Содержание

Как придумать сложный пароль и легко его запомнить — советы от хакера

Два простых, но эффективных трюка.

Ежедневно хакеры взламывают тысячи учетных записей от самых различных сервисов начиная от социальных сетей, заканчивая Apple ID и iCloud. Основным способом взлома по-прежнему остается автоматический подбор паролей (брутфорс). От данного вида атаки очень просто защититься — достаточно использовать сложный пароль. Такая, казалось бы, не самая трудная задача обычно осложняется тем, что длинные пароли нелегко запомнить. В этом материале поделились с двумя советами известного разработчика xkcd о том, как придумать сложный пароль и легко его запомнить.

Общие традиционные советы

Перед тем, как перейти к оригинальным методам создания и запоминания пароля, расскажем об общеизвестных советах:

  • Пароль должен иметь длину не менее 12 символов. Не секрет, что чем больше пароль, тем сложнее его взломать. Пароль длиной от 12 символов надежно защитит ваши учетные записи от любых нападок хакеров.
  • Используйте цифры, символы, заглавные буквы. Утилиты для брутфорса подберут пароль вроде «catsanddogs» относительно быстро, а с паролем «[email protected]$123» уже не справятся.
  • Не используйте слова. Старайтесь избегать использования обычных словарных слов в пароле. Бессвязный набор букв значительно сильнее, чем какое-либо конкретное слово, даже длинное.

С банальностями закончили, переходим к простым, эффективным и малоизвестным способам.

Как придумать сложный пароль и легко его запомнить — способ 1

Приведенные выше советы позволяют очень легко придумать сложный пароль, ведь для этого достаточно без разбора постучать по клавиатуре и получить что-то вроде «as[fpokdhk3251kh». Это довольно хороший вариант, на взлом которого обычный компьютер способен только в глубокой теории (как проверять силу паролей написано в конце статьи). Но запомнить такой пароль проблематично.

Суть первого способа, предложенного xkcd, заключается в использовании в качестве пароля целой фразы, памятной лично для вас. Разумеется, преобразованной в вид пароля. Такой фразой может быть что угодно: момент из жизни, знаменательное событие, фраза из песни и т.д.

Например, вы всегда помните фразу «Остыли реки и земля остыла и чуть нахохлились дома» из песни «Три белых коня». Используйте ее в качестве пароля, взяв первые буквы каждого слова отрывка. Получится — «Orizoichnd». Такой пароль современный компьютер будет взламывать 4 года! А если же в конце пароля добавить всего несколько цифр, например, банальные «123», то на взлом полученной комбинации «Orizoichnd123» компьютеру придется уделить 4 века!

В итоге, обе цели достигнуты. Вы получили сложный пароль, который даже не придется запоминать, так как соотносящуюся с ним фразу вы уже помните. Конечно, очень важно правильно выбрать ту самую фразу для пароля и начать ассоциировать ее со своим кодовым словом.

Как придумать сложный пароль и легко его запомнить — способ 2

Второй способ еще проще в использовании, а главное — он помог огромному количеству людей придумать и запомнить по-настоящему сложные пароли. Метод предусматривает выбор в качестве пароля шести самых обычных слов.

Например, набор слов (специально срифмованный для еще более простого запоминания) — «лом собака управдом голова повидло сом» превращается в пароль: lomsobakaupravdomgolovapovidlosom.

Для того, чтобы взломать этот пароль обычному компьютеру понадобится более 10000 веков. Другими словами, подбором паролей такое кодовое слово не взять. Более того, даже самый мощный суперкомпьютер Tianhe-2 не имеет ни одного шансы в ближайшие несколько тысяч лет успешно подобрать данный пароль.

Как проверить сложность пароля

Допустим, вы придумали и запомнили пароль. Насколько он хорош? Существует масса специальных сервисов для проверки силы пароля. Мы порекомендуем сервис от Kaspersky Lab — Secure Password Check. Он точно не записывает вводимые пароли и является безопасным для использования. Для проверка сложности пароля на странице проверки необходимо только лишь ввести кодовое слово и ознакомиться с результатами.

Смотрите также:

Поделиться ссылкой

Поставьте 5 звезд внизу статьи, если нравится эта тема. Подписывайтесь на нас Telegram, ВКонтакте, Instagram, Facebook, Twitter, Viber, Дзен, YouTube.

Как придумать сложный пароль и легко его запомнить — советы от хакера Загрузка…

Как придумать адский пароль, который легко запомнить

Только на первый взгляд непробиваемые пароли не содержат логической структуры и выглядят, как абракадабра. Сложные пароли являются таковыми лишь для тех, кто не знает рецепт их создания. Вам вовсе не обязательно запоминать регистры букв, цифры, специальные символы и порядок их следования. Достаточно выбрать запоминающуюся основу и следовать простым советам создания крепких паролей.

Детские считалки

За основу пароля берём любой детский стишок или считалку. Желательно, чтобы она водилась лишь в ваших краях и не была общеизвестна. А лучше собственного сочинения! Хотя подойдут любые детские рифмы, главное, чтобы строки намертво засели с юных лет в вашей голове.

Пароль будет состоять из первых букв каждого слова. Причём буква будет писаться в верхнем регистре, если она является первой в предложении. Заменяем некоторые буквы похожими по написанию цифрами (например, «ч» на «4», «о» на «0», «з» на «3»). Если не хотите излишне запутываться с заменой букв на цифры, поищите считалку, уже содержащую в себе цифры. Не забываем о знаках препинания, разделяющих слова и предложения, — они пригодятся.

Пример:

Черепаха хвост поджала

И за зайцем побежала.

Оказалась впереди,

Кто не верит — выходи!

Заменяем буквы «ч», «з» и «о» на схожие цифры. Вторая, третья и четвёртая строчки начинаются с заглавных букв, и поэтому пишутся в верхнем регистре. Включаем четыре знака препинания. Разумеется, пишем русскими буквами, но на английской раскладке клавиатуры.

4[gB33g.0d,Ryd-d!

17-символьный пароль готов! Может быть, он и не идеален, так как содержит повторяющиеся знаки, последовательные строчные буквы и цифры. Но назвать его простым уж точно язык не повернётся.

Любимые изречения

Схема аналогична детским считалкам. Только за основу вы берёте понравившиеся и очень запомнившиеся фразы мыслителей, знаменитостей или киногероев. Вы можете несколько усложнить себе жизнь, заменив букву «ч» не на «4», а на «5», например. Запутывающих манёвров много не бывает!

Пример:

Я узнал, что у меня

Есть огромная семья:

Речка, поле и лесок,

В поле — каждый колосок…

Заменяем букву «ч» на «8», не забываем о верхнем регистре и знаках препинания.

Ze,8evTjc^H,g,bk,Dg-rr…

Жаргон и терминология

Подразумевается использование профессионального жаргона, понятного крайне узкому числу людей. Эти слова куда более далеки от обычного человека, нежели криминальные изречения, широко освещаемые на телеэкране и улицах любого города.

Например, можно использовать выписку из больницы или заковыристое медицинское определение.

Пример:

Циклопентанпергидрофенантрен — термин, состоящий из 28 букв. Длинновато получается, посему предлагаю выкинуть гласные буквы и разбавить оставшиеся согласные верхним регистром.

WrkgynyghulhayynhY

Памятные даты

Разумеется, ваш день рождения или день начала семейной жизни — это не самая удачная основа для пароля. Событие должно быть исключительной важности, и о нём должны знать только вы. К примеру, это может быть день, когда вы впервые съели жвачку, сбежали с урока или сломали каблук. Так как базис пароля будут составлять цифры, не лишним видится перемешивание их с буквами.

Пример:

22.10.1983 и 16.06.2011

Замените точки, разделяющие день, месяц и год, на любую букву, например маленькую английскую “l”, которая очень похожа на довольно часто использующийся разделитель «/». Между датами проставим символ нижнего подчёркивания «_». Нули заменим на буквы «о».

22l1ol1983_16lo6l2o11

Визуальный ключ

Используйте технику разблокировки смартфона и на вашей клавиатуре. Придумайте любую фигуру и «проведите» пальцем по её контурам.

Не забудьте пройтись по цифрам, изменить горизонтальное и вертикальное направление движения. И проявляйте, в отличие от меня, фантазию!

Заключение

Предложенные способы создания запоминающегося, но при этом вполне сложного для восприятия со стороны пароля могут быть изменены и скомбинированы по вашему усмотрению. Достаточно один раз обмозговать свой суперпароль, и можно без страха использовать его в присутствии постороннего человека.

А как вы выбираете себе пароль?

Генератор паролей, сгенерировать пароль

Генератор паролей создает пароли в реальном времени. Созданные пароли нигде не сохраняются и отображаются только на Вашем устройстве (ПК, планшете или смартфоне).

Каждый раз при изменении настроек, нажатии кнопки «Сгенерировать» или перезагрузке страницы создаются новые пароли.

«По умолчанию» для генерации паролей используются английские строчные и заглавные буквы, цифры и некоторые служебные символы. Для изменения списка символов используйте
«Настройки генератора паролей»

Настройки генератора паролей

Длина пароля
Генератор паролей создает пароли длиной от 5 до 30 символов. Изначально генерируются пароли длиной 10 символов. Вообще, не рекомендуется использовать пароли длиной меньше 7 символов.
Использование более длинных паролей рекомендуется для более стойкой защиты от взлома, но скорее всего будет неудобно для сохранения или запоминания.

Английские и русские буквы
Традиционно, для паролей используются английские (латинские) буквы, однако, можно использовать и русские.
Русские буквы значительно повышают сложность паролей при попытке взлома путем перебора, но будьте осторожны, возможно, некоторые системы не поддерживают пароли, в
составе которых есть кириллица. Рекомендуется предварительно проверить.

Цифры
Цифры в пароле должны быть обязательно. Наличие цифр в пароле улучшает качество пароля, при этом пароли с цифрами легче запоминаются.

Специальные символы
Пароли, в состав которых входят специальные символы, наиболее стойкие к взлому. Многие системы при регистрации требуют, чтобы в состав пароля обязательно входили служебные символы.
Рекомендуем не пренебрегать использованием подобных символов и включать их в состав генерируемого пароля.

Исключения

Русские символы похожие на английские и английские символы похожие на русские
Если при использовании генератора паролей онлайн Вы используете как английские, так и русские буквы, можете столкнуться с проблемой визуальной «похожести» некоторых английских и русских символов.
Такие буквы как А и A, B и В, С и C, E и Е (а, ай, вэ, би, эс, си, е, и) — это разные буквы, хотя и выглядят одинаково. Для того чтобы избежать путаницы при последующем использовании паролей, воспользуйтесь соответствующим
пунктом настроек.

Исключить гласные или исключить согласные
Используйте эти пункты дополнительных настроек если хотите исключить гласные или согласные буквы при генерации паролей.

Исключить похожие символы
Посмотрите на символы I, l, 1, | (ай, эль, единица, вертикальная черта). Такие буквы, символы и цифры очень похожи при написании, поэтому могут возникнуть ошибки при сохранении
и последующем использовании пароля. Для того чтобы исключить подобные ошибки, воспользуйтесь этим пунктом настроек.

Другие настройки

Список используемых символов
В окне списка используемых символов генератора паролей находятся все те символы, из которых составляются пароли с учетом текущих настроек. Список можно редактировать — удалять ненужные и добавлять
необходимые Вам символы. При удалении или добавлении символов в окне редактирования списка, автоматически генерируются новые пароли, с учётом произведенных изменений.

Сбросить настройки
Все настройки, произведенные в процессе использования генератора паролей, автоматически сохраняются в памяти (cookies) Вашего браузера. Сохраняются именно настройки, но не пароли! Как уже
упоминалось выше — пароли каждый раз генерируются новые. Для того чтобы сбросить настройки в первоначальное состояние, используйте ссылку «Сбросить настройки». При сбросе автоматически
генерируются новые пароли с учетом первоначальных настроек.

Ссылка на генератор паролей
Если хотите отправить ссылку на «Генератор паролей» другу или опубликовать в социальных сетях, скопируйте адрес из специального окна находящегося в нижней части корпуса генератора.
Вместе с ссылкой передаются и выбранные Вами настройки.

Создание паролей: как придумать надежный пароль

Современному пользователю приходится работать как минимум с десятком сервисов требующих регистрацию и использование пароля для получения доступа к аккаунту. Электронная почта, интернет месенджеры, социальные сети, личный кабинет интернет провайдера, чаты, форумы, другие сайты и это как минимум. В этой статье мы попробуем разобраться, как придумать пароли для этих всех этих бесчисленных сервисов.

Создание паролей

Регистрируясь на очередном сайте, мы часто останавливаемся и задумываемся при виде поля для ввода пароля. Почти идеальным способом для создания надежного пароля будет генерация случайного пароля с помощью специальной программы, например такой как keepass. Но такие пароли сложно запомнить, а значит, их необходимо где-то записывать и хранить. Такой вариант не подходит для части обычных пользователей. Даже если вы будете использовать программный способ создания и хранения паролей, часть паролей все равно придётся запоминать.

Создавая пароль вручную необходимо соблюдать несколько правил:

  • Нельзя использовать простые комбинации символов и чисел. Например, пароли 123, 321, 123456, qwerty, asdfg и другие подобные не подходят.
  • Нельзя использовать личную информацию при создании пароля (имена родственников, домашних животных, даты рождения, номера телефонов, адреса, почтовые индексы и т.д.). Например, пароли Masha, Sasha21, Vasya02071988 и другие подобные не подходят.
  • Не используйте пароли, которые можно подобрать по словарю популярных паролей. Например, пароли love, cat, alfa, samsung, mercedes, ястерва и другие подобные, а также их варианты и комбинации не подходят.
  • Не используйте пароли, длина которых меньше 10 символов.
  • Пароль должен состоять из больших и маленьких букв, чисел и специальных символов.
  • Придумывая пароли, используйте свою фантазию и не думайте шаблонно. Компьютер, подбирающий ваш пароль, хорошо считает, но он не может мыслить и быть креативным.

Есть много способов придумать простой и относительно надежный пароль. Мы рассмотрим один из таких способов. 

Как придумать пароль

Первое что нам необходимо сделать, это придумать фразу-ключ. Идеальным вариантом будет уникальная бессмысленная фраза, которую легко запомнить. Например: космические тараканы. Также можно использовать фразы из не очень популярных песен, стихотворений.

Дальше необходимо «зашифровать» фразу ключ, чтобы она стала более надежным паролем. Несколько способов такого «шифрования»:

  • Запись русской фразы в английской раскладке.
  • Запись фразы наоборот.
  • Замена букв на их визуальные аналоги («a» — «@», «i» — «!», «o» — «()» и т. д.).
  • Использование первых нескольких символов из каждого слова.
  • Удаление парных/непарных символов.
  • Удаление гласных/согласных букв из фразы.
  • Добавление спецсимволов и чисел.

