Какой придумать пароль: Какой можно придумать пароль: сложный, надежный, хороший

Содержание

Как придумать надежный пароль для аккаунта

Среднестатистический европеец имеет регистрацию на 26 сайтах и редко имеет больше пяти разных паролей на все случаи жизни. В случае взлома одного из аккаунтов с большой вероятностью мошенники получают доступ и к остальным данным.

Базовые правила

1. Не используйте личные данные

Для создания пароля не используйте фамилию, номер школы, кличку питомца и т. п. Вся эта информация находится в открытом доступе и известна множеству людей.

2. Не используйте простые последовательности цифр

«Йцукен» или 123456789 — не для вас. Они взламываются мгновенно, методом программного перебора. Можете поэкспериментировать на сайте howsecureismypassword.net, чтобы определить, сколько времени займет подбор той или иной комбинации. Разумеется, свои реальные пароли там вводить не стоит. Идеальный пароль сочетает в себе и буквы, причем в разных рЕгисТраХ, и цифры.

3. Контрольное слово

Чтобы не забыть свой пароль, придумайте слово, которое вы будете постоянно использовать, и цифровую комбинацию к нему — это постоянная часть пароля. А переменной частью будет название сайта, на котором вы его вводите. Например, выбрали постоянной частью «[email protected]». И для регистрации на, допустим, Facebook, комбинируете пароль в «[email protected]_Fb»

4. Русские слова на латинице

Можно усилить защиту простым способом: то же самое слово «радуга», набранное по‑русски при включенной английской раскладке будет писаться как «hfleuf»; для программ взлома паролей это усложнит задачу. Алгоритм подбора в некоторых из них идет в первую очередь по словарю существующих слов.

Как придумать надежный пароль

Вначале ставьте буквы, потом цифры. Это имеет значение. В одном знаке пароля может содержаться 10 вариантов цифры (0−9) и 26 вариантов букв. Когда происходит познаковый подбор пароля, программа выдает взломщику ожидаемое время взлома. Оно, в среднем, составляет от нескольких минут до суток. Если в начале пароля буквы, то ожидаемое расчетное время взлома больше. Таким образом, если ваш аккаунт «не заказали» персонально, а ломают просто ради развлечения — с большой вероятностью взломщик предпочтет найти другой аккаунт.

Какой можно придумать надежный пароль? Например, используйте базовую часть «[email protected]» для почты и соцсетей, пусть она будет основной и постоянной. А, какой-нибудь «[email protected]_» — для интернет-магазинов, куда вы заглядываете раз-другой. Для онлайн-игр, где взломы аккаунтов постоянное явление, заведите себе третий тип пароля.

Не могу придумать надежный пароль

Для того чтобы используемый пароль был действительно надёжным и безопасным необходимо следовать нескольким правилам, которые должны соблюдать все, кого волнует сохранность собственных данных. В идеале пароль всегда должен храниться только в голове пользователя и быть максимально надёжным. В наше время необходимо предельно внимательно и ответственно относиться к выбору паролей для:

  • Социальных сетей;
  • Электронной почты;
  • Интернет-банкинга и мобильных банковских приложений.

Существуют пароли обычной и повышенной степени важности. Пароль обычной степени важности применяется для:

  1. Социальных сетей;
  2. Менеджеров;
  3. Электронной почты;
  4. Различных сайтов.

Пароли высокой степени важности должны применяться для:

  • Расшифровки жёсткого диска;
  • Криптоконтейнера;
  • Менеджеров паролей.

Основные признаки надёжного пароля

Пароль должен состоять из заглавных и строчных букв с добавлением различных символов (запятая, восклицательный знак, вопросительный знак, тире).

  1. Пароль должен включать в себя не менее восьми символов, а еще лучше до тридцати двух.
  2. В используемых паролях не должны присутствовать персональные данные.
  3. Не стоит использовать пароли, которые вы уже использовали ранее.
  4. Не рекомендуется использовать простые короткие пароли, так как их достаточно легко взломать.

Пять основных признаков, по которым можно определить, что используемый пароль необходимо срочно менять:

  • В действующем пароле используются только буквы.
  • Пароль включает в себя менее восьми символов.
  • В пароле присутствует название сервиса, на котором зарегистрирован пользователь.
  • Пароль использует предельно простой набор символов (12345, 7777777,password, abcde).
  • В действующем пароле используется личная информация (имя, фамилия, дата рождения, никнейм, адрес электронной почты). Помните, что квалифицированный хакер сможет достаточно быстро подобрать практически любые подобные комбинации.

Чтобы придумать надёжный пароль, нужно выбрать слово, которого нет в толковом словаре или поисковой системе. Зеркальную раскладку букв лучше не использовать.   Остановите свой выбор на латинских буквах. Не рекомендуется использовать заглавную букву первой, последней, или через одну. Надёжный пароль — это произвольное сочетание, состоящее, как минимум, из восьми символов, среди которых присутствуют специальные символы, латинские буквы и цифры. Создавая надёжный пароль нужно учитывать и то реально ли запомнить этот пароль.

Так или иначе, используемые пароли необходимо периодически менять. В первую очередь это связано с риском утечки важных данных. Лучше всего менять используемый пароль примерно  раз в шесть месяцев. При плановой смене пароля нужно полностью изменить все его составляющие.

А может использовать генератор паролей? Какой?

Самостоятельно придумать действительно надёжный пароль достаточно сложно. Лучше всего использовать для этого специализированные генераторы паролей, которые позволяют быстро и надежно подобрать уникальную комбинацию символов. Именно она и будет использоваться как пароль.

На сегодняшний день успешно существуют и функционируют примерно двадцать наиболее популярных генераторов паролей. Среди них:

  • Vultr.
  • 2IP.
  • LastPass.
  • Zoho Vault.
  • Dinopass.
  • Passwordgenerator.
  • Cloudwards.
  • Randomizeonline.
  • Strong Password Generator.

Генератор паролей есть встроенный в браузере Google Chrome. Он позволяет сгенерировать пароль длиной до 128 символов с использованием спецсимволов и цифр. Этот генератор паролей будет работать только в том случае если пользователь зайдет в свой Google-аккаунт.

В свою очередь браузер Opera позволяет сгенерировать пароль нужной длины с использованием спецсимволов. Дополнительных возможностей здесь нет.

Может сгенерировать один пароль в пределах 100 символов.

Если используемый пароль соответствует всем современным требованиям в области безопасности, тогда проблем с ним не возникнет независимо от того какой генератор будет использоваться. Количество генерируемых паролей настолько велико, что сопоставить его с конкретным пользователем практически невозможно. Генераторы паролей не были замечены в утечках информации.

