розроблений для JavaScript фреймворку jQuery.
Процедура оцінки працює в такий спосіб. Відомо безліч якостей, маючи які пароль збільшує або зменшує свою стійкість до підбору. Кожна така якість має свою строго певну вагу. Алгоритм полягає в поетапній перевірці наявності у пароля цих якостей і, у разі їх присутності відбувається збільшення сумарної ваги пароля, за величиною якого після перегляду всіх параметрів робиться висновок про рівень стійкості пароля.
Розглянемо повний алгоритм процедури оцінки пароля:

1. Вага пароля встановлюється рівним нулю.
2. Якщо довжина пароля менше 4 символів, то робота алгоритму закінчується і повертається результат "надто короткий пароль". Інакше переходимо до кроку 3.
3. Вага пароля збільшуємо на величину 4* len, де len- Довжина пароля.
4. Здійснюється спроба стиснення пароля по наступного алгоритму. Якщо в паролі зустрічається рядок виду SS, де S– рядок довжини 1, то перша частина цього підрядка видаляється і стиснення продовжується з позиції початку другої частини цього підрядка. Наприклад, застосовуючи цей алгоритм до рядка aaabbcab, на виході отримаємо рядок abcab. Після виконання операції стиснення вага пароля зменшується на величину len - lenCompress, де len- Довжина пароля, а lenCompress- Довжина пароля після стиснення.
5. Проводяться спроби стиснення пароля для випадків рядків Sдовжиною 2, 3 та 4 символів. Вага пароля зменшується аналогічно величині len - lenCompress. Зазначимо, що стиснення щоразу проводиться на паролі, а не рядках, отриманих на попередніх спробах.
6. Якщо пароль містить щонайменше 3 цифр, то збільшити вагу на 5.
7. Якщо пароль містить щонайменше 2 знаків, то збільшити вагу на 5.
8. Якщо пароль містить літери як у верхньому так і нижньому регістрах, то збільшити вагу пароля на 10.
9. Якщо пароль містить літери та цифри, то збільшити вагу пароля на 15.
10. Якщо пароль містить знаки та цифри, то збільшити вагу на 15.
11. Якщо пароль містить букви та знаки, то збільшити вагу на 15.
12. Якщо пароль складається лише з літер або лише з цифр, зменшити вагу пароля на 10.
13. Якщо вага пароля менша за 0, то встановити його рівним 0. Якщо більше 100, то встановити рівним 100.
14. Пароль, вага якого менше 34, визнається "слабким". Якщо вага від 34 до 67, то пароль належить до категорії “хороший”, і якщо понад 67, то пароль вважається “відмінним”.

Розглянутий аналізатор, як і продукт від SeaMonkey, не проводить перевірку пароля за будь-яким словником. До того ж залишається відкритим питання про обґрунтованість вибору тих чи інших значень вагових коефіцієнтів для формування оцінки пароля.
Доступна , що демонструє можливість цього плагіна.

Cornell University - Password Strength Checker

Офіційний on-line сервіс, що надається центром безпеки Корнельського університету (Ітака, США). За його допомогою користувачі можуть перевірити свій пароль, заповнивши веб-форму та відправивши його на перевірку. Оцінка пароля, як і у випадку з сервісом Google, Виконується на стороні сервера.
Реалізація алгоритму не розкрита для загального доступу, проте в описі сервісу вказані вимоги, яким має задовольняти пароль, щоб перевірка пройшла успішно:

1. пароль повинен мати довжину щонайменше 8 символів;
2. під час упорядкування пароля використовуються символи принаймні трьох алфавітів з наступного списку:
   • великі латинські літери
   • малі латинські літери
   • цифри
   • спеціальні знаки (такі як! * () : |)
3. пароль не повинен містити слова зі словника;
4. пароль не повинен містити послідовностей повторюваних літер (наприклад, ААА) та послідовностей виду abc, qwerty, 123, 321.

Ці вимоги повинні виконуватися. Якщо хоча б якась вимога не виконується, пароль визнається ненадійним.
До такого підходу можна зробити таке критичне зауваження. Так пароль довільно великої довжини, наприклад, якась пропозиція природною мовою, не задовольнятиме умові №3, що автоматично забезпечить паролю низьку оцінку, хоча це, можливо, і не зовсім виправдано.

