Какой придумать пароль: Какой можно придумать пароль: сложный, надежный, хороший

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

Информационная безопасность

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwertry
10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

• Двухсловные пароли: tanyatanya, dindin, «сашамаша»
• Слова с числами в конце: ivanov1994, football2018, login1234
• Выдаваемые системой по умолчанию: guest, user, default
• Слова из английского и других словарей: sweet, «семья», myhouse.
• Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
• Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
• Известные цифровые комбинации: «112», «0911», «777» и т. д.
• Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

• Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
• Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
• Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

• Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
• На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
• В браузере (особенно это касается критически важных программ и сервисов).

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

В этом случае:

• Надежно защитите электронный ящик для восстановления.
• Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

• • Смена пароля автоматически увеличивает время на его взлом.
  • Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.

Серьезные ошибки

Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.

Короткие пароли

При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.

Вместо того чтобы ломать голову над сложным паролем (который потом можно забыть), лучше взять простой и длинный и добавить туда, к примеру, несколько букв или цифр. Вместо T@MQ36n^iL использовать bREsTeMPosParDATIckl.

Очень сложные пароли

Сложность определяется двумя факторами:

• • Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
  • Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.

Очень сложные пароли (оцените пример – mrCmTF%Lz^Y*k#o@prjL2O) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке. Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

Неграмотное использование спецсимволов

Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333. Пример равномерного распределения знаков по паролю – kIs$t0cHk@.

Игнорирование альтернативных средств защиты

Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

Недочеты и рекомендации

Знание первых и следование вторым приведет к грамотному использованию паролей.

Часто сменяемые пароли

Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

Адекватное отношение к смене паролей

Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

Использование автоматической генерации паролей

Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.

При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.

Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали. Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.

Какой пароль выбрать: простой или надежный

Говорим ли мы о покупках в Интернете или об оплате счетов, и не забывайте о социальных сетях, наша современная жизнь требует учетных записей, десятки из них. Каждый сервис говорит вам придумать логин и пароль, и каждый раз возникает вопрос: что вы должны использовать? И у каждого есть свое решение для этого.

Дилемма пароля

Большинство людей прекрасно знают, что пароли являются первой линией защиты от киберпреступников.И мы неоднократно писали в блогах о важности надежных паролей — длинных и включающих специальные символы, цифры и прописные и строчные буквы. Более того, для каждой учетной записи нужен уникальный пароль; повторное использование паролей недопустимо.

Однако, чем сильнее пароль, тем легче его забыть. И это может вызвать проблемы, как вы наверняка знаете. В результате многие люди решают не беспокоиться и создавать один пароль для всех сайтов или даже использовать свое имя и дату рождения в качестве паролей.Естественно, это делает их данные легкой добычей.

«Лаборатория Касперского» провела исследование, чтобы выяснить, какая стратегия выбора пароля наиболее распространена среди пользователей и почему.

Так сильно, что даже я не могу войти в

Уникальные и сложные пароли — это, конечно, хорошо. Люди чаще всего используют их для банковских счетов (63%), некоторых платежных систем (42%) и интернет-магазинов (41%). Но, как мы уже говорили, такие пароли трудно запомнить, и потеря доступа к вашему мобильному банку может быть настоящей болью.

Казалось бы, логично записать такие пароли, чтобы не забыть их. Однако половина опрошенных не хранит пароли в особо безопасном месте. И даже самый надежный пароль в мире не защитит вас, если злоумышленник обнаружит, что он записан. Абсолютно безопасных мест для хранения паролей не существует, если только они не зашифрованы одновременно. Но тогда вы должны помнить шифр ….

Слабые и запоминающиеся

В попытке избежать страшного сообщения «неверный пароль» многие пользователи выбирают удобство, а не безопасность.Чтобы избежать ошибок при запоминании нескольких паролей, около 10% пользователей выбирают один и тот же пароль для всех сайтов, тем самым предлагая киберкрукам взломать не один, а все свои аккаунты за один раз.

Приглашение тепло принято: только за последний год 17% респондентов сообщили о попытке взлома хотя бы одного аккаунта. Наиболее популярными объектами были учетные записи электронной почты (41% всех случаев), социальные сети (37%), а также банки и интернет-магазины (по 18% каждый).

Пока не отчаивайтесь

Вместо того, чтобы пытаться найти баланс между удобством и безопасностью, вы можете убить двух зайцев одним выстрелом, установив Kaspersky Password Manager, который хранит все данные вашей учетной записи в надежном месте.Вам нужно запомнить только один мастер-пароль; служба обрабатывает все остальное. Более того, он может генерировать безопасные пароли, которые очень трудно переборить, и вводить их для вас по требованию.