Можно использовать несколько таких способов, чтобы превратить фразу ключ в практически бессмысленный набор символов. Но, идеальным вариантом будет создание собственного уникального метода «шифрования» фразы ключа.

Например, используя несколько шаблонных способов «шифрования» можно получить такой пароль:

космические тараканы – используем первые 4 символа с каждого слова – космтара – записываем в английской раскладке – rjcvnfhf – записываем с большой буквы и добавляем спецсимволы и случайное число – [email protected]

В результате у нас получился длинный и достаточно сложный пароль, который нельзя вычислить по личной информации его владельца, но его можно легко восстановить по памяти. Проверив надежность пароля с помощью сервиса passwordmeter.com мы получаем результат «очень надежный».

В завершении хочу еще раз напомнить что, придумывая пароль необходимо использовать свое воображение и возможность не стандартно мыслить. Используя это преимущество перед «тупыми» компьютерами вы сможете создавать пароли, которые будут им не по зубам.

Посмотрите также:

Как защитить личные данные и придумать сложный пароль? Разбираемся в вопросе

Домашний режим в 2020 году не так страшен, как был бы еще лет 7—10 назад: практически все можно заказать на дом, оплатить в онлайн-режиме и затем просто ждать посылку под дверью — спасибо сервисам, которые перешли на бесконтактную систему. Но пусть уязвимость в плане распространения вируса минимизирована, а безопасность данных остается под вопросом. Вместе с Parimatch мы разбираемся в онлайн-безопасности и защите личной информации.

Вообще, самый простой и надежный способ предотвратить утечку информации, которую хотите сохранить в тайне, — нигде ее не оставлять. Это справедливо и для защиты данных в реальном мире: запомнить всего-то четыре цифры пароля (к тому же иногда позволяется и самому выбрать комбинацию) от банковской карты несравнимо лучше, чем записать их на бумажку, которую будете хранить в кошельке под замочком. Примерно такой же принцип следует применять и в вопросе защиты данных в интернете. Пусть браузеры и сервисы заявляют о многоуровневых системах безопасности и так далее, чем меньше вы светите номера карт, тем ниже вероятность, что однажды эти данные попадут к третьим лицам. Однако отрицать удобство онлайн-платежей бессмысленно, поэтому нужно просто быть внимательными.

Какую информацию о себе лучше не указывать

То же касается и личной информации о себе, которую вы сообщаете: фамилия, имя, место жительства и так далее. Оставлять эти данные в интернете — все равно что вывешивать огромный плакат в центре города, где указано все перечисленное. Если представили такую картину и не особо довольны ею, то перед регистрацией в соцсетях и на форумах рекомендуем задуматься над тем, что именно и зачем вы пишете.

Порой пользователи сами выкладывают крупный массив информации о себе, сами того не подозревая. Речь в основном о социальных сетях и сервисах. Конечно, без них сложно представить современную жизнь: если и не постишь контент сам, то все равно интересно же, чем занимаются и живут люди из твоего окружения. Однако при регистрации необязательно заполнять все доступные поля, которые предлагает сервис. Например, адрес проживания — однозначно нет. Номер телефона — а зачем? Связаться с вами можно через личные сообщения, если уж совсем нужно голосом поговорить, в ряде соцсетей есть звонки.

Публикуемый контент тоже содержит массу данных, которые могут нанести потенциальный вред. И дело не в фото с мальчишника, что попадутся на глаза любопытному HR-менеджеру вашей компании, хотя это тоже вполне здравая причина, по которой нужно фильтровать публикуемый контент. Все, что было на Зыбицкой, должно остаться там, а не в ленте сотен людей, которых вы, кажется, где-то когда-то видели и они к вам добавились в друзья.

Поменьше фото

Но есть и менее очевидные и при этом более опасные вещи. Например, фото билетов на самолет говорит минимум о двух вещах: вас некоторое время не будет дома (грабители могут оживиться) и ваша фамилия с именем в паспорте написаны именно так, как в билете. Кстати, фото последних страниц паспорта вроде как удобно хранить в телефоне или на облаке: сам документ не всегда с собой, а тут — вдруг понадобится. Согласимся: это действительно удобно, однако и очень опасно. Громкие истории о взломе аккаунтов и утечке данных оттуда регулярно встречаются — и, скажем так, это лишь те, о которых стало известно. Если часто нужно заполнять паспортные данные, постарайтесь просто запомнить эти наборы букв и цифр. Да, они длинные, но стоит потренироваться дома — и идентификационный номер отпечатается в памяти.

Так, с отпускными билетами и паспортом разобрались. Другая любопытная вещь — ключи. Самые обычные, от машины и дома. Некоторые умельцы могут повторить рисунок ключа просто по фотографии, на которой четко видны «зубчики». А если к снимку еще и добавлен геотег с подписью типа «Вот здесь ночует моя баварская красавица», то угонщики могут даже оставить вам какой-нибудь милый сувенир на месте машины — в благодарность за облегчение их работы. Конечно же, вероятность подобных сценариев низка. Но в западных странах воры активно используют Instagram и Facebook для поиска жертв. А тренды, пусть и с запозданием, но добираются и до Беларуси.

Еще один нюанс — трекеры, которые отслеживают ваши физические перемещения. Например, регулярные маршруты пробежек говорят хотя бы о том, что час-полтора вас не бывает дома примерно в одно и то же время.

Придумываем очень сложный пароль

От рекомендаций по созданию пароля голова закипает: обязательно длинные, обязательно с разным регистром, обязательно с цифрами и специальными символами — и, конечно, обязательно своя комбинация для каждой учетной записи, коих набирается пару десятков. Запомнить все это почти невозможно, поэтому особое внимание стоит уделить защите данных на по-настоящему важных сервисах. Сюда отнесем почту. Во-первых, ящики лучше разделить на рабочий и «для всего остального» — и при регистрации на всевозможных сервисах указывать адрес последнего. Но пароли должны быть одинаково надежны что на основной почте, что на дополнительной, потому как в большинстве случаев восстановление пароля происходит именно через почту. И если злоумышленник получит доступ к ящику, указанному при регистрации сервиса, перехватить аккаунт будет уже довольно просто.

Разработчики софта отлично понимают, что пользователям сложно запоминать массу паролей. Поэтому набирают популярность менеджеры паролей: достаточно создать и держать в голове один особо сложный ключ, который откроет доступ ко всем остальным. Удачное решение — «Связка ключей» в экосистеме Apple: при регистрации новой учетной записи программа предлагает случайно сгенерированный пароль и сама же запоминает его для последующего использования. Похожие решения есть и у других компаний: например, в браузере Firefox предусмотрен мастер-пароль. Вообще, менеджеров паролей масса, и каждый имеет свои нюансы: где-то есть поддержка разных платформ (включая мобильные), где-то используется особо мудреное шифрование. Среди популярных программ — Dashlane и 1Password. Стопроцентную защиту они, конечно, не гарантируют, но можно сделать так, что злоумышленники решат переключиться на более доступную жертву.

Как придумать один сверхсложный пароль и запомнить его? Это не так трудно, как кажется. Возьмите два никак не связанных между собой слова — допустим, Diligence и Smartphone. Теперь ищем способ усложнить их: например, некоторые буквы можно заменить визуально похожими цифрами — 1 вместо I, 5 вместо S, E превратим в 3, а 0 сменит букву O. Получаем Di1ig3nc3 и 5martph0n3. А теперь уберем оставшиеся гласные, после чего напишем два слова слитно: D1g3cn35mrtph0n3. Еще можно, например, разделить слова нижним подчеркиванием: D1g3nc3_5mrtph0n3. Достаточно просто запомнить два исходных слова и то, как вы трансформировали их: буквы, которые визуально похожи на цифры, ими же и заменили, потом убрали оставшиеся гласные и разделили слова нижним подчеркиванием. Дает ли этот пароль стопроцентную защиту? Конечно нет. Но разгадать его будет несоизмеримо сложнее, чем abc123.


Кроме того, есть вполне простые правила защиты приватной информации, о которых мы уже рассказывали: например, нужно смотреть, на каком вообще сайте вы оставляете данные, настоящий он или фишинговый — особенно важно убедиться в чистоте сайта при онлайн-оплатах. И помните: всегда лучше сказать меньше о себе в интернете (да и в жизни), чем обратить на себя внимание нехороших людей.


Первое официальное онлайн-казино «Париматч» уже доступно в Беларуси. Ты в игре!

Спецпроект подготовлен при поддержке общества с ограниченной ответственностью «СТАТУСКВО», УНП 101011505.

Маски, респираторы и защитные очки в наличии у продавцов из Каталога Onliner

Читайте также:

Хроника коронавируса в Беларуси и мире. Все главные новости и статьи здесь

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Самые оперативные новости о пандемии и не только в новом сообществе Onliner в Viber. Подключайтесь

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. [email protected]

Как создать и запомнить надёжный пароль

Большинство злоумышленников не заморачиваются с изощрёнными методами кражи паролей. Они берут легко угадываемые комбинации. Около 1% всех существующих на данный момент паролей можно подобрать с четырёх попыток.

Как такое возможно? Очень просто. Вы пробуете четыре самые распространённые в мире комбинации: password, 123456, 12345678, qwerty. После такого прохода в среднем открывается 1% всех «ларчиков».

Допустим, вы попадаете в те 99% пользователей, чей пароль не столь прост. Даже в таком случае необходимо считаться с производительностью современного программного обеспечения для взлома.

Бесплатная программа John the Ripper, находящаяся в свободном доступе, позволяет проверять миллионы паролей в секунду. Отдельные образцы специализированного коммерческого ПО заявляют о мощности в 2,8 миллиарда паролей в секунду.

Изначально программы для взлома прогоняют список из статистически наиболее распространённых комбинаций, а затем обращаются к полному словарю. С течением времени тенденции пользователей в выборе паролей могут слегка меняться, и эти изменения учитываются при обновлении таких списков.

Со временем всевозможные веб-сервисы и приложения решили принудительно усложнить пароли, создаваемые пользователями. Добавились требования, согласно которым пароль должен иметь определённую минимально длину, содержать цифры, верхний регистр и специальные символы. Некоторые сервисы отнеслись к этому настолько серьёзно, что придумывать пароль, который приняла бы система, приходится реально долго и нудно.

Ключевая проблема в том, что практически любой пользователь не генерирует действительно устойчивый к подбору пароль, а лишь пытается по минимуму удовлетворить требования системы к составу пароля.

В результате получаются пароли в стиле password1, password123, Password, PaSsWoRd, password! и невероятно непредсказуемый [email protected]

Представьте, что вам нужно переделать пароль spiderman. С большой вероятностью он примет вид наподобие $pider_Man1. Оригинально? Тысячи людей изменят его по такому же, либо очень схожему алгоритму.

Если взломщик знает эти минимальные требования, то ситуация лишь усугубляется. Именно по этой причине навязанное требование к усложнению паролей далеко не всегда обеспечивает лучшую безопасность, а зачастую создаёт ложное чувство повышенной защищённости.

Чем легче пароль для запоминания, тем более вероятно его попадание в словари программ-взломщиков. В итоге получается так, что действительно надёжный пароль просто невозможно запомнить, а значит, его нужно где-то фиксировать.

По мнению экспертов, даже в нашу эпоху цифровых технологий люди по-прежнему могут полагаться на листочек бумаги с записанными на нём паролями. Такой лист удобно держать в скрытом от посторонних глаз месте, например в кошельке или бумажнике.

Впрочем, лист с паролями не решает проблему. Длинные пароли тяжело не только помнить, но и вводить. Ситуацию усугубляют виртуальные клавиатуры мобильных устройств. 

Взаимодействуя с десятками сервисов и сайтов, многие пользователи оставляют за собой вереницу идентичных паролей. Они пытаются использовать один и тот же пароль для каждого сайта, полностью игнорируя риски.

В данном случае некоторые сайты выступают в роли няньки, принуждая усложнять комбинацию. В итоге пользователь просто не может вспомнить, каким образом ему пришлось видоизменить свой стандартный единый пароль для данного сайта.

Масштаб проблемы получилось полностью осознать в 2009 году. Тогда из-за дыры в безопасности хакеру удалось украсть базу логинов и паролей RockYou.com — компании, издающей игры на Facebook. Злоумышленник поместил базу в открытый доступ. Всего в ней содержалось 32,5 миллиона записей с именами пользователей и паролями к аккаунтам. Утечки случались и ранее, но масштабность именно этого события показала картину целиком.

Самым популярным паролем на RockYou.com оказалась комбинация 123456. Её использовали почти 291 000 людей. Мужчины до 30 лет чаще предпочитали сексуальную тематику и пошлости. Более взрослые люди обоих полов зачастую обращались к той или иной сфере культуры при выборе пароля. Например, Epsilon793 кажется не таким уж плохим вариантом, вот только эта комбинация была в Star Trek. Семизначный 8675309 встречался много раз, потому что этот номер фигурировал в одной из песен Tommy Tutone.

На самом деле создание надёжного пароля — задача простая, достаточно составить комбинацию из случайных символов.

Вы не сможете создать идеально случайную комбинацию в математическом понимании в своей голове, но от вас это и не требуется. Существуют специальные сервисы, генерирующие действительно случайные комбинации. К примеру, random.org может создавать такие пароли:

  • mvAWzbvf;
  • 83cpzBgA;
  • tn6kDB4T;
  • 2T9UPPd4;
  • BLJbsf6r.

Это простое и изящное решение, особенно для тех, кто использует менеджер для хранения паролей.

К сожалению, большинство пользователей продолжают использовать простые ненадёжные пароли, игнорируя при этом даже правило «разные пароли для каждого сайта». Для них удобство стоит выше, чем безопасность.

Ситуации, при которых сохранность пароля может быть под угрозой, можно разделить на 3 большие категории:

  • Случайные, при которых пароль пытается узнать знакомый вам человек, опираясь на известную ему информацию о вас. Зачастую такой взломщик хочет лишь подшутить, узнать что-то о вас либо подгадить.
  • Массовые атаки, когда жертвой может стать абсолютно любой пользователь тех или иных сервисов. В данном случае используется специализированное ПО. Для атаки выбираются наименее защищённые сайты, позволяющие многократно вводить варианты пароля за короткий промежуток времени.
  • Целенаправленные, сочетающие в себе получение наводящих подсказок (как в первом случае) и использование специализированного ПО (как при массовой атаке). Здесь речь идёт о попытке заполучить действительно ценную информацию. Защититься поможет только достаточно длинный случайный пароль, на подбор которого уйдёт время, сравнимое с длительностью вашей жизни.