Password Strength Tester

JavaScript аналізатор паролів, який розробляється та підтримується в рамках проекту Rumkin.com.
Алгоритм оцінки, реалізований у даному аналізаторі, ґрунтується на загальних положеннях теорії інформації. Як основна оцінка пароля використовується його ентропія, обчислення якої проводиться з використанням таблиць диграм для англійської мови.
Під ентропією (інформаційної ємністю) пароля розуміється міра випадковості вибору послідовності символів, що становлять пароль, оцінена методами теорії інформації.
Інформаційна ємність Eвимірюється в бітах і характеризує стійкість до підбору пароля методом повного перебору за умови відсутності апріорної інформації про характер пароля та застосування зловмисником оптимальної стратегії перебору, при якій середня очікувана кількість спроб до настання вдалої дорівнює 2 E-1. За твердженням творця цього оцінювача з метою зменшення об'єму інформації, що завантажується на клієнтську сторону, всі небуквенні символи були об'єднані в одну групу. Ця група виступає якимось універсальним символом, який і використовується у частотній таблиці. Як зазначає розробник, при цьому припущенні значення ентропії, що отримується, буде менше, ніж у випадку, коли в частотній таблиці всі символи представлені окремо.
Залежно від отриманого значення ентропії паролю надається відповідна характеристика його стійкості.

Ентропія

Рівень стійкості

Більшість зловмисників не заморочуються із витонченими методами крадіжки паролів. Вони беруть комбінації, що легко вгадуються. Близько 1% всіх існуючих на даний моментпаролів можна підібрати із чотирьох спроб.

Як таке можливо? Дуже просто. Ви пробуєте чотири найпоширеніші у світі комбінації: password, 123456, 12345678, qwerty. Після такого проходу в середньому відкривається 1% усіх «скриньок».

Допустимо, ви потрапляєте в ті 99% користувачів, чий пароль не такий простий. Навіть у такому разі необхідно зважати на продуктивність сучасного програмного забезпеченнядля злому.

Безкоштовна програма John the Ripper, що знаходиться у вільному доступі, дозволяє перевіряти мільйони паролів за секунду. Окремі зразки спеціалізованого комерційного ПЗ заявляють про потужність 2,8 мільярда паролів на секунду.

Спочатку програми для злому проганяють список зі статистично найпоширеніших комбінацій, а потім звертаються до повного словника. З часом тенденції користувачів у виборі паролів можуть змінюватися, і ці зміни враховуються при оновленні таких списків.

Згодом всілякі веб-сервіси та програми вирішили примусово ускладнити паролі, створювані користувачами. Додалися вимоги, згідно з якими пароль повинен мати певну мінімально довжину, містити цифри, верхній регістр та спеціальні символи. Деякі послуги поставилися до цього настільки серйозно, що вигадувати пароль, який прийняла система, доводиться реально довго і нудно.

Ключова проблема в тому, що практично будь-який користувач не генерує дійсно стійкий до підбору пароль, а намагається щонайменше задовольнити вимоги системи до складу пароля.

В результаті виходять паролі в стилі password1, password123, Password, PaSsWoRd, password! і неймовірно непередбачуваний [email protected]

Уявіть, що потрібно переробити пароль spiderman. З великою ймовірністю він набуде вигляду на кшталт $pider_Man1. Оригінально? Тисячі людей змінять його за таким же, або дуже схожим алгоритмом.

Якщо зломщик знає ці мінімальні вимоги, ситуація лише посилюється. Саме з цієї причини нав'язана вимога до ускладнення паролів далеко не завжди забезпечує кращу, а найчастіше створює хибне почуття підвищеної захищеності.

Чим легший пароль для запам'ятовування, тим ймовірніше його потрапляння до словників програм-зломників. У результаті виходить так, що дійсно надійний пароль просто неможливо запам'ятати, а значить, його потрібно .

На думку експертів, навіть у нашу епоху цифрових технологій люди, як і раніше, можуть покладатися на аркушик паперу із записаними на ньому паролями. Такий лист зручно тримати у прихованому від сторонніх очей місці, наприклад у гаманці чи гаманці.