к лучшему мастер-пароли | 1Password

1Password отлично подходит для создания надежных случайных паролей для сайтов без необходимости запоминать (или даже просматривать) эти пароли. Но есть несколько паролей, которые нам всем нужно запомнить. У меня есть небольшое количество паролей с высокой степенью защиты — я бы хотел сказать только один — что мне нужно запомнить. Одним из них, конечно же, является мой мастер-пароль 1Password.

Ваш мастер-пароль чрезвычайно важен. Хотя мы предпринимаем шаги, чтобы помешать взломщикам автоматических паролей, вы все равно должны использовать надежный запоминающийся мастер-пароль.Инструменты взлома паролей становятся все более мощными с каждым годом, и слишком много поставлено на карту в ваших данных 1Password. Учитывая силу используемого нами шифрования, ваш мастер-пароль, вероятно, будет самым слабым звеном в безопасности вашего 1Password. Не бойся этого. Учитывая, насколько все остальное, практически невозможно использовать и запомнить мастер-пароль, который на самом деле сильнее шифрования в 1Password.

Некоторые вещи, которые мы выделим в этой статье:

• Мы не стремимся к совершенству.Вместо этого нам нужно найти способы улучшить мастер-пароли, если они в настоящее время не очень надежны.
• Многие из схем, предложенных людьми (включая меня) в прошлом, страдают серьезным недостатком.
• Неважно, что вы читаете здесь, всегда помните, что мастер-пароль, который вы не можете набрать или запомнить, — ужасный выбор мастер-пароля.

Измените слабый мастер-пароль, в противном случае оставьте его равным

Нам всем сказали регулярно менять пароли, и все же есть некоторые обстоятельства, при которых это остается разумным советом.Но не стоит регулярно менять свой мастер-пароль. В идеале, вы должны выбрать хороший мастер-пароль с самого начала и никогда не менять его.

Чтобы понять, насколько небезопасным может быть слабый или плохой пароль, найдите время, чтобы посмотреть это видео, где Джон Оливер и Эдвард Сноуден рассказывают о безопасности пароля.

Пароли, которые необходимо изменить

Каждый знает, как избежать коротких, распространенных паролей или словарных слов любого языка. Самый распространенный в мире пароль, , 123456, , конечно, ужасен.Но даже такие вещи, как Sally4th или Molly & Patty2 (которые являются именами моих собак) недостаточно сильны для чего-то столь важного, как ваши данные 1Password. Последний просто имеет форму ИМЯ И ИМЯ ЦИФРЫ , которые программы угадывания пароля в конечном итоге дойдут до проверки.

Если ваш пароль слабый или попадает в одну из распространенных ошибок пароля, пришло время изменить его на что-то более безопасное. Узнайте, как изменить свой мастер-пароль.

После того, как вы измените свой мастер-пароль

Чрезвычайно важно запомнить свой новый мастер-пароль, и лучший способ сделать это с помощью практики.

Чтобы применить свой мастер-пароль, вы можете изменить настройку продолжительности разблокировки 1Password. Если вы установите короткое время всего 5 или 10 минут, вам придется чаще вводить свой мастер-пароль, но это поможет вам его узнать.

Через несколько дней, когда вы почувствуете себя увереннее в быстром наборе текста, вы можете настроить параметры автоматической блокировки на что-то менее раздражающее.

Также — и это может звучать как ересь, даже если это здравый совет по безопасности — когда вы меняете свой мастер-пароль, вы можете записать его на листке бумаги и положить в свой кошелек. После того, как вам больше не нужно ссылаться на него, вы можете уничтожить лист бумаги.

Пошаговое руководство по созданию системы создания паролей

Задача, с которой мы сталкиваемся, заключается в том, чтобы иметь мастер-пароли, которые не будут угадываться программами взлома паролей, но те, которые мы, простые смертные, способны запоминать и печатать, не будучи обременительным. ,

Что делает эту проблему особенной, так это то, что плохие парни знают, по крайней мере, столько же о том, как люди выбирают пароли, чем мы. Они не только читают один и тот же совет по выбору пароля, который публикуется в подобных местах, но и изучают миллионы украденных паролей.

Вот важный принцип, который нам нужно учитывать:

Сила системы создания паролей не в том, сколько букв, цифр и символов вы получите, а в том, как можно получить другой результат. используя ту же систему.

Не беспокойтесь, если этот принцип еще не имеет смысла, у вас будет лучшее понимание после того, как я рассмотрю пример.

У меня есть две собаки: Молли и Пэтти. Допустим, я хотел сделать из этого мастер-пароль и придумал Ihave2dogs: Molly & Patty . Сначала он выглядит хорошо, потому что он длинный, имеет смешанный регистр и пунктуацию. Но на этом примере я выясню, почему это не так хорошо, как может показаться на первый взгляд.