Как видите, жертвой может стать абсолютно любой человек. Утверждения типа «мой пароль не будут красть, потому что я никому я нужен» не актуальны, потому что вы можете попасть в подобную ситуацию совершенно случайно, по стечению обстоятельств, без каких-либо видимых причин.

Еще серьёзнее стоит относиться к защите паролей тем, кто обладает ценной информацией, связан с бизнесом либо находится с кем-то в конфликте на финансовой почве (например, раздел имущества в процессе развода, конкуренция в бизнесе).

В 2009 году Twitter (в понимании всего сервиса) был взломан лишь потому, что администратор использовал в качестве пароля слово happiness. Хакер подобрал его и разместил на сайте Digital Gangster, что привело к угону аккаунтов Обамы, Бритни Спирс, Facebook и Fox News.

Акронимы

Как и в любом другом аспекте жизни, нам всегда приходится искать компромисс между максимальной безопасностью и максимальным удобством. Как найти золотую середину? Какая стратегия генерации паролей позволит создавать надёжные комбинации, которые можно без проблем запомнить?

На данный момент наилучшим сочетанием надёжности и удобства является конвертация фразы или словосочетания в пароль.

Выбирается набор слов, который вы всегда помните, а в качестве пароля выступает комбинация первых букв из каждого слова. К примеру, May the force be with you превращается в Mtfbwy.

Однако, поскольку в качестве изначальных фраз будут использоваться самые известные, программы со временем получат эти акронимы в свои списки. Фактически акроним содержит только буквы, а потому объективно менее надёжен, чем случайная комбинация символов.

Избавиться от первой проблемы поможет правильный выбор фразы. Зачем превращать в пароль-акроним всемирно известное выражение? Вы наверняка помните какие-то шутки и высказывания, которые актуальны только среди вашего близкого окружения. Допустим, вы услышали очень запоминающуюся фразу от бармена в местном заведении. Используйте её.

И всё равно вряд ли сгенерированный вами пароль-акроним будет уникальным. Проблема акронимов в том, что разные фразы могут состоять из слов, начинающихся с одинаковых букв и расположенных в той же последовательности. Статистически в различных языках наблюдается повышенная частотность появления определённых букв в качестве начинающих слова. Программы учтут эти факторы, и эффективность акронимов в изначальном варианте понизится.

Обратный способ

Выходом может стать обратный способ генерации. Вы создаёте в random.org совершенно случайный пароль, после чего превращаете его символы в осмысленную запоминающуюся фразу.

Часто сервисы и сайты дают пользователям временные пароли, представляющие собой те самые идеально случайные комбинации. Вы захотите сменить их, потому что не сможете запомнить, но стоит чуть приглядеться, и становится очевидно: пароль помнить и не нужно. Для примера возьмём очередной вариант с random.org — RPM8t4ka.

Хоть он и кажется бессмысленным, но наш мозг способен находить некие закономерности и соответствия даже в подобном хаосе. Для начала можно заметить, что первые три буквы в нём заглавные, а следующие три — строчные. 8 — это дважды (по-английски twice — t) 4. Посмотрите немного на этот пароль, и вы обязательно найдёте собственные ассоциации с предложенным набором букв и цифр.

Если вы можете запоминать бессмысленные наборы слов, то используйте это. Пусть пароль превратится в revolutions per minute 8 track 4 katty. Подойдет любая конвертация, на которую лучше «заточен» ваш мозг.

Случайный пароль — это золотой стандарт в информационной безопасности. Он по определению лучше, чем любой пароль, придуманный человеком.

Минус акронимов в том, что со временем распространение такой методики снизит её эффективность, а обратный метод останется столь же надёжным, даже если все люди земли будут использовать его тысячу лет.

Случайный пароль не попадёт в список популярных комбинаций, а злоумышленник, использующий метод массовой атаки, подберёт такой пароль только брутфорсом.

Берём несложный случайный пароль, учитывающий верхний регистр и цифры, — это 62 возможных символа на каждую позицию. Если сделать пароль всего лишь 8-значным, то получаем 62 ^ 8 = 218 триллионов вариантов.

Даже если количество попыток в течение определённого временного промежутка не ограничено, самое коммерческое специализированное ПО с мощностью 2,8 миллиарда паролей в секунду потратит в среднем 22 часа на подбор нужной комбинации. Для уверенности добавляем в такой пароль всего 1 дополнительный символ — и на его взлом понадобятся уже многие годы.

Случайный пароль не является неуязвимым, так как его можно украсть. Вариантов множество, начиная от считывания ввода с клавиатуры и заканчивая камерой за вашим плечом.

Хакер может ударить по самому сервису и достать данные непосредственно с его серверов. При таком раскладе от пользователя ничего не зависит.

Единая надёжная основа

Итак, мы добрались до главного. Какую тактику с использованием случайного пароля применять в реальной жизни? С точки зрения баланса надёжности и удобства хорошо покажет себя «философия одного надёжного пароля».

Принцип заключается в том, что вы используете одну и ту же основу — супернадёжный пароль (его вариации) на самых важных для вас сервисах и сайтах.

Запомнить одну длинную и сложную комбинацию по силам каждому.

Ник Берри, консультант по вопросам информационной безопасности, допускает применение такого принципа при условии, что пароль очень хорошо защищён.

Не допускается присутствие вредоносного ПО на компьютере, с которого вы вводите пароль. Не допускается использование этого же пароля для менее важных и развлекательных сайтов — им вполне хватит более простых паролей, так как взлом аккаунта здесь не повлечёт каких-то фатальных последствий.

Понятно, что надёжную основу нужно как-то изменять для каждого сайта. В качестве простого варианта вы можете добавлять в начало одну букву, которой заканчивается название сайта или сервиса. Если вернуться к тому случайному паролю RPM8t4ka, то для авторизации в Facebook он превратится в kRPM8t4ka.

Злоумышленник, увидев такой пароль, не сможет понять, каким образом генерируется пароль к вашему банковскому аккаунту. Проблемы начнутся, если кто-то получит доступ к двум или более вашим паролям, сгенерированным таким образом.

Секретный вопрос

Некоторые угонщики вообще игнорируют пароли. Они действуют от лица владельца аккаунта и имитируют ситуацию, когда вы забыли свой пароль и хотите восстановить его по секретному вопросу. При таком сценарии он может изменить пароль по собственному желанию, а истинный владелец потеряет доступ к своему аккаунту.

В 2008 году некто получил доступ к электронной почте Сары Пэйлин, губернатора штата Аляска, а на тот момент ещё и кандидата в президенты США. Взломщик ответил на секретный вопрос, который звучал так: «Где вы познакомились с мужем?».

Через 4 года Митт Ромни, также являвшийся кандидатом в президенты США в то время, потерял несколько своих аккаунтов на различных сервисах. Кто-то ответил на секретный вопрос о том, как зовут питомца Митта Ромни.

Вы уже догадались о сути.

Нельзя использовать в качестве секретного вопроса и ответа публичные и легко угадываемые данные.

Вопрос даже не в том, что эту информацию можно аккуратно выудить в интернете или у приближённых персоны. Ответы на вопросы в стиле «кличка животного», «любимая хоккейная команда» и так далее прекрасно подбираются из соответствующих словарей популярных вариантов.

В качестве временного варианта можно использовать тактику абсурдности ответа. Если просто, то ответ не должен иметь ничего общего с секретным вопросом. Девичья фамилия матери? Димедрол. Кличка домашнего животного? 1991.

Впрочем, подобный приём, если найдёт широкое распространение, будет учтён в соответствующих программах. Абсурдные ответы зачастую стереотипные, то есть какие-то фразы будут встречаться гораздо чаще других.

