Главная Настроить интернет

Что такое пароль в информатике. Как придумать надежный пароль и сделать его простым для запоминания

26.10.2022

Сегодня мы начинаем долгожданную серию уроков по информационной безопасности. И начнём с правил создания и хранения сложных и надёжных паролей.

Вы, конечно же, придумали себе пароль, возможно даже не один 🙂 но обязательно прочтите эти правила, убедитесь, что ваш пароль можно назвать сложным и надёжным .

Кто-то скажет «у меня в интернете ничего ценного, поэтому пароль 12345» , но ничего хорошего в этом нет, так как вашими данными с радостью воспользуются злоумышленники (например, для того, чтобы выманить деньги с ваших родственников и знакомых):

Мошенник, взломав аккаунт в Skype, пытается заполучить 15000

1. Пароль должен быть сложным!

Все знают, что пароль должен быть достаточно сложным, но что это значит?

  1. Хороший пароль должен содержать минимум 10 символов , чтобы его было сложно взломать (посчитайте, сколько символов в вашем пароле к социальной сети?)
  2. Надёжный пароль должен содержать 12 символов и более (ваш пароль на основную почту должен быть именно таким длинным!).
  3. Сложный пароль должен содержать три набора символов : БОЛЬШИЕ и маленькие буквы, цифры, специальные символы [PochtiSlozhniyParol123%! ]
  4. Пароль должен быть без общедоступной информации (имя, фамилия, ник, важные даты, номера телефонов, ИНН, адреса, как свои, так и родственников - это НЕ для пароля! [MarinaAV1965 – плохой вариант])
  5. Пароль должен быть без словарных слов и без простых сочетаний слов (используйте малораспространённые слова или вообще несуществующие слова [Абырвалг ])

Возможно, вы скажете: «Зачем мне столько паролей?»
Давайте посмотрим, зачем это нужно.

  • Самое важное в Интернете - это ваш e-mail , так как почти все сервисы в Интернете привязаны к вашей электронной почте. Если кто-то получит доступ к вашей электронной почте, то сможет получить доступ ко всему остальному.
  • На малонадёжных сайтах e-mail и пароль лежат рядом! Если такой сайт взломают, первое что сделают - проверят, подходит ли пароль к вашей электронной почте, затем попробуют получить доступ к аккаунту в социальной сети и средствам онлайн-оплаты.
  • Злоумышленники продают друг другу базы взломанных аккаунтов , поэтому риск взлома всех ваших аккаунтов резко возрастает.

Как же быть?
Есть простой способ упростить задачу, разделив все сервисы на две группы:

  1. Для обычных аккаунтов использовать более простые, похожие пароли;
  2. Для важных аккаунтов (e-mail, интернет-банкинг) использовать сложные, уникальные пароли.

«Хорошо, убедил, но как запомнить такое количество паролей?»

3. Храните пароль надёжно

Память инструмент не самый надёжный, поэтому лучше использовать один из нескольких проверенных способов надёжного хранения паролей.

  1. Бумажный блокнот - да, даже ведущие специалисты по информационной безопасности признают этот вариант. Вот только храните такой блокнот подальше от любопытных глаз, да и пароли в нём храните в непонятном виде (об этом мы поговорим в следующий раз).
  2. Менеджер паролей - специальная программа, которая помнит пароли за вас, вам лишь нужно помнить один пароль для доступа к остальной базе.
  3. Текстовый документ - не самый удачный вариант хранения паролей, но его тоже можно использовать, если вы сможете хранить документ безопасно: в архиве под паролем, но это уже вариант менеджера паролей 🙂

Для каждого способа обязательно используйте !

Как НЕЛЬЗЯ хранить пароли

  1. На бумажке, прикрепленной к монитору или лежащей на столе под клавиатурой (есть прецеденты государственных масштабов)
  2. В текстовом документе на рабочем столе (или на флешке, карте памяти телефона и т.д.)
  3. В браузере тоже не рекомендуется хранить пароли! (Интересно, почему? Отвечу в комментариях)

В новостном репортаже показали пароль французской телесети TV5 Monde

Вашу почту могут попытаться взломать, попытавшись восстановить пароль.
Если у вас для восстановления доступа используется ответ на секретный вопрос, его можно угадать.

  • Ответ на секретный вопрос должен быть стойким к угадыванию (используйте неожиданные ответы, например: «Ваш любимый цвет» - «Небо» )

Если же для восстановления используется второй e-mail, все правила из этой статьи тоже должны относиться к нему.

  • E-mail для восстановления должен быть надёжно защищён (проверьте параметры безопасности сейчас, не откладывайте)

5. Используйте двухфакторную аутентификацию

Для важных аккаунтов используйте двухэтапную или двухфакторную .

Например, вы вводите пароль, а с помощью телефона получаете дополнительный одноразовый код для доступа к онлайн-сервису (это может быть SMS или сгенерированный в приложении код).

В этом случае взломать ваш аккаунт будет значительно сложнее.

Заключение

Сегодня мы познакомились с пятью правилами, благодаря которым теперь знаем, что такое сложный и надёжный пароль.