Используйте пробелы, чтобы вам было легче

Ваш мастер-пароль может содержать пробелы между словами.Таким образом, вы можете упростить ввод и запоминание, используя пробелы, хотя это мало добавляет к реальной безопасности. Нашим первым улучшением моего пароля будет изменение его на . У меня есть 2 собаки: Молли и Патти .

Не говорите правду

Если ваш мастер-пароль основан на чем-то значимом, помните, что есть больше способов лгать, чем говорить правду . У меня есть больше способов лгать о своих питомцах, чем говорить правду, и поэтому я должен использовать ложь, чтобы создать свой пароль.Итак, попробуем, У меня есть 3 биты: Ларри, Мо и Керли .

Не имеет смысла

Есть больше способов, чтобы предложение не имело смысла, чем имеет смысл. Итак, давайте изменим мои три биты на тридцать пять бит, но все же перечислим три: У меня 35 бит: Ларри, Мо и Керли .

Избегайте предсказуемых фраз

Для тех из нас, кто имеет определенный возраст и имеет глубокие познания в американской культуре, как только мы начинаем список имен с «Ларри …», после него с «Мо и Кудрявый» очень предсказуемо.Таким образом, несмотря на то, что Moe & Curly добавляет 11 символов к паролю, эти 11 символов настолько предсказуемы, что добавляют очень мало фактической силы. Несмотря на то, что он короче, используя , у меня 35 летучих мышей: Larry & Amy на самом деле сильнее, чем , у меня 35 летучих мышей: Larry, Moe & Curly .

В том же духе, «е» после «я хав» тоже мало что дает. Поскольку это легко догадаться по остальной части пароля, на самом деле это не добавляет силы.В этом «е» нет ничего плохого, но я упомяну его, чтобы проиллюстрировать тот факт, что количество способов отличаться друг от друга часто важнее самой длины.

Избегайте секретов или вещей, которые имеют личное значение

Чем более значимым для вас является что-то для вас, тем меньше альтернатив. Есть больше вещей, которые не имеют для вас личного значения, чем сделать.

В особенности избегайте личных секретов. Дважды в моей жизни, когда меня просили найти слабые пароли там, где я работал, у меня была неловкая задача — сказать друзьям и коллегам сменить пароли, что также выявило их тайные проблемы.Кроме того, может быть время, когда вам действительно нужно раскрыть свой мастер-пароль любимому человеку. Когда я определить пароли, как IloveUVicky вместе с адресом электронной почтой владельца среди 26000 адресов электронной почты и паролей, подвергающихся от порнографии сайта, я, конечно, надеюсь, что это не вызовет слишком много проблем для владельца.

Очевидная пунктуация очевидна

Использование заглавных букв или изменение слова «для» на «4» на самом деле не сильно повышает безопасность. Помните, если вы можете подумать об этом, люди, которые пишут системы взлома паролей, уже сделали то же самое.К сожалению, добавление знаков препинания действительно случайным образом делает пароль слишком сложным для запоминания. Конечно, добавьте очевидную пунктуацию, но учтите, что не укрепляет ваш пароль, как может показаться.

Что мы узнали

На каждом этапе работы, хотя в этом примере мы вносили реальные улучшения. Помните, что мы не пытаемся достичь совершенства здесь. Вместо этого мы ищем лучшие мастер-пароли, которые остаются пригодными для использования. Не создавайте себе проблем, выбирая мастер-пароль, который слишком сложно набрать или слишком сложно запомнить.

Но мы также узнали, что человеческое поведение на самом деле не очень случайное. Схемы, которые мы придумали, могут быть закодированы в системы взлома паролей. Хороший мастер-пароль не ограничен только тем, что человек может запомнить, но он также ограничен тем, что человек может создать. Мы можем достаточно легко вводить цифры и знаки препинания в пароли, но наши методы выбора предполагают большую предсказуемость. Поведение человека более предсказуемо, чем мы можем себе представить. Эту предсказуемость можно использовать в программах угадывания паролей.

Бросьте кубик, чтобы избежать предсказуемости

Если люди настолько предсказуемы, как мы можем создать запоминающиеся пароли, которые не предсказуемы? Оказывается, что Арнольд Рейнхольд опубликовал решение этой проблемы еще в 1995 году, чтобы помочь людям создать сильные и запоминающиеся фразы-фразы для PGP. Это называется Diceware.