Многие сервисы имеют системы оповещения пользователя о начале процесса подбора паролей или временного приостановления доступа к сервису, что значительно повышает безопасность пользователя. Однако тема безопасности паролей была и будет актуальной всегда. Из-за того что мощность современных процессоров постоянно увеличивается, совершенствуются технологии, развиваются и появляются новые возможности для подбора паролей. Как следствие требования к сложности и длине используемых паролей также регулярно ужесточаются.

Чтобы не подвергать свои данные риску утечки, в идеале необходимо соблюдать сразу несколько правил:

  1. Регулярно (раз в три-шесть месяцев, а по возможности чаще) менять используемый пароль.
  2. Использовать двухфакторную аутентификацию(пока самое надежная безопасность).
  3. Не использовать одинаковые пароли на разных сайтах.
  4. Регулярно создавать резервные копии всех наиболее важных материалов и персональных данных.
  5. Установить на устройстве VPN и не использовать общедоступные Wi-Fi сети.

Необходимо в обязательном порядке использовать сложные пароли и следить за безопасностью всех своих устройств.
Соблюдая изложенные в этой статье правила можно надежно защититься от действий злоумышленников.

Как создать надежный пароль?

В ведомстве дали советы для тех, кто думает о безопасности в Интернете

Григорий ЛЕОРДА

Для создания надежного пароля нужно вспомнить любимую песню.Для создания надежного пароля нужно вспомнить любимую песню.Фото: REUTERS

Изменить размер текста:AA

Сотрудники Роскачества рекомендуют россиянам работать только со сложными паролями. Для этого, считают в ведомстве, в первую очередь, нужно отказаться от тактики «один пароль на все случаи жизни». Это может стать причиной утечки данных, потери денег и времени. Итак, ликбез от Роскачества:

Как понять, что ваш пароль пора менять?

1. Пароль короче 8 символов

2. Пароль состоит только из букв или цифр

3. Пароль содержит какую-либо личную информацию: фамилию или имя (как свое, так и родственников), дату рождения, свой «ник» или часть адреса электронной почты

4. Пароль состоит из простых слов или набора символов, которые можно легко подобрать: qwerty, 1234567, password, 1q2w3e4r5t6y и подобные

5. Пароль содержит название сервиса, на котором вы зарегистрированы

Признаки надежного пароля

1. Состоит из 8 и более символов

2. Содержит заглавные и строчные буквы с добавлением цифр и специальных символов (тире, вопросительный знак и прочее). Например, [email protected],3-2Kl:8#

3. Не связан с вашими персональными данными

«Надежный пароль должен соответствовать всем вышеперечисленным признакам. Особенно щепетильно стоит отнестись к созданию надежных паролей для почтовых и облачных сервисов, мобильных банков и социальных сетей», — считают в ведомстве.

Чтобы придумать надежный пароль самому есть один способ.

«Вспомните слова своей любимой песни, которые вы знаете наизусть, и запишите первые буквы одного из куплетов или припева. Замените буквы ударных слов на заглавные и добавьте несколько произвольных цифр. Сложный пароль готов! Аналогичным образом можно поступить с любимыми стихами или цитатами», — заключили в Роскачестве.

ИСТОЧНИК KP.RU

Как защитить личные данные и придумать сложный пароль? Разбираемся в вопросе

Домашний режим в 2020 году не так страшен, как был бы еще лет 7—10 назад: практически все можно заказать на дом, оплатить в онлайн-режиме и затем просто ждать посылку под дверью — спасибо сервисам, которые перешли на бесконтактную систему. Но пусть уязвимость в плане распространения вируса минимизирована, а безопасность данных остается под вопросом. Вместе с Parimatch мы разбираемся в онлайн-безопасности и защите личной информации.

Вообще, самый простой и надежный способ предотвратить утечку информации, которую хотите сохранить в тайне, — нигде ее не оставлять. Это справедливо и для защиты данных в реальном мире: запомнить всего-то четыре цифры пароля (к тому же иногда позволяется и самому выбрать комбинацию) от банковской карты несравнимо лучше, чем записать их на бумажку, которую будете хранить в кошельке под замочком. Примерно такой же принцип следует применять и в вопросе защиты данных в интернете. Пусть браузеры и сервисы заявляют о многоуровневых системах безопасности и так далее, чем меньше вы светите номера карт, тем ниже вероятность, что однажды эти данные попадут к третьим лицам. Однако отрицать удобство онлайн-платежей бессмысленно, поэтому нужно просто быть внимательными.

Какую информацию о себе лучше не указывать

То же касается и личной информации о себе, которую вы сообщаете: фамилия, имя, место жительства и так далее. Оставлять эти данные в интернете — все равно что вывешивать огромный плакат в центре города, где указано все перечисленное. Если представили такую картину и не особо довольны ею, то перед регистрацией в соцсетях и на форумах рекомендуем задуматься над тем, что именно и зачем вы пишете.

Порой пользователи сами выкладывают крупный массив информации о себе, сами того не подозревая. Речь в основном о социальных сетях и сервисах. Конечно, без них сложно представить современную жизнь: если и не постишь контент сам, то все равно интересно же, чем занимаются и живут люди из твоего окружения. Однако при регистрации необязательно заполнять все доступные поля, которые предлагает сервис. Например, адрес проживания — однозначно нет. Номер телефона — а зачем? Связаться с вами можно через личные сообщения, если уж совсем нужно голосом поговорить, в ряде соцсетей есть звонки.

Публикуемый контент тоже содержит массу данных, которые могут нанести потенциальный вред. И дело не в фото с мальчишника, что попадутся на глаза любопытному HR-менеджеру вашей компании, хотя это тоже вполне здравая причина, по которой нужно фильтровать публикуемый контент. Все, что было на Зыбицкой, должно остаться там, а не в ленте сотен людей, которых вы, кажется, где-то когда-то видели и они к вам добавились в друзья.

Поменьше фото

Но есть и менее очевидные и при этом более опасные вещи. Например, фото билетов на самолет говорит минимум о двух вещах: вас некоторое время не будет дома (грабители могут оживиться) и ваша фамилия с именем в паспорте написаны именно так, как в билете. Кстати, фото последних страниц паспорта вроде как удобно хранить в телефоне или на облаке: сам документ не всегда с собой, а тут — вдруг понадобится. Согласимся: это действительно удобно, однако и очень опасно. Громкие истории о взломе аккаунтов и утечке данных оттуда регулярно встречаются — и, скажем так, это лишь те, о которых стало известно. Если часто нужно заполнять паспортные данные, постарайтесь просто запомнить эти наборы букв и цифр. Да, они длинные, но стоит потренироваться дома — и идентификационный номер отпечатается в памяти.

Так, с отпускными билетами и паспортом разобрались. Другая любопытная вещь — ключи. Самые обычные, от машины и дома. Некоторые умельцы могут повторить рисунок ключа просто по фотографии, на которой четко видны «зубчики». А если к снимку еще и добавлен геотег с подписью типа «Вот здесь ночует моя баварская красавица», то угонщики могут даже оставить вам какой-нибудь милый сувенир на месте машины — в благодарность за облегчение их работы. Конечно же, вероятность подобных сценариев низка. Но в западных странах воры активно используют Instagram и Facebook для поиска жертв. А тренды, пусть и с запозданием, но добираются и до Беларуси.

