Что такое символы в пароле: Ограничения генерируемых паролей — Работает под управлением системы Kayako

Содержание

Распределение символов в паролях / Хабр

Намедни наткнулся на интересные выводы анализа недавно утекших учеток с серверов Sony. Думаю эти выводы будут интересны и актуальны.

Как известно, в последнее время Sony выступает мальчиком для битья среди хакеров. Благодаря Sony, много учетных записей и паролей циркулируют в интернете. Недавно, Трой Хант провел небольшой анализ этих паролей. Вот выдержка его поста:

  • Из примерно сорока тысяч паролей, треть подвержена простой атаке по словарю.
  • Только один процент паролей содержал небуквенно-цифровые символы.
  • 93 процента паролей содержали от 6 до 10 символов.

В этом посте, мы исследуем остальные 24 тысячи паролей, которые выдержали атаку словарем.

Распределение символов

Как отмечает Трой, абсолютное большинство паролей содержало только один тип символов — или все в нижнем регистре, или все в верхнем. Однако, всё даже хуже, если мы рассмотрим частоту символов.

В базе паролей существуют 78 уникальных символов. Если эти пароли были бы по настоящему случайными, каждый символ должен встречаться с вероятностью 1/78 = 0,013. Но, когда мы посчитаем реальную частоту символов, мы явно увидим, что распределение не случайное. Следующий график показывает топ 20-ти парольных символов, а красная линия показывает ожидаемое 1/78 распределение.


Неудивительно, что гласные «e», «a» и «o» очень популярны, а также цифры «1», «2» и «0» (в этом порядке). Заглавные буквы не входят в топ двадцатку. Мы также можем построить график суммарной вероятности для символов. В этом графике, красные точки показывают ожидаемый паттерн при использовании настоящих случайных паролей (ссылка на график побольше).

Ясно, что пароли не так случайны как бы хотелось.

Порядок символов

Давайте рассмотрим порядок символов в пароле. Для простоты возьмем только 8-символьные пароли. Самая популярная цифра в пароле это «1». Если бы её расположение было случайным, то мы бы ожидали равномерное распределение. Но вместо этого мы получаем:


##Distribution of "1" over eight character passwords
0.06 0.03 0.04 0.04 0.13 0.13 0.22 0.34

Из этого следует, что из 84 процентов паролей, которые содержат цифру «1», эта цифра случается только во второй половине пароля. Ясно, что люди любят ставить единицу в конце пароля.

Та же картина с цифрой «2»:
0.05 0.05 0.04 0.05 0.13 0.11 0.30 0.27
И с «!»
#Small sample size here

0.00 0.00 0.00 0.00 0.00 0.11 0.16 0.74
Мы наблюдаем похожие паттерны и с остальными буквенно-цифровыми символами.

Число символов необходимых для угадывания пароля

Предположим, мы соберем все возможные пароли используя первые N самых популярных символов. Сколько паролей мы покроем в нашей выборке? Следующий график показывает пропорцию паролей покрытых в нашем списке используя первые N символов:


Для покрытия 50% паролей в списке, нам понадобилось 27 первых символов. Собственно, использование только 20 символов покрывает около 25% паролей, а использование 31 символа покрывает 80% паролей. Помните, что эти пароли

не поддались

атаке по словарю.

Итог

Обычно, когда мы подсчитываем вероятность угадывания пароля, мы предполагаем, что каждый символ выбирается с одинаковой вероятностью, то есть вероятность выбора «e» равна выбору «Z». Это явно неверно. Также, в последнее время много систем заставляют пользователей выбирать различные типы символов в паролях. А это так просто добавить циферку в конец. Я не хочу рассматривать эффективные техники подбора паролей, но понятно, что брутфорс не тот метод.

Лично, я забросил попытки запомнить пароли давным давно и просто использую менеджер паролей. Например мой WordPress пароль длинее 12-ти символов и состоит из совершенно случайных цифр, букв и спец. символов. Конечно, вам лишь нужно держать свой менеджер паролей защищенным…

От переводчика: Да, я таки попал в категорию людей приписывающих единички и восклицательные знаки для обхода настырных сайтов.8 возможных комбинаций. При этом методе последовательно вводятся всевозможные сочетания символов, начиная с самых часто используемых паролей. В 2010 году Научно-исследовательский институт технологий Джорджии разработал метод использования GPGPU для взлома паролей, придумав минимальный безопасный пароль длиной 12 символов. Ну, каждый биткойн-счет защищен 64-х символьным паролем. Пароль, иногда называемый паролем, представляет собой запоминаемый секрет, обычно это строка символов, используемая для подтверждения личности пользователя.

Выбирайте сложные пароли из 10 или более символов, которые нельзя будет легко угадать или подобрать. Примечание: Пароли вводятся с учётом регистра и должны содержать не менее шести символов. Он использует уникальный десятизначный код с не повторяющимися буквенно — цифровыми символами, как пароли. LM-хэш особенно уязвим, поскольку пароли длиной более 7 символов разбиты на две части, каждая из которых хэшируется отдельно. Помните, что пароль должен быть не менее 20 символов. Убедитесь, что вы вводите правильные адрес электронной почты / имя пользователя и пароль без лишних пробелов и символов.
Примечание. Для Xbox 360 выбирайте пароль длиной 16 символов или меньше. Пароль приложения – это код из 16 символов, с помощью которого приложение или устройство подключается к аккаунту Google. Реальный пароль пользователя объединяется в автономном устройстве с коротким набором символов и уменьшающим счетчиком, чтобы сформировать одноразовый пароль. Если используется слабый пароль, например словарное слово или короткая символьная строка,то WPA и WPA2 могут быть взломаны. В общем случае пароль — это произвольная строка символов, включающая буквы, цифры или другие символы.
Тем не менее, WPA Personal безопасен при использовании с хорошими парольными фразами или полным 64-символьным шестнадцатеричным ключом. Таким образом, выбор пароля, длина которого превышает четырнадцать символов, может вынудить злоумышленника прибегнуть к методам грубой силы. Выбор пароля длиной не менее пятнадцати символов гарантирует, что хеш LM не будет сгенерирован.

под силу ли смайлику защитить наши данные и гаджеты от хакеров? — Офтоп на vc.ru

Удобно ли будет использовать эмодзи-пароли? А главное, безопасно ли? Наш аналитик Валерий Кузьменков изучил плюсы и минусы возможного нововведения и рассказал, чего набралось больше.

{«id»:349574,»type»:»num»,»link»:»https:\/\/vc.ru\/flood\/349574-paroli-na-emociyah-pod-silu-li-smayliku-zashchitit-nashi-dannye-i-gadzhety-ot-hakerov»,»gtm»:»»,»prevCount»:null,»count»:0,»isAuthorized»:false}

{«id»:349574,»type»:1,»typeStr»:»content»,»showTitle»:false,»initialState»:{«isActive»:false},»gtm»:»»}

{«id»:349574,»gtm»:null}

Говорят, эмодзи, которые мы ставим в соцсетях и мессенджерах, чтобы выразить эмоции, выходящие порой за рамки слов, скоро разрешат использовать в качестве паролей. Смеющийся до слез смайлик, сердечко, ладошка и другие знакомые нам символы в недалеком будущем будут стоять на страже наших учетных записей, личных данных и устройств.

По крайней мере, все к этому идет: с завидной регулярностью мир сотрясают новости о крупных утечках паролей (иногда вместе с логинами) в Сеть, причем новый «слив» почти всегда масштабнее предыдущего. Хакеры изобретают все более изощренные методы взлома, и киберпреступность стремительно набирает обороты. Несмотря на это пользователи по-прежнему ленятся придумывать длинные, но при этом надежные пароли со спецсимволами и выбирают варианты попроще. А еще зачастую используют одну и ту же полюбившуюся комбинацию для разных сервисов.

Стандартный пароль vs. эмодзи-пароль

Сейчас есть негласный «золотой стандарт» паролей. Это комбинация длиной не менее восьми символов, которая содержит буквы английского алфавита как верхнего, так и нижнего регистра, а также цифры и спецсимволы. В категорию последних входят 33 символа, например пробел, восклицательный и вопросительный знаки, плюс и минус, звездочка, решетка. Таким образом, для каждого символа в пароле предусмотрено 95 вариантов. Путем несложных арифметических подсчетов, в которые я не буду углубляться, можно получить общее количество вариантов пароля, состоящего из восьми символов. Оказывается, их больше шести квадриллионов!

6 квадриллионов

вариантов приходится на 8-символьный пароль

Эмодзи на данный момент насчитывается 1809. Это значительно больше, чем число вариантов, приходящихся на один символ в пароле.