Поскольку слова имеют значение, мы можем запомнить последовательность слов, даже если она не создает значимого утверждения. А так как слов намного больше, чем отдельных символов, выбор случайной последовательности из пяти или более слов затрудняет взлом пароля.

Рейнхольд составил список из 7776 коротких слов или последовательностей (то есть 6 ⁵ для людей, которым небезразличны такие вещи). Слово можно выбрать из списка, бросив пять кубиков (или бросив один кубик пять раз). Вот небольшая выдержка из английского словарного списка Diceware:

35443 знал
35444 трик
35445 нож
35446 трикотаж
35451 ручка
35452 выбил

Если ты выбил

кубик и получите последовательность 3 — 5 — 4 — 5 — 1, тогда ваш Diceword будет «ручкой».Еще пять бросков кубиков получат ваше следующее слово. Если вы выпали 3 — 2 — 6 — 5 — 6, то вашим следующим словом будет «поход».

Отличительной особенностью Diceware является то, что мы точно знаем, насколько она защищена, даже если предположить, что злоумышленник знает, какая система используется. Безопасность исходит от подлинной случайности броска костей. Использование четырех или пяти слов для вашего мастер-пароля должно быть достаточным для предотвращения вероятных атак в течение следующих нескольких лет, учитывая текущую наблюдаемую скорость взломщиков паролей.

Для тех, кто действительно хочет использовать эту систему и получить максимальную безопасность от нее, вы должны комбинировать Diceware с вашей собственной частной системой. Создайте короткий случайный пароль, включая цифры и символы, и используйте его вместо одного из Dicewords в вашем окончательном пароле. Итак, возвращаясь к моим собакам, Молли и Пэтти, я мог бы создать слабый пароль, такой как 2dM & P , и предположить, что мои броски игральных костей принесут мне расщелину синод lace , тогда я мог бы создать мастер-пароль как расщелина 2dM & P кулачок Синод Лейси , который был бы очень хорошим мастер-паролем.С повторением это то, что вы можете научиться печатать быстро.

Что такое секретный ключ?

Ваш секретный ключ обеспечивает безопасность вашей учетной записи 1Password, обеспечивая дополнительный уровень безопасности поверх вашего мастер-пароля. Ваш секретный ключ представляет собой автоматически созданную комбинацию из 34 букв и цифр, разделенных тире. Этот ключ хранится на всех устройствах, которые вы использовали для входа в свою учетную запись, а также в аварийном комплекте, который вы скачали при регистрации. Ваш секретный ключ предназначен для совместной работы с вашим мастер-паролем, который известен только вам, чтобы полностью зашифровать ваши данные и сохранить их в безопасности.

Как я упоминал ранее в этой статье, практически невозможно использовать и запоминать мастер-пароль, более надежный, чем шифрование в 1Password. Вот где приходит ваш секретный ключ. Его не нужно запоминать, поэтому он может быть намного сильнее. Секретный ключ, сгенерированный системой, имеет 128 битов энтропии, что делает практически невозможным угадывание, независимо от того, сколько денег или вычислительной мощности может иметь злоумышленник в своем распоряжении.

Никто не имеет доступа к вашим данным 1Password без вашего Секретного ключа, даже если им удастся взломать ваш мастер-пароль.Однако, поскольку никто не имеет доступа к этому ключу, даже мы, если вы потеряете его, вы можете потерять доступ к своей учетной записи 1Password. Держите это в секрете, но держите это в безопасности.

В заключение

Я хотел бы напомнить вам о некоторых важных моментах, которые я сделал в верхней части страницы:

• Мы работаем над улучшением паролей, а не над идеальными. Вы должны принимать столько советов, сколько вам удобно, и не более. Запоминание и ввод вашего мастер-пароля не должны стать рутиной.
• Если вы меняете свой мастер-пароль, регулярно практикуйте его, чтобы не забыть его.Не бойтесь записать это на лист бумаги некоторое время, если вы храните его в безопасном месте.
• Тип мастер-пароля, который вам нужен, будет зависеть от того, кто попытается его взломать. Даже если типичный преступник может иметь доступ к сложным инструментам взлома, маловероятно, что он посвятит часы — намного меньше дней, недель, лет или десятилетий — вашим конкретным данным.
• Не потеряйте свой секретный ключ. Мы не можем восстановить его, поэтому, если вы потеряете его, вы можете потерять доступ ко всей учетной записи 1Password.

Статьи по теме

Джеффри Голдберг

Главный защитник против темных искусств

,

Как долго должны быть мои пароли?

Когда каждый веб-сайт, для которого вы создаете логин, предлагает пароль разной длины, может быть сложно определить, как долго должен быть ваш пароль. Вы знаете, что более длинный пароль более безопасен, но длиннее, чем что? 6 символов? 12 символов? 24 персонажа?

Чтобы ответить на этот вопрос, нам сначала нужно посмотреть, какой пароль вам нужно создать. Это один из немногих, которые вам нужно запомнить, например ваш мастер-пароль 1Password, или это вы генерируете, используя наш генератор надежных паролей, который вам никогда не придется вводить, видеть или запоминать? Мы не говорим о паролях, созданных человеком, поскольку пароли, созданные людьми, легко угадываются машинами.

Итак, теперь мы предполагаем, что вы используете безопасный генератор паролей, как и должно быть.

Короткий ответ на длинный вопрос состоит в том, что при использовании генератора паролей 1Password вы должны просто использовать настройки по умолчанию: 20 символов для символьных паролей и четыре слова для списков слов.

Для каких сайтов требуется

Большинство требований, предъявляемых веб-сайтами и другими службами к людям, создающим пароли, на самом деле не применяются, когда мы рассматриваем пароли, созданные для обеспечения безопасности.Эти правила были разработаны, чтобы заставить людей создавать хорошие пароли. Также оказывается, что эти правила не работают даже по их прямому назначению. Действительно, NIST теперь явно советует не навязывать какие-либо требования, кроме минимальной длины. Тем не менее, люди могут еще долго сталкиваться с такими требованиями.

Минимальная и максимальная длина пароля

Каждый веб-сайт отличается, но обычно он задает минимальную длину 8 или, возможно, 10 символов.(Последнее исследование, которое я видел по этому вопросу, сильно устарело, поэтому я в основном только догадываюсь об этом.)

Имеет смысл, что, когда вам будет предложено создать новый пароль, вы придумаете что-то короткое, насколько это возможно, как можно быстрее. Мы получим это. Вы хотите зарегистрироваться, войти и продолжить свой день. Но только соблюдая минимальные требования, вы становитесь более уязвимыми для взлома пароля.

Наша длина по умолчанию для сгенерированных символьных паролей составляет 20, но, как вы увидите ниже, это избыточно для сгенерированных паролей.Мы бы пошли с 15, но те не чувствуют себя достаточно сильными для людей, и мы будем получать жалобы. Многие люди не видят, насколько надежны правильно сгенерированные пароли.

Сложность слюни

Широко распространено убеждение, что использование цифр и специальных символов в пароле делает пароль более надежным. Но последствия этих требований различаются для паролей, созданных человеком, и для правильно сгенерированных паролей. Созданный человеком 11-значный пароль со смешанными регистрами букв, цифр и символов может выглядеть как Letmein! 123 .11-значный пароль, сгенерированный 1Password и использующий только буквы в смешанном регистре, может выглядеть как lwlXgHeaWiq . Сгенерированный, даже без цифр или специальных символов, будет гораздо сложнее угадать, чем созданный человеком.

Теперь наш генератор паролей будет создавать пароли с цифрами и символами, потому что они требуются для очень многих сайтов. И для вещей, которые сгенерированы правильно, добавление большего количества типов символов действительно увеличивает силу (немного).

Сила и энтропия

Прежде чем я начну использовать слово «энтропия», когда говорим о надежности пароля, я должен выпустить слово предупреждения. Почти все, что вы читаете, использует слово «энтропия», когда говорит о надежности пароля, неправильно. Энтропия имеет смысл только в качестве способа говорить о надежности пароля, если схема, используемая для создания пароля, с такой же вероятностью даст каждый возможный вывод, как и любой другой. Схема, которая генерирует 11-символьные пароли из букв, цифр и символов, которые с большей вероятностью могут придумать такой пароль, как Letmein! 123 , чем lwlXgHeaWiq , не подходит для слова «энтропия».Оказывается, что даже некоторые популярные генераторы паролей не создают пароли единообразно, но для этого обсуждения я сосредоточусь на безопасном генераторе паролей 1Password, который делает это правильно.

Итак, мы можем говорить об энтропии паролей, генерируемых генератором надежных паролей 1Password, но в этом нет смысла, если вы не понимаете, о чем я. Пароль с 20 битами энтропии взломать вдвое сложнее, чем пароль с 19 битами. 20-битный пароль вдвое сложнее взломать, чем пароль с 21 битом.Пароль с 20 битами энтропии выбирается равномерно и случайным образом из 2–2 возможных различных паролей. Это чуть более 1 миллиона. Поскольку системы подбора паролей могут выдавать сотни тысяч предположений в секунду (если пароли хорошо хешированы) или десятки миллионов предположений в секунду (если пароли плохо хешируются), 20-разрядный пароль недостаточно силен для много целей. Пароль из 11 символов, взятый только из букв со смешанным регистром, имеет около 65 бит энтропии, что более чем достаточно для почти любой цели.