Еще один нюанс — трекеры, которые отслеживают ваши физические перемещения. Например, регулярные маршруты пробежек говорят хотя бы о том, что час-полтора вас не бывает дома примерно в одно и то же время.

Придумываем очень сложный пароль

От рекомендаций по созданию пароля голова закипает: обязательно длинные, обязательно с разным регистром, обязательно с цифрами и специальными символами — и, конечно, обязательно своя комбинация для каждой учетной записи, коих набирается пару десятков. Запомнить все это почти невозможно, поэтому особое внимание стоит уделить защите данных на по-настоящему важных сервисах. Сюда отнесем почту. Во-первых, ящики лучше разделить на рабочий и «для всего остального» — и при регистрации на всевозможных сервисах указывать адрес последнего. Но пароли должны быть одинаково надежны что на основной почте, что на дополнительной, потому как в большинстве случаев восстановление пароля происходит именно через почту. И если злоумышленник получит доступ к ящику, указанному при регистрации сервиса, перехватить аккаунт будет уже довольно просто.

Разработчики софта отлично понимают, что пользователям сложно запоминать массу паролей. Поэтому набирают популярность менеджеры паролей: достаточно создать и держать в голове один особо сложный ключ, который откроет доступ ко всем остальным. Удачное решение — «Связка ключей» в экосистеме Apple: при регистрации новой учетной записи программа предлагает случайно сгенерированный пароль и сама же запоминает его для последующего использования. Похожие решения есть и у других компаний: например, в браузере Firefox предусмотрен мастер-пароль. Вообще, менеджеров паролей масса, и каждый имеет свои нюансы: где-то есть поддержка разных платформ (включая мобильные), где-то используется особо мудреное шифрование. Среди популярных программ — Dashlane и 1Password. Стопроцентную защиту они, конечно, не гарантируют, но можно сделать так, что злоумышленники решат переключиться на более доступную жертву.

Как придумать один сверхсложный пароль и запомнить его? Это не так трудно, как кажется. Возьмите два никак не связанных между собой слова — допустим, Diligence и Smartphone. Теперь ищем способ усложнить их: например, некоторые буквы можно заменить визуально похожими цифрами — 1 вместо I, 5 вместо S, E превратим в 3, а 0 сменит букву O. Получаем Di1ig3nc3 и 5martph0n3. А теперь уберем оставшиеся гласные, после чего напишем два слова слитно: D1g3cn35mrtph0n3. Еще можно, например, разделить слова нижним подчеркиванием: D1g3nc3_5mrtph0n3. Достаточно просто запомнить два исходных слова и то, как вы трансформировали их: буквы, которые визуально похожи на цифры, ими же и заменили, потом убрали оставшиеся гласные и разделили слова нижним подчеркиванием. Дает ли этот пароль стопроцентную защиту? Конечно нет. Но разгадать его будет несоизмеримо сложнее, чем abc123.


Кроме того, есть вполне простые правила защиты приватной информации, о которых мы уже рассказывали: например, нужно смотреть, на каком вообще сайте вы оставляете данные, настоящий он или фишинговый — особенно важно убедиться в чистоте сайта при онлайн-оплатах. И помните: всегда лучше сказать меньше о себе в интернете (да и в жизни), чем обратить на себя внимание нехороших людей.


Первое официальное онлайн-казино «Париматч» уже доступно в Беларуси. Ты в игре!

Спецпроект подготовлен при поддержке общества с ограниченной ответственностью «СТАТУСКВО», УНП 101011505.

Маски, респираторы и защитные очки в наличии у продавцов из Каталога Onliner

Читайте также:

Хроника коронавируса в Беларуси и мире. Все главные новости и статьи здесь

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Самые оперативные новости о пандемии и не только в новом сообществе Onliner в Viber. Подключайтесь

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. [email protected]

Пароли: сложные, простые, ужасные — как управлять паролями в компании

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

Информационная безопасность

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

 

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwertry
  10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

  • Двухсловные пароли: tanyatanya, dindin, «сашамаша»
  • Слова с числами в конце: ivanov1994, football2018, login1234
  • Выдаваемые системой по умолчанию: guest, user, default
  • Слова из английского и других словарей: sweet, «семья», myhouse.
  • Слова с заменой букв цифрами или специальными символами: 0ldboy, [email protected], $elphi.
  • Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
  • Известные цифровые комбинации: «112», «0911», «777» и т. д.
  • Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

  • Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
  • Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
  • Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

  • Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
  • На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
  • В браузере (особенно это касается критически важных программ и сервисов).

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

В этом случае:

  • Надежно защитите электронный ящик для восстановления.
  • Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

    • Смена пароля автоматически увеличивает время на его взлом.
    • Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.

Серьезные ошибки

Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.

Короткие пароли

При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.

Вместо того чтобы ломать голову над сложным паролем (который потом можно забыть), лучше взять простой и длинный и добавить туда, к примеру, несколько букв или цифр. Вместо [email protected]^iL использовать bREsTeMPosParDATIckl.

Очень сложные пароли

Сложность определяется двумя факторами:

    • Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
    • Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.

Очень сложные пароли (оцените пример – mrCmTF%Lz^Y*k#[email protected]) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке. Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

Неграмотное использование спецсимволов

Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – [email protected]. Пример равномерного распределения знаков по паролю – [email protected].

Игнорирование альтернативных средств защиты

Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

Недочеты и рекомендации

Знание первых и следование вторым приведет к грамотному использованию паролей.

Часто сменяемые пароли

Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

Адекватное отношение к смене паролей

Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

Использование автоматической генерации паролей

Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.

При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.

Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали. Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.

Какой пароль выбрать: простой или надежный

Говорим ли мы о покупках в Интернете или об оплате счетов, и не забывайте о социальных сетях, наша современная жизнь требует учетных записей, десятки из них. Каждый сервис говорит вам придумать логин и пароль, и каждый раз возникает вопрос: что вы должны использовать? И у каждого есть свое решение для этого.

Дилемма пароля

Большинство людей прекрасно знают, что пароли являются первой линией защиты от киберпреступников.И мы неоднократно писали в блогах о важности надежных паролей — длинных и включающих специальные символы, цифры и прописные и строчные буквы. Более того, для каждой учетной записи нужен уникальный пароль; повторное использование паролей недопустимо.

Однако, чем сильнее пароль, тем легче его забыть. И это может вызвать проблемы, как вы наверняка знаете. В результате многие люди решают не беспокоиться и создавать один пароль для всех сайтов или даже использовать свое имя и дату рождения в качестве паролей.Естественно, это делает их данные легкой добычей.