Чтобы приблизиться к числу вариантов, который дает стандартный цифробуквенный пароль вкупе со спецсимволами, нам понадобится лишь пять эмодзи. Звучит очень хорошо! Особенно если учесть, что проблемы с запоминанием пароля, по мнению Microsoft, возникают у пользователей, когда его длина превышает десять символов. А здесь ровно вполовину меньше!

Это были преимущества эмодзи-паролей. Теперь давайте поговорим о минусах.

Обратная сторона медали — Unicode

Хотели бы посмотреть на эмодзи-пароль для BIOS? 🤔

Не советую, даже если бы это было возможно. Сейчас размер BIOS не дает полноценно поддерживать Unicode (кто не знает, это стандарт кодирования символов, позволяющий в виде последовательности нулей и единиц представить знаки практически всех письменных языков — от китайских иероглифов до кириллицы).

Переход к паролям, состоящим из символов Unicode, всегда связан с трудностями. А если дело касается эмодзи, где у части пиктограмм можно выбрать один из шести тонов кожи, то миссия становится почти невыполнимой.

Боюсь, что попытки реализовать пароли с эмодзи будут измеряться тоннами седых волос разработчиков. Например, важно сделать так, чтобы у всех пользователей написание эмодзи было одинаковым, а пароль совпадал побитово. Какие еще есть подводные камни при внедрении эмодзи-паролей, хорошо описано в этой статье.

Как быть со сложностью паролей при регистрации

Если приложение не проверяет, из какого набора символов составлен пароль, то, чтобы он формально соответствовал требованиям, придется добавлять к эмодзи обязательные символы. С одной стороны, уровень безопасности повысится, что, конечно, радует, а с другой — получится монстр Франкенштейна. Например, такой:

Что-то уже не выглядит безопасно: из-за неудобства переключения раскладки клавиатуры большинство пользователей будут выбирать тривиальные последовательности. А вы что думаете?

Шифр, шифр, шифр

Если у вас нет клавиатуры, которая, как обычно, покажет вам эмодзи в виде картинок, можете попробовать ввести их с помощью уникального кода. О том, как это сделать, можно почитать здесь. Но для начала хорошо бы его знать. Ну-ка, навскидку: вы помните, какой в Windows код у эмодзи 🔥?

Возьмите на заметку: Alt + 128293, вдруг когда-нибудь пригодится.

Еще не забыли, что пароль должен состоять как минимум из пяти эмодзи? Тогда умножаем 5 на 6 (число цифр в коде после Alt) и получаем длину пароля, равную 30 символам. Это в три раза больше, чем средний пользователь может запомнить. И это еще не конец: чтобы ввести нужный символ, его придется поискать.

Легко запомнить, трудно найти

Сможете среди 1809 эмодзи на клавиатуре быстро найти тот, что с Санта-Клаусом 🎅? Глаза, наверное, разбегаются. А еще в различных приложениях эмодзи могут быть сгруппированы по разному принципу.

Найдите 10 отличий

Помните детские упражнения на развитие внимания? В случае эмодзи-паролей такие навыки вам точно пригодятся. Видите разницу между white large square, white medium square, white medium small square и white small square?

Переходим на следующий уровень сложности. Насколько для вас очевидна разница между spiral calendar и spiral notepad?

А если уменьшить размер этих картинок хотя бы в четыре раза, чтобы приблизиться к размеру строки для ввода пароля?

При этом в зависимости от приложения и клавиатуры вид одного и того же эмодзи может довольно сильно различаться. Например, spiral calendar (перекидной календарь) у Microsoft выглядит так:

Вместо квадриллионов комбинаций

При использовании стандартного пароля, в который входят еще и спецсимволы, у пользователей есть шесть квадриллионов вариантов. Развернуться, без сомнения, есть где. Однако большинство пользователей в России (как, впрочем, и мире), все равно выбирает password, не говоря уже о бессменном лидере рейтинга самых распространенных паролей — числовой комбинации «123456», которую только в 2021 году использовали более 103 млн раз по всему земному шару.

Как думаете, каковы шансы у нас, безопасников, уговорить вас использовать для паролей эмодзи хотя бы не с первого экрана клавиатуры, если до сих пор мы не смогли убедить многих из вас, что не надо ставить галочку «Сохранить пароль» при входе в каждое веб-приложение? Пользуясь случаем, еще раз повторю: это плохая идея.

Человечество всегда ищет способы упростить свою жизнь. Например, существует риск, что люди будут использовать распространенные сочетания эмодзи. А еще сейчас в интернете популярна игра «Угадай известный фильм по эмодзи». Уверен, многие пользователи, недолго думая, позаимствуют оттуда понравившиеся варианты либо вдохновятся ими, когда будут составлять свои пароли. Как, впрочем, и злоумышленники. Да они наверняка сами начнут разрабатывать такие игры.

Что это за фильм?

Эдвард Руки-ножницы

Сонная Лощина

Показать результаты

Переголосовать

Проголосовать

«И какой же вывод из всего этого следует?» — спросите вы. Идея использовать эмодзи в качестве паролей довольно привлекательна и имеет свои преимущества, однако при ее воплощении избежать технических проблем не удастся. Специалистам по кибербезопасности не хватит ромашкового чая, если (когда) что-то пойдет не так.

Что надо держать в уме

Не стоит недооценивать незримого противника: хакеры становятся все опаснее и изобретательнее, и ваш аккаунт в Твиттере — не единственное, что они могут украсть. Сегодня под угрозой любые данные, хранящиеся в цифровом виде.

Чтобы себя обезопасить, следуйте простым правилам.

1. Не ленитесь использовать сложные и длинные пароли, даже если их тяжело запомнить.

Рекомендую создавать пароли длиной как минимум 10-12 символов, а лучше даже больше: каждый дополнительный символ в пароле увеличивает число вариантов, которые придется перебрать злоумышленнику, в 95 раз. Вдобавок сильные пароли сложнее подсмотреть из-за плеча.

2. Используйте разные пароли для разных ресурсов.

Набивший оскомину совет, но не все пока ему следуют. Главное: не используйте одни и те же пароли дома и на работе. Хакеры, воспользовавшись утекшими паролями с развлекательного сервиса, легко смогут получить доступ к инфраструктуре компании, в которой вы работаете.

3. Ваш лучший друг — менеджер паролей.

Выучив один сложный мастер-пароль для приложения, вы можете генерировать и сохранять пароли, уникальные для каждого ресурса. Стикер под клавиатурой — это не менеджер паролей, увы.

4. Забудьте про функцию запоминания паролей.

5. Проверяйте свои пароли на предмет утечки.

Например, на сайтах haveibeenpwned.com и leakcheck.io есть актуальная база всех крупных утечек, по которой можно прогнать свои пароли. Это поможет вовремя сменить текущие комбинации, пока злоумышленники не успели ими воспользоваться.

6. Регулярно меняйте пароли.

В публичном доступе оказываются не все скомпрометированные учетные данные. К тому же с момента утечки и до публикации данных, к примеру на хакерских форумах, может пройти много времени. Поэтому я рекомендую менять пароли каждые полгода, а для более важных ресурсов — и того чаще.

7. Не создавайте новый пароль путем смены одного или нескольких символов предыдущего.

Сам по себе пароль SuperPuperPassword1! можно считать достаточно надежным (кстати, с этой минуты уже нет 😊. Я опубликовал его в открытом доступе, и, вероятно, его скоро добавят в словарь для проверки). Однако если для следующего сервиса вы меняете, например, единицу на двойку, а для каждого последующего — на тройку, четверку и так далее, то злоумышленник, выяснив любую комбинацию из этой цепочки, сможет с легкостью определить, какой пароль у вас сейчас и какой вы установите в будущем.

8. Включайте второй фактор аутентификации.

Пароль не должен быть единственной преградой на пути злоумышленника. Включайте двухфакторную аутентификацию (отправку push-уведомлений, кодов подтверждения в СМС-сообщениях, генерирование кодов в приложениях или используйте аппаратные токены) везде, где это возможно.

В заключении отмечу, что использование паролей не всегда удобно. Впрочем, потеря доступа к важному аккаунту, например кабинету на «Госуслугах», доставит вам куда больше неприятностей. Специалисты по кибербезопасности продолжают искать альтернативный и комфортный для пользователей способ защиты учетных записей, однако на данный момент цифробуквенные пароли — один из немногих механизмов безопасности, доказавших свою эффективность.

5 правил для создания безопасного пароля, который легко запомнить

А какой у вас пароль от почтового ящика, аккаунта на Facebook или во ВКонтакте? Вы уверены, что пароль достаточно надежен?

Согласно данным компании NordPass (занимается управлением паролями) ТОП-5 самых популярных комбинаций в мире выглядит так:

  • 123456,
  • 123456789,
  • picture1,
  • password,
  • 12345678.&*()-_+=.

Т.е. на этом этапе мы получаем 8-12-символьный пароль, который должен включать:

  • буквы нижнего регистра;
  • буквы верхнего регистра;
  • цифры от 0 до 9;
  • служебные символы.

Проблем с выбором 4 наборов символов не возникает при использовании практически любых алфавитов. В каждом будут и цифры, и строчные, и прописные буквы, и служебные символы.

Возникает логичный вопрос: «А как же это все запомнить?». Проблем с запоминанием возникнуть не должно. Просто следуйте приведенным ниже правилам и рекомендациям.

Правило 3. Для запоминания возьмите фразу (слово), которую вы будете помнить, несмотря ни на что.

Можно взять фразу из любимой песни и «обработать» ее определенным образом. Давайте возьмем, например хит «Иванушек International», который на границе XX и XXI веков звучал буквально «из всех утюгов» со словами «…тополиный пух, жара июль…».

Обработайте его следующим образом:

  • Выделите первые буквы каждого слова в фразе.&*()-_+=. Для этого, как вариант, можно вставить специальные символы между буквами. Чтобы не запутаться, вставляйте их по порядку. Например, на клавише «1» находится !, его ставим в первый «разрыв» (в нашем случае между t и P), на клавише «2» — @. Этот символ ставим во второй «разрыв» (между P и j) и т.д. В результате получим такой пароль [email protected]#I$85. Если проанализировать его, то увидим, что на взлом нужно 85 лет.

А если добавить еще специальный символ между цифрами, время подбора увеличится до 6810 лет. Отличный результат. Не правда ли? И запоминается легко, и ко взлому очень даже устойчив.

В качестве «базовой» фразы можно брать и что-то другое. Только не стоит использовать свои ФИО или какие-то иные персональные данные. Все-таки это повышает риск раскрытия пароля. И не обязательно брать первые буквы слов, можно последние, а можно и какое-то определенное слово из фразы. В общем, вариантов масса. Проявите фантазию, и вы создадите надежный пароль, который будет легко запомнить.

Правило 4. Для быстрого запоминания.

Если вы привыкли пользоваться опцией автоматической подстановки логина и пароля на сайтах или в программах, после придумывания нового password рекомендуем отключить ее и какое-то время вводить нужные сведения вручную. Это позволит быстрее запомнить новый пароль и добиться его ввода «на автомате».

Правило 5. Больше касается организационных моментов.

Если вам нужно придумать несколько паролей, старайтесь не использовать одинаковых. Это значительно повышает риск взлома ваших аккаунтов при подборе пароля к одному. Но если все-таки очень хочется пользоваться единым паролем для социальных сетей и других ресурсов, специалисты рекомендуют, чтобы «ключевой» аккаунт был защищен при помощи своего password. Ключевой — это, например, адрес электронной почты, к которой прикреплены аккаунты в социальных сетях и сервисах, и который будет использоваться для восстановления утраченного доступа.

Видно, что придумать безопасный пароль, который легко запомнить, не так уж и сложно. Главное — проявить немного фантазии и воспользоваться рекомендациями, которые «обкатаны» на множестве реальных ситуаций. Потратьте немного времени на это, и вы создадите для злоумышленников серьезное препятствие на пути к вашим данным.

10 простых способов создания безопасных и легко запоминающихся паролей

10 простых способов создания безопасных и легко запоминающихся паролей

Вы уже много знаете о том, как важно следовать определенным рекомендациям при создании паролей , но что действительно важно-это использовать их. Также рекомендуем Вам периодически менять пароли, а также не использовать одинаковый пароль для различных аккаунтов, при этом сам пароль не должен содержать какую-либо Вашу персональную информацию (день рождения, любимая футбольная команда, имя Вашего щенка и пр.).

Все это продиктовано чувством здравого смысла, но мы также знаем о том, как порой трудно запомнить все эти сложные пароли. В силу этого мы предлагаем Вашему вниманию несколько простых советов, которые помогут Вам запомнить все эти сложные для подбора пароли!


1. Придумайте предложение

Придумайте высказывание или предложение, которое, по возможности, имеет какое-либо значение только для Вас. Оно не должно быть слишком коротким, но и не должно быть легко угадываемым, а также оно не должно быть очень длинным, чтобы Вы могли его запомнить. Отлично, если оно содержит заглавные и прописные буквы. Символы? Еще лучше. Например, «В местном пабе кружка пива стоит €4». Теперь возьмите первые буквы каждого слова и напишите их английскими буквами, получив вполне неплохой пароль «Vmpkps€4». Если не можете придумать ничего подобного, то, например, можно использовать небольшой кусок текста из Вашей любимой песни.


2. Совместите два слова

Выберите два слова на английском языке (опять же, лучше всего, если они имеют какой-либо смысл только для Вас) и сделайте другое слово, перемешав буквы. Если Вы выбрали слова «Beards» и «Lighters», то основой для Вашего нового пароля может быть слово «BLeiagrhdtsrs». Оно не содержит какие-либо цифры или символы, но Вы можете спокойно усилить его с помощью других приемов, о которых мы скажем Вам чуть ниже.


3. Замените гласные буквы цифрами

Об этом способе кибер-преступники уже знают, но он может неплохо работать в качестве дополнения к другим методам создания паролей. В качестве основы давайте возьмем пароль из предыдущего совета – «BLeiagrhdtsrs». Заменим гласные буквы и получим, например, такой пароль «BL314grhdtsrs». Если добавить еще несколько символов, то получится отличный пароль, который можно будет спокойно использовать.


4. Удалите гласные буквы

Вместо замены гласных букв цифрами, как это было показано в предыдущем совете, Вы можете полностью удалить их. Если в качестве основы мы стали использовать слово «BLeiagrhdtsrs», то удалив гласные буквы, мы получим слово «BLgrhdtsrs». А теперь достаточно добавить несколько цифр и символов, и в результате Вы получите еще более безопасный пароль.

5. Фокус с клавиатурой

Этот метод также связан с удалением чего-нибудь. Во-первых, выберите последовательность цифр, которую Вы можете легко запомнить (например, почтовый индекс). Допустим, это будет «28921». Теперь, посмотрите на данные цифры на Вашей клавиатуре, и вместо того, чтобы использовать только цифры, Вы можете в дополнение к этому писать буквы, которые на клавиатуре расположены под ними: «2wsx8ik9ol2wsx1qaz». Чтобы сделать пароль немного более сложным, Вы можете изменить какие-либо символы, сделав их, допустим, заглавными: «2Wsx8iK9Ol2wSx1qaZ» .


6. Смешайте вместе число и слово

Этот метод очень прост. Представим, что мы используем слово «Beards» и число «28921». Если мы смешаем их вместе, чередуя буквы и цифры в обратном порядке, то в конечном итоге получится слово «B1e2a9r8d2s». Добавьте сюда немного символов, и Вы получите прекрасный пароль.


7. Используйте аккаунт в качестве основы

Использование одинакового пароля для различных аккаунтов и веб-сайтов – это ужасная идея, но простой прием может превратить Ваш единый пароль в такой пароль, который мог бы работать для каждого аккаунта. Например, если Вы хотите авторизоваться в Facebook , Вы можете добавить «FB» в начале или конце пароля. Вы также можете попробовать использовать вариацию названия сайта, смешав заглавные и прописные буквы, символы и цифры с тем паролем, который Вам нравится. Если мы возьмем за основу пароль из первого совета, то может получиться два варианта нового пароля:

Vmpkps€4_FB

F4c3b00k_Vmpkps€4


8. Киньте игральные кости

Эта система является немного боле сложной, но если 11-летняя девочка смогла воспользоваться ею, то почему этого не сможете сделать Вы? Используемый метод, известный как Diceware, позволяет создавать полностью случайные пароли (которые очень сложные и безопасные) с помощью обычных игральных костей (кубиков с числами на гранях) и списка слов. Вы можете проверить информацию по данному методу здесь и посмотреть, что у Вас получится.


9. Стиль Судоку

В этом случае Вам придется что-нибудь придумывать, а потому возьмите ручку с бумагой и нарисуйте квадрат 6×6 со случайными цифрами в каждом квадратике. Теперь вспомните, как Вы двигаете свой палец на экране Вашего смартфона при его разблокировке, и также двигайте его над Вашим Судоку, который Вы только что нарисовали. Цифры, над которыми Вы прошлись, могут стать основной для Вашего пароля, к которому Вы можете добавить буквы и другие символы.

Данный метод может оказаться наилучшим среди представленных. Если Вы замените цифры в квадратиках, то аналогичное движение пальцем даст Вам новый код. В итоге, запомнив движение пальца и смотря на лист с нарисованным судоку, у Вас получится нескончаемый источник паролей.


10. Последний совет: не идите за толпой

Некоторые хакеры не просто умницы, они тратят значительное время на то, чтобы разрабатывать методики подбора паролей. Конечно, они знают все вышеперечисленные методы, поэтому Ваша способность «переплюнуть» их зависит от того, как Вы сочетаете буквы и цифры, формирующие основу Вашего пароля. Так что старайтесь мыслить немного нестандартно, т.к. чем нетрадиционней Ваш пароль, тем сложнее его подобрать.

Panda Security в России

+7(495)105 94 51, [email protected]

Ссылка — проверка пароля — программирование

Довольно часто вопросы (особенно те, отмеченные regex) попросите способы проверки паролей. Кажется, пользователи обычно ищут методы проверки пароля, которые состоят в том, чтобы гарантировать, что пароль содержит определенные символы, соответствует определенному шаблону и/или подчиняется минимальному количеству символов. Это сообщение предназначено, чтобы помочь пользователям найти подходящие методы для проверки пароля без существенного снижения безопасности.

Итак, вопрос: как следует правильно проверять пароли?

Ответ 1

Наш собственный Джефф Этвуд (блогер Coding Horror и соучредитель Qaru и Stack Exchange) в марте 2017 года написал блог о правилах паролей под названием » Правила паролей — это чушь собачья». Если вы еще не читали этот пост, я бы настоятельно рекомендовал вам сделать это, поскольку он в значительной степени отражает цель этого поста.

Если вы никогда не слышали о NIST (Национальный институт стандартов и технологий), то, скорее всего, вы не используете правильные методы кибербезопасности для своих проектов. В этом случае, пожалуйста, ознакомьтесь с их Руководством по цифровой идентификации. Вы также должны быть в курсе лучших практик кибербезопасности. Специальная публикация NIST 800-63B (Редакция 3) упоминает следующее о правилах паролей:

Верификаторы НЕ ДОЛЖНЫ навязывать другие составные правила (например, требующие смешения разных типов символов или запрещать последовательно повторяющиеся символы) для заученных секретов.

Даже документация Mozilla по проверке данных форм высмеивает правила паролей (архив страниц здесь):

«Ваш пароль должен быть длиной от 8 до 30 символов и содержать одну заглавную букву, один символ и число» (серьезно?)

Что произойдет, если вы введете правила составления для своих паролей? Вы ограничиваете количество возможных паролей и удаляете перестановки паролей, которые не соответствуют вашим правилам. Это позволяет хакерам гарантировать, что их атаки делают то же самое! «Да, но там как перестановки паролей квадриллионом (1 000 000 000 000 000 или 1×10 15)»: кластер из 25 графических процессоров взламывает каждый стандартный пароль Windows за <6 часов (95 8= 6 634 204 312 890 625 ~ 6,6×10 15 паролей).

Этот пост безопасности StackExchange расширяет комикс XKCD, описанный выше.

1. Не создавайте свою собственную аутентификацию

Полностью прекратите требовать пароли и дайте людям войти в систему с помощью Google, Facebook, Twitter, Yahoo или любой другой действующей формы интернет-водительских прав, которая вам удобна. Лучший пароль — тот, который вам не нужно хранить.

Источник: Ваш пароль слишком короткий, Джефф Этвуд.

2. Создание вашей собственной аутентификации

Если вы действительно должны создать свои собственные методы аутентификации, по крайней мере, следуйте проверенным методам кибербезопасности. Следующие два раздела (2.1 и 2.2) взяты из текущей публикации NIST, раздел 5.1.1.2 Запомненные секретные верификаторы.

2.1. Следуйте проверенным методам кибербезопасности

NIST утверждает, что вы ДОЛЖНЫ:

  • Требовать, чтобы выбранные подписчиком секреты были длиной не менее 8 символов.
    • Джефф Этвуд предлагает, чтобы пароли были не менее 10 символов для обычных пользователей и не менее 15 символов для пользователей с более высокими привилегиями (например, администраторы и модераторы).
  • Разрешение выбранных абонентом запоминаемых секретов длиной до 64 символов и более.
    • В идеале, вы не должны даже устанавливать верхний предел для этого.
  • Разрешить всю печать ASCII (включая символ пробела) и Unicode.
    • В целях требований к длине каждая кодовая точка Unicode ДОЛЖНА учитываться как один символ.
  • Сравните предполагаемые секреты со списком, который содержит значения, которые обычно используются, ожидаются или скомпрометированы. Например:
    • Пароли, полученные из предыдущих взломанных корпусов.
    • Словарь слов.
    • Повторяющиеся или последовательные символы (например, aaaaaa, 1234abcd)
    • Специфичные для контекста слова, такие как название службы, имя пользователя и их производные.
  • Предложите руководство для подписчика, например, измеритель надежности пароля.
  • Реализуйте механизм ограничения скорости, который эффективно ограничивает количество неудачных попыток аутентификации, которые могут быть сделаны на учетной записи абонента (см. Ограничение скорости (регулирование)).
  • Принудительное изменение, если есть доказательства компрометации аутентификатора.
  • Разрешить заявителям использовать функцию вставки при вводе запомненного секрета (облегчает использование менеджеров паролей, которые обычно увеличивают вероятность того, что пользователи выберут более надежные запомненные секреты).

2.2. НЕ используйте методы, описанные в этом разделе!

В той же публикации также говорится, что вы НЕ ДОЛЖНЫ:

  • Усекни секрет.
  • Разрешить подписчику хранить подсказку, доступную для неаутентифицированного заявителя.
  • Предложите подписчикам использовать определенные типы информации (например, «Как звали вашего первого питомца?») При выборе заученных секретов.
  • Наложить другие правила композиции (например, требовать сочетания разных типов символов или запрещать последовательно повторяющиеся символы) для заученных секретов.
  • Требовать, чтобы запомненные секреты были изменены произвольно (например, периодически).

Существует множество веб-сайтов, объясняющих, как создавать «правильные» формы проверки пароля: большинство из них устарели и не должны использоваться.

3. Использование парольной энтропии

Прежде чем продолжить чтение этого раздела, обратите внимание, что целью этого раздела является не предоставление вам инструментов, необходимых для развертывания вашей собственной схемы безопасности, а предоставление вам информации о том, как современные методы безопасности проверяют пароли. Если вы планируете создать собственную схему безопасности, вам стоит подумать трижды и прочитать эту статью из сообщества безопасности StackExchange.

3.1. Обзор энтропии паролей

На самом базовом уровне энтропия пароля может быть рассчитана по следующей формуле:

В приведенной выше формуле:

  • представляет энтропию пароля
  • — количество символов в пуле уникальных символов.
  • — количество символов в пароле.

Это означает, что представляет количество возможных паролей; или, с точки зрения энтропии, количество попыток, необходимых для исчерпания всех возможностей.

К сожалению, эта формула не учитывает такие вещи, как:

  • Общие пароли: т.е. Password1, admin
  • Имена: т.е. John, Mary
  • Обычно используются слова: то есть в английском языке, the I
  • Перевернутые/перевернутые слова: т.е. drowssap (пароль задом наперед)
  • Подстановка букв (иначе как leet): т.е. [email protected]$$w0rd

Добавление логики для этих дополнительных соображений представляет большую проблему. См. 3.2 для существующих пакетов, которые вы можете добавить в свои проекты.

3.2. Существующие проекты энтропии паролей

На момент написания этой статьи самой известной из существующих библиотек для оценки надежности пароля является zxcvbn от Dropbox (проект с открытым исходным кодом на GitHub).&*()), Вы просто запрашиваете беда!

PS Никогда не доверяйте проверке на стороне клиента, поскольку ее очень легко отключить. Это означает для тех из вас, кто пытается проверить пароли, используя javascript STOP. См. JavaScript: проверка на стороне клиента и на стороне сервера для получения дополнительной информации.

Следующий шаблон регулярных выражений работает не на всех языках программирования, но работает на многих основных языках программирования (java .net php perl ruby). Обратите внимание, что следующее регулярное выражение может не работать на вашем языке (или даже на языковой версии), и вам может потребоваться использовать альтернативы (например, python: см. Регулярное выражение Python, соответствующее свойствам Юникода). В некоторых языках программирования даже есть лучшие методы для проверки такого рода вещей (например, с помощью плагина проверки пароля для mysql) вместо изобретения колеса. При использовании node.js следующее допустимо, если используется дополнение XRegExp или какой-либо другой инструмент преобразования для классов Unicode, как обсуждалось в регулярных выражениях Javascript + Unicode.\p{L}\p{N}]) Убедитесь, что хотя бы один из символов (в любом сценарии) не является буквой или цифрой существует.

  • [\s\S]{8,} Соответствует любому символу 8 или более раз.
  • $ Подтвердить позицию в конце строки.
  • Пожалуйста, используйте вышеприведенное регулярное выражение по своему усмотрению. Вы были предупреждены!

    Каким должен быть безопасный пароль?

    Пароль – наше все. Безопасный пароль – это первая гарантия того, что ваша личная информация находится под надежным «замком». По нашим данным, около 80% пользователей недооценивают роль пароля в защите от киберугроз и легкомысленно относятся к его созданию и хранению. Если ваш пароль имеет хотя бы один из приведенных ниже признаков, немедленно замените его, следуя рекомендациям специалистов антивирусной лаборатории Zillya!

    Признаки опасного пароля

    1. Один из ваших паролей – 123456, password, Iloveyou, 111111, qwerty или admin и т. п. Поздравляем, вы не одни. Вот уже несколько лет эти варианты не покидают десятку самых популярных паролей, найденных в сети из-за утечек.

    2. Ваш пароль – имя, фамилия, номер телефона, имя супруга, сестры, название родного города. Срочно поменяйте его, пока не поздно. Хакеры не дремлют и с удовольствием воспользуются вашей предсказуемостью.

    3. Пароль состоит только из букв или цифр и содержит менее пяти символов. Для автоматической системы взломов ваш аккаунт – лакомый кусочек.

    4. Придумывая пароль, вы выбираете слова из словаря, вспоминаете имена популярных исполнителей или групп.

    5. Вы любите использовать одинаковые или смежные символы – например, 222222 или xcvbnm – и популярные аббревиатуры? Все это путь к тому, что в один прекрасный день пользователем вашего аккаунта может стать кто-то другой.

    Конечно, некоторые сайты просто не дадут выбрать вам ненадежный пароль. Однако далеко не все ресурсы так заботятся о защите личных данных пользователя. Кроме того, если у вас одинаковые пароли для разных аккаунтов – например, для социальных сетей, электронной почты или интернет-банкинга, риск взлома возрастает в несколько раз.

    Правила надежного пароля

    Существует несколько простых правил, соблюдая которые вы уменьшите шансы кибермошенников на успех. Например, надежным пароль будет, если:

    1. Он состоит более чем из восьми символов.

    2. В пароле перемешаны буквы и цифры, используется нижний и верхний регистры и другие символы (например, Ju25lix/93aHl, SPR45kg78#1 и т.д.).

    3. Пароль, на первый взгляд, состоит из бессмысленных слов, но вы знаете логику его образования (чтобы вы его запомнили). Например, ваш любимый месяц года – май (may), в мае цветет сирень (lilac), в мае празднуется День победы (victory), а война закончилась в 1945 году. Путем небольшого микса цифр и букв получается – 19/MalivI_45.

    4. Вы используете в его создании одновременно кириллицу и латиницу.

    5. Слова в пароле написаны с ошибками, некоторые буквы перепутаны или заменены.

    Создав пароль, сразу подумайте, где и как лучше его хранить. В этом случае можно воспользоваться несколькими вариантами.

    1. Память. Разумеется, самый надежный способ – запомнить пароль, но удержать в памяти множество паролей от разных аккаунтов бывает довольно сложно.

    2. Менеджер паролей. Будьте осторожны: в данном случае вам все-таки придется запомнить один пароль, забыв который вы потеряете доступ ко всем остальным.

    3. Отдельный текстовый файл (не используйте для названия файлов слова – pass, password, пароль). Поместите данный файл в архив и закройте его паролем.

    Выбрать, как лучше хранить пароли, – личное дело каждого пользователя. Более подробно о менеджерах паролей, читайте в наших следующих статьях. Также помните, что антивирусные программы значительно повышают уровень защиты личного компьютера от троянцев, ворующих пароли у пользователей.

     

     

    Минимальная длина пароля (Windows 10) — безопасность Windows

    • Статья
    • 3 минуты на чтение
    • 11 участников

    Полезна ли эта страница?

    Да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Относится к

    В этой статье описаны рекомендуемые действия, расположение, значения, управление политиками и вопросы безопасности для параметра политики безопасности Минимальная длина пароля .

    Артикул

    Параметр политики Минимальная длина пароля определяет наименьшее количество символов, которое может составлять пароль для учетной записи пользователя.Вы можете установить значение от 1 до 14 символов или установить, что пароль не требуется, установив количество символов равным 0.

    Возможные значения

    • Задаваемое пользователем количество символов от 0 до 14
    • Не определено

    Лучшие практики

    Установите для параметра Минимальная длина пароля значение не менее 14. Если количество символов равно 0, пароль не требуется. В большинстве сред рекомендуется восьмисимвольный пароль, поскольку он достаточно длинный для обеспечения надлежащей безопасности и достаточно короткий, чтобы пользователи могли легко его запомнить.В настоящее время минимальная длина пароля больше 14 не поддерживается. Это значение поможет обеспечить адекватную защиту от атаки грубой силы. Добавление требований к сложности поможет уменьшить вероятность атаки по словарю. Дополнительные сведения см. в разделе Пароль должен соответствовать требованиям сложности.

    Разрешение использовать короткие пароли снижает безопасность, поскольку короткие пароли могут быть легко взломаны с помощью инструментов, которые проводят атаки по словарю или методом грубой силы против паролей. Требование очень длинных паролей может привести к неправильному вводу паролей, что может привести к блокировке учетной записи и увеличить количество обращений в службу поддержки.

    Кроме того, требование очень длинных паролей может фактически снизить безопасность организации, поскольку пользователи могут с большей вероятностью записывать свои пароли, чтобы не забыть их. Однако, если пользователей учат, что они могут использовать кодовые фразы (такие предложения, как «Я хочу выпить молочный коктейль за 5 долларов»), они с гораздо большей вероятностью запомнят.

    Местоположение

    Конфигурация компьютера\Параметры Windows\Параметры безопасности\Политики учетных записей\Политика паролей

    Значения по умолчанию

    В следующей таблице перечислены фактические и действующие значения политики по умолчанию.Значения по умолчанию также перечислены на странице свойств политики.

    Тип сервера или объект групповой политики (GPO) Значение по умолчанию
    Политика домена по умолчанию Семь знаков
    Политика контроллера домена по умолчанию Не определено
    Настройки по умолчанию автономного сервера Нулевые символы
    Действующие настройки контроллера домена по умолчанию Семь символов
    Действующие параметры рядового сервера по умолчанию Семь знаков
    Действующие параметры GPO по умолчанию на клиентских компьютерах Нулевые символы

    Управление политиками

    В этом разделе описаны функции, инструменты и рекомендации, которые помогут вам управлять этой политикой.

    Требование перезапуска

    Нет. Изменения этой политики вступают в силу без перезагрузки устройства, если они сохраняются локально или распространяются через групповую политику.

    Вопросы безопасности

    В этом разделе описывается, как злоумышленник может использовать функцию или ее конфигурацию, как реализовать контрмеру и возможные негативные последствия реализации контрмеры.

    Уязвимость

    Типы атак на пароли включают атаки по словарю (которые пытаются использовать общие слова и фразы) и атаки методом грубой силы (которые пытаются использовать все возможные комбинации символов).Кроме того, злоумышленники иногда пытаются получить базу данных учетных записей, чтобы использовать инструменты для обнаружения учетных записей и паролей.

    Контрмеры

    Настройте для параметра политики Минимальная длина пароля значение 8 или более. Если количество символов установлено на 0, пароль не требуется.

    В большинстве сред мы рекомендуем восьмизначный пароль, поскольку он достаточно длинный для обеспечения надлежащей безопасности, но не слишком сложен для запоминания пользователями.Эта конфигурация обеспечивает достаточную защиту от атак грубой силы. Использование параметра политики «Пароль должен соответствовать требованиям сложности» в дополнение к параметру Минимальная длина пароля помогает снизить вероятность атаки по словарю.