Длина по сравнению с классами символов

Теперь, когда мы можем поговорить о битах энтропии для паролей, созданных 1Password, мы можем вернуться к вопросу о том, насколько длина влияет на силу, и сравнить ее с тем, насколько классы символов способствуют повышению прочности.

Давайте сравним две пары настроек генерации паролей. 11 или 12 символов, требующих только цифры против букв.

Урок из этой таблицы заключается в том, что при добавлении цифр увеличивается сила, вы получаете большее увеличение прочности даже при небольшом увеличении длины.Большее увеличение длины создает огромную разницу. Напомним, что каждый бит соответствует удвоению количества возможных паролей (и, следовательно, удвоению объема работы, которую необходимо выполнить злоумышленнику). Это делает 16-символьный пароль (91 бит) в 8 миллионов раз сложнее угадать, чем 12-значный (68 бит), в то время как 12-значный пароль с цифрами (71 бит) взломать только в восемь раз труднее, чем буквы — только одна.

Просто для того, чтобы дать вам представление о том, что некоторые из этих битов переводят, если 70-битный пароль хорошо хешируется: это , вероятно, за пределами диапазона, который может взломать главное правительство, в то время как если оно плохо хешируется, оно это , вероятно, в руках крупного правительства, готового посвятить огромное количество времени и ресурсов этой проблеме.(Для тех, кто собирается напомнить мне, что широко распространено мнение о том, что АНБ может использовать грубые криптографические ключи в диапазоне от 80 до 90 бит, я укажу, что угадывание ключей не включает в себя какие-либо операции с памятью, которые угадывают пароли делают.) 90-битный пароль находится далеко за пределами возможностей, которые может сделать даже самый решительный и обладающий достаточными ресурсами злоумышленник. Они просто не будут пытаться угадать это.

Чтобы получить представление о том, что нужно для взлома 128-битного криптографического ключа (о котором легче догадаться, чем о паролях), взгляните на то, что я написал о собаках, ищущих игрушки и возрасте вселенной. несколько лет назад.

Поскольку 1Password запомнит для вас пароль, сохранит его в безопасности, заполнит его на нужной веб-странице и позволит вам безопасно поделиться им с теми, кому вам может потребоваться предоставить пароль; вам не нужно беспокоиться о том, что это 20 символов нетипичного тарабарщины, которые невозможно запомнить или использовать по-человечески. Но если вы столкнетесь с какой-то службой, которая позволяет использовать только 16-символьные пароли, вам не нужно беспокоиться о их надежности. 16-символьный правильно сгенерированный пароль будет более чем надежным.

Те, которые вы должны помнить (и вводить)

Можно сгенерировать пароли, которые вам никогда не придется вводить или запоминать, но ваш мастер-пароль 1Password отличается. Советы, которые мы предлагаем в «На пути к лучшим мастер-паролям», остаются в силе, только с обновлением, которое генератор паролей 1Password создаст для вас пароли такого типа.

Для вашего мастер-пароля 1Password использование пароля из четырех слов (56 бит) из нашего генератора паролей будет достаточно для всех, потому что мы хорошо его хешируем и ваш секретный ключ означает, что взлом пароля не является жизнеспособной атакой на данных, которые мы храним.Однако сила вашего мастер-пароля и нашего хэширования — ваша защита от попыток взлома данных, украденных из вашей системы. Мастер-пароль из трех слов (42 бита) выиграет вам время, если ваши данные будут украдены. Месяцы или годы зависят от того, какие ресурсы атакующий может использовать. Главный пароль из четырех слов (56 бит) обойдется злоумышленнику в десятки миллионов долларов, а пароль из пяти слов (71 бит) окажется вне диапазона основных правительств, учитывая, как они хешируются.И даже если бы крупное правительство могло реально взломать пароль из четырех слов, оно почти наверняка предприняло бы менее дорогую линию атаки.

Знание ваших сильных сторон

Одним из преимуществ использования правильно сгенерированных паролей является то, что мы можем точно знать, насколько они надежны. Они сохраняют свою силу, даже когда злоумышленник точно знает, как они были созданы. Это противоположно многим умным схемам, которые люди придумывают для создания паролей. Большая часть предполагаемой безопасности многих из этих схем испаряется, как только злоумышленник может догадаться, что это схема, которую вы, возможно, использовали.

Все это приводит к интересному парадоксу. Большинство советов по созданию паролей становится плохим советом, поскольку все больше людей его используют. Чем популярнее становится схема, тем больше злоумышленников будут настраивать свои системы. Помните, что преступники знают больше о поведении при создании пароля, чем кто-либо другой, поскольку они видели и изучали самые реальные данные. С другой стороны, правильный генератор паролей остается таким же сильным, даже если его используют все, и злоумышленник знает каждую деталь схемы. С извинениями Иммануилу Канту: Хороший совет по созданию пароля должен оставаться хорошим, даже если все следуют ему.

Зарегистрируйтесь на 30 дней бесплатно!

Нужна помощь в создании уникальных и безопасных паролей? Сохраните ваши пароли в безопасности и вашу информацию в безопасности, подписавшись на учетную запись 1Password. Ваши первые 30 дней бесплатны!

Попробуйте 1Password БЕСПЛАТНО

Джеффри Голдберг

Главный защитник от темных искусств

,

Выбор безопасных паролей — Schneier on Security

Выбор безопасных паролей

Как бы ни были небезопасны пароли, они не исчезнут в ближайшее время. С каждым годом у вас появляется все больше и больше паролей, и каждый год их становится все проще и проще взломать. Вам нужна стратегия.

Лучший способ объяснить, как выбрать хороший пароль, это объяснить, как он взломан. Общая модель атаки — это то, что известно как автономная атака с подбора пароля.В этом случае злоумышленник получает файл с зашифрованными паролями, откуда люди хотят пройти аутентификацию. Его цель — превратить этот зашифрованный файл в незашифрованные пароли, которые он может использовать для аутентификации. Он делает это, угадывая пароли, а затем проверяет, верны ли они. Он может пытаться угадать так быстро, как его компьютер обработает их — и он может распараллелить атаку — и получает немедленное подтверждение, если он угадывает правильно. Да, есть способы предотвратить эту атаку, и поэтому у нас все еще могут быть четырехзначные PIN-коды на карточках банкоматов, но это правильная модель взлома паролей.

Существуют коммерческие программы, которые взламывают пароли и продаются в основном в полицейские управления. Есть также хакерские инструменты, которые делают то же самое. И они действительно хорошо.

Эффективность взлома паролей зависит от двух в значительной степени независимых факторов: мощности и эффективности.

Power — это просто вычислительная мощность. Поскольку компьютеры стали быстрее, они могут тестировать больше паролей в секунду; одна программа рекламирует восемь миллионов в секунду. Эти взломщики могут работать несколько дней одновременно на многих машинах.Для громкого полицейского дела они могут работать месяцами.

Эффективность — это возможность умно угадывать пароли. Не имеет смысла проходить каждую восьмибуквенную комбинацию от «aaaaaaaa» до «zzzzzzzz» по порядку. Это 200 миллиардов возможных паролей, большинство из которых очень маловероятно. Взломщики паролей сначала пробуют самые распространенные пароли.

Типичный пароль состоит из рута и придатка. Корень не обязательно является словарным словом, но обычно это нечто произносимое.Придаток является либо суффиксом (90% времени), либо префиксом (10% времени). Одна из программ взлома, которую я видел, началась со словаря из примерно 1000 общих паролей, таких как «letmein», «temp», «123456» и так далее. Затем он проверил их, каждый из которых имел около 100 общих суффиксных приложений: «1», «4u», «69», «abc», «!» И т. Д. Он восстановил около четверти всех паролей только с этими 100 000 комбинаций.

Взломщики используют разные словари: английские слова, имена, иностранные слова, фонетические шаблоны и так далее для корней; две цифры, даты, отдельные символы и т. д. для придатков.Они запускают словари с различными заглавными буквами и общими заменами: «$» для «s», «@» для «a», «1» для «l» и так далее. Эта стратегия угадывания быстро ломает около двух третей всех паролей.

Современные взломщики паролей сочетают разные слова из своих словарей:

Что было замечательно во всех трех сеансах взлома, так это типы открытых равнин. Они включали такие коды доступа, как «k1araj0hns0n», «Sh2a-labe0uf», «Apr! L221973», «Qbesancon321», «DG091101%», «@ Yourmom69», «ilovetofunot», «windermere2313», «tmdmmj17201» и другие. ,«Также включено в список:« все огни »(да, места разрешены на многих сайтах),« я ненавижу хакеров »,« allineedislove »,« ilovemySister31 »,« iloveyousomuch »,« Philippians4: 13 »,« Philippians4 » : 6-7, «и» qeadzcwrsfxv1331. «» Ушел вон1125 «- это еще один пароль, который Стеуб увидел на экране своего компьютера. Через несколько секунд после того, как он был взломан, он заметил:» Вы никогда не найдете его, используя грубую силу «.