Втім, лист із паролями не вирішує проблему. Довгі паролі важко пам'ятати, а й вводити. Ситуацію посилюють віртуальні клавіатури мобільних пристроїв.

Взаємодіючи з десятками сервісів та сайтів, багато користувачів залишають за собою низку ідентичних паролів. Вони намагаються використовувати той самий пароль для кожного сайту, повністю ігноруючи ризики.

В даному випадкуДеякі сайти виступають у ролі няньки, змушуючи ускладнювати комбінацію. В результаті користувач просто не може, яким чином йому довелося змінити свій стандартний пароль для даного сайту.

Масштаб проблеми вдалося повністю усвідомити у 2009 році. Тоді через дірку в безпеці хакеру вдалося вкрасти базу логінів та паролів RockYou.com – компанії, що видає ігри на Facebook. Зловмисник помістив базу у відкритий доступ. Усього в ній містилося 32,5 мільйона записів з іменами користувачів та паролями до облікових записів. Витіки траплялися і раніше, але масштабність цієї події показала картину цілком.

Найпопулярнішим паролем на RockYou.com виявилася комбінація 123 456. Її використали майже 291 000 людей. Чоловіки до 30 років частіше віддавали перевагу сексуальній тематиці та вульгарності. Більш дорослі люди обох статей часто зверталися до тієї чи іншої сфери культури під час вибору пароля. Наприклад, Epsilon793 здається не таким поганим варіантом, ось тільки ця комбінація була в Star Trek. Семизначний 8675309 зустрічався багато разів, тому що цей номер фігурував в одній із пісень Tommy Tutone.

Насправді створення надійного пароля – завдання просте, досить скласти комбінацію із випадкових символів.

Ви не зможете створити ідеально випадкову комбінацію в математичному розумінні у своїй голові, але від вас це не потрібно. Існують спеціальні сервіси, що генерують справді випадкові комбінації. Наприклад, random.org може створювати такі паролі:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Це просте та витончене рішення, особливо для тих, хто використовує для зберігання паролів.

На жаль, більшість користувачів продовжують використовувати прості ненадійні паролі, ігноруючи навіть правило «різні паролі для кожного сайту». Для них зручність коштує вищу, ніж безпека.

Ситуації, за яких пароля може бути під загрозою, можна розділити на 3 великі категорії:

• Випадкові, при яких пароль намагається дізнатися знайома вам людина, спираючись на відому інформацію про вас. Найчастіше такий зломщик хоче лише пожартувати, дізнатися щось про вас або підгадати.
• Масові атакиколи жертвою може стати абсолютно будь-який користувач тих чи інших сервісів. У разі використовується спеціалізоване ПЗ. Для атаки вибираються найменш захищені сайти, що дозволяють вводити варіанти пароля за короткий проміжок часу.
• Цілеспрямовані, що поєднують у собі отримання підказок (як у першому випадку) і використання спеціалізованого ПЗ (як при масовій атаці). Тут йдеться про спробу отримати справді цінну інформацію. Захиститися допоможе лише досить довгий випадковий пароль, на підбір якого піде час, який можна порівняти з тривалістю вашої .

Як бачите, жертвою може стати абсолютно будь-яка людина. Твердження типу «мій пароль не будуть красти, тому що я нікому я потрібен» не актуальні, тому що ви можете потрапити в подібну ситуацію зовсім випадково, збігаючи обставини, без жодних видимих ​​причин.

Ще серйозніше варто ставитися до захисту паролів тим, хто володіє цінною інформацією, пов'язаний з бізнесом або перебуває з кимось у конфлікті на фінансовому ґрунті (наприклад, поділ майна у процесі розлучення, конкуренція у бізнесі).

У 2009 році Twitter (в розумінні всього сервісу) був зламаний лише тому, що адміністратор використав як пароль слово happiness. Хакер підібрав його і розмістив на сайті Digital Gangster, що призвело до угону облікових записів Обами, Брітні Спірс, Facebook і Fox News.

Акроніми

Як і в будь-якому іншому аспекті життя, нам завжди доводиться шукати компроміс між максимальною безпекою та максимальною зручністю. Як знайти золоту середину? Яка стратегія створення паролів дозволить створювати надійні комбінації, які можна без проблем запам'ятати?

