Содержание

Генератор паролей Пассвордист

Онлайн генератор паролейсоздание надежных паролей повышенной стойкости к системам автоматического взлома путем прямого перебора всех символов (bruteforce) или перебора по словарю.

Зачем нужны безопасные пароли?

Рекомендуется использовать безопасные пароли в программах, где не требуется помнить свой пароль и вводить его каждый раз для доступа к данным, например, в электронной почте или Skype.

Как взламывают пароли?

Для взлома используют специальные программы, которые подбирают пароль. Самым простым методом подбора является перебор всех символов.
Также используется метод подбора по словарю. (В рунете можно найти бесплатные словари русского языка на 100 с лишним тысяч русских слов.)

  • Очень часто в качестве пароля используют даты ( 100 ближайших лет * 365 дней —получаем 36500 возможных вариантов для подобного пароля). Они поддаются взлому за несколько секунд или минут.
  • Также распространено использовать секретное слово. Боюсь многих разочаровать, но секретное слово —обычное слово, которое можно найти в словаре русского (английского или другого) языка, подбирается так же быстро, как и дата… Дело в том, что в языке не так много слов. Лексикон современного человека составляет около 20 000 слов, программы перебора по словарю знают десятки тысяч слов. Такой пароль может быть угадан за несколько минут.
  • Чуть сложнее ситуация если вы используете слово не в начальной форме, изменяете падеж, число или род. Тогда количество вариантов увеличивается до 10 000 000. На подбор по словарю словоформ уйдет уже от нескольких часов до несколько дней.
  • Если использовать в качестве пароля номер сотового телефона, то вариантов будет не более 100 000 000. На взлом такого пароля может потребоваться несколько дней. Или несколько минут, если взять ваш телефон и переписать номера из записной книжки, ведь, наверняка, среди них есть и тот, что служит вам паролем.

Безопасный пароль

Безопасный пароль —пароль, который не поддается взлому методам перебора. Для этого пароль НЕ должен представлять собой слово, по сути это должна быть абракадабра (хорошо, если она содержит цифры, и уж совсем хорошо, если кроме цифр используются символы) и длина пароляне менее 8 символов, а лучше более 12 символов.

Создать пароль

По умолчанию, здесь создются пароли состоящие из 12 случайных символов.
На сегодня это достаточный минимум, чтобы обеспечить надежность пароля. В нашем случае для генерации используется 86 символов (со включением русских букв 152). Создается пароль длиной 12 символов. Такой пароль не может быть подобран по словарю, ну а на перебор всех вариантов придется проверить до (8612) 100 000 000 000 000 000 000 000 сочетаний. Даже для современного суперкомпьютера на решение этой задачи потребуется несколько тысяч лет.

Пароли: сложные, простые, ужасные — как управлять паролями в компании

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

Информационная безопасность

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

 

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwertry
  10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

  • Двухсловные пароли: tanyatanya, dindin, «сашамаша»
  • Слова с числами в конце: ivanov1994, football2018, login1234
  • Выдаваемые системой по умолчанию: guest, user, default
  • Слова из английского и других словарей: sweet, «семья», myhouse.
  • Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
  • Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
  • Известные цифровые комбинации: «112», «0911», «777» и т. д.
  • Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

  • Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
  • Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
  • Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

  • Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
  • На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
  • В браузере (особенно это касается критически важных программ и сервисов).

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

В этом случае:

  • Надежно защитите электронный ящик для восстановления.
  • Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

    • Смена пароля автоматически увеличивает время на его взлом.
    • Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.

Серьезные ошибки

Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.

Короткие пароли

При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.

Вместо того чтобы ломать голову над сложным паролем (который потом можно забыть), лучше взять простой и длинный и добавить туда, к примеру, несколько букв или цифр. Вместо T@MQ36n^iL использовать bREsTeMPosParDATIckl.

Очень сложные пароли

Сложность определяется двумя факторами:

    • Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
    • Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.

Очень сложные пароли (оцените пример – mrCmTF%Lz^Y*k#o@prjL2O) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке.
Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

Неграмотное использование спецсимволов

Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333.
Пример равномерного распределения знаков по паролю – kIs$t0cHk@.

Игнорирование альтернативных средств защиты

Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

Недочеты и рекомендации

Знание первых и следование вторым приведет к грамотному использованию паролей.

Часто сменяемые пароли

Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

Адекватное отношение к смене паролей

Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

Использование автоматической генерации паролей

Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.

При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.

Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали.
Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.

Создаем и запоминаем длинный пароль за небольшой отрезок времени / Хабр

Здравствуйте. Хочу в этот воскресный вечер дополнить цепочку статей о создании паролей. Я не стану рассказывать о паролях для различных сайтов или служб, куда больше меня в последнее время волнует мастер-пароль, длинный и надежный, чтоб не меньше 20 символов. При этом как то не охото заморачиваться с запоминанием и придумыванием. Так же я крайне не одобряю использование части пароля как намек на то, от чего он используется, не люблю использование шаблона и прочее, что снижает безопасность. Интересует только рандом. Такой пароль создается обычно один и надолго, а у кого то и на всю жизнь. Многим приходилось заниматься придумыванием подобных вещей, и многие сталкивались с двумя проблемами:

Проблема №1 — Придумать.

Обычно, когда нужно срочно что-то придумать, зачастую соображалка резко отключается и фантазия объявляет забастовку. А в случае, когда нужно придумать безопасный пароль, некоторые, я в том числе, могут сидеть часами и в результате ни к чему не прийти. В следствии на помощь приходят генераторы, которые приводят нас ко второй проблеме.

Проблема №2 — Запомнить.

Допустим мы воспользовались генератором и увидели вариант «JnFayt4j6LfUBLNqsNw7LhuTby». Хорошо если первое пришедшее в голову слово будет не матерное. Запомнить такой пароль можно лишь зубрешкой, на которую может уйти не мало времени, а забыть такой пароль при длительном не использовании не трудно.

В данной статье я предложу метод создания и легкого запоминания вот таких паролей. И так…

Задача:

1. Составить пароль приличной длины.

2. Запомнить составленный пароль.

Условия:

Уложиться в 15 минут (постараться уложиться).



Решение:

1. Для начала разберемся с тем, какой длины пароль нам необходим. Обычно нас не ограничивают в узких рамках и количество символов может быть довольно большим. С длиной определились? Хорошо, запускаем генератор, ведь нам нужна помощь Великого Рандома.

Допустим мы решили остановиться на длине в 25 символов. Указываем в генераторе необходимые условия — буквы верхнего и нижнего регистра, цифры. Пробелы и спец. знаки я пока не затрагиваю, чтобы не усложнять статью. При желании сможете потом сами поэкспериментировать. Результат должен быть примерно следующим:

M56ZpEiRGVBdCjwR96cdF7SMY

TF25xfBQYCEBifsu8jqYT4izo

torhJFBusKzdPosURgr966xhP

pjwPXKEcHSbdjKdS3fcebfFPC

xb6ghWhmodomaUkH8ZS5Kfec4

fwRN33FST7VGfR2oGdu7xvG9T

qRKZSZQyUMZUkUqYsck7jfnXz

EHFtPexypPPFthpTCyLGFSFZt

V2cyqYKqUbzqnLE4QMQmRK5hN

Все эти действия можно уложить не напрягаясь в 1 минуту (если только генератор не грузится долго)

2. Открываем блокнот, копируем то, что получилось (результатов 10-15). Теперь нам необходимо поделить их на блоки по 5 символов, чтобы получилось примерно следующее:

M56Zp EiRGV BdCjw R96cd F7SMY

TF25x fBQYC EBifs u8jqY T4izo

torhJ FBusK zdPos URgr9 66xhP

pjwPX KEcHS bdjKd S3fce bfFPC

xb6gh Whmod omaUk H8ZS5 Kfec4

fwRN3 3FST7 VGfR2 oGdu7 xvG9T

qRKZS ZQyUM ZUkUq Ysck7 jfnXz

EHFtP exypP PFthp TCyLG FSFZt

V2cyq YKqUb zqnLE 4QMQm RK5hN

Теперь пробегаемся глазами по каждому блоку и выписываем те, что наиболее легко запомнить. Я выбрал для себя следующие:

R96cd EBifs T4izo FBusK URgr9 KEcHS Whmod omaUk H8ZS5 3FST7 oGdu7 EHFtP 4QMQm

Выбирал я на основе читаемости или ассоциаций.

omaUk — легко запоминается на слух «омаук», «ома ю кей»

Whmod — ассоциация «wh mod»

EBifs — no comments

H8ZS5 — просто не показался сложным для запоминание

В результате мы потратили еще минут 5 (2 на копирование и разбивку и 3 на выписывание понравившихся блоков)

3. Снова смотрим на то, что выписали и определяемся на каких блоках мы остановимся. Для 25 символов нам нужно 5 блоков. При окончательном выборе нам остается лишь избежать ситуации, в которой при отсеивании могут остаться лишь блоки без цифр. Мне наиболее всего понравились блоки Whmod H8ZS5 EBifs 3FST7 4QMQm. Остается последний этап — запомнить его.

Плюс еще 2 минуты.

4. Я почти уверен, что пока вы проделывали предыдущие шаги, пару или тройку блоков вы уже запомнили (пусть даже пока и без регистра). Теперь стоит задуматься в каком порядке расположить блоки. Я выбрал Whmod EBifs 4QMQm 3FST7 H8ZS5, потому что смог сходу его выговорить. Теперь откройте еще один блокнот или возьмите листок и ручку и постарайтесь зрительно вспомнить и написать все блоки с учетом регистра. В предыдущих шагах мы потратили 8 минут. Думаю за оставшиеся 7 вполне под силу выучить новый пароль, да еще и написать его раз 20 для практики.

Вывод:

Мы получили пароль, который удовлетворяет условиям задачи, и является при этом легким и надежным. Отчасти он так и остался рандомным, так как по сути мы лишь поменяли местами части результата генератора. Брутфорс такой пароль подбирать замучается, а наша паранойя будет спокойна, пока мы сами не предоставим ей повод беспокоиться. Используя данный метод можно без лишних проблем запомнить и куда более длинный пароль. Конечный результат зависит лишь от вашей памяти и усидчивости.

Пароли: сложные, простые, ужасные — как управлять паролями в компании

В прошлый раз мы писали о роли социальной инженерии в угрозе проникновения. Этот метод можно считать «высокоуровневым»: его применяют, когда более простые не срабатывают. Но чаще всего все оказывается прозаичнее – пользователи придумывают очевидные пароли, оставляют их на видном месте или вовсе не считают нужным их использовать. И пароли становятся желанной целью для злоумышленников.

Информационная безопасность

К чему приведет плохой пароль

Кажется, что плохой пароль – удел частных пользователей и небольших компаний. На самом деле, безответственное отношение к паролям ведет к негативным последствиям даже на уровне международных организаций и структур. Вот несколько примеров несерьезного отношения к защите данных:

Что делать? Исправлять ошибки! Условно их можно разделить на три группы: критические, серьезные и недочеты.

Критические ошибки

Приводят к фатальным последствиям. Являются результатом равнодушного отношения к безопасности данных.

 

Примитивные и слабые пароли

Компания SplashData несколько лет составляет рейтинг самых плохих паролей года. В 2018-м первые десять мест из топа-50 худших паролей выглядели так:

Пароль

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwertry
  10. iloveyou

Если посмотреть исследования компании за несколько лет, становится ясным, что ситуация меняется в худшую сторону.

Все популярные пароли в одной картинкеВсе популярные пароли в одной картинке

Люди продолжают использовать примитивные пароли, которые можно объединить в группы:

  • Двухсловные пароли: tanyatanya, dindin, «сашамаша»
  • Слова с числами в конце: ivanov1994, football2018, login1234
  • Выдаваемые системой по умолчанию: guest, user, default
  • Слова из английского и других словарей: sweet, «семья», myhouse.
  • Слова с заменой букв цифрами или специальными символами: 0ldboy, p@ssword, $elphi.
  • Клавиатурные последовательности символов: «йцукен» или qwerty, «123456».
  • Известные цифровые комбинации: «112», «0911», «777» и т. д.
  • Свои данные: filimovi, max-piter и другие, куда включают адрес, телефон и т. п.

Одинаковые пароли для всех программ и сервисов

Пользователи могут иметь один и тот же логин с паролем для всех социальных сетей и десятка различных сайтов. Это небезопасно, поэтому лучше поступать так:

  • Для критически важных ресурсов (email, платежные системы, мессенджеры и соцсети) использовать сложные и длинные пароли с произвольными комбинациями верхнего и нижнего регистра, цифр и специальных символов. Пример: S9Scap$iDPRZ.
  • Для важных ресурсов (обучающие сайты, альтернативный почтовый ящик) – пароли, где длина важнее сложности. Пример: hrGbWzeCjZSqUl.
  • Для не особо важных ресурсов (форумы, развлекательные порталы, торрент-трекеры) придумать простые, но не примитивные пароли. Пример: metHalPh.

Найдите десять отличийНайдите десять отличий

Чтобы не запоминать десятки паролей, можно воспользоваться специальным менеджером, который хранит их в зашифрованном виде. Правда, его тоже надо защитить мастер-паролем и продумать, где и как он будет храниться. Есть совет другой – менять символы в паролях для неважных ресурсов и не повторяться в паролях для особо важных.

Открыто записанные логины и пароли

Ряд специалистов рекомендуют не записывать пароли, но скорее всего вы их забудете. В таком случае можно записать, но не хранить записанные пароли в доступных местах:

  • Приклеенными на рабочем столе или спрятанными под клавиатуру, оргтехнику.
  • На рабочем столе компьютера в текстовых файлах, лучше спрячьте в архив с парольной защитой.
  • В браузере (особенно это касается критически важных программ и сервисов).

Когда-то этот листочек бумаги был замешан в ложном сообщении о ракетном удареКогда-то этот листочек бумаги был замешан в ложном сообщении о ракетном ударе

Можно завести специальный блокнот для паролей, но хранить его в неочевидном месте.

Легко восстанавливаемые пароли

Злоумышленники могут не пойти прямым путем: попытаются не взломать, а восстановить парольный доступ к ресурсу.

Выберите свой секретный вопрос для восстановления пароляВыберите свой секретный вопрос для восстановления пароля

В этом случае:

  • Надежно защитите электронный ящик для восстановления.
  • Выберите секретный вопрос, ответ на который знаете только вы.

Дискредитированные и просроченные пароли

Если существуют сомнения в том, что пароль был использован злоумышленниками или длительное время остается без изменений, необходимо как можно быстрее его поменять – еще до того, как сервис обнаружит попытку взлома аккаунта:

    • Смена пароля автоматически увеличивает время на его взлом.
    • Время нахождения злоумышленