Как создать надёжные пароли и защищать систему с их помощью

Содержание

МЕНЮ

Панель иконокЗначок менюАккордеонВкладкиВертикальные вкладкиЗаголовки вкладокВкладки полностраничныеВкладки при наведенииВерхняя навигацияОтзывчивый верхний навигаторНавигация с иконкамиМеню поискаСтрока поискаФиксированная боковая панельАнимированные боковые панелиОтзывчивая боковая панельПолноэкранная навигация наложенияМеню Off-CanvasБоковые кнопки навигацииБоковая панель с иконкамиМеню с горизонтальной прокруткойВертикальное менюНижняя навигацияОтзывчивая нижняя навигацияГраницы навигацииМеню по правому краюСсылка меню по центруМеню равной шириныФиксированное менюСкольжение вниз по полосе прокруткиСкрыть меню при прокруткеУменьшить меню при прокруткеЛипкая навигацияНавигация на изображенияВыпадающее менюВыпадающий при кликеВыпадающее меню в навигацииВыпадающий список в боковой навигацииОтзывчивая навигация с выпадающимПодменю навигацияВсплывающее менюМега менюМобильное менюМеню занавесСвернуть боковой барСвернуть боковую панельПагинацияХлебные крошкиГруппа кнопокГруппа вертикальных кнопокЛипкий социальный барНавигация таблеткиОтзывчивый заголовок

Nordpass

Nordpass представляет собой бесплатный сервис проверки пароля от разработчиков VPN-сервиса .


Вместе со способностью проверять надёжность паролей Nordpass позволяет создавать новые пароли. Пользователи могут импортировать старые пароли и делиться данными на вход с друзьями, членами семьи и сотрудниками.

Nordpass оценивает каждый пароль по базовым параметрам. Это продолжительность не менее 12 символов, буквы верхнего и нижнего регистра, символы и цифры. Оценивается время, которое потребуется на взлом пароля и определяется, фигурирует ли этот пароль в известных утечках данных.

Проверить пароль можно без скачивания приложения и создания учётной записи. Это делает сервис Nordpass удобным и быстрым. Предоставляется вся информация для анализа того, достаточно ли безопасен ваш пароль.

Рекомендации по созданию сложного пароля

Общие рекомендации

Рекомендации по выбору хорошего пароля составлены для того, чтобы сделать пароль более стойким к разнообразным ухищрениям взломщиков.

  • Минимально рекомендуемая длина пароля — в пределах от 12 до 14 символов. Увеличение длины пароля всего на 2 символа даёт в 500 раз больше вариантов, чем увеличение алфавита на 18 символов.
  • Рекомендуется генерировать случайные пароли, если это возможно.
  • Рекомендуется избегать использования паролей, содержащих словарные слова («password»), повторяющиеся наборы букв («passpass»), буквенные или числовые последовательности («aaa», «123»), ники, имена (собственное имя, имена родственников), клички домашних животных, романтические отсылки (нынешние или прошлые), биографическую информацию.
  • Рекомендуется включать в пароль цифры и иные символы, если это разрешено системой.
  • Рекомендуется использовать как прописные, так и строчные буквы, когда это возможно. Однако, см. пункт 1, может быть лучше добавить к паролю слово, чем каждый раз нажимать и отпускать в нужных местах клавишу Shift.
  • Рекомендуется избегать использования одного пароля для различных сайтов или целей.

Некоторые рекомендации советуют никуда не записывать пароль, в то время как другие, отмечая существование большого количества защищённых паролем систем, к которым пользователь должен иметь доступ, одобряют идею записывания паролей, если, конечно, список паролей будет находиться в надёжном месте.

Примеры слабых паролей

Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.

  • Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
  • Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
  • Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
  • Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
  • Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
  • Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
  • Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
  • Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Что делать, если пароль всё же украли?

Если есть подозрение, что пароль украли или один из сервисов проверки это подтвердил, переживать пока не стоит. Расскажем об алгоритме действий.

Для начала выйдете из всех аккаунтов во всех мессенджерах. Функция называется «Прервать все активные сеансы». Это спасёт в том случае, если злоумышленник уже зашёл под вашей учёткой, но не успел что-то изменить в личных настройках: пароль, почту или что-то ещё. Для входа подключите двухфакторную аутентификацию. Это означает, что при входе сервис спросит не только пароль, но и код, который придёт, например, в СМС. Такой способ обезопасить себя надёжнее простого пароля, потому что на его взлом уходит намного больше времени и сил. Замена пароля на максимально сложный. Стоит остановиться на абсолютно бессмысленной комбинации букв и цифр, при этом используя строчные и заглавные. Самыми надёжными в последнее время признаны парольные фразы. Это может быть что-то, что актуально именно для вас. Чтобы запомнить такой пароль, можно записать его в специальную программу — менеджер паролей. Программа работает таким образом, что все комбинации хранятся в одном месте, к которому тоже нужно придумать пароль. Другой способ — записать пароль в Блокнот и заархивировать под сложным мастер-паролем. Проверьте настройки безопасности и по необходимости обновите их. Актуализируйте контрольные вопросы и список доверенных устройств

Помните, что не будет никакого толка в смене пароля, пока вы не обратите внимание на настройки безопасности.

Битовый порог сложности

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

ФОРМЫ

Форма входаФорма регистрацииФорма оформления заказаКонтактная формаФорма входа в соц сетиРегистрацияФорма с иконкамиРассылка по почтеСложенная формаАдаптивная формаФорма всплывающаяФорма линейнаяОчистить поле вводаКопирование текста в буфер обменаАнимированный поискКнопка поискаПолноэкранный поискПоле ввода в менюФорма входа в менюПользовательский флажок/радиоПользовательский выборТумблер перключательУстановить флажокОпределить Caps LockКнопка запуска на EnterПроверка пароляПереключение видимости пароляМногоступенчатая формаФункция автозаполнения

Определение сложности

Сложность ключа — мера устойчивости к подбору на символьном уровне посредством ручных и автоматизированных методов (логического вычисления, подбора по словарю). Она определяется количеством попыток взломщика, то есть, сколько ему понадобится времени на вычисление составленной пользователем комбинации.

На сложность пароля влияют следующие факторы:

  • Количество символов в ключе. Чем больше знаков в последовательности, тем лучше. У комбинации из 5 знаков есть большая вероятность быстрого взлома. А вот на подбор последовательности из 20 знаков могут уйти годы, десятилетия и даже века.
  • Чередование прописных и строчных литер. Примеры: ключ dfS123UYt с использованием регистра заглавных букв на порядок сложней этой же комбинации, но только с маленькими литерами — dfs123uyt.
  • Символьные наборы. Разнообразие типов символов усиливает устойчивость. Если сделать ключ из маленьких и больших букв, цифр и спецсимволов длиной в 15-20 знаков, шансов его подобрать практически нет.

Как придумать безопасный пароль?

Для начала можно использовать генератор случайных паролей. Он основан на генераторе случайных чисел и исключает человеческий фактор. Дело в том, что, придумывая пароль самостоятельно, мозг человека все равно опирается на значимые для него комбинации букв и цифр. Проведите эксперимент: придумайте сами запоминающийся пароль и сгенерируйте пароль автоматически. Потом устройте им проверку стойкости пароля. Посмотрите, какой окажется надежнее?

Главный недостаток неожиданных паролей — это сложность запоминания. Есть несколько способов придумать сложный, но при этом надежный пароль. Для более детального ознакомления с правилами создания надежных паролей рекомендуем почитать эту статью, тут же мы приводим краткий перечень основных способов:

  • стишки из детства. Вспомните свою самую любимую детскую считалку. Будет хорошо, если она известна далеко не всем. Составьте пароль из первых букв каждого слова, оставьте заглавные буквы заглавными, замените похожие по написанию буквы цифрами, сохраните знаки препинания и напишите русские буквы в английской раскладке;
  • известные высказывания. Составьте пароль по такому же принципу, что и со считалкой, но усложните алгоритм. Например, все буквы “а” в нем можно заменить цифрой “9” или знаком “=”;
  • особая лексика. Названия медицинских препаратов, жаргон шахтеров и геологические термины известны далеко не всем. Выберете слово подлиннее, выбросьте из него все гласные, запишите русскими буквами в английской раскладке, сделайте первую и последнюю букву заглавными и добавьте пару цифр;
  • графические комбинации. Последовательно нажимайте на клавиатуре клавиши, которые составляют какой-то рисунок: треугольник, тупой угол, три параллельные линии. Для сложности можно добавить верхний регистр и цифры.