Вот почему часто цитируемая схема XKCD для генерации паролей — объединение отдельных слов, таких как «correcthorsebatterystaple» — больше не является хорошим советом.Взломщики паролей идут на этот трюк.

Злоумышленник передаст любую взломанную им личную информацию о создателе пароля. Хороший взломщик паролей проверит имена и адреса из адресной книги, значимые даты и любую другую личную информацию, которую он имеет. Почтовые коды являются распространенными приложениями. Если это возможно, guesser будет индексировать целевой жесткий диск и создать словарь, который включает в себя каждую печатную строку, включая удаленные файлы. Если вы когда-либо сохраняли электронное письмо со своим паролем или хранили его в неизвестном файле, или если ваша программа когда-либо сохраняла его в памяти, этот процесс захватит его.И это ускорит процесс восстановления вашего пароля.

В прошлом году Ars Technica предоставила трем экспертам зашифрованный файл паролей на 16 000 записей и попросила их взломать как можно больше. Победитель получил 90% из них, проигравший 62% — через несколько часов. Это то же самое, что мы видели в 2012, 2007 и ранее. Если есть какие-то новые новости, это то, что такие вещи становятся легче, чем думают люди.

Почти все, что можно вспомнить, можно взломать.

Есть еще одна схема, которая работает. Еще в 2008 году я описал «схему Шнайера»:

Итак, если вы хотите, чтобы ваш пароль был трудно угадать, вы должны выбрать что-то, что этот процесс упустит. Мой совет — взять предложение и превратить его в пароль. Что-то вроде «Этот маленький поросенок вышел на рынок» может стать «tlpWENT2m». Этот девятисимвольный пароль не будет ни у кого в словаре. Конечно, не используйте этот, потому что я написал об этом. Выберите собственное предложение — что-то личное.

Вот несколько примеров:

• WIw7, mstmsritt … = Когда мне было семь лет, моя сестра бросила моего чучела кролика в туалет.
• Ух ты … doestcst = Ух ты, эта кушетка пахнет ужасно.
• Ltime @ go-inag ~ faaa! = Давным-давно в галактике совсем недалеко.
• uTVM, TPw55: utvm, tpwstillsecure = До этого момента эти пароли все еще были в безопасности.

Вы поняли идею. Объедините лично запоминающееся предложение с некоторыми лично запоминающимися уловками, чтобы превратить это предложение в пароль для создания длинного пароля.Конечно, сайт должен принимать все эти не буквенно-цифровые символы и произвольно длинный пароль. В противном случае это намного сложнее.

Еще лучше использовать случайные не запоминающиеся буквенно-цифровые пароли (с символами, если сайт разрешит их), а также менеджер паролей, такой как Password Safe, для их создания и хранения. Password Safe включает функцию генерации случайного пароля. Скажите, сколько символов вы хотите — двенадцать по умолчанию — и вы получите пароли вроде y.) V_ |.7) 7Bl, B3h5 _ [%} kgv) и QG6, FN4nFAm_. Программа поддерживает вырезание и вставку, так что вы не слишком много печатаете на этих символах. Я рекомендую Password Safe для Windows, потому что я написал первую версию, знаю человека, который в настоящее время отвечает за код, и доверяю его безопасности. Есть порты Password Safe для других ОС, но я не имею к ним никакого отношения. Есть также другие менеджеры паролей, если вы хотите ходить по магазинам.

Для паролей есть нечто большее, чем просто выбор хорошего:

1. Никогда не используйте повторно интересующий вас пароль.Даже если вы выберете безопасный пароль, сайт, для которого он предназначен, может утечь из-за своей некомпетентности. Вы не хотите, чтобы кто-то, кто получает ваш пароль для одного приложения или сайта, мог использовать его для другого.
2. Не пытайтесь регулярно обновлять свой пароль. Сайты, которые требуют обновления пароля в течение 90 дней или более, приносят больше вреда, чем пользы. Если вы не думаете, что ваш пароль может быть взломан, не меняйте его.
3. Остерегайтесь «секретного вопроса». Вы не хотите, чтобы система резервного копирования, когда вы забудете свой пароль, будет легче взломать, чем ваш пароль.Действительно, разумно использовать менеджер паролей. Или записать свои пароли на листе бумаги и закрепить этот лист бумаги .
4. Еще один совет: если сайт предлагает двухфакторную аутентификацию, серьезно подумайте об ее использовании. Это почти наверняка улучшение безопасности.

Это эссе ранее появилось на BoingBoing.

Теги: взлом, эссе, пароли, осведомленность о безопасности, удобство использования

Опубликовано 3 марта 2014 в 7:48 • 227 комментариев

,

No related posts.