Зная правила, можно приступать к созданию сложного пароля , а как его не забыть, я расскажу в следующем уроке.

Копирование запрещено , но можно делиться ссылками.

2019

Cреди 21 млн украденных учетных записей обнаружено только 4,9 млн уникальных паролей

30 октября 2019 года стало известно, среди 21 млн украденных учетных записей исследователи из компании ImmuniWeb обнаружили только 4,9 млн уникальных паролей, свидетельствуя о том, что многие пользователи используют идентичные или похожие пароли. Чаще всего простыми паролями пользуются в технологической отрасли (passw0rd, 1qaz2wsx, career121, abc123 и password1), в финансовой (456a33, student, old123ma, welcome и 123456) и сфере здравоохранения (Exigent, password, pass1, 000000 и 123456). Подробнее .

DeviceLock изучил самые популярные пароли в западном сегменте и Рунете

23 апреля 2019 года стало известно, что компания DeviceLock – российский производитель систем борьбы с утечками данных , проанализировала 3,5 млрд скомпрометированных пар логин-пароль , входивших в 7 коллекций общим объемом 975 Гб, опубликованных хакерами с начала 2019 года.

В рамках исследования были выделены наиболее частотные пароли в различных сегментах. В частности, в десятку самых популярных паролей вошли: 123456, 123456789, qwerty, password, 12345, qwerty123, 1q2w3e, 12345678, 111111, 1234567890. Самыми популярными кириллическими паролями стали: я (единственный односимвольный пароль), пароль, йцукен (в 2018 году занимавший второе место в рейтинге), любовь, привет, люблю, наташа, максим, андрей, солнышко.

При этом доли слабых (состоящих только из букв или только из цифр) и сильных паролей (включающих цифры, буквы и спецсимволы) практически не изменились и составили 42% и 3% соответственно. Также осталась неизменной доля паролей, содержащих менее 7 символов, которая составила 20%

Для логинов, представляющих собой почтовые адреса, самыми популярными сервисами у пользователей, потерявших пароли стали: mail.ru (в 2018 году занимавший 4-е место), yahoo .com (лидер рейтинга 2018 года), hotmail.com, gmail .com, rambler .ru (поднявшийся на 5 место с 7-го в 2018 году), yandex .ru, bk.ru, aol .com, qq.com и list.ru.

По словам основателя и технического директора DeviceLock Ашота Оганесяна , растущее число и утечек как таковых и использование слабых паролей, в частности, говорит о том, что, несмотря на все образовательные усилия участников IT-отрасли, пользователи продолжают, в основном, легкомысленно относиться к выбору паролей.

В корпоративных системах, где есть возможность установить жесткие требования к паролю, ситуация улучшается. Но там, где автоматизированного контроля нет, пользователи пишут ровно то, что у них в голове. А там «привет, люблю, Наташа». При этом взлом, например, онлайн-кабинета в маловажном сервисе позволяет впоследствии быстро добраться и до более важных систем, включая электронную почту или мессенджер .

Оганесян Ашот, технический директор DeviceLock (ранее Смарт Лайн Инк (Smart Line))

"Рейтинг 2017 года: 123456 - лидер

Как сообщает Bleeping Computer, к такому выводу пришли эксперты калифорнийской компании SplashData (выпускает менеджеры паролей, в том числе TeamsID и Gpass) по итогам анализа миллионов паролей, оказавшихся в Сети в результате различных утечек.

«123456» является очень ненадежным паролем, но остальные в списке ста худших паролей 2017 года ничем не лучше. Большой популярностью пользуются спортивные термины (football, baseball, soccer, hockey, Lakers, jordan23, golfer, Rangers, Yankees), марки автомобилей (Mercedes, Corvette, Ferrari, Harley) и выражения (iloveyou, letmein, whatever, blahblah).

Как бы то ни было, истинными лидерами списка худших паролей являются имена: Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35), Andrew (#36), Andrea (#38), Joshua (#40), George (#48), Nicole (#53), Hunter (#54), Chelsea (#62), Phoenix (#66), Amanda (#67), Ashley (#69), Jessica (#74), Jennifer (#76), Michelle (#81), William (#86), Maggie (#92), Charlie (#95) и Martin (#96).

Первые 25 паролей из топ-100 худших паролей 2017 года:

1 - 123456 2 - password 3 - 12345678 4 - qwerty 5 - 12345 6 - 123456789 7 - letmein 8 - 1234567 9 - football 10 - iloveyou 11 - admin 12 - welcome 13 - monkey 14 - login 15 - abc123 16 - starwars 17 - 123123 18 - dragon 19 - passw0rd 20 - master 21 - hello 22 - freedom 23 - whatever 24 - qazwsx 25 - trustno1

"Рейтинг 2016 года: 123456 - лидер

В январе 2017 года стало известно о том, что 123456 остается самым популярным в мире паролем. Об этом говорится в исследовании, опубликованном компанией Keeper Security. По данным исследователей, в 2016 году не менее 17% пользователей интернета используют или использовали в самом недавнем прошлом именно этот пароль.