На даний момент найкращим поєднанням надійності та зручності є конвертація фрази або словосполучення у пароль.

Вибирається набір слів, який ви завжди пам'ятаєте, а паролем виступає комбінація перших літер з кожного слова. Наприклад, May the force be with you перетворюється на Mtfbwy.

Однак, оскільки як початкові будуть використовуватися найвідоміші, програми згодом отримають ці акроніми у свої списки. Фактично акронім містить лише літери, тому об'єктивно менш надійний, ніж випадкова комбінація символів.

Позбутися першої проблеми допоможе правильний вибірфрази. Навіщо перетворювати на пароль-акронім всесвітньо відомий вираз? Ви напевно пам'ятаєте якісь і висловлювання, які є актуальними лише серед вашого близького оточення. Припустимо, ви почули фразу, що дуже запам'ятовується, від бармена в місцевому закладі. Використовуйте її.

І все одно навряд чи згенерований вами пароль-акронім буде унікальним. Проблема акронімів у тому, що різні фрази можуть складатися зі слів, що починаються з однакових літер і розміщені в тій самій послідовності. Статистично у різних мовах спостерігається підвищена частотність появи певних літер як початківців слова. Програми врахують ці чинники, і ефективність акронімів у первісному варіанті знизиться.

Зворотний спосіб

Виходом може стати зворотний спосіб створення. Ви створюєте в random.org абсолютно випадковий пароль, після чого перетворюєте його символи в осмислену фразу, що запам'ятовується.

Часто сервіси та сайти дають користувачам тимчасові паролі, що являють собою ті самі випадкові комбінації. Ви захочете змінити їх, тому що не зможете запам'ятати, але варто трохи придивитися, і стає очевидним: пароль пам'ятати і не потрібно. Наприклад візьмемо черговий варіант з random.org - RPM8t4ka.

Хоч він і здається безглуздим, але наш мозок здатний знаходити якісь закономірності та відповідності навіть у подібному хаосі. Для початку можна помітити, що перші три літери в ньому великі, а наступні три - малі. 8 - це двічі (англійською twice - t) 4. Подивіться трохи на цей пароль, і ви обов'язково знайдете власні асоціації із запропонованим набором літер та цифр.

Якщо ви можете запам'ятовувати безглузді набори слів, використовуйте це. Нехай пароль перетвориться на revolutions per minute 8 track 4 katty. Підійде будь-яка конвертація, на яку краще «заточено» ваш мозок.

Випадковий пароль - це золотий стандарт в інформаційному. Він за визначенням кращий за будь-який пароль, придуманий людиною.

Мінус акронімів у тому, що згодом поширення такої методики знизить її ефективність, а зворотний метод залишиться настільки ж надійним, навіть якщо всі люди землі використовуватимуть тисячу років.

Випадковий пароль не потрапить до списку популярних комбінацій, а зловмисник, який використовує метод масової атаки, підбере такий пароль лише брутфорсом.

Беремо нескладний випадковий пароль, що враховує верхній регістр та цифри, - це 62 можливі символи на кожну позицію. Якщо зробити пароль лише 8-значним, то отримуємо 62^8 = 218 трильйонів варіантів.

Навіть якщо кількість спроб протягом певного часового проміжку не обмежена, саме комерційне спеціалізоване програмне забезпечення з потужністю 2,8 мільярда паролів в секунду витратить в середньому 22 години на вибір потрібної комбінації. Для впевненості додаємо в такий пароль лише 1 додатковий символ – і на його злом знадобляться вже багато років.

Випадковий пароль не є невразливим, тому що його можна вкрасти. Варіантів безліч, починаючи від зчитування введення з клавіатури та закінчуючи камерою за вашим плечем.

Хакер може вдарити по самому сервісу та дістати дані безпосередньо з його серверів. За такого розкладу від користувача нічого не залежить.

Єдина надійна основа

Отже, ми дісталися головного. Яку тактику з використанням випадкового пароля застосовувати у реальному житті? З погляду балансу та зручності добре покаже себе «філософія одного надійного пароля».

Принцип полягає в тому, що ви використовуєте ту саму основу - супернадійний пароль (його варіації) на найважливіших для вас сервісах і сайтах.