    Примечание

     В некоторых юрисдикциях установлены юридические требования к длине пароля в рамках установления правил безопасности.

    Потенциальное воздействие

    Требования к очень длинным паролям могут фактически снизить безопасность организации, поскольку пользователи могут оставить информацию в незащищенном месте или потерять ее.Если требуются очень длинные пароли, неправильно введенные пароли могут привести к блокировке учетной записи и увеличить количество обращений в службу поддержки. Если в вашей организации есть проблемы с забытыми паролями из-за требований к длине пароля, подумайте о том, чтобы научить своих пользователей фразам-паролям, которые часто легче запомнить, а из-за большого количества комбинаций символов их гораздо сложнее обнаружить.

    Если ваши пароли содержат менее 8 символов, измените их

    Короткие и простые пароли можно взломать за считанные секунды.Длинные и сложные? Триллионы лет.

    Это согласно недавнему исследованию Hive Systems, компании по кибербезопасности, базирующейся в Ричмонде, штат Вирджиния, которая показывает, сколько времени обычно требуется среднему хакеру, чтобы взломать пароли, защищающие ваши самые важные онлайн-аккаунты.

    Полученные данные свидетельствуют о том, что даже восьмизначный пароль — со здоровой смесью цифр, прописных букв, строчных букв и символов — может быть взломан средним хакером в течение восьми часов.Все, что короче или менее сложно, может быть взломано мгновенно или в течение нескольких минут любым хакером, который знает, что делает, даже если он использует только самое простое оборудование.

    Между тем, по данным Hive Systems, на взлом пароля длиной 18 символов, состоящего из комбинации цифр, строчных и прописных букв и символов, у среднего хакера может уйти до 438 триллионов лет.

    Компания составила график с цветовой кодировкой, чтобы показать, как быстро можно взломать разные пароли в зависимости от их длины и использования различных символов, и как эти времена ускорились с 2020 года благодаря более быстрой технологии:

    Полученные данные подтверждают советы экспертов, таких как Национальный институт стандартов и технологий, которые также предлагают выбирать длинные и сложные пароли, состоящие не менее чем из восьми символов.

    В рамках исследования Hive Systems провела тесты, чтобы определить, насколько быстро средний хакер, то есть тот, кто использует оборудование потребительского класса, включая настольный компьютер с «графической картой высшего уровня», может взламывать пароли различной длины и сложности.

    В сообщении в блоге исследователи компании объясняют, как может работать процесс взлома ваших паролей. Он начинается с процесса, называемого «хеширование», алгоритмически управляемого процесса, который веб-сайты используют для маскировки ваших сохраненных паролей от хакеров.

    Если ввести слово «пароль» в одну из широко используемых программ для хэширования, называемую MD5, вы получите следующую строку символов: «5f4dcc3b5aa765d61d8327deb882cf99». Идея состоит в том, что если хакеры взломают сервер веб-сайта, чтобы найти списки сохраненных паролей, они увидят только хешированные наборы букв и цифр.

    Вы, конечно, не должны использовать «пароль» в качестве пароля. На самом деле, это один из самых распространенных паролей, которые в конечном итоге просочились в даркнет.

    Хэшированные пароли необратимы, потому что они созданы с помощью односторонних алгоритмов.Но хакеры могут составлять списки всех возможных комбинаций символов на вашей клавиатуре, а затем сами хэшировать эти комбинации с помощью наиболее часто используемых программ. В этот момент хакерам нужно только найти совпадения хешированных паролей в своем списке, чтобы определить ваши исходные пароли.

    Это сложный процесс, но с ним легко справится любой знающий хакер с бытовым оборудованием, отмечает Hive Systems. Вот почему лучшая защита — это использование длинных и сложных паролей, на взлом которых уходит больше всего времени.

    В отчете также настоятельно рекомендуется не использовать повторно пароли для нескольких веб-сайтов. Если вы сделаете это, и хакеры смогут взломать ваш пароль для одного веб-сайта, то «вас ждут плохие времена», пишет компания.

    Понятно, что вы можете не захотеть запоминать 18-символьные пароли каждый раз, когда входите в учетную запись в Интернете. В конце концов, пароль, на взлом которого уходят триллионы лет, не очень полезен, если на его запоминание у вас уходит несколько миллионов лет.

    Но даже пароль из 11 символов — опять же, с использованием комбинации цифр, прописных и строчных букв и символов — может занять у хакеров 34 года, чтобы взломать, по оценкам Hive Systems.И это, безусловно, лучше, чем восемь часов или меньше.

    ИСПРАВЛЕНИЕ. В более ранней версии этой статьи было неверно указано, что Hive Systems использовала инструмент Security.org для завершения своего исследования 2022 года. Фактически, Hive Systems использовала инструмент для более раннего исследования в 2020 году, а не самую последнюю версию.

    Зарегистрируйтесь: . темная сеть — убедитесь, что ни один из них не ваш Ваша онлайн-безопасность

    Именно эта часть «большинства людей» доставляет вам неприятности.«Речь идет о предсказуемости, основанной на том, сколько людей это делает», — говорит Крэнор. Избегание загрузки паролей со специальными символами вперед или назад также дает вам гораздо больше возможностей для работы, что создает еще большее узкое место для любого, кто пытается взломать систему. , вплоть до последнего &[email protected] Чтобы кто-то сломался, потребуются годы. На самом деле ваш пароль настолько хорош, что вам потребовалось так много времени на его запоминание, что вы решили использовать его на нескольких учетных записях.

    Это плохо!

    «Даже если у вас есть «неважный» пароль и «важный» уровень паролей, это очень небезопасно», — говорит Джо Зигрист, вице-президент и генеральный менеджер популярного менеджера паролей LastPass. «Хакеру слишком легко атаковать один сайт и получить ваш пароль для всех остальных».

    Главное здесь, на самом деле, заключается в том, что ваши пароли надежны настолько, насколько надежны сайты, которым вы их доверяете. Если вы не хотите дорого платить за чужую ошибку, ограничьте возможные последствия, используя везде уникальный пароль.Или, вы знаете, пропустите все это и используйте менеджер паролей.

    5. Не меняйте их так часто, чёрт возьми А если вы ИТ-администратор, не принуждайте к этому своих сотрудников.

    «Администраторам, устанавливающим политики паролей, лучше требовать более длинные пароли и позволять пользователям хранить их дольше, чем заставлять их менять пароли каждые один или два месяца», — говорит Бернетт.«Это побуждает пользователей использовать более надежные пароли и позволяет избежать простых схем, таких как увеличение числа в конце пароля каждый раз, когда им приходится его сбрасывать».

    Пароли сложные. Они должны быть! Но лучше приложить усилия, чтобы сделать один хороший и придерживаться его, чем ожидать, что вы сможете переворачивать такое количество специальных символов чаще, чем страницы в настенном календаре.

    «Частая смена пароля — это в основном пустая трата времени, — говорит эксперт по безопасности Microsoft Research Кормак Херли.«Нет никаких доказательств того, что смена пароля улучшает результаты.

    6. Снизьте панику

    Вы правы, делая все возможное, чтобы сделать свой пароль как можно более безопасным. Но также полезно помнить, что большинству людей Мне не нужен цифровой Форт-Нокс. Цифровой кодовый замок вполне подойдет.

    «Не обращайте внимания на истории о том, что злоумышленники угадывают миллиарды раз и говорят, что средний пароль можно угадать менее чем за секунду: ваш банк не собирается позволить злоумышленнику попробовать 100 миллиардов догадок», — говорит Херли.«Для ваших веб-паролей вам в основном нужно беспокоиться о том, чтобы выдержать несколько тысяч догадок».

    Да вот еще много догадок. Но, во всяком случае, это напоминание о том, что если вы сделаете приверженность передовым методам работы с паролями, плохие парни, вероятно, будут двигаться вперед.

    7. Layer Up

    При правильном развертывании пароли довольно хороши. Тем не менее, они намного лучше, как часть общего плана атаки. Это удваивается для тех, кто находится на стороне администратора прохода.

    «Не полагайтесь только на пароли!» — говорит Нил Винн, старший аналитик Gartner, специализирующийся на безопасности бизнеса. «Пароли не должны считаться достаточными для чего-либо, кроме приложений с наименьшим риском».

    Вместо этого Винн предлагает добавить уровень более надежной аутентификации, такой как криптографические учетные данные или биометрический идентификатор (например, сканер отпечатков пальцев).

    Добавление уровня защиты имеет смысл, но оно также имеет потенциальные дополнительные преимущества, которые не столь очевидны.