На самом деле нет ничего страшного в том, чтобы использовать реальные ответы, нужно только грамотно выбирать вопрос. Если вопрос нестандартный, а ответ на него известен только вам и не угадывается с трёх попыток, то всё в порядке. Плюс правдивого ответа в том, что вы не забудете его со временем.

PIN

Personal Identification Number (PIN) — дешёвый замок, которому доверены наши деньги. Никто не беспокоится о том, чтобы создать более надёжную комбинацию хотя бы из этих четырёх цифр.

А теперь остановитесь. Вот сейчас. Прямо сейчас, не читая следующий абзац, попробуйте угадать самый популярный PIN-код. Готово?

По оценкам Ника Берри, 11% населения США использует в качестве PIN-кода (там, где есть возможность самому его изменить) комбинацию 1234.

Хакеры не уделяют внимания PIN-кодам потому, что без физического присутствия карты код бесполезен (отчасти этим можно оправдать и маленькую длину кода).

Берри взял списки появлявшихся после утечек в сети паролей, представляющих собой комбинации из четырёх цифр. С большой вероятностью человек, использующий пароль 1967, выбрал его не просто так. Второй по популярности PIN — это 1111, и 6% людей предпочитают такой код. На третьем месте 0000 (2%).

Предположим, что у знающего эту информацию человека в руках чья-то банковская карта. Три попытки до блокировки карты. Простая математика позволяет подсчитать, что у этого человека есть 19% шансов угадать PIN, если он последовательно введёт 1234, 1111 и 0000.

Наверное, по этой причине абсолютное большинство банков задают PIN-коды к выпускаемым пластиковым картам сами.

Впрочем, многие защищают PIN-кодом смартфоны, и тут действует такой рейтинг популярности: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Часто PIN представляет собой какой-то год (год рождения или историческая дата).

Многие любят делать PIN в виде повторяющихся пар цифр (причём особо популярны пары, где первая и вторая цифры отличаются на единицу).

Цифровые клавиатуры мобильных устройств выводят в топ комбинации наподобие 2580 — для её набора достаточно сделать прямой проход сверху вниз по центру.

В Корее число 1004 созвучно слову «ангел», что делает эту комбинацию там довольно популярной.

Итог

  1. Зайдите на random.org и создайте там 5–10 паролей-кандидатов.
  2. Выберите пароль, который вы сможете превратить в запоминающуюся фразу.
  3. Используйте эту фразу для того, чтобы вспомнить пароль.

Читайте также:

Как придумать надежный пароль для аккаунта

Среднестатистический европеец имеет регистрацию на 26 сайтах и редко имеет больше пяти разных паролей на все случаи жизни. В случае взлома одного из аккаунтов с большой вероятностью мошенники получают доступ и к остальным данным.

Базовые правила

1. Не используйте личные данные

Для создания пароля не используйте фамилию, номер школы, кличку питомца и т. п. Вся эта информация находится в открытом доступе и известна множеству людей.

2. Не используйте простые последовательности цифр

«Йцукен» или 123456789 — не для вас. Они взламываются мгновенно, методом программного перебора. Можете поэкспериментировать на сайте howsecureismypassword.net, чтобы определить, сколько времени займет подбор той или иной комбинации. Разумеется, свои реальные пароли там вводить не стоит. Идеальный пароль сочетает в себе и буквы, причем в разных рЕгисТраХ, и цифры.

3. Контрольное слово

Чтобы не забыть свой пароль, придумайте слово, которое вы будете постоянно использовать, и цифровую комбинацию к нему — это постоянная часть пароля. А переменной частью будет название сайта, на котором вы его вводите. Например, выбрали постоянной частью «[email protected]». И для регистрации на, допустим, Facebook, комбинируете пароль в «[email protected]_Fb»

4. Русские слова на латинице

Можно усилить защиту простым способом: то же самое слово «радуга», набранное по‑русски при включенной английской раскладке будет писаться как «hfleuf»; для программ взлома паролей это усложнит задачу. Алгоритм подбора в некоторых из них идет в первую очередь по словарю существующих слов.

Как придумать надежный пароль

Вначале ставьте буквы, потом цифры. Это имеет значение. В одном знаке пароля может содержаться 10 вариантов цифры (0−9) и 26 вариантов букв. Когда происходит познаковый подбор пароля, программа выдает взломщику ожидаемое время взлома. Оно, в среднем, составляет от нескольких минут до суток. Если в начале пароля буквы, то ожидаемое расчетное время взлома больше. Таким образом, если ваш аккаунт «не заказали» персонально, а ломают просто ради развлечения — с большой вероятностью взломщик предпочтет найти другой аккаунт.

Какой можно придумать надежный пароль? Например, используйте базовую часть «[email protected]» для почты и соцсетей, пусть она будет основной и постоянной. А, какой-нибудь «[email protected]_» — для интернет-магазинов, куда вы заглядываете раз-другой. Для онлайн-игр, где взломы аккаунтов постоянное явление, заведите себе третий тип пароля.

Важность защиты паролем | Советы по защите вашей учетной записи

Пароли важны. Они помогают вашим личным учетным записям оставаться конфиденциальными и безопасными, но, если вы виновны в повторном использовании, смене или использовании заведомо простых паролей, вы рискуете взломать учетную запись. Следовательно, вы должны знать, что делает надежный пароль, чтобы обеспечить максимальную безопасность вашей конфиденциальной информации.


Почему важна защита паролем?

Многократное использование одних и тех же паролей или использование «слабых» паролей может сделать вас уязвимыми для хакеров.Если хакер взломает ваши пароли, он может получить доступ к вашим учетным записям в социальных сетях, банковским счетам, электронной почте и другим конфиденциальным учетным записям, в которых хранятся ваши конфиденциальные личные данные. Если кто-то получит доступ к этой информации, вы можете стать жертвой кражи личных данных. Поэтому создание надежного пароля жизненно важно.

Взлом пароля часто осуществляется одним из следующих способов:
  1. Атаки методом перебора. Хакер использует автоматизированное программное обеспечение, чтобы угадать комбинацию вашего имени пользователя и пароля.Программа пробует все возможные комбинации символов и сначала пробует наиболее часто используемые пароли, поэтому слабые или общие пароли могут быть относительно простыми для взлома с помощью грубой силы. Хотя этот метод в конечном итоге взломает ваш пароль, циклически перебирая все возможности, пока он не совпадет с вашей комбинацией символов, вы можете заставить очень времени, используя сложный пароль.
  2. Словарь. С помощью этого метода взлома хакер будет запускать определенный «словарь» для ваших паролей.В этот словарь также включены наиболее распространенные комбинации паролей, поэтому это относительно простой и быстрый способ взлома слабо защищенных учетных записей. Используя одноразовый надежный пароль для каждой учетной записи, вы сможете защитить себя от взлома словаря.
  3. Фишинг и социальная инженерия. Доступ к чьему-либо паролю с помощью фишинга или атаки социальной инженерии технически не является разновидностью взлома, но он предоставляет «хакеру» доступ к вашим паролям и конфиденциальной информации.Это, в свою очередь, позволяет им получить доступ к вашим учетным записям. Фишинг происходит, когда хакер нацелен на вас с помощью поддельных писем, которые выглядят так, как будто они исходят от законных организаций, в то время как социальная инженерия — это настоящий фишинг (то есть по телефону).

Последствия кражи личных данных могут быть длительными, и они не ограничиваются только финансовыми проблемами. Жертва также может столкнуться с рядом эмоциональных последствий, включая стресс и беспокойство. Поэтому важно принять меры, чтобы защитить себя от взлома аккаунта.

Creating a strong password for an online account

Creating a strong password for an online account


Советы по безопасности паролей

Если вы хотите сохранить свои учетные записи и личную информацию в безопасности, очень важно знать, как создать надежный пароль. Виновны ли вы в использовании «1234», «admin» или «пароля»? Если да, то пора поработать над безопасностью пароля. Ниже мы составили список полезных советов, чтобы вы могли быть уверены в безопасности своих учетных записей.

Чтобы создать безопасный пароль, вы должны никогда не :
  • Используйте свое имя, имена членов семьи, важные даты, такие как годовщины и дни рождения, особые места, слово «пароль» или последовательные списки цифр или букв. Все они слишком легко взломать, и вам следует избегать их любой ценой.
  • Используйте слова из словаря. Когда хакеры пытаются получить доступ к вашим учетным записям, они запускают различные словари для проверки ваших паролей, пытаясь взломать их. Сюда входят как английские, так и иностранные слова и фонетические модели. Так что, хотя вы можете подумать, что открыть словарь и выбрать слово наугад, это безопасно, но это не так. Хакеры также могут сканировать обычные замены, поэтому замена «@» на «a» или «!» На «l» не помогает.При атаке методом перебора случайное слово с обычными заменами и числами или символами, добавленными в конец, будет взломано всего за 3 дня.
  • Запишите свой пароль. Если вы запишете свои пароли и оставите их где-нибудь под рукой, особенно рядом с вашим компьютером, это облегчит людям доступ к вашим учетным записям. Вместо этого запоминайте свои пароли и держите их в секрете.
  • Введите пароль через незащищенное соединение Wi-Fi. Куда бы вы ни пошли, есть возможность подключиться к незащищенной учетной записи Wi-Fi, включая кафе, книжные магазины, рестораны и торговые центры.Может показаться нормальным подключиться к ним и ввести свои пароли к учетным записям социальных сетей и электронной почты, но хакеры могут легко перехватить вашу личную информацию.

importance of password security

importance of password security

Вместо этого важно, чтобы вы:
  • Установите разные пароли для каждой учетной записи. Учитывайте текущую ситуацию с паролем. Вы используете один и тот же пароль для Facebook, онлайн-банкинга, Amazon и т. Д.? Может ли взлом одного пароля позволить хакеру войти в несколько защищенных учетных записей? Вы всегда должны устанавливать разных безопасных паролей для каждой из ваших учетных записей, чтобы обеспечить максимальную безопасность.
  • Используйте длинные пароли. Чем длиннее пароль, тем он надежнее. В идеале вы должны стремиться к паролю, состоящему из 12 или более символов, но, если вы хотите быть короче, убедитесь, что он не менее 6 символов.
  • Смешайте буквы, цифры и символы. Кроме того, вы должны использовать сочетание строчных и прописных букв, чтобы создать наиболее безопасный пароль.
  • Используйте строку слов , например «allotmentcarrothumaneats».Используя четыре отдельных слова, которые вам легко запомнить, вы значительно усложните угадывать программному обеспечению автоматического взлома. Этот метод может увеличить время, необходимое для подбора пароля с нескольких дней до ста лет.
  • Изменить автоматически сгенерированные пароли. Когда вы регистрируетесь в некоторых компаниях, вы получаете автоматически сгенерированный пароль. Вам следует как можно скорее изменить его на свой собственный.
  • Воспользуйтесь анализатором паролей, который используют некоторые компании. Вам сказали, что ваш пароль «ненадежный» при вводе? Если да, вам следует принять это к сведению и внести некоторые изменения.

Ваши пароли никогда не будут на 100% защищены от взлома, но, следуя советам, изложенным в этой статье, вы сможете обеспечить высокий уровень защиты своих учетных записей.


Что читать дальше:

.

Помогите людям создавать пароли, которые они действительно могут запомнить.

Представьте, что вы уехали в отпуск на две чудесные недели. По возвращении вы полны энергии идеями, которыми хотите поделиться в своей базе данных проекта. Вы включаете компьютер, и вам предлагается ввести пароль. Вы понятия не имеете, что это такое, и заметка, которую вы наклеили на монитор, исчезла. Вы начинаете знакомый танец смены порядка имен ваших детей и их дней рождения, пока не будете полностью заблокированы и теперь должны сбросить пароль.Отвечая на вопросы о вызове, вы удивляетесь, что ваш любимый фильм больше не «Молчание ягнят», и забываете, является ли ваш ответ на подсказку «ваша первая машина» тем, что одолжил Гремлин, на котором вы ездили первым, или подержанную Нову, которой вы владели. во-первых, или новую Toyota Camry, которую вы купили первой. Но вы нажимаете на кнопку, быстро создавая новый пароль. Вы сразу же открываете базу данных проекта и обнаруживаете, что забыли половину своих идей и первую неделю снова начали работать с негативным оттенком — просто потому, что вы забыли свой пароль.

Многие люди, которые сталкиваются с этими неприятностями или даже более изнурительными сценариями, считают пароль любопытным телохранителем: неудобным, но уважаемым защитником. Мы можем винить 2 основных препятствия, связанных с UX: пароли сложно (1) создать и (2) запомнить.

С годами удобство создания паролей, отвечающих строгим требованиям, несколько улучшилось, поскольку были введены следующие нововведения:

  1. Информирование людей о требованиях к паролю перед созданием пароля.
  2. Напоминание людям об этих правилах при создании пароля. Сложные требования нагружают кратковременную память человеческого разума; другими словами, их трудно запомнить. Таким образом, постоянное отображение правил формата пароля может избавить пользователей от необходимости хранить эти правила в своей рабочей памяти, чтобы они могли создать пароль, приемлемый для системы.
  3. Отображение пароля в реальном времени обратная связь (например, измерители силы), когда пользователи создают свои пароли. Этот тип формирующей обратной связи информирует пользователей о том, насколько их частично созданный пароль соответствует правилам.Многие разработки также оценивают надежность пароля, от слабого до надежного, чтобы помочь людям создавать более безопасные пароли. Некоторые дизайны также прибегают к геймификации, давая людям цели и небольшие подтверждения по мере их ввода и поощряя их к достижению большего или всех возможных подтверждений, которые может предложить система (например, большой флажок рядом с каждым требованием и усиление от красного к зеленому. барометр с указателями «слабый» — «сильный».)

YAHOO! Отображает зеленые поля как барометр силы.

Все это эффективные тактики UI-дизайна при создании паролей, которые помогают решить проблемы, которые я неоднократно наблюдаю в исследованиях: соблюдение требований к паролям, напоминание или распознавание требований и создание более надежных (безопасных) паролей.

Какими бы хорошими ни были эти конструкции, в них есть катастрофическое упущение. Они настолько сосредоточены на том, чтобы пройти этап создания , что ни один из них не помогает людям запомнить паролей . Фактически, некоторые из этих проектов фактически затрудняют процесс извлечения из памяти.

Забытые пароли вызывают серьезные проблемы

Мы можем решить, что создание надежных паролей более важно, чем их запоминание. Однако забывание пароля вызывает серьезные проблемы для частных лиц и организаций, в том числе:

  • Нарушение безопасности: Когда люди думают, что не смогут вспомнить пароль, они записывают его. Общие места, где они хранятся? На заметке, прикрепленной к монитору компьютера, под ковриком для мыши, под клавиатурой, в верхнем ящике, сохраненной в телефоне, а также в документе или электронном письме на компьютере.Некоторые из этих мест относительно безопасны, но другие — нет.
  • Разочарование пользователя: Испытание мешает людям действовать и добиваться успеха, лишает их контроля и заставляет их чувствовать себя неумелыми. И если срыв происходит в самом начале сеанса, люди начинают свой опыт негативно. Все это вместе создает очень неприятный пользовательский опыт.
  • Время и деньги потрачены впустую, продажи упущены: Непродуктивное время возникает, когда пользователи тратят время, пытаясь войти в систему вместо того, чтобы сосредоточиться на своих целях.Вот несколько примеров того, что может пойти не так для пользователей:
    • Блокируется от завершения рабочего процесса. В результате их фокус теряется, и они должны заботиться о системе, а не о содержании или работе, которую они делали или планировали делать.
    • Неоднократно пытается угадать свой пароль.
    • Возможно, использовав слишком много попыток и заблокировав доступ к системе, вы наказали за время, которое организация сочтет адекватным.
    • Решение проблемных вопросов, ответы на которые (или форматы ответов) они могли забыть.
    • Обращение в службу поддержки для получения или сброса пароля.
    • Ожидание сброса пароля.
    • Покидают веб-сайт или приложение, потому что они не могут или не хотят восстанавливать пароль.
  • Монополизация времени службы поддержки: Оплата персоналу за сброс паролей — огромные затраты в корпоративных вычислениях.

Даже подробное сообщение KAYAK дает представление о том, что является препятствием .

реальных паролей — Schneier on Security

Реальные пароли

Насколько хороши пароли, которые люди выбирают для защиты своих компьютеров и учетных записей в Интернете?

Это сложный вопрос, потому что данных мало. Но недавно мой коллега прислал мне некоторые трофеи от фишинг-атаки MySpace: 34 000 реальных имен пользователей и паролей.

Атака была довольно простой. Злоумышленники создали поддельную страницу входа в MySpace и собирали информацию для входа, когда пользователи думали, что они получают доступ к своей учетной записи на сайте.Данные отправлялись на различные взломанные веб-серверы, где злоумышленники собирали их позже.

По оценкам

MySpace, более 100 000 человек стали жертвами атаки, прежде чем она была закрыта. У меня есть данные из двух разных точек сбора, и они были очищены от небольшого процента людей, которые осознали, что они ответили на фишинговую атаку. Я проанализировал данные, и вот что я узнал.

Длина пароля: Хотя 65 процентов паролей содержат восемь или меньше символов, 17 процентов состоят из шести или менее символов.Средний пароль состоит из восьми символов.

В частности, распределение длины выглядит так:

1–4 0,82 процента
5 1,1 процента
6 15 процентов
7 23 процента
8 25 процентов
9 17 процентов
10 13 процентов
11 2.7 процентов
12 0,93 процента
13-32 0,93 процента

Да, есть пароль из 32 символов: «1ancheste23nite41ancheste23nite4.» Другие длинные пароли: «fool2thinkfool2thinkol2think» и «dokitty17darling7g7darling7».

Набор символов: В то время как 81 процент паролей являются буквенно-цифровыми, 28 процентов — это просто строчные буквы плюс одна последняя цифра, а две трети паролей имеют единственную цифру 1.Только 3,8 процента паролей представляют собой одно словарное слово, а еще 12 процентов — это одно словарное слово плюс последняя цифра — опять же, две трети паролей составляют 1.

только номера 1,3 процента
только буквы 9,6 процента
буквенно-цифровой 81 процент
без букв и цифр 8,3 процента

Только 0,34 процента пользователей используют в качестве пароля часть имени пользователя в адресе электронной почты.

Общие пароли: Первые 20 паролей (по порядку): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1 ,iverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 и обезьяна. (Другой анализ здесь.)

Самый распространенный пароль «пароль1» использовался в 0,22% всех учетных записей. После этого частота падает довольно быстро: «abc123» и «myspace1» использовались только в 0,11% всех аккаунтов, а «soccer» — в 0.04 процента и «обезьяна» в 0,02 процента.

Для тех, кто не знает, Blink 182 — это группа. Предположительно, многие люди используют название группы, потому что в названии есть числа, и поэтому это кажется хорошим паролем. В названии группы Slipknot нет цифр, что объясняет 1. Пароль «jordan23» относится к баскетболисту Майклу Джордану и его номеру. И, конечно же, «myspace» и «myspace1» — это легко запоминающиеся пароли для учетной записи MySpace. Я не знаю, что такое обезьяны.

Мы привыкли шутить, что «пароль» — это самый распространенный пароль. Теперь это «пароль1». Кто сказал, что пользователи ничего не знают о безопасности?

А если серьезно, пароли улучшаются. Я впечатлен тем, что менее 4% словарных слов и что подавляющее большинство были хотя бы буквенно-цифровыми. В 1989 году Дэниел Кляйн смог взломать (.gz) 24% своих образцов паролей с помощью небольшого словаря, состоящего всего из 63000 слов, и обнаружил, что средний пароль был равен 6.Длина 4 символа.

А в 1992 году Джин Спаффорд взломал (.pdf) 20 процентов паролей с помощью своего словаря и обнаружил, что средняя длина пароля составляет 6,8 символа. (Оба изучали пароли Unix с максимальной длиной во время 8 символов.) И они оба сообщили о гораздо большем процентном соотношении всех паролей в нижнем регистре и только в верхнем и нижнем регистре, чем в данных MySpace. Идея выбора надежных паролей проходит, по крайней мере, немного.

С другой стороны, демографическая группа MySpace довольно молода.Другое исследование паролей (.pdf), проведенное в ноябре, рассматривало 200 паролей корпоративных сотрудников: только 20 процентов паролей, 78 процентов буквенно-цифровых, 2,1 процента с не буквенно-цифровыми символами и средней длиной 7,8 символа. Лучше, чем 15 лет назад, но не так хорошо, как пользователи MySpace. Дети действительно будущее.

Ничто из этого не меняет того факта, что пароли изжили себя как серьезное средство защиты. С годами взломщики паролей становятся все быстрее и быстрее. Текущие коммерческие продукты могут проверять десятки и даже сотни миллионов паролей в секунду.В то же время существует максимальная сложность паролей, которые среднестатистические люди готовы запомнить (.pdf). Эти границы пересеклись несколько лет назад, и типичные реальные пароли теперь можно угадать с помощью программного обеспечения. Набор средств восстановления паролей AccessData — со скоростью 200 000 попыток подбора в секунду — смог бы взломать 23 процента паролей MySpace за 30 минут, 55 процентов — за 8 часов.

Конечно, этот анализ предполагает, что злоумышленник может получить зашифрованный файл паролей и работать с ним в автономном режиме, в свободное время; я.е., что тот же пароль был использован для шифрования электронной почты, файла или жесткого диска. Пароли по-прежнему могут работать, если вы можете предотвратить атаки по подбору пароля в автономном режиме и следить за тем, чтобы угадать пароль онлайн. Они также хороши в ситуациях с низким уровнем безопасности или если вы выбираете действительно сложные пароли и используете что-то вроде Password Safe для их хранения. Но в остальном безопасность с помощью одного только пароля довольно рискованна.

Это эссе впервые появилось на Wired.com.

Теги: аутентификация, взлом, эссе, пароли, юзабилити

Отправлено 14 декабря 2006 г., 7:39 •
117 комментариев

.