«Лаборатория Касперского» провела исследование, чтобы выяснить, какая стратегия выбора пароля наиболее распространена среди пользователей и почему.

Так сильно, что даже я не могу войти в

Уникальные и сложные пароли — это, конечно, хорошо. Люди чаще всего используют их для банковских счетов (63%), некоторых платежных систем (42%) и интернет-магазинов (41%). Но, как мы уже говорили, такие пароли трудно запомнить, и потеря доступа к вашему мобильному банку может быть настоящей болью.

Казалось бы, логично записать такие пароли, чтобы не забыть их. Однако половина опрошенных не хранит пароли в особо безопасном месте. И даже самый надежный пароль в мире не защитит вас, если злоумышленник обнаружит, что он записан. Абсолютно безопасных мест для хранения паролей не существует, если только они не зашифрованы одновременно. Но тогда вы должны помнить шифр ….

Слабые и запоминающиеся

В попытке избежать страшного сообщения «неверный пароль» многие пользователи выбирают удобство, а не безопасность.Чтобы избежать ошибок при запоминании нескольких паролей, около 10% пользователей выбирают один и тот же пароль для всех сайтов, тем самым предлагая киберкрукам взломать не один, а все свои аккаунты за один раз.

Приглашение тепло принято: только за последний год 17% респондентов сообщили о попытке взлома хотя бы одного аккаунта. Наиболее популярными объектами были учетные записи электронной почты (41% всех случаев), социальные сети (37%), а также банки и интернет-магазины (по 18% каждый).

Пока не отчаивайтесь

Вместо того, чтобы пытаться найти баланс между удобством и безопасностью, вы можете убить двух зайцев одним выстрелом, установив Kaspersky Password Manager, который хранит все данные вашей учетной записи в надежном месте.Вам нужно запомнить только один мастер-пароль; служба обрабатывает все остальное. Более того, он может генерировать безопасные пароли, которые очень трудно переборить, и вводить их для вас по требованию.

,

к лучшему мастер-пароли | 1Password

1Password отлично подходит для создания надежных случайных паролей для сайтов без необходимости запоминать (или даже просматривать) эти пароли. Но есть несколько паролей, которые нам всем нужно запомнить. У меня есть небольшое количество паролей с высокой степенью защиты — я бы хотел сказать только один — что мне нужно запомнить. Одним из них, конечно же, является мой мастер-пароль 1Password.

Ваш мастер-пароль чрезвычайно важен. Хотя мы предпринимаем шаги, чтобы помешать взломщикам автоматических паролей, вы все равно должны использовать надежный запоминающийся мастер-пароль.Инструменты взлома паролей становятся все более мощными с каждым годом, и слишком много поставлено на карту в ваших данных 1Password. Учитывая силу используемого нами шифрования, ваш мастер-пароль, вероятно, будет самым слабым звеном в безопасности вашего 1Password. Не бойся этого. Учитывая, насколько все остальное, практически невозможно использовать и запомнить мастер-пароль, который на самом деле сильнее шифрования в 1Password.

Некоторые вещи, которые мы выделим в этой статье:

  • Мы не стремимся к совершенству.Вместо этого нам нужно найти способы улучшить мастер-пароли, если они в настоящее время не очень надежны.
  • Многие из схем, предложенных людьми (включая меня) в прошлом, страдают серьезным недостатком.
  • Неважно, что вы читаете здесь, всегда помните, что мастер-пароль, который вы не можете набрать или запомнить, — ужасный выбор мастер-пароля.

Измените слабый мастер-пароль, в противном случае оставьте его равным

Нам всем сказали регулярно менять пароли, и все же есть некоторые обстоятельства, при которых это остается разумным советом.Но не стоит регулярно менять свой мастер-пароль. В идеале, вы должны выбрать хороший мастер-пароль с самого начала и никогда не менять его.

Чтобы понять, насколько небезопасным может быть слабый или плохой пароль, найдите время, чтобы посмотреть это видео, где Джон Оливер и Эдвард Сноуден рассказывают о безопасности пароля.

Пароли, которые необходимо изменить

Каждый знает, как избежать коротких, распространенных паролей или словарных слов любого языка. Самый распространенный в мире пароль, , 123456, , конечно, ужасен.Но даже такие вещи, как Sally4th или Molly & Patty2 (которые являются именами моих собак) недостаточно сильны для чего-то столь важного, как ваши данные 1Password. Последний просто имеет форму ИМЯ И ИМЯ ЦИФРЫ , которые программы угадывания пароля в конечном итоге дойдут до проверки.

Если ваш пароль слабый или попадает в одну из распространенных ошибок пароля, пришло время изменить его на что-то более безопасное. Узнайте, как изменить свой мастер-пароль.

После того, как вы измените свой мастер-пароль

Чрезвычайно важно запомнить свой новый мастер-пароль, и лучший способ сделать это с помощью практики.

Чтобы применить свой мастер-пароль, вы можете изменить настройку продолжительности разблокировки 1Password. Если вы установите короткое время всего 5 или 10 минут, вам придется чаще вводить свой мастер-пароль, но это поможет вам его узнать.

Через несколько дней, когда вы почувствуете себя увереннее в быстром наборе текста, вы можете настроить параметры автоматической блокировки на что-то менее раздражающее.

Также — и это может звучать как ересь, даже если это здравый совет по безопасности — когда вы меняете свой мастер-пароль, вы можете записать его на листке бумаги и положить в свой кошелек. После того, как вам больше не нужно ссылаться на него, вы можете уничтожить лист бумаги.

Пошаговое руководство по созданию системы создания паролей

Задача, с которой мы сталкиваемся, заключается в том, чтобы иметь мастер-пароли, которые не будут угадываться программами взлома паролей, но те, которые мы, простые смертные, способны запоминать и печатать, не будучи обременительным. ,

Что делает эту проблему особенной, так это то, что плохие парни знают, по крайней мере, столько же о том, как люди выбирают пароли, чем мы. Они не только читают один и тот же совет по выбору пароля, который публикуется в подобных местах, но и изучают миллионы украденных паролей.

Вот важный принцип, который нам нужно учитывать:

Сила системы создания паролей не в том, сколько букв, цифр и символов вы получите, а в том, как можно получить другой результат. используя ту же систему.

Не беспокойтесь, если этот принцип еще не имеет смысла, у вас будет лучшее понимание после того, как я рассмотрю пример.

У меня есть две собаки: Молли и Пэтти. Допустим, я хотел сделать из этого мастер-пароль и придумал Ihave2dogs: Molly & Patty . Сначала он выглядит хорошо, потому что он длинный, имеет смешанный регистр и пунктуацию. Но на этом примере я выясню, почему это не так хорошо, как может показаться на первый взгляд.