Предметом исследования стали в общей сложности 10 миллионов, опубликованных в Сети после разных масштабных взломов. 123456 занял первое место по популярности. На втором - "более сложный" пароль 123456789, на третьем - "легендарный" qwerty. Также в изобилии встречаются 111111, 123123, 123321, google, 987654321 и прочие "сложнейшие" комбинации, которые подбираются "методом тыка".

Хотя сами пользователи - первые, кого следует обвинять за такое пренебрежение основами безопасности, однако часть ответственности лежит и на владельцах сайтов, которые не пытаются ввести более жесткие правила для паролей и допускают легко угадываемые или подбираемые комбинации.


В публикации Keeper Security указывается еще одна интересная деталь. В списке самых популярных паролей присутствуют такие комбинации как 18atcskd2w и 3rjs1la7qe. Эти пароли выглядят случайными, но частота их употребления показывает, что это не так.

По мнению исследователей, этими паролями серийно пользуются боты для автоматической регистрации новых аккаунтов в почтовых сервисах. Эти аккаунты затем используются для спама и фишинга.

Скорее всего, это означает, что провайдеры почтовых сервисов не прилагают достаточных усилий для борьбы с ботами: идентичные "случайные" пароли - это явный повод для серьезных подозрений.

"Рейтинг" 2015 года: 123456 - лидер

SplashData представляет топ самых используемых паролей ежегодно. Информацию компания добывает из источников, которые «сливают» чужие пароли к самым разнообразным площадкам в интернете. В 2015 году SplashData проанализировала 2 млн различных паролей, сравнив результаты с 2014 годом.

Первую и вторую строчки, как и в предыдущем году, заняли пароли «123456» и password. На третье место поднялся цифровой набор «12345678», сместив более простой «12345». Знаменитый qwerty также поднялся на одну строчку, заняв четвертое место.

Что касается «осмысленных» паролей, то названия видов спорта (football и baseball) остаются столь же популярны. Также среди «новичков» в списке появились пароли solo и starwars, недвусмысленно отсылающие к выходу продолжения киносаги «Звездные войны». Они заняли 23-е и 25-е места топа соответственно.

"Рейтинг" 2014 года: 123456 - лидер

В сентябре 2014 года в Сети опубликован текстовый файл с 1,26 млн логинами и паролями от учетных записей «Яндекса ». В компании утверждают, что он не является результатом взлома или утечки. Пользователи подсчитали, что пароль «123456» встречается в файле около 38 тыс. раз, «123456789» - около 13 тыс. раз, «111111» - около 9,5 тыс., а «qwerty» - около 7,7 тыс. В число популярных паролей также попали «7777777», «123321», «000000», «666666» и др.

"Рейтинг" 2013 года: 123456 выходит в лидеры

В 2013 г. слово «password» перестало быть самым популярным паролем среди пользователей интернета, сообщила компания SplashData, публикующая ежегодный список худших паролей Worst Password.

Сочетание цифр «123456» отвоевало первенство у лидера худших паролей слова «password», которое опустилось на второе место по популярности. До этого «password» возглавлял рейтинг два года подряд - в 2011 г. и в 2012 г.

На третьем месте осталось сочетание «12345678». В первую десятку также вошли следующие пароли: «qwerty», «abc123», «123456789», «111111», «1234567», «iloveyou» и «adobe123».

Наличие пароля «adobe123» в первой десятке связано с крупнейшей утечкой в истории, в результате которой были раскрыты данные 150 млн пользователей разработчика Photoshop, компании Adobe Systems .

"Рейтинг" 2012 года: Password - лидер

Глобальный отчет по безопасности компании Trustwave 2012 года посвящен уязвимым элементам в информационной безопасности компании. Авторы доклада исследовали более 300 инцидентов в 18 странах, произошедших в 2011 году.

Доклад акцентирует внимание на продолжающемся росте кибератак , а также увеличению количества злоумышленников в сфере информационной безопасности.

Большинство инцидентов возникает в следствии организационных и административных проблем. В ходе исследования было обнаружено, что 76% случаев нарушений произошло из-за уязвимости системы безопасности отделов, ответственных за системную поддержку и развитие компании.

Большая часть исследования посвящена проблеме использования слабых паролей. По мнению специалистов Trustwave, 80% инцидентов происходит в следствии слабых паролей. Слабые пароли продолжают оставаться основным уязвимым местом, используемым злоумышленниками как в крупных, так и в небольших компаниях.

По факту, использование слабых и стандартных паролей облегчает работу взломщиков для проникновения в информационные системы. Порой преступникам не требуется использование сложных, продуманных методов для взлома. По данным компании Trustwave, самым используемым паролем в сети является `Password1`(пароль1). В исследовании отмечено, что применение стандартных паролей присуще также при работе с серверами, сетевым оборудованием и различными устройствами пользователей.

В своем исследовании компания Trustwave приводит список наиболее употребляемых паролей. Английское слово `Password` (пароль) употребляется в 5% случаях, а слово Welcome (приветствие) в 1.3% случаев. Стоит также обратить внимание на использование времен года и дат. Не использовать подобные пароли и их варианты:

  • Password1
  • welcome
  • 123456
  • Winter10
  • Spring2010

Также одна из проблем заключается в том, что многие устройства и приложения используются с изначальными стандартными паролями, зачастую дающими полноту прав доступа, говорится в исследовании.