Запам'ятати одну довгу і складну комбінацію під силу кожному.

Нік Беррі, консультант з питань інформаційної безпеки, припускає застосування такого принципу за умови, що пароль дуже добре захищений.

Не допускається наявність шкідливого програмного забезпечення на комп'ютері, з якого ви вводите пароль. Не допускається використання цього пароля для менш важливих і розважальних сайтів - їм цілком вистачить більше простих паролів, оскільки злом акаунту тут не спричинить якихось фатальних наслідків.

Зрозуміло, що надійну основу потрібно якось змінювати для кожного сайту. В якості простого варіантави можете додавати на початок одну літеру, якою закінчується назва сайту чи сервісу. Якщо повернутися до випадкового пароля RPM8t4ka, то для авторизації в Facebook він перетвориться на kRPM8t4ka.

Зловмисник, побачивши такий пароль, не зможе зрозуміти, як генерується пароль до вашого облікового запису. Проблеми почнуться, якщо хтось отримає доступ до двох або більше ваших паролів, згенерованих таким чином.

Секретне питання

Деякі викрадачі взагалі ігнорують паролі. Вони діють від імені власника облікового запису та імітують ситуацію, коли ви забули свій пароль і хочете його з секретного питання. За такого сценарію він може змінити пароль за власним бажанням, а справжній власник втратить доступ до свого облікового запису.

2008 року хтось отримав доступ до електронної пошти Сари Пейлін, губернатора штату Аляска, а на той момент ще й кандидата в президенти США. Зломщик відповів на секретне запитання, яке звучало так: «Де ви познайомилися з чоловіком?».

Через 4 роки Мітт Ромні, який також був кандидатом у президенти США, втратив кілька своїх акаунтів на різних сервісах. Хтось відповів на секретне запитання про те, як звуть вихованця Мітта Ромні.

Ви вже здогадалися про суть.

Не можна використовувати як секретне питання і відповіді публічні дані, що легко вгадуються.

Питання навіть не в тому, що цю інформацію можна акуратно вивудити в інтернеті або наближених персони. Відповіді на запитання у стилі «кличка тварини», «улюблена хокейна команда» тощо прекрасно підбираються з відповідних словників популярних варіантів.

Як тимчасовий варіант можна використовувати тактику абсурдності відповіді. Якщо просто, то відповідь не повинна мати нічого спільного з секретним питанням. Дівоче прізвище матері? Димедрол. Прізвисько домашнього улюбленця? 1991.

Втім, подібний прийом, якщо знайде широке поширення, буде враховано у відповідних програмах. Абсурдні відповіді найчастіше стереотипні, тобто якісь фрази зустрічатимуться набагато частіше за інших.

Насправді немає нічого страшного в тому, щоби використовувати реальні відповіді, потрібно лише грамотно вибирати питання. Якщо питання нестандартне, а відповідь на нього відоме тільки вам і не вгадується з трьох спроб, то все гаразд. Плюс правдивої відповіді в тому, що ви не забудете її з часом.

PIN

Personal Identification Number (PIN) - найдешевший замок, якому довірені наші . Ніхто не турбується про те, щоб створити більш надійну комбінацію хоча б із цих чотирьох цифр.

А тепер зупиніться. Ось зараз. Прямо зараз, не читаючи наступний абзац, спробуйте вгадати найпопулярніший PIN-код. Готово?

За оцінками Ніка Беррі, 11% населення США використовує як PIN-код (там, де є можливість самому його змінити) комбінацію 1234.

Хакери не приділяють уваги PIN-кодам тому, що без фізичної присутності карти код марний (частково цим можна виправдати і невелику довжину коду).

Беррі взяв списки паролів, що з'являлися після витоків у мережі, і представляли собою комбінації з чотирьох цифр. З великою ймовірністю людина, яка використовує пароль 1967, вибрала його не просто так. Другий за популярністю PIN - це 1111, і 6% людей віддають перевагу такому коду. На третьому місці 0000 (2%).

Припустимо, що в людини, яка знає цю інформацію, в руках чиясь . Три спроби до блокування картки. Проста математика дозволяє підрахувати, що ця людина має 19% шансів вгадати PIN, якщо вона послідовно введе 1234, 1111 і 0000.