Используйте пробелы, чтобы вам было легче

Ваш мастер-пароль может содержать пробелы между словами.Таким образом, вы можете упростить ввод и запоминание, используя пробелы, хотя это мало добавляет к реальной безопасности. Нашим первым улучшением моего пароля будет изменение его на . У меня есть 2 собаки: Молли и Патти .

Не говорите правду

Если ваш мастер-пароль основан на чем-то значимом, помните, что есть больше способов лгать, чем говорить правду . У меня есть больше способов лгать о своих питомцах, чем говорить правду, и поэтому я должен использовать ложь, чтобы создать свой пароль.Итак, попробуем, У меня есть 3 биты: Ларри, Мо и Керли .

Не имеет смысла

Есть больше способов, чтобы предложение не имело смысла, чем имеет смысл. Итак, давайте изменим мои три биты на тридцать пять бит, но все же перечислим три: У меня 35 бит: Ларри, Мо и Керли .

Избегайте предсказуемых фраз

Для тех из нас, кто имеет определенный возраст и имеет глубокие познания в американской культуре, как только мы начинаем список имен с «Ларри …», после него с «Мо и Кудрявый» очень предсказуемо.Таким образом, несмотря на то, что Moe & Curly добавляет 11 символов к паролю, эти 11 символов настолько предсказуемы, что добавляют очень мало фактической силы. Несмотря на то, что он короче, используя , у меня 35 летучих мышей: Larry & Amy на самом деле сильнее, чем , у меня 35 летучих мышей: Larry, Moe & Curly .

В том же духе, «е» после «я хав» тоже мало что дает. Поскольку это легко догадаться по остальной части пароля, на самом деле это не добавляет силы.В этом «е» нет ничего плохого, но я упомяну его, чтобы проиллюстрировать тот факт, что количество способов отличаться друг от друга часто важнее самой длины.

Избегайте секретов или вещей, которые имеют личное значение

Чем более значимым для вас является что-то для вас, тем меньше альтернатив. Есть больше вещей, которые не имеют для вас личного значения, чем сделать.

В особенности избегайте личных секретов. Дважды в моей жизни, когда меня просили найти слабые пароли там, где я работал, у меня была неловкая задача — сказать друзьям и коллегам сменить пароли, что также выявило их тайные проблемы.Кроме того, может быть время, когда вам действительно нужно раскрыть свой мастер-пароль любимому человеку. Когда я определить пароли, как IloveUVicky вместе с адресом электронной почтой владельца среди 26000 адресов электронной почты и паролей, подвергающихся от порнографии сайта, я, конечно, надеюсь, что это не вызовет слишком много проблем для владельца.

Очевидная пунктуация очевидна

Использование заглавных букв или изменение слова «для» на «4» на самом деле не сильно повышает безопасность. Помните, если вы можете подумать об этом, люди, которые пишут системы взлома паролей, уже сделали то же самое.К сожалению, добавление знаков препинания действительно случайным образом делает пароль слишком сложным для запоминания. Конечно, добавьте очевидную пунктуацию, но учтите, что не укрепляет ваш пароль, как может показаться.

Что мы узнали

На каждом этапе работы, хотя в этом примере мы вносили реальные улучшения. Помните, что мы не пытаемся достичь совершенства здесь. Вместо этого мы ищем лучшие мастер-пароли, которые остаются пригодными для использования. Не создавайте себе проблем, выбирая мастер-пароль, который слишком сложно набрать или слишком сложно запомнить.

Но мы также узнали, что человеческое поведение на самом деле не очень случайное. Схемы, которые мы придумали, могут быть закодированы в системы взлома паролей. Хороший мастер-пароль не ограничен только тем, что человек может запомнить, но он также ограничен тем, что человек может создать. Мы можем достаточно легко вводить цифры и знаки препинания в пароли, но наши методы выбора предполагают большую предсказуемость. Поведение человека более предсказуемо, чем мы можем себе представить. Эту предсказуемость можно использовать в программах угадывания паролей.

Бросьте кубик, чтобы избежать предсказуемости

Если люди настолько предсказуемы, как мы можем создать запоминающиеся пароли, которые не предсказуемы? Оказывается, что Арнольд Рейнхольд опубликовал решение этой проблемы еще в 1995 году, чтобы помочь людям создать сильные и запоминающиеся фразы-фразы для PGP. Это называется Diceware.

Поскольку слова имеют значение, мы можем запомнить последовательность слов, даже если она не создает значимого утверждения. А так как слов намного больше, чем отдельных символов, выбор случайной последовательности из пяти или более слов затрудняет взлом пароля.

Рейнхольд составил список из 7776 коротких слов или последовательностей (то есть 6 5 для людей, которым небезразличны такие вещи). Слово можно выбрать из списка, бросив пять кубиков (или бросив один кубик пять раз). Вот небольшая выдержка из английского словарного списка Diceware:

35443 знал
35444 трик
35445 нож
35446 трикотаж
35451 ручка
35452 выбил

Если ты выбил

кубик и получите последовательность 3 — 5 — 4 — 5 — 1, тогда ваш Diceword будет «ручкой».Еще пять бросков кубиков получат ваше следующее слово. Если вы выпали 3 — 2 — 6 — 5 — 6, то вашим следующим словом будет «поход».

Отличительной особенностью Diceware является то, что мы точно знаем, насколько она защищена, даже если предположить, что злоумышленник знает, какая система используется. Безопасность исходит от подлинной случайности броска костей. Использование четырех или пяти слов для вашего мастер-пароля должно быть достаточным для предотвращения вероятных атак в течение следующих нескольких лет, учитывая текущую наблюдаемую скорость взломщиков паролей.

Для тех, кто действительно хочет использовать эту систему и получить максимальную безопасность от нее, вы должны комбинировать Diceware с вашей собственной частной системой. Создайте короткий случайный пароль, включая цифры и символы, и используйте его вместо одного из Dicewords в вашем окончательном пароле. Итак, возвращаясь к моим собакам, Молли и Пэтти, я мог бы создать слабый пароль, такой как 2dM & P , и предположить, что мои броски игральных костей принесут мне расщелину синод lace , тогда я мог бы создать мастер-пароль как расщелина 2dM & P кулачок Синод Лейси , который был бы очень хорошим мастер-паролем.С повторением это то, что вы можете научиться печатать быстро.

Что такое секретный ключ?

Ваш секретный ключ обеспечивает безопасность вашей учетной записи 1Password, обеспечивая дополнительный уровень безопасности поверх вашего мастер-пароля. Ваш секретный ключ представляет собой автоматически созданную комбинацию из 34 букв и цифр, разделенных тире. Этот ключ хранится на всех устройствах, которые вы использовали для входа в свою учетную запись, а также в аварийном комплекте, который вы скачали при регистрации. Ваш секретный ключ предназначен для совместной работы с вашим мастер-паролем, который известен только вам, чтобы полностью зашифровать ваши данные и сохранить их в безопасности.