"Рейтинг" 2011 года: Password - лидер

Достигли ли мы предельного количества паролей?

Проведенное в компании Experian , результаты которого она опубликовала 3 августа 2017 года, выявило растущий разрыв между поколениями в том, как люди управляют своими учетными записями. Миллениалы подвергаются большему риску хищения персональных данных, поскольку ставят удобство выше безопасности. Различные возрастные группы по-разному ведут себя в Сети : одни готовы испытывать неудобства, но чувствовать себя защищенными, другие пренебрегают мерами безопасности, не желая выходить из «зоны комфорта».

Исследование Experian в очередной раз продемонстрировало, что люди разных поколений имеют свои особенности использования интернета и управления учетными записями, паролями и логинами, - отметила Наталия Фролова , директор по маркетингу Experian в России и странах СНГ. - Младшее поколение ставит во главу угла удобство и, как правило, имеет не более 5 уникальных паролей для всех своих аккаунтов. Кроме того, такие пользователи обычно заходят во множественные аккаунты с помощью одного и того же логина социальной сети . При этом они, вероятно, не осознают, что стремление к удобству подвергает риску их личную информацию. Отмечается стремительный рост хищений персональных данных, жертвами которых становятся представители именно этой возрастной группы.

Как показывают статистические данные системы Hunter от Experian, в Британии каждый год на 5% возрастает количество жертв хищения персональных данных среди пользователей в возрасте до 30 лет, причем особенно уязвимы те, кто проживает в разных типах общежитий, где одним устройством для выхода в интернет постоянно пользуются сразу несколько человек. В Британии в отношении этой группы совершается каждое третье мошенничество, связанное с хищением персональных данных.

Противоположную линию поведения выбрало старшее поколение. Представители этой категории гораздо чаще создают отдельный пароль для каждой учетной записи, заботясь о защите данных, пусть даже в ущерб своему удобству. Каждый четвертый британец сообщил, что использует 11 или более паролей.

Безусловно, такой объем информации сложно постоянно держать в памяти, отметили в Experian. Неудивительно, что значительная часть людей старше 55 лет вынуждена прилагать большие усилия, чтобы запомнить свои регистрационные данные. Такое перенапряжение памяти - растущая проблема: 4 из 10 опрошенных признались, что вынуждены пользоваться сервисом запоминания паролей, чтобы ничего не забыть. Постоянные напоминания о том, что пароли лучше не записывать, а помнить наизусть, способствуют повышению бдительности, но, одновременно, и увеличивают стресс. Более половины (55%) респондентов используют один и тот же пароль для нескольких учетных записей.

Исследование Experian также установило, что существует путаница в понимании того, что такое учетная запись - каждый третий респондент (31%) признался, что не знает этого, а еще 61% выбирали разные определения. Трое из пяти британцев (61%) не всегда понимают, с чем они выражают согласие, ставя «галочку» при регистрации нового профиля в интернете, а каждый девятый (11%) никогда этого не понимает.


Для предотвращения кражи персональных данных Experian рекомендует:

  • Не реагировать на телефонные звонки и электронные сообщения от неизвестных лиц.
  • Создать отдельные пароли для разных учетных записей - в особенности для электронной почты и интернет-банка.
  • Придумать надежные пароли, состоящие из трех произвольных слов - можно составить их, добавляя цифры и символы, а также буквы в верхнем и нижнем регистре.
  • При использовании общедоступных сетей Wi-Fi не заходить на сайты, где нужно вводить пароль (например, в свой банк, социальные сети и электронную почту) и не вводить личную информацию, такую как реквизиты банковской карты.
  • Всегда загружать новейшее программное обеспечение на телефон , планшет или компьютер . Это увеличит вашу защиту от вредоносных программ .

Кража паролей – главный риск безопасности корпоративных данных

Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.

Кража паролей – главный риск безопасности корпоративных данных. Об этом предупреждают летом 2014 года эксперты антивирусной компании ESET (Словакия). 76% сетевых атак на компании стали возможны из-за ненадежных или украденных паролей (Министерство предпринимательства, инноваций и ремесел (Department for Business, Innovation and Skills) и PWC). Средний ущерб от потери информации зависит от типа атаки и действующего законодательства в области защиты данных и достигает 199 евро за одну учетную запись. При этом такие параметры как простои в работе персонала, снижение производительности, репутационные потери и утрата активов, в том числе, объектов интеллектуальной собственности, не поддаются исчислению (Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis).

В центре внимания киберпреступников – компании малого и среднего бизнеса. Они не всегда являются основной мишенью, но часто становятся жертвами из-за имеющихся нарушений системы безопасности. По некоторым данным, 67% кибератак направлены на малые компании, при этом 76% атак являются незапланированными. 75% атак предпринимается преступниками ради финансовой выгоды (Verizon Data Breach Report, 2013).

66% нарушений системы безопасности компании могут месяцами оставаться незамеченными, подвергая риску корпоративную информацию. В числе наиболее распространенных «дыр» в защите – проблемы с паролями: 61% пользователей используют один и тот же пароль, а 44% – меняют пароль только раз в год (CSID Customer Survey: Password Habits 2012).