Напевно, з цієї причини абсолютна більшість банків задають PIN-коди до пластикових карт, що випускаються, самі.

Втім, багато хто захищає PIN-кодом смартфони, і тут діє такий рейтинг популярності: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 333, 6, 3, 6 2001, 1010.

Часто PIN є якийсь рік (рік народження або історична дата).

Багато хто любить робити PIN у вигляді повторюваних пар цифр (причому особливо популярні пари, де перша та друга цифри відрізняються на одиницю).

Цифрові клавіатури мобільних пристроїв виводять у топ комбінації на кшталт 2580 – для її набору достатньо зробити прямий прохід зверху вниз по центру.

У Кореї число 1004 року співзвучне слову «янгол», що робить цю комбінацію там досить популярною.

Підсумок

1. Зайдіть на random.org та створіть там 5–10 паролів-кандидатів.
2. Виберіть пароль, який ви зможете перетворити на фразу, що запам'ятовується.
3. Використовуйте цю фразу, щоб згадати пароль.

Вітаю!
Незважаючи на стрімкий розвиток технологій та поява альтернативних способіврозпізнавання власника, парольний захист не здає своїх позицій і залишається дуже популярним і досі.

Пароль перетворився на буденність і використовується для доступу до пристроїв та інтернет сервісів. І згодом їх стає лише більше. Ситуація, що склалася, в кінцевому підсумку, призводить до того, що користувачі починають використовувати один і той же пароль на використовуваних пристроях і сервісах.
Цей підхід дуже небезпечний і загрожує серйозними наслідками. Безсумнівно, скомпрометований пароль від соціальної мережіне несе таких наслідків, як пароль від платіжної системи. Але якщо вони будуть ідентичні, то ймовірність того, що доступ буде отриманий і до інших послуг, що використовуються дуже високий.
Щоб цього не сталося, паролі повинні бути складними (стійкими до перебору) та різними.

Принципи, що використовуються під час створення пароля

На більшості інтернет ресурсів існують мінімальні правила для встановлюваного пароля, яких часто недостатньо для створення дійсно складного пароля. Необхідно ще пам'ятати про те, що:

• Логін та пароль не повинен бути ідентичним
• Пароль не повинен складатися з особистої інформації (дата народження, телефон тощо)
• Пароль не повинен складатися виключно зі слів

Наприклад, щоб підібрати пароль, що складається з 6 цифр – необхідно перебрати лише 1 мільйон комбінацій. Сучасний комп'ютервпорається з цим завданням за лічені хвилини. З цієї ж причини не варто покладатися на паролі, що складаються виключно зі слів та їх поєднань. Такі паролі перебираються за допомогою словників популярних слів.

Не варто покладатися і на паролі, які складаються зі слів із додаванням цифр. Вони настільки ж схильні до злому, хоч на це і потрібно куди більше часу. Однак, у разі успішного зламування і зазнаних втрат у цьому зв'язку, навряд чи це матиме якесь значення.
Для кращого розуміння, який пароль є надійним, а який схильний до злому, варто звернутися до прикладів. Ці цифри були отримані за допомогою сервісу перевірки стійкості пароля.

• Дата народження 12071996 - 0,003 секунди
• Ім'я з великої літери Maksim та малої maksim – не більше півсекунди
• Поєднання, що складається з літер та цифр 7s3a8f1m2a – близько доби
• На перебір наступного поєднання vSA-DFRLLz – 1 рік
• Поєднання iu2374NDHSA)DD – 204 мільйони років

Останні два паролі демонструють дуже високу стійкість до злому. Робота зловмисника над зломом аналогічного за складністю пароля, швидше за все, закінчиться нічим.

Правильно генеруємо пароль

З теоретичною частиною ми розібралися, тепер перейдемо безпосередньо до створення стійкого і надійного пароля.
При створенні складного та стійкого пароля істотну роль відіграє людський фактор. Труднощі виникають насправді початковому етапі- Вигадування складного пароля, а після - його запам'ятовування. Адже комбінація розрізнених символів навряд чи схильна до швидкого запам'ятовування.
Із проблемою генерації стійкого пароля нам допоможуть он-лайн сервіси. Їх досить багато, з популярних російськомовних сервісів можна відзначити:
Passwordist.com
Online-Generators.ru
PassGen.ru
Працюють представлені послуги за одним принципом, від вас лише потрібно вказати які символи необхідно використовувати і вибрати довжину пароля, що генерується.
Окремою особливістю сервісу Passwordist.com можна відзначити можливість встановити кількість створюваних паролів і генерувати варіанти з кращою читабельністю за рахунок виключення схожих символів, наприклад, B і 8.