    «Добавив [дополнительную аутентификацию], компания может иметь менее строгую политику паролей, например, меньшее количество символов или менее частую смену пароля», — говорит Джексон Шоу, старший директор по управлению продуктами Dell Security.

    Что, эй! Каким бы замечательным ни был герметичный пароль, все, что облегчает его достижение, более чем приветствуется.

    Дополнительные способы обеспечения безопасности

    NIST 800-171: изменение символов в паролях

    Риски кибербезопасности беспокоят каждый бизнес, в том числе федеральное правительство.До введения NIST 800-171 между государственными учреждениями не существовало единого подхода к тому, как следует обрабатывать, защищать и утилизировать данные. Это вызвало множество головных болей, включая проблемы с безопасностью, когда нужно было поделиться информацией.

    После нескольких громких инцидентов, кульминацией которых стала утечка данных Почтовой службы США в 2018 году, если вы теперь хотите работать с федеральным правительством, вам необходимо придерживаться NIST 800-171. Фреймворк был введен для защиты контролируемой федеральной несекретной информации (CUI) в нефедеральных информационных системах и организациях.Это конфиденциальные и актуальные данные, которые не регулируются федеральным правительством. Руководящие принципы обеспечивают основу для защиты и распространения материалов, считающихся конфиденциальными, но не засекреченными. Они поясняют, как обеспечить безопасный доступ к CUI, совместное использование и хранение.

    Любой, кто имеет дело с правительством, теперь должен не только соблюдать требования, но также должен быть в состоянии продемонстрировать соблюдение требований, чтобы гарантировать, что контракты не будут отозваны или наложены штрафы. Другие организации также принимают рекомендации NIST по паролям и протоколы безопасности, поскольку они снижают риск для большинства организаций.

    Что такое NIST 800-171?

    NIST 800-171 содержит набор рекомендаций, описывающих процессы и процедуры, которые компании должны внедрить для обеспечения соответствия требованиям контроля CUI. Существует 14 различных компонентов ИТ-безопасности, которых должны придерживаться организации и подрядчики, которые можно сгруппировать в четыре области:

    • Средства управления – Средства управления данными и процессы
    • Мониторинг и управление – Мониторинг/управление в режиме реального времени определенными ИТ-системами
    • Практики конечных пользователей – Документированные, четко определенные практики и процедуры конечных пользователей
    • Меры безопасности – Внедрение определенных мер безопасности

    Принятие политик NIST 800-171 дает множество преимуществ, связанных с безопасностью, включая лучшие практики для политик доступа к данным, снижение риска утечки данных и внутренних угроз, а также масштабируемый подход. для защиты конфиденциальных данных.

    Меры безопасности: обеспечить минимальную сложность пароля и изменение символов при создании новых паролей.

    Специальная публикация NIST 800-171 3.5.7
    NIST 800-171: изменение символов в паролях

    В рекомендациях говорится о минимальной сложности пароля и изменении символов при создании новых паролей.

    В Enzoic мы можем помочь обеспечить соответствие многим требованиям идентификации и аутентификации, включая смену символов при создании новых паролей.Администраторам легко обеспечить минимальную сложность пароля с помощью стандартных функций Active Directory, но принудительное изменение символа является более сложным.

    Распространенным поведением сотрудников с паролями является использование одного корневого пароля, а затем его различных итераций. Эта практика облегчает запоминание пароля сотрудником, но, к сожалению, также облегчает работу кибер-злоумышленникам.

    Имея это в виду, для организаций важно внедрить «изменение символов при создании новых паролей», как указано в NIST 800-171.Благодаря функции блокировки схожести паролей новые пароли проверяются на сходство с прежним паролем с использованием расстояния Дамерау-Левенштейна.

    Например: если ваш скомпрометированный пароль «HolidayVacation2018», злоумышленники обычно пытаются повторять итерации, например:
    «HolidayVacation2019» изменение одного символа
    «HolidayVacation2020» изменение двух символов
    «HolidayVacation18» изменение двух цифр

    С помощью Enzoic для Active Directory вы можете определить величину разницы (расстояния), которая потребуется между старым паролем и новым паролем.Минимальное количество отличий будет 1, а максимальное количество отличий будет равно 8. У организаций разные мнения о том, сколько символов должно отличаться, включая перестановки, между старыми и новыми паролями. Эта настройка позволяет им настроить его на нужный уровень для своего бизнеса.

    Фильтрация паролей в Active Directory

    Пароли остаются растущим вектором угроз, и мы являемся единственным поставщиком, который предлагает фильтрацию паролей (проверка при создании/сбросе пароля) и непрерывный мониторинг (ежедневная повторная проверка) с использованием собственной базы данных, которая обновляется каждый день.Мы известны широтой нашей аналитики угроз в отношении скомпрометированных учетных данных.

    Вместе эти возможности позволяют нам выполнять требования, изложенные в плане упрощения сложности паролей и устранения срока действия, что теперь является рекомендуемым стандартом NIST. Бизнес-преимущество этих изменений включает в себя лучшую безопасность, улучшенный пользовательский интерфейс и более низкие затраты за счет уже существующей технологии аутентификации.

    Чтобы узнать больше о том, как мы можем помочь поддерживать требования к различию символов в NIST 800-171, ознакомьтесь с дополнительной информацией в этом техническом документе: Автоматизация применения политики паролей и рекомендации NIST по использованию паролей в Active Directory.

    Указание символов в пароле

    Указание символов в пароле

    Использование эти параметры sp_passwordpolicy для укажите минимальное количество символов (цифры, верхний и нижний символов и т.д.) в пароле:

    • мин. цифр в пароле – минимальное количество цифр в пароле. Отключено по умолчанию. Допустимые значения:

      .
    • мин альфа в пароле – минимально допустимое количество буквенных символов в пароле.Этот значение должно быть не меньше суммы минимального количества символов верхнего регистра и минимальное количество символов нижнего регистра. Отключено по умолчанию. Допустимые значения:

      .
    • мин специальный символ в пароле – минимальное количество специальных символов для пароля. Допустимые значения являются:

    • мин. верхний символ в пароле – минимальное количество заглавные буквы для пароля. Отключено по умолчанию. Допустимые значения являются:

    • мин младший символ в пароле – минимальное количество строчных букв для пароля.Допустимые значения являются:

    • минимальная длина пароля – минимальная длина пароля. Вы можете установить минимальную длину пароля от от 0 до 30. Значение, которое вы указываете, должно быть как минимум суммой все другие минимальные требования. Например, минимальный пароль . длина должна быть не менее 10, если вы установили:

      • минимум цифр в пароле до 3

      • минимум специальных символов в пароле до 2

      • минимум символов верхнего регистра в пароле до 2

      • минимум строчных символов в пароле до 3

    • истечение срока действия пароля – количество дней, в течение которых пароль может существовать до истечения срока его действия.Вы указываете это значение в глобальном масштабе. Отключено по умолчанию. Допустимые значения являются:

    • пароль exp warn interval — количество дней до срок действия пароля истекает, что предупреждающие сообщения об истечении срока действия пароля дисплеи. Эти сообщения отображаются при каждом успешном входе в систему, пока пароль изменен или срок его действия истек. Это значение должно быть меньше или равно сроку действия пароля. Отключено по умолчанию.

      Допустимые значения: от 0 до 365.

    • максимальное количество неудачных входов в систему – максимальное количество неудачных входов в систему, которое может произойти до входа в систему заблокирован.Укажите это значение глобально. Отключено по умолчанию. Действительный значения:

      • 0 – логины никогда не блокируются, независимо от количества неудачных попыток входа в систему.

      • от 1 до 32767 – количество неудачных входы в систему, которые могут произойти до того, как вход будет заблокирован.

    • срок действия логина меняет логин статус истекает, когда офицер безопасности системы создает или сбрасывает логин. Логин затем требуется для смены пароля на первый логин.Отключено по умолчанию. Допустимые значения:

      .

    См. sp_passwordpolicy в справочнике Руководство: Процедуры .

    Что такое специальный символ в пароле?

    Автор вопроса: Грейди Роган II
    Оценка: 4,4/5 (20 голосов)

    Специальные символы пароля — это набор знаков препинания, которые присутствуют на стандартной клавиатуре США и часто используются в паролях .&*()_-+={[}]|\:;»‘<,>.?/

    Подходят ли специальные символы для паролей?

    Различные типы символов: используйте как буквы — прописные, так и строчные — а также цифры, знаки препинания и специальных символов. В идеале вы должны использовать все разрешенные типы символов. Не делайте этого, если ваш пароль длиннее. Избегайте: паролей, состоящих только из букв или цифр.