Пароли, составленные по правилам грамматики, легко взломать

Ис­сле­до­ва­те­ли из уни­вер­си­те­та Кар­не­ги-Мел­ло­на раз­ра­бо­та­ли экс­пе­ри­мен­таль­ный ал­го­ритм под­бо­ра па­ро­ля, ис­поль­зу­ю­щий грам­ма­ти­че­ские пра­ви­ла, и про­ве­ри­ли его эф­фек­тив­ность на 1400 с лиш­ним па­ро­лях дли­ной в 16 и более сим­во­лов. При­мер­но 18% из этих па­ро­лей было со­став­ле­но из несколь­ких слов, объ­еди­нен­ных по пра­ви­лам грам­ма­ти­ки в ко­рот­кую фразу. Хотя такие па­ро­ли легче за­пом­нить, на­ли­чие струк­ту­ры су­ще­ствен­но огра­ни­чи­ва­ет число воз­мож­ных со­че­та­ний и об­лег­ча­ет также и за­да­чу взло­ма, ука­зы­ва­ют исследователи.

Длина па­ро­ля сама по себе не может ха­рак­те­ри­зо­вать его на­деж­ность. Слож­ность взло­ма двух па­ро­лей оди­на­ко­вой длины может от­ли­чать­ся на по­ря­док в за­ви­си­мо­сти от их грам­ма­ти­че­ской струк­ту­ры. На­при­мер, ме­сто­име­ний в языке мень­ше, чем гла­го­лов, при­ла­га­тель­ных и су­ще­стви­тель­ных, и по­это­му па­роль Shehave3cats, на­чи­на­ю­щий­ся с ме­сто­име­ния She, го­раз­до сла­бее, чем Andyhave3cats, на­чи­на­ю­щий­ся с имени Andy.

Ис­сле­до­ва­те­ли учли хо­ро­шо из­вест­ные воз­мож­но­сти за­ме­ны букв по­хо­жи­ми циф­ра­ми, из­ме­не­ния ре­ги­стра и до­бав­ле­ния в конце зна­ков пре­пи­на­ния. Они тоже не столь за­мет­но по­вы­ша­ют на­деж­ность па­ро­лей, как утвер­жда­ют неко­то­рые, счи­та­ют авторы.

Для большинства сайтов лучше использовать простые пароли

Все мы не раз слышали, что для любой учетной записи следует определять уникальные и сложные пароли, используя для их хранения специальную утилиту. Однако исследователи из Microsoft Research пришли к выводу, что такой подход может оказаться неверным (данные лета 2014 года). На первый взгляд, общепринятые рекомендации выглядят вполне логично.

При использовании для каждого сайта и сервиса длинных и сложных паролей, состоящих из случайных комбинаций символов, вероятность их взлома резко снижается, а в случае компрометации пароля под угрозой оказывается лишь одна учетная запись. Запомнить случайную последовательность из 10-20 символов довольно сложно, и тут на помощь приходят утилиты управления паролями, позволяющие хранить их все в одном месте. Все просто. На практике же большинство людей игнорируют сложные пароли, не говоря уже об использовании уникального пароля для каждого сайта и сервиса. При масштабных утечках мы видим, что мало кто следует рекомендациям по выбору пароля. Отношение к утилитам управления паролями тоже весьма скептическое. Ведь забыв пароль от утилиты, вы лишаетесь сразу всех своих паролей, а при взломе соответствующей программы или сервиса злоумышленник получает доступ ко всей вашей информации в полном объеме. Поэтому исследователи предлагают использовать простые пароли на сайтах, где хранятся данные, не представляющие особой ценности, а сложные пароли оставить для банковских учетных записей. Решать вам. Если вопреки рекомендациям экспертов по безопасности вы продолжаете сплошь и рядом использовать простые пароли, возможно, имеет смысл придерживаться именно такого подхода.

Взлом и стоимость компьютерных паролей

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.

Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.

Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.

При этом могут быть использованы следующие подходы:

  • Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
  • Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
  • Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.

Для проведения атаки разработано множество инструментов, например, John the Ripper.

Критерии стойкости пароля

Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.

  • Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина - восемь символов. По той же причине он не должен состоять из одних цифр.
  • Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
  • Пароль не должен состоять только из общедоступной информации о пользователе.

В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.

Microsoft провела летом 2014 года исследование систем безопасности и выяснила, что лучше всего использовать короткие и простые пароли для сайтов, не хранящих личную информацию. Длинными и сложными паролями следует защищать свои учетные записи на web-ресурсах, содержащие банковские данные, имена, фамилии, пароли и т.д.

Повторное использование пароля является табу для специалистов по безопасности в последние годы после огромного количества кибервзломов и утечек личных данных. Рекомендации специалистов кажутся достаточно логичными.

Хакеры, располагая адресами электронной почты и паролями, могли использовать эти учетные данные в отношении других сайтов, чтобы получить к ним незаконный доступ. В свою очередь, повторное использование пароля на сайтах с низкой степенью защиты от кибервзломов необходимо для того, чтобы пользователи могли вспомнить уникальные коды, выбранные для более серьезных ресурсов. Специалисты Microsoft все же рекомендуют пользователям использовать простые пароли на бесплатных сайтах, не содержащих важную информацию. Лучше всего, говорят ИТ-эксперты, `попридержать` длинные и уникальные пароли для банковских сайтов и других хранилищ конфиденциальной информации.

Пароли как белье: меняйте их регулярно и не показывайте на публике

Цифры и регистр не делают пароль надежнее

Ученый из Университета Глазго со своим коллегой из исследовательской лаборатории Symantec выяснили, что цифры и символы верхнего регистра не делают пароль более надежным. Результаты опубликованы осенью 2015 года в сборнике ACM CSS 2015.

Исследователи использовали интеллектуальные алгоритмы, которые предварительно были обучены на базе данных, представляющей 10 млн паролей, имеющихся в сети в открытом виде. Далее они проверили эффективность алгоритмов на 32 млн других паролей. Выяснилось, что цифры и символы верхнего регистра не позволяют усложнить пароль. Такого эффекта можно достичь удлинением пароля или использованием специальных символов.

Исследователи говорят, что люди обычно используют символы верхнего регистра в начале своего пароля, а цифры - в конце. По словам авторов, чтобы сделать пароль более надежным, необходимо удлинить его и добавить специальные символы.

Методы защиты от атаки

Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.

Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.

Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.

Генерация пароля

В Unix-подобных операционных системах можно использовать утилиту pwgen. Например

сгенерирует 1 пароль длиной 10 символов.

Методы передачи пароля через сеть

Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

Передача через зашифрованные каналы

Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL , такие функции встроены во многие браузеры Интернета.

Базирующийся на хешах

Пароль передается на сервер уже в виде хэша (например, при отправке формы на web-странице пароль преобразуется в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.

Многофакторная (двухфакторная) аутентификация

Правила управления паролями пользователей

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

  • Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
  • Требование повторного ввода пароля после определенного периода бездействия.
  • Требование периодического изменения пароля.
  • Назначение стойких паролей (генерируемых с использованием аппаратного источника случайных чисел, либо с использованием генератора псевдослучайных чисел, выход которого перерабатывается стойкими хэш-преобразованиями).

Для собственной безопасности пользователь должен учитывать несколько факторов при составлении пароля:

  • по возможности его длина должна быть больше 8 символов;
  • в составе пароля должны отсутствовать словарные элементы;
  • должны использоваться не только нижний, но и верхний регистры;
  • пароль должен состоять из цифр, букв и символов;
  • пароль должен отличаться от логина (имени пользователя);
  • при регистрации на каждом новом сайте пароль должен меняться

Что можно использовать вместо пароля

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.

  • Одноразовые пароли
  • Технология единого входа
  • OpenID

Распознавание подписи – надежная замена паролям?

Всякий раз, когда Вы платите по банковской карте или вынуждены подписывать цифровой экран электронным карандашом, для подтверждения Вашей личности используются системы распознавания подписи . В этом случае система сравнивает Вашу подпись с тем образцом подписи, который хранится в банковской системе.

Однако это не простое сравнение двух картинок. Специальная программа безопасности не только размещает две картинки рядом друг с другом, чтобы проверить, совпадают ли они, или, по крайней мере, похожи ли они. На самом деле, система распознавания подписи сравнивает способ создания этих двух изображений, осуществляя поиск одинакового поведенческого шаблона.

Преимущества и недостатки

Хотя может показаться, что подделать подпись достаточно просто, тем не менее, практически невозможно повторить скорость написания и оказываемое при этом давление. Так что, системы распознавания подписи, использующие самые передовые технологии, становятся идеальной заменой для паролей в операциях, например, с корпоративными банковскими счетами.

Впрочем, как и у всех других методов идентификации, и здесь имеются свои минусы. Один из главных недостатков заключается в том, что в силу целого ряда причин каждый из нас может подписываться по-разному, и это серьезная проблема. Чтобы система была практичной, важно уметь отличать, например, медленно сделанную подпись в результате какой-то травмы или в результате попытки подделать ее.

Кроме того, как минимум в настоящее время это не совсем эффективный способ доступа к сервисам. В самом деле, когда Вы подписываете что-то при оплате за что-то, эти данные не используются в реальном времени. Вместо этого, данные отправляются в Ваш банк, где будут проверены позже.

Однако наличие недостатков в системах распознавания подписей все равно не закрывает двери перед этой технологией. Вполне вероятно, что будущие корпоративные банковские операции будут разрешаться просто по подписи на планшете или смартфоне.

Пароли на основе смайликов

По данным лета 2015 года Британская компания Intelligent Environments утверждает, что изобрела способ использовать ряд из смайликов, картинок выражения эмоций, который заменит цифровой PIN -код на смартфоне, чтобы наш мозг смог легче запомнить данную последовательность, ведь люди легче запоминают осознанный ряд картинок. Использование «эмоционального» ПИН-кода основано на эволюционной способности людей помнить изображения. Кроме того, увеличенная сложность такого метода усложняет подбор ПИН-кода.

Традиционный четырехзначный ПИН - это четыре цифры от 0 до 9 с повторениями - всего 104 или 10 000 повторений. Число «эмоциональных картинок» равно 444 или 3 748 096, что, согласитесь, куда больше.

Стоит отметить, что данная технология - это, скорее всего, будущее, причем достаточно далекое.

История паролей

Пароли использовались с древнейших времён. Полибий (201 до н. э.) описывает применение паролей в Древнем Риме следующим образом:

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль - деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему.

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый p@ssword.

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую , а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то .

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств.

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может , каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com - компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля - задача простая, достаточно составить комбинацию из случайных символов.

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Это простое и изящное решение, особенно для тех, кто использует для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых пароля может быть под угрозой, можно разделить на 3 большие категории:

  • Случайные , при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
  • Массовые атаки , когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
  • Целенаправленные , сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей .

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Акронимы

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org - RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три - строчные. 8 - это дважды (по-английски twice - t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль - это золотой стандарт в информационной . Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, - это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ - и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу - супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов - им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

PIN

Personal Identification Number (PIN) - дешёвый замок, которому доверены наши . Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN - это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то . Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 - для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Итог

  1. Зайдите на random.org и создайте там 5–10 паролей-кандидатов.
  2. Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
  3. Используйте эту фразу для того, чтобы вспомнить пароль.

Думаю все понимают, что в наше время тяжело представить жизнь без компьютера. Именно он является одним из самых распространенных видов времяпрепровождения.

Пользуясь этим современным гаджетом мы не можем обойти системы безопасности, аутентификации.Регулярно сталкиваемся с потребностью создания надежного пароля для различных социальных сетей, приложений, интересных сайтах и т.д.

Какие пароли считаются надежными?

Начнем с того, что каждый человек всегда хочет создать такой пароль, чтобы он его потом легко запомнил, выучил или и вовсе знал всю свою жизнь. Это толкает нас на грубейшую ошибку в «мире интернета».

Ведь самым популярным способом «взлома» является подбор вашего пароля с помощью использования именно ваших же личных данных. Поверьте, злоумышленник имеющий перед собой цель, начнет просматривать ваши данные в интернете, скорее всего это будут страницы в одноклассниках, контакте, майле и прочих сторонних сервисах на которых можно узнать ваше имя, фамилию, дату рождения, имена ваших родителей,сестер и братьев, любимых увлечений, животных и прочую информацию о вашей жизни.

После чего начнется подбор пароля методом брута — это обычный перебор всех возможных вариантов. Так называемый способ «грубой силы» или брутфорс (англ. bruteforce)

Самыми популярными паролями являются:

123456
123456789
QWERTY
111111
1234567
666666
12345678
7777777
123321

Как видите это логически подбираемые пароли, скажу больше это ну просто предел наивности. Я соглашусь со многими, кто использует такие пароли для разового входа на сайт чтобы скачать какой-то файл, информацию. Но когда речь идет о важных вам страницах в соц.сетях или доступах к онлайн банкам, кошелькам понадобится грамотный подход к выбору пароля.

Первые выводы о надежном пароле

  1. — нельзя составлять пароль из своих личных данных(имя, фамилия, дата и т.д.)

    2. Примеры: иванворонин; иваныч; 28061992; ванек1992; ваня280692;

  2. — нельзя составлять пароль методом логического ввода.

    3. Примеры: 12345; 987654321;йцукен; qwerty; фывапр; ячсмит; 123454321;000;111. (Обратите внимание, все эти пароли так или иначе упорядоченное нажатие клавиш друг за другом, поэтому подобрать их будет очень легко.)

    А если данные пароли будут подбираться с помощью программ брута, которые обладают огромной пропускной способностью, ваши пароли будут подбираться примерно с такой скоростью:

  3. — Пароль «28061992» (дата рождения) будет подобран за 1-2 секунды;
  4. — Пароль «сергей» будет подобран за 4 секунды

Как видите это какие то мгновения и ваш пароль в «лапах» злоумышленника. Не смотря на все дальше нужно иметь понимание, что регистр при вводе паролей всегда учитывается, если совсем по простому то базы данных понимают когда вы вводите заглавную букву, а когда прописную.

Как создать надежный пароль!

Теперь к сути самой статьи, каким же нужно сделать пароль, чтобы его просто так не «увели»?

1;uRva3’ именно так должен выглядеть надежный пароль, который трудно подобрать брутом. Не забываем, что восемь символов это самое малое что нужно для защиты, чем длиннее будет ваш пароль тем тяжелее его будет подобрать во многих случаях подбор практически невозможен.

Попробуем сделать пароль из 10 символов,но так чтобы вы смогли все таки его запомнить, итак что нам нужно будет придумать.

Начнем наглядно:

10 символов: 0000000000 (изначально начнем с нулей), дальше все во власти вашей фантазии, играйте символами знакомых вам комбинаций, но перебирайте их грамотно.

1 этап, (00000000) — (мы заменили начало и конец пароля на спец символы — скобки, которые не сложно запомнить)

3 этап, (К0и0К0а0) – (на этом этапе я изменил две прописные буквы «к» на заглавные – это в разы усилило надежность пароля)

4 этап, (К1и9К6а1) – (теперь я заменил нули на хорошо запоминающуюся мне дату 1961)

Вроде бы нечего сложного, всего какие-то 4-ре последовательных действия и получился достаточно сложный пароль, который совсем не сложно запомнить, а подобрать методом брута очень тяжело.

Друзья, фантазируйте – грамотно.

Теперь вы знаете как сделать свои пароли надежными и не дать их подобрать взломщикам. Дальше рекомендую познакомится с антивирусами. Какой антивирус выбрать?

Если статья вам по душе, жду ваши комментарии, мысли и дополнения.

Чтение статьи займет: 3 мин.

Как и в любой мало-мальски закрытый клуб, в большую часть интернет-ресурсов просто так не пускают – требуют какой-то пароль, угрожая в случае необходимости выслать новый, если укажешь нужный адрес электронной почты… Зачастую нахальные требования пароля воспринимаются пользователями как типичное гадство админов – совести у них нету, то пароль требуют ввести «не менее шести символов», то подлым образом не желают его принимать и пускать страждущего на запароленную территорию. Облегчить задачу пользователей и, как ни странно, доморощенных хакеров, смогут определенные комбинации символов в пароле…

Пароли, которые легко подобрать

Итак, наиболее популярным и наиболее легко взламываемым набором символов в строке пароля будет… не угадали, если решили что «qwerty» — гениальное английское слово «password»! А зачем далеко ходить – хотят пароль и на им, гадюкам, «password»! Что называется, три ха-ха…

Второй по своей популярности идет цифровая комбинация «123456» — а фигли, хотят шесть символов и получат! Так их, гадов, в хвост и гриву! Чтобы не умничали…

Третий по своей популярности пароль лично у меня вызывал гомерический приступ хохота – «12345678»! Нихт фантазии у большинства юзеров, как еще это понимать.

Введите пароль

На четвертом месте – та-дааам! Да, эту позицию занимает то самое «qwerty» — введи его в качестве пароля и отдай свой аккаунт хакеру-третьекласснику, с горем пополам изучившему клавиатуру ПК.

Пятое место занимает странная и необычайно сложная комбинация цифр и латинских букв – «abc123». Впрочем, первоклассники в любой забугорной стране ее осилят в два счета. На шестом месте среди паролей англоязычных юзеров – «monkey». Если кто не знает, это в переводе «обезьяна». Видать много последователей теории Дарвина среди англоюзеров…

Седьмое место за глубокомысленной комбинацией «1234567» — ни вам, ни нам. Больше шести символов, а чего еще нужно.

Восьмое место за непонятным мне лично «letmein», девятое – за «trustno1» (судя по всему, «никому не верь»). «Dragon» и «baseball» делят 10 и 11 позиции по самым популярным паролям – с ними просто, драконы такие все мифические и малознакомые (как же!), а бейсбол наоборот, мегапопулярен на Западе и Заокеанье.

Внимание, это бомба! На двенадцатом месте весьма неслабая комбинация для пароля – «111111» — все гениальное просто. Тринадцатое место и комбинация «ялюблютебя» или «iloveyou» — фигли, любовь правит не только миром, но и инетом. «Master» и «sunshine» делят соответственно 14-ю и 15-ю позиции , 16-я и 17-я за «ashley» и «bailey» (набирая их кириллицей получаем презабавные слова).

Везде пароль сегодня нужен — даже в микроволновке

На 18-й позиции гениальный (!) апгрейд самого популярного пароля, усложненного введением в его комбинацию цифры – «passw0rd». Гениально, а главное, так просто! Тень встречается на 19-й позиции в комбинации «shadow» — тени это страшно и пугающе, авось отпугнут хакеров.

Очередь гениальных по своей сложности комбинаций: 20-я позиция и «123123», 21-я и пугающее «654321». На 22-й по популярности позиции находится защитник всех угнетенных и единственная высшая сила для Гомера Симпсона – «superman». Что сказать, у этого супергероя были особенно запоминающиеся трико и плащ…

Пароль ВКонтакте

Угадайте-ка очередной популярный пароль ? Подсказка: первые два блока кнопок на клавиатуре… Это ужасающий «qazwsx»! Черта лысого кто его подберет – во всяком случае, так считают те юзеры, кто пользуется им. На 24-м месте «михаил» или «michael» — архангелы все еще популярны среди инет-продвинутой аудитории. Финальную, 25-ю позицию занимает… поклонники «Спартака» и «Динамо», ликуйте – «football»! Оле, оле-оле-оле, хакеры – вперед!

Приведенные выше пароли среди западных инет-юзеров опубликовала газета The Telegraph, многие из этих комбинаций весьма популярны и среди русского сегмента инет-ресурсов. По рекомендациям спецов в области интернета нам, простым юзерам, стоит вводить в пароли нечитаемые символы вроде «$», «%» и т.п. – пароли с введенными в них подобными символами подобрать сложнее всего. Хотя, на мой взгляд, самым сложным паролем будет точная дата реального конца света – ее определенно никто не знает.