Как я упоминал ранее в этой статье, практически невозможно использовать и запоминать мастер-пароль, более надежный, чем шифрование в 1Password. Вот где приходит ваш секретный ключ. Его не нужно запоминать, поэтому он может быть намного сильнее. Секретный ключ, сгенерированный системой, имеет 128 битов энтропии, что делает практически невозможным угадывание, независимо от того, сколько денег или вычислительной мощности может иметь злоумышленник в своем распоряжении.

Никто не имеет доступа к вашим данным 1Password без вашего Секретного ключа, даже если им удастся взломать ваш мастер-пароль.Однако, поскольку никто не имеет доступа к этому ключу, даже мы, если вы потеряете его, вы можете потерять доступ к своей учетной записи 1Password. Держите это в секрете, но держите это в безопасности.

В заключение

Я хотел бы напомнить вам о некоторых важных моментах, которые я сделал в верхней части страницы:

  • Мы работаем над улучшением паролей, а не над идеальными. Вы должны принимать столько советов, сколько вам удобно, и не более. Запоминание и ввод вашего мастер-пароля не должны стать рутиной.
  • Если вы меняете свой мастер-пароль, регулярно практикуйте его, чтобы не забыть его.Не бойтесь записать это на лист бумаги некоторое время, если вы храните его в безопасном месте.
  • Тип мастер-пароля, который вам нужен, будет зависеть от того, кто попытается его взломать. Даже если типичный преступник может иметь доступ к сложным инструментам взлома, маловероятно, что он посвятит часы — намного меньше дней, недель, лет или десятилетий — вашим конкретным данным.
  • Не потеряйте свой секретный ключ. Мы не можем восстановить его, поэтому, если вы потеряете его, вы можете потерять доступ ко всей учетной записи 1Password.

Статьи по теме

Джеффри Голдберг

Главный защитник против темных искусств

,

Как долго должны быть мои пароли?

Когда каждый веб-сайт, для которого вы создаете логин, предлагает пароль разной длины, может быть сложно определить, как долго должен быть ваш пароль. Вы знаете, что более длинный пароль более безопасен, но длиннее, чем что? 6 символов? 12 символов? 24 персонажа?

Чтобы ответить на этот вопрос, нам сначала нужно посмотреть, какой пароль вам нужно создать. Это один из немногих, которые вам нужно запомнить, например ваш мастер-пароль 1Password, или это вы генерируете, используя наш генератор надежных паролей, который вам никогда не придется вводить, видеть или запоминать? Мы не говорим о паролях, созданных человеком, поскольку пароли, созданные людьми, легко угадываются машинами.

Итак, теперь мы предполагаем, что вы используете безопасный генератор паролей, как и должно быть.

Короткий ответ на длинный вопрос состоит в том, что при использовании генератора паролей 1Password вы должны просто использовать настройки по умолчанию: 20 символов для символьных паролей и четыре слова для списков слов.

Для каких сайтов требуется

Большинство требований, предъявляемых веб-сайтами и другими службами к людям, создающим пароли, на самом деле не применяются, когда мы рассматриваем пароли, созданные для обеспечения безопасности.Эти правила были разработаны, чтобы заставить людей создавать хорошие пароли. Также оказывается, что эти правила не работают даже по их прямому назначению. Действительно, NIST теперь явно советует не навязывать какие-либо требования, кроме минимальной длины. Тем не менее, люди могут еще долго сталкиваться с такими требованиями.

Минимальная и максимальная длина пароля

Каждый веб-сайт отличается, но обычно он задает минимальную длину 8 или, возможно, 10 символов.(Последнее исследование, которое я видел по этому вопросу, сильно устарело, поэтому я в основном только догадываюсь об этом.)

Имеет смысл, что, когда вам будет предложено создать новый пароль, вы придумаете что-то короткое, насколько это возможно, как можно быстрее. Мы получим это. Вы хотите зарегистрироваться, войти и продолжить свой день. Но только соблюдая минимальные требования, вы становитесь более уязвимыми для взлома пароля.

Наша длина по умолчанию для сгенерированных символьных паролей составляет 20, но, как вы увидите ниже, это избыточно для сгенерированных паролей.Мы бы пошли с 15, но те не чувствуют себя достаточно сильными для людей, и мы будем получать жалобы. Многие люди не видят, насколько надежны правильно сгенерированные пароли.

Сложность слюни

Широко распространено убеждение, что использование цифр и специальных символов в пароле делает пароль более надежным. Но последствия этих требований различаются для паролей, созданных человеком, и для правильно сгенерированных паролей. Созданный человеком 11-значный пароль со смешанными регистрами букв, цифр и символов может выглядеть как Letmein! 123 .11-значный пароль, сгенерированный 1Password и использующий только буквы в смешанном регистре, может выглядеть как lwlXgHeaWiq . Сгенерированный, даже без цифр или специальных символов, будет гораздо сложнее угадать, чем созданный человеком.

Теперь наш генератор паролей будет создавать пароли с цифрами и символами, потому что они требуются для очень многих сайтов. И для вещей, которые сгенерированы правильно, добавление большего количества типов символов действительно увеличивает силу (немного).

Сила и энтропия

Прежде чем я начну использовать слово «энтропия», когда говорим о надежности пароля, я должен выпустить слово предупреждения. Почти все, что вы читаете, использует слово «энтропия», когда говорит о надежности пароля, неправильно. Энтропия имеет смысл только в качестве способа говорить о надежности пароля, если схема, используемая для создания пароля, с такой же вероятностью даст каждый возможный вывод, как и любой другой. Схема, которая генерирует 11-символьные пароли из букв, цифр и символов, которые с большей вероятностью могут придумать такой пароль, как Letmein! 123 , чем lwlXgHeaWiq , не подходит для слова «энтропия».Оказывается, что даже некоторые популярные генераторы паролей не создают пароли единообразно, но для этого обсуждения я сосредоточусь на безопасном генераторе паролей 1Password, который делает это правильно.

Итак, мы можем говорить об энтропии паролей, генерируемых генератором надежных паролей 1Password, но в этом нет смысла, если вы не понимаете, о чем я. Пароль с 20 битами энтропии взломать вдвое сложнее, чем пароль с 19 битами. 20-битный пароль вдвое сложнее взломать, чем пароль с 21 битом.Пароль с 20 битами энтропии выбирается равномерно и случайным образом из 2–2 возможных различных паролей. Это чуть более 1 миллиона. Поскольку системы подбора паролей могут выдавать сотни тысяч предположений в секунду (если пароли хорошо хешированы) или десятки миллионов предположений в секунду (если пароли плохо хешируются), 20-разрядный пароль недостаточно силен для много целей. Пароль из 11 символов, взятый только из букв со смешанным регистром, имеет около 65 бит энтропии, что более чем достаточно для почти любой цели.