Зберігання паролів

Надійні паролі згенеровані, але це ще половина справи. Паролі потрібно правильно зберігати, щоб ніхто сторонній не отримав доступу.
У зв'язку з цим варіанти із записом в текстовий файлабо на стікер з наступним прикріпленням до монітора відразу відпадають.
Найкраще і вірніше довірити конфіденційну інформацію менеджеру паролів.

Серед популярних рішень можна відзначити програму KeePass. Ця програмабезкоштовна і водночас дуже функціональна. Крім іншого, в ній присутній генератор паролів, завдяки якому відпадає необхідність у використанні он-лайн генератора.
Для доступу до бази збережених паролів необхідно встановити майстер-пароль. Для його створення можна, наприклад, скористатися методикою набору слів в іншій розкладці, щоб створити складний пароль, але при цьому не забути його.
Локальна база з паролями на вашому комп'ютері апріорі буде менш схильна до злому, ніж загальнодоступні сервіси в інтернет, так що тут зі складністю переборщувати не варто.

Перевірка стійкості паролів

Якщо ви бажаєте перевірити вже наявні або знову згенеровані паролі на стійкість до злому, то для цього існує кілька он-лайн сервісів:

1) How Secure Is My Password? Після того, як ви введете пароль у відповідну форму на сайті, ви побачите, скільки часу знадобиться на злом методом перебору. Термін у кілька мільйонів років можна вважати чудовим.

2) Kaspersky Lab: Secure Password Check Цей сервісстворено вітчизняним розробником популярного антивірусного рішення. Він також демонструє зразковий час, який необхідний на злом пароля методом перебору.

3) 2IP: Стійкість пароля Сервіс категорично виносить вердикт для пароля, що перевіряється - він може бути або надійним, або ні.

Перевіряючи ваші паролі не стійкість, не забувайте, що результати стійкості, що відображаються там, дуже умовні. Вони розраховуються, виходячи з середньої продуктивності домашнього комп'ютера, і навряд чи будуть аналогічними для потужного лабораторного суперкомп'ютера.
Одне заспокоює – людям, які мають доступ до такого обладнання, навряд чи буде цікавим ваш пароль від сервісу електронної поштичи месенджера.

Короткий підсумок

У цій статті я спробував розкрити всі аспекти парольного захисту і пояснити, чому на перший погляд надійний пароль насправді таким зовсім не є.
Сподіваюсь що дана інформаціястане в нагоді, і будуть вжиті заходи, які убезпечать від злому та супутніх наслідків.

Будь-який користувач має улюблені сайти: там він спілкується, грає, дивиться відео, слухає музику. Хтось робить покупки в інтернеті. Звичайно, для зручності користувача реєструються на сайтах, щоб мати персональний доступ до певних послуг. Один з найважливіших атрибутів будь-який облікового запису- це, звісно, ​​пароль. Як перевірити надійність пароля, його складність – я розповім у сьогоднішній статті!

Отже, в інтернеті є один дуже зручний сервіс перевірки надійності вашого пароля. Він так і називається .

Увага! Алгоритм перевірки пароля на складність не має на увазі крадіжки Ваших паролів!

Все, що Вам потрібно просто ввести пароль у форму та дізнатися, через який проміжок часу можна підібрати пароль. Крім того, внизу Ви зможете побачити підказки щодо формування пароля:

• пароль повинен бути середнім \ довгим - не менше 8-10 символів
• бажано використовувати різні символи, літери та цифри в паролі впереміш
• небажано використовувати комбінації літер та цифр, що йдуть поспіль на клавіатурі

Наприклад, пароль адміністратора сайту сайт ось такий:

Сподіваюся, Ваші паролі тепер будуть не менш надійними та не залишать жодних шансів зловмисникам! Успіхів!

Схожі новини:

Робота з дисками