Проверить такой пароль тоже нужно. Но их безопасность будет куда выше, чем у просто запоминающихся фраз и тривиальных сочетаний. Придумывайте свои правила сочинения паролей и будьте креативными. Тогда ваша персональная информация будет в большей безопасности.

Битовый порог сложности

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

Политика паролей

Политика создания паролей — набор правил, призванных:

  • помочь пользователям сочинить пароль, который сложно подобрать;
  • гарантировать то, что пароли будут подходить целевой аудитории;
  • давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

  • любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
  • любой пароль содержал определённые в шаблоне символы.

Установка интервала времени, в течение которого пароль может использоваться, служит для предоставления гаратий того, что:

  • атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
  • время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем

Труднее всего взломать пароль, состоящий из случайных символов, даже если известны длина пароля и набор допустимых символов. Случайный пароль благодаря высокой энтропии не только трудно запомнить, но и долго подбирать методом полного перебора. Требование сочинять сложные пароли может способствовать тому, что забывчивые пользователи станут записывать пароли на бумажках, в мобильных телефонах, на КПК, будут делиться ими с другими пользователями. Брюс Шнайер рекомендует записывать свои пароли.

Техники запоминания

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

  • сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
  • мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
  • составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Тестирование парольных политик веб-сервисов

В результате тестирования было проанализировано 157 ресурсов различного назначения. Список выбранных категорий расширился, к старым добавились:

  • Хостинг
  • Парольные менеджеры
  • Новостные сервисы
  • Развлекательные ресурсы
  • Блоги и форумы
  • Интернет-банкинг

Посмотрим сразу на результаты. В таблице ниже можно найти лидеров и аутсайдеров каждой группы сервисов, сравнить количество полученных достижений, но самое главное – узнать, кто больше беспокоится о безопасности аккаунтов своих пользователей.

Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей. Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации

Социальные сети

Покажем, как мы считали баллы на примере социальных сетей. Таблица распределения баллов получилась следующая.

Итоговые результаты в данной группе сервисов.

Большинство исследуемых сервисов предъявляет минимум требований к паролю. В основном, ограничения накладываются лишь на минимальную длину. По сравнению с прошлым исследованием на этот раз пароли «подросли», минимум 6-8 символов. Однако до сих пор отсутствует проверка словарных паролей. Соцсетям по-прежнему все равно, какой пароль вы будете использовать. Таким образом, мы оценили все 14 групп сервисов. Что же изменилось за последние пару лет?

В общем зачете по-прежнему лидируют почтовые сервисы, что вполне логично и обоснованно, а вот социальные сети покинули свою вторую позицию и переместились в середину списка. Сервисы электронной коммерции оказались в рейтинге еще ниже, чем раньше.

Почтовые сервисы

Как и 4 года назад, в аутсайдерах среди почтовых сервисов оказался ресурс Pobox. К нему присоединился почтовый сервис ProtonMail, который не использует никакие парольные политики и перекладывает всю ответственность за надежность пароля на плечи пользователя.

Криптовалютные сервисы

В группе криптовалютных сервисов отстающие ранее в плане безопасности сервисы CEX.IO и BitPay усилили свои политики и теперь заняли средние позиции.

Интернет-банкинг

Лишь на третьей строчке рейтинга оказались сервисы интернет-банкинга. Логично было бы предположить, что сервисы данной категории точно будут внимательнее всех относиться к безопасности аккаунтов своих пользователей. В реальности все оказалось несколько иным. Выяснилось, что не все сервисы реализовали проверку совпадения пароля с логином или почтой. Получилось также использовать большую часть словарных паролей. Конечно, одноразовые коды подтверждения по смс — это хорошо, но только пока телефон в ваших руках. В целом, уровень качества парольных политик у исследованных сервисов сравним с парольными менеджерами или криптовалютными сервисами.

Платежные сервисы

В группе платежных сервисов WebMoney за последние годы с лидирующей позиции сместился в самый низ списка. Почти каждый сервис дает большое количество рекомендаций по выбору пароля. Самые простые пароли они, конечно, блокируют, но все равно подобный уровень безопасности недопустим в контексте такого рода сервисов.

Игровые сервисы

Игровые сервисы стали лучше заботиться о парольных политиках. Правда, это не мешает тому, что аккаунты игроков постоянно появляются в базах утекших данных. Интересное условие появилось на странице PlayStation Network — запрет повторяющихся, а также расположенных друг за другом на клавиатуре символов. Но пару словарных паролей при этом все равно получилось установить.

Облачные файловые хранилища

Эти сервисы полезны для обеспечения доступа к данным из любой точки земного шара, где есть доступ к сети. Однако в жертву комфорту, как правило, приносится безопасность. Все также сохраняется тенденция к предоставлению свободы выбора пароля пользователю.

Хостинги


Дела в части парольных политик хостингов обстоят, к сожалению, совсем не радужно. Из всех исследованных сервисов только два предъявляли требования к паролю пользователя. Помимо этого, только DigitalOcean и Vscale фильтруют словарные пароли.

Развлекательные ресурсы

Парольные политики развлекательных ресурсов также не вызывают доверия. Лишь один сервис «преодолел черту бедности» в нашей балльной системе. Все остальные исследованные сервисы позволяли использовать словарные пароли и не применяли никаких проверок к устанавливаемым паролям. Несмотря на все это, было приятно узнать о возможности использовать двухфакторную аутентификацию на некоторых ресурсах.

Вариант 3.

def password(data): foo = (bool(len(data)>9),        any(map(lambda x: x.isdigit(), data)),        any(map(lambda x: x.islower(), data)),        any(map(lambda x: x.isupper(), data))) return all(foo)

1 2 3 4 5 6

defpassword(data)

foo=(bool(len(data)>9),

      any(map(lambdaxx.isdigit(),data)),

      any(map(lambdaxx.islower(),data)),

      any(map(lambdaxx.isupper(),data)))

returnall(foo)

В этом варианте логические значения условий пароля хранятся в кортеже на который ссылается переменная foo. Первый элемент foo содержит логическое значение условия длины пароля, все остальные — логические значения (функция any) объекта map, который в свою очередь содержит логические значения проверки каждого элемента data на принадлежность к цифрам, буквам нижнего или верхнего регистра. Все это делает функция map, через вызов функции lambda для каждого элемента data. Лямбда использует строчные методы проверки: isdigit() — есть ли это цифра, islower() — есть ли это буква в нижнем регистре, isupper()— или буква в верхнем регистре.  Если объект map содержит хотя бы одно True, то функция map вернет True, иначе — False. Ну и функция all вернет True, если все элементы foo будут True (будут удовлетворять условиям надежного пароля), иначе — False.

Конечно, вариантов еще можно найти и найти … Можно использовать другие модули и т.д. Но всегда нужно добиваться оптимального варианта.

Битовый порог сложности

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

Как придумать и запомнить сложный пароль

Записывать пароли на бумажках или хранить файл с данными аккаунтов небезопасно, особенно если к вашему компьютеру имеют доступ и другие люди. Идеальный вариант – держать пароль в голове. Есть несколько эффективных способов придумать мудреный пароль и легко его запомнить.

1. Ассоциация с известной фразой

Если у вас есть какая-нибудь любимая фраза или отрывок из стихотворения, можно составить пароль из первых букв ее слов. К примеру, используем отрывок из стихотворения Пушкина «Буря мглою небо кроет, вихри снежные крутя, То как зверь она завоет, то заплачет как дитя». Из первых букв четверостишия у нас получится пароль bmnkvsktkzoztzkd. Можно проверить его сервисами для оценки надежности паролей. Поздравляем, сервис говорит, что для взлома методом подбора потребуется не одно тысячелетие.

2. Использование единой основы

Согласитесь, запомнить один сложный пароль гораздо проще, чем 40. Суть метода заключается в том, чтобы придумать надежную основу для всех паролей, которые вы будете использовать, но каждый раз изменять определенную его часть в зависимости от сайта, на который вы заходите. Например, основой служит случайная комбинация символов bu0C@I6TbpKw. Для электронной почты можно добавить к паролю буквы из названия сервиса, для которого используется пароль. Например, для электронной почты на mail.ru можно добавить к паролю первую букву, и получится Mbu0C@I6TbpKw. Способ создания такого пароля неочевиден. Правда, если злоумышленники каким-то образом получат доступ к нескольким аккаунтам, они могут проанализировать принцип их создания и понять вашу схему.

3. Кириллица в латинской раскладке

Можно сделать паролем русское слово, набранное на латинской раскладке клавиатуры. Однако такой пароль надо усложнить, разбавляя его цифрами или символами. Например, вы используете в качестве пароля слово «интернет». В латинской раскладке это будет выглядеть как bynthytn. Теперь разбавим пароль цифрами или знаками после каждой буквы, можно подбирать какие-то запоминающиеся для вас даты: b31y12n5t22h11y6t87n. Пароль становится сложным, но простым для запоминания, так как логика его создания для вас понятна.

4. Замена букв символами

Напишите слово не традиционным способом, а при помощи символов так, чтобы, к примеру, угадывалось его русское написание. Например, слово «карандаш» можно написать как I{@p@I-ID@III. Уровень надежности пароля резко увеличивается.

5. Пароль с ошибками

Можно специально сделать в придуманном вами слове все возможные грамматические ошибки и тоже разбавить его цифрами или символа

6. Сложное слово

Придумайте сложное слово, которое редко употребляется в обыденной жизни, и скомбинируйте пароль только из его гласных или согласных букв, чередуя регистр, и добавьте пару символов в начале и в конце слова. Например, ваше слово «синхрофазотрон». Из него можно получить пароль !SnXrFzTrN!, который не подобрать и за сотню лет.

7. «Узоры» на клавиатуре


Вы можете вообще не запоминать буквы в слове, а запомнить расположение клавиш, создавая своеобразный узор. Главное – не использовать сочетания, в которых несколько клавиш расположены друг за другом.

Словом, проявите фантазию. Можете придумать собственный шифр, но обязательно проверьте получившийся пароль на надежность при помощи специальных сервисов.

8. Генераторы паролей

Чтобы не ломать голову, проще всего воспользоваться генератором паролей. Таких сервисов – огромное количество, и можно воспользоваться любым из тех, что найдется по запросу через Яндекс или Google. Вот примеры таких сервисов:

  • http://pasw.ru/
  • http://randstuff.ru/password/
  • https://www.passwordist.com/ru
  • http://passgen.ru/
  • https://passgenerator.ru/
  • http://www.onlinepasswordgenerator.ru/

Все они работают по схожему принципу – вы можете указать желаемую длину и составляющие вашего пароля – буквы, цифры или другие символы.

Использование

Использование сложных паролей увеличивает время, необходимое взломщику для подбора пароля, не отменяет необходимости использования других мер безопасности. Эффективность пароля заданной силы зависит от проектирования и реализации программного обеспечения систем аутентификации, в частности, от того, насколько быстро система аутентификации будет отвечать атакующему при его попытках подобрать пароль, и как надёжно хранится и передаётся информация о пароле. Риски также представлены некоторыми способами взлома безопасности компьютера, не относящимися к сложности пароля. Это такие методы как фишинг, кейлоггинг, телефонная прослушка, социальная инженерия, поиск полезной информации в мусоре, атака по сторонним каналам, уязвимости в программном обеспечении, бэкдоры, эксплойты.

Методология исследования

Для проведения анализа нами был определен набор правил, представленных в Таблице 1, – компиляция рекомендаций множества сервисов, популярных и не очень.

Следующим шагом была оценка предлагаемых ресурсами требований с помощью баллов. За каждый недочет, который может в итоге привести к «ослаблению» пароля, вычитались баллы. И, напротив, сервисы с оптимальными рекомендациями зарабатывали заслуженные баллы. Чем больше баллов, тем, соответственно, лучше парольная политика сервиса.

Конечно, хуже всего, если правил создания паролей нет вовсе, и малое количество баллов тут не требует пояснений. Однако подход, при котором сервис требует создавать комбинацию не длиннее 20 символов или запрещает использовать специальные символы, также «ослабляет» пароли. Поэтому и в данном случае вычитание баллов вполне оправдано.

Помимо перечисленных правил 0.5 балла добавляло наличие двухфакторной аутентификации у сервиса.

Также мы сформировали небольшой список паролей (см. Таблицу 2), которые в той или иной степени удовлетворяют этим правилам, но при этом являются словарными и часто используемыми. Если сервис позволял зарегистрироваться с предложенными комбинациями, он терял баллы.

Атака по словарю значительно ускоряет взлом пароля и повышает шансы успешности атаки методом перебора. Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей:

  • Топ-100 самых плохих паролей
  • Топ-10000 самых плохих паролей
  • Словарь RockYou – один из самых популярных словарей для атаки методом перебора. Он включает в себя пароли, украденные со взломанного сайта компании RockYou – разработчика приложений для соцсетей.

Для наглядности мы добавили ряд «достижений» за недостатки парольной политики.


С этим читают