    Какой хороший пример надежного пароля?

    Пример надежного пароля: «Cartoon-Duck-14-Coffee-Glvs» .Он длинный, содержит прописные и строчные буквы, цифры и специальные символы. Это уникальный пароль, созданный генератором случайных паролей, и его легко запомнить. Надежные пароли не должны содержать личной информации.

    Что такое от 8 до 13 символов в примере пароля?

    Ниже приведены некоторые примеры паролей, содержащих от 8 до 13 символов, включая прописные и строчные буквы, цифры и специальные символы: #zA_35bb%YdX .

    Найдено 19 связанных вопросов

    Какой хороший пароль?

    Включает сочетание символов, цифр и букв верхнего и нижнего регистра.В слабых паролях используются короткие общие слова. Защитите свои пароли как от атак по словарю, так и от атак грубой силы, используя ряд букв, цифр и символов.

    Как вводить специальные символы?

    Вставка символов ASCII

    Чтобы вставить символ ASCII, нажмите и удерживайте клавишу ALT при вводе кода символа . Например, чтобы вставить символ градуса (º), нажмите и удерживайте клавишу ALT, одновременно набирая 0176 на цифровой клавиатуре.Вы должны использовать цифровую клавиатуру для ввода цифр, а не клавиатуру.

    Сколько существует специальных символов?

    Цифры (10 разных: 0-9) Буквы (52 разных: AZ и az) Специальные символы ( 32 разных ).

    Что такое специальные символы Python?

    Список специальных/экранирующих символов Python:

    • \n — Новая строка.
    • \t- Горизонтальная вкладка.
    • \r- Возврат каретки.
    • \b- Backspace.
    • \f- Подача страницы.
    • \’- Одинарная кавычка.
    • «- двойная кавычка.
    • \\-Обратная косая черта.

    Что такое обычные символы?

    В регулярных выражениях нормальным символом является атом, обозначающий одноэлементный набор строк, содержащий только себя .

    Что такое очень надежный пароль?

    Используйте пароли не менее восьми (8) символов или более (чем длиннее, тем лучше). Используйте комбинацию прописных и строчных букв, цифр и специальных символов (например: !, @, &, %, +) во всех паролях.

    Какие символы нельзя использовать в паролях?

    Диакритические знаки, такие как умляут, и символы DBCS не допускаются.Другие ограничения: пароль не может содержать пробелы; например пароль. Пароли не могут быть длиннее 128 символов.

    Какие 10 самых популярных паролей?

    10 самых распространенных паролей:

    • qwerty.
    • пароль.
    • 12345.
    • qwerty123.
    • 1q2w3e.
    • 12345678.
    • 111111.
    • 1234567890.

    Что делает надежный пароль 2020?

    Надежный пароль должен включать уникальных символа, цифры, строчные и прописные буквы для повышения надежности . Включение специальных символов и цифр затрудняет подбор пароля, поскольку вы создаете больше возможных комбинаций.

    Какой тип пароля самый безопасный?

    Используйте комбинацию прописных и строчных букв, символов и цифр.Не используйте часто используемые пароли, такие как 123456 , слово «пароль», «qwerty», «111111» или слово «обезьяна». Убедитесь, что ваши пользовательские пароли имеют длину не менее восьми символов.

    Какой хороший 12-символьный пароль?

    В соответствии с традиционным советом, который по-прежнему хорош, надежный пароль: минимум 12 символов: вам нужно выбрать достаточно длинный пароль. Не существует минимальной длины пароля, с которой согласны все, но обычно следует выбирать пароли длиной не менее 12– 14 символов .

    Сколько комбинаций в 8-символьном пароле?

    Восьмисимвольный пароль, состоящий только из символов нижнего и верхнего регистра, имеет 200 миллиардов возможных комбинаций .

    Что такое числовой символ в примере пароля?

    минимум 1 числовой символ [0-9] и., знак доллара $, точка или точка ., вертикальная черта или символ вертикальной черты |, вопросительный знак ?, звездочка или звездочка *, знак плюс +, открывающая скобка (, закрывающая скобка), …

    Как в Word вставлять специальные символы?

    Специальные символы, такие как длинные тире или знаки раздела (§)

    1. Нажмите или коснитесь того места, где вы хотите вставить специальный символ.
    2. Выберите «Вставка» > «Символ» > «Дополнительные символы».
    3. Перейти к специальным символам.
    4. Дважды щелкните символ, который вы хотите вставить. …
    5. Выберите Закрыть.

    Является ли Даш особым персонажем?

    3 ответа. Дефис в основном является обычным символом в регулярных выражениях. Вам не нужно экранировать дефис за пределами класса символов; не имеет особого значения .Afx375Zq .

    Злоумышленники отдают предпочтение простейшему расположению, соответствующему схеме пароля: начинайте с заглавной буквы, заканчивайте цифрой и затем знаком препинания, заполняйте середину минимальным количеством строчных букв, начиная со слов, отсортированных по частоте. У меня есть такой словарь, так что я мог бы начать с Anything0! от до Zzzombie9~ , затем переходите к несловным комбинациям Aaaaaaaa0! от до Zzzzzzzzz9~ до различных вариаций.Afx375Zq займет гораздо больше времени, потому что он смешивает четыре класса символов и использует только три буквы нижнего регистра.

    Всегда предполагайте, что злоумышленники знают вашу схему. Возможно, вам повезет, и вы сможете спрятаться за какой-то неясностью, что, безусловно, полезно, но это не должно влиять на вашу математику. Не пытайтесь быть «умным» — попытка Касперского закончилась неудачей; они сделали предположения о порядке атак, которые привели к созданию гораздо более более слабых паролей.

    Принуждение пользователей усложнять символы в своих паролях вынуждает злоумышленников повышать сложность своих атак грубой силы, хотя на самом деле это ослабляет общую энтропию.Он предотвращает ленивые и легко угадываемые пароли, такие как aaaaaaaaaa , удаляя их из списка возможных паролей. Существует 94⁸ возможных восьмисимвольных паролей (60 квинтиллионов, энтропия = 52), но требуется меньшее, большее число и специальное сокращение до 26×26×10×32×94⁴ (16 триллионов, энтропия = 43).

    Мне нравятся песни Битлз. не является ни случайным, ни уникальным. Неудивительно, что у Google есть хиты для этого.

    👉 Если запрос Google для вашего пароля (в кавычках и без 0bfuscated) может получить результат, он слаб.

    Пароли должны быть на самом деле случайными (не произвольными! Не запутанными! Можно использовать генератор псевдослучайных чисел), символами (для паролей) или словами (для парольных фраз). Мне нравятся штаны Битлз. более уникален, но он произвольный, а не случайный. Вы не можете «придумать» случайную фразу без посторонней помощи (в идеале с помощью генератора), только такую, которая кажется случайной. Можно придумать несколько фраз и выбрать одну, вокруг которой можно создать творческую историю.

    Я подсчитал, что слово стоит 2,5 символа, поэтому для энтропии, эквивалентной коду доступа с 10 случайными символами, log₂(94¹⁰) = 65, вам понадобится фраза-пароль с 4 случайными словами, log₂(100000⁴) = 66. Это на более слабая сторона, и снова: парольная фраза, которая является предложением, не безопасна.

    Длина — это еще не все. Пусть вас не вводит в заблуждение внушительная длина парольной фразы. Конечно, ваше музыкальное предпочтение — 21 символ, но даже если мы предположим, что оно случайное и неизвестно Google, это четыре слова с добавлением знаков препинания: log₂(100000⁴×32²) = 76.Сравните это со случайными строчными буквами: log₂(26²¹) = 98. Сравните их со случайными символами: log₂(94²¹) = 137.

    Краткое изложение моего совета по паролю: Мир стал настолько сложным, что невозможно запомнить ваши полностью случайные и уникальные пароли для каждой учетной записи (будь то коды или фразы).

    • Используйте приложения-аутентификаторы для двухфакторной аутентификации или доступа без пароля, если они доступны
    • Используйте менеджер паролей для создания и сохранения паролей
    • Заблокируйте свой менеджер паролей надежным паролем с более чем 90 битами энтропии,
      скажем, со сгенерированным кодом из 4 символов, случайно помещенным в сгенерированную фразу из 4 слов,
      энтропия = log₂(100000⁴×94⁴×5) = 94, как junkie unknotted 7 !cT противоположный помет .

    Добавить комментарий

    Ваш адрес email не будет опубликован.