Длина по сравнению с классами символов

Теперь, когда мы можем поговорить о битах энтропии для паролей, созданных 1Password, мы можем вернуться к вопросу о том, насколько длина влияет на силу, и сравнить ее с тем, насколько классы символов способствуют повышению прочности.

Давайте сравним две пары настроек генерации паролей. 11 или 12 символов, требующих только цифры против букв.

Урок из этой таблицы заключается в том, что при добавлении цифр увеличивается сила, вы получаете большее увеличение прочности даже при небольшом увеличении длины.Большее увеличение длины создает огромную разницу. Напомним, что каждый бит соответствует удвоению количества возможных паролей (и, следовательно, удвоению объема работы, которую необходимо выполнить злоумышленнику). Это делает 16-символьный пароль (91 бит) в 8 миллионов раз сложнее угадать, чем 12-значный (68 бит), в то время как 12-значный пароль с цифрами (71 бит) взломать только в восемь раз труднее, чем буквы — только одна.

Просто для того, чтобы дать вам представление о том, что некоторые из этих битов переводят, если 70-битный пароль хорошо хешируется: это , вероятно, за пределами диапазона, который может взломать главное правительство, в то время как если оно плохо хешируется, оно это , вероятно, в руках крупного правительства, готового посвятить огромное количество времени и ресурсов этой проблеме.(Для тех, кто собирается напомнить мне, что широко распространено мнение о том, что АНБ может использовать грубые криптографические ключи в диапазоне от 80 до 90 бит, я укажу, что угадывание ключей не включает в себя какие-либо операции с памятью, которые угадывают пароли делают.) 90-битный пароль находится далеко за пределами возможностей, которые может сделать даже самый решительный и обладающий достаточными ресурсами злоумышленник. Они просто не будут пытаться угадать это.

Чтобы получить представление о том, что нужно для взлома 128-битного криптографического ключа (о котором легче догадаться, чем о паролях), взгляните на то, что я написал о собаках, ищущих игрушки и возрасте вселенной. несколько лет назад.

Поскольку 1Password запомнит для вас пароль, сохранит его в безопасности, заполнит его на нужной веб-странице и позволит вам безопасно поделиться им с теми, кому вам может потребоваться предоставить пароль; вам не нужно беспокоиться о том, что это 20 символов нетипичного тарабарщины, которые невозможно запомнить или использовать по-человечески. Но если вы столкнетесь с какой-то службой, которая позволяет использовать только 16-символьные пароли, вам не нужно беспокоиться о их надежности. 16-символьный правильно сгенерированный пароль будет более чем надежным.

Те, которые вы должны помнить (и вводить)

Можно сгенерировать пароли, которые вам никогда не придется вводить или запоминать, но ваш мастер-пароль 1Password отличается. Советы, которые мы предлагаем в «На пути к лучшим мастер-паролям», остаются в силе, только с обновлением, которое генератор паролей 1Password создаст для вас пароли такого типа.

Для вашего мастер-пароля 1Password использование пароля из четырех слов (56 бит) из нашего генератора паролей будет достаточно для всех, потому что мы хорошо его хешируем и ваш секретный ключ означает, что взлом пароля не является жизнеспособной атакой на данных, которые мы храним.Однако сила вашего мастер-пароля и нашего хэширования — ваша защита от попыток взлома данных, украденных из вашей системы. Мастер-пароль из трех слов (42 бита) выиграет вам время, если ваши данные будут украдены. Месяцы или годы зависят от того, какие ресурсы атакующий может использовать. Главный пароль из четырех слов (56 бит) обойдется злоумышленнику в десятки миллионов долларов, а пароль из пяти слов (71 бит) окажется вне диапазона основных правительств, учитывая, как они хешируются.И даже если бы крупное правительство могло реально взломать пароль из четырех слов, оно почти наверняка предприняло бы менее дорогую линию атаки.

Знание ваших сильных сторон

Одним из преимуществ использования правильно сгенерированных паролей является то, что мы можем точно знать, насколько они надежны. Они сохраняют свою силу, даже когда злоумышленник точно знает, как они были созданы. Это противоположно многим умным схемам, которые люди придумывают для создания паролей. Большая часть предполагаемой безопасности многих из этих схем испаряется, как только злоумышленник может догадаться, что это схема, которую вы, возможно, использовали.

Все это приводит к интересному парадоксу. Большинство советов по созданию паролей становится плохим советом, поскольку все больше людей его используют. Чем популярнее становится схема, тем больше злоумышленников будут настраивать свои системы. Помните, что преступники знают больше о поведении при создании пароля, чем кто-либо другой, поскольку они видели и изучали самые реальные данные. С другой стороны, правильный генератор паролей остается таким же сильным, даже если его используют все, и злоумышленник знает каждую деталь схемы. С извинениями Иммануилу Канту: Хороший совет по созданию пароля должен оставаться хорошим, даже если все следуют ему.

Зарегистрируйтесь на 30 дней бесплатно!

Нужна помощь в создании уникальных и безопасных паролей? Сохраните ваши пароли в безопасности и вашу информацию в безопасности, подписавшись на учетную запись 1Password. Ваши первые 30 дней бесплатны!

Попробуйте 1Password БЕСПЛАТНО

Джеффри Голдберг

Главный защитник от темных искусств

,

Выбор безопасных паролей — Schneier on Security

Выбор безопасных паролей

Как бы ни были небезопасны пароли, они не исчезнут в ближайшее время. С каждым годом у вас появляется все больше и больше паролей, и каждый год их становится все проще и проще взломать. Вам нужна стратегия.

Лучший способ объяснить, как выбрать хороший пароль, это объяснить, как он взломан. Общая модель атаки — это то, что известно как автономная атака с подбора пароля.В этом случае злоумышленник получает файл с зашифрованными паролями, откуда люди хотят пройти аутентификацию. Его цель — превратить этот зашифрованный файл в незашифрованные пароли, которые он может использовать для аутентификации. Он делает это, угадывая пароли, а затем проверяет, верны ли они. Он может пытаться угадать так быстро, как его компьютер обработает их — и он может распараллелить атаку — и получает немедленное подтверждение, если он угадывает правильно. Да, есть способы предотвратить эту атаку, и поэтому у нас все еще могут быть четырехзначные PIN-коды на карточках банкоматов, но это правильная модель взлома паролей.

Существуют коммерческие программы, которые взламывают пароли и продаются в основном в полицейские управления. Есть также хакерские инструменты, которые делают то же самое. И они действительно хорошо.

Эффективность взлома паролей зависит от двух в значительной степени независимых факторов: мощности и эффективности.

Power — это просто вычислительная мощность. Поскольку компьютеры стали быстрее, они могут тестировать больше паролей в секунду; одна программа рекламирует восемь миллионов в секунду. Эти взломщики могут работать несколько дней одновременно на многих машинах.Для громкого полицейского дела они могут работать месяцами.

Эффективность — это возможность умно угадывать пароли. Не имеет смысла проходить каждую восьмибуквенную комбинацию от «aaaaaaaa» до «zzzzzzzz» по порядку. Это 200 миллиардов возможных паролей, большинство из которых очень маловероятно. Взломщики паролей сначала пробуют самые распространенные пароли.

Типичный пароль состоит из рута и придатка. Корень не обязательно является словарным словом, но обычно это нечто произносимое.Придаток является либо суффиксом (90% времени), либо префиксом (10% времени). Одна из программ взлома, которую я видел, началась со словаря из примерно 1000 общих паролей, таких как «letmein», «temp», «123456» и так далее. Затем он проверил их, каждый из которых имел около 100 общих суффиксных приложений: «1», «4u», «69», «abc», «!» И т. Д. Он восстановил около четверти всех паролей только с этими 100 000 комбинаций.

Взломщики используют разные словари: английские слова, имена, иностранные слова, фонетические шаблоны и так далее для корней; две цифры, даты, отдельные символы и т. д. для придатков.Они запускают словари с различными заглавными буквами и общими заменами: «$» для «s», «@» для «a», «1» для «l» и так далее. Эта стратегия угадывания быстро ломает около двух третей всех паролей.

Современные взломщики паролей сочетают разные слова из своих словарей:

Что было замечательно во всех трех сеансах взлома, так это типы открытых равнин. Они включали такие коды доступа, как «k1araj0hns0n», «Sh2a-labe0uf», «Apr! L221973», «Qbesancon321», «DG091101%», «@ Yourmom69», «ilovetofunot», «windermere2313», «tmdmmj17201» и другие. ,«Также включено в список:« все огни »(да, места разрешены на многих сайтах),« я ненавижу хакеров »,« allineedislove »,« ilovemySister31 »,« iloveyousomuch »,« Philippians4: 13 »,« Philippians4 » : 6-7, «и» qeadzcwrsfxv1331. «» Ушел вон1125 «- это еще один пароль, который Стеуб увидел на экране своего компьютера. Через несколько секунд после того, как он был взломан, он заметил:» Вы никогда не найдете его, используя грубую силу «.

Вот почему часто цитируемая схема XKCD для генерации паролей — объединение отдельных слов, таких как «correcthorsebatterystaple» — больше не является хорошим советом.Взломщики паролей идут на этот трюк.

Злоумышленник передаст любую взломанную им личную информацию о создателе пароля. Хороший взломщик паролей проверит имена и адреса из адресной книги, значимые даты и любую другую личную информацию, которую он имеет. Почтовые коды являются распространенными приложениями. Если это возможно, guesser будет индексировать целевой жесткий диск и создать словарь, который включает в себя каждую печатную строку, включая удаленные файлы. Если вы когда-либо сохраняли электронное письмо со своим паролем или хранили его в неизвестном файле, или если ваша программа когда-либо сохраняла его в памяти, этот процесс захватит его.И это ускорит процесс восстановления вашего пароля.

В прошлом году Ars Technica предоставила трем экспертам зашифрованный файл паролей на 16 000 записей и попросила их взломать как можно больше. Победитель получил 90% из них, проигравший 62% — через несколько часов. Это то же самое, что мы видели в 2012, 2007 и ранее. Если есть какие-то новые новости, это то, что такие вещи становятся легче, чем думают люди.

Почти все, что можно вспомнить, можно взломать.

Есть еще одна схема, которая работает. Еще в 2008 году я описал «схему Шнайера»:

Итак, если вы хотите, чтобы ваш пароль был трудно угадать, вы должны выбрать что-то, что этот процесс упустит. Мой совет — взять предложение и превратить его в пароль. Что-то вроде «Этот маленький поросенок вышел на рынок» может стать «tlpWENT2m». Этот девятисимвольный пароль не будет ни у кого в словаре. Конечно, не используйте этот, потому что я написал об этом. Выберите собственное предложение — что-то личное.

Вот несколько примеров:

  • WIw7, mstmsritt … = Когда мне было семь лет, моя сестра бросила моего чучела кролика в туалет.
  • Ух ты … doestcst = Ух ты, эта кушетка пахнет ужасно.
  • Ltime @ go-inag ~ faaa! = Давным-давно в галактике совсем недалеко.
  • uTVM, TPw55: utvm, tpwstillsecure = До этого момента эти пароли все еще были в безопасности.

Вы поняли идею. Объедините лично запоминающееся предложение с некоторыми лично запоминающимися уловками, чтобы превратить это предложение в пароль для создания длинного пароля.Конечно, сайт должен принимать все эти не буквенно-цифровые символы и произвольно длинный пароль. В противном случае это намного сложнее.

Еще лучше использовать случайные не запоминающиеся буквенно-цифровые пароли (с символами, если сайт разрешит их), а также менеджер паролей, такой как Password Safe, для их создания и хранения. Password Safe включает функцию генерации случайного пароля. Скажите, сколько символов вы хотите — двенадцать по умолчанию — и вы получите пароли вроде y.) V_ |.7) 7Bl, B3h5 _ [%} kgv) и QG6, FN4nFAm_. Программа поддерживает вырезание и вставку, так что вы не слишком много печатаете на этих символах. Я рекомендую Password Safe для Windows, потому что я написал первую версию, знаю человека, который в настоящее время отвечает за код, и доверяю его безопасности. Есть порты Password Safe для других ОС, но я не имею к ним никакого отношения. Есть также другие менеджеры паролей, если вы хотите ходить по магазинам.

Для паролей есть нечто большее, чем просто выбор хорошего:

  1. Никогда не используйте повторно интересующий вас пароль.Даже если вы выберете безопасный пароль, сайт, для которого он предназначен, может утечь из-за своей некомпетентности. Вы не хотите, чтобы кто-то, кто получает ваш пароль для одного приложения или сайта, мог использовать его для другого.
  2. Не пытайтесь регулярно обновлять свой пароль. Сайты, которые требуют обновления пароля в течение 90 дней или более, приносят больше вреда, чем пользы. Если вы не думаете, что ваш пароль может быть взломан, не меняйте его.
  3. Остерегайтесь «секретного вопроса». Вы не хотите, чтобы система резервного копирования, когда вы забудете свой пароль, будет легче взломать, чем ваш пароль.Действительно, разумно использовать менеджер паролей. Или записать свои пароли на листе бумаги и закрепить этот лист бумаги .
  4. Еще один совет: если сайт предлагает двухфакторную аутентификацию, серьезно подумайте об ее использовании. Это почти наверняка улучшение безопасности.

Это эссе ранее появилось на BoingBoing.

Теги: взлом, эссе, пароли, осведомленность о безопасности, удобство использования

Опубликовано 3 марта 2014 в 7:48 • 227 комментариев

,

Отправить ответ

avatar
  Подписаться  
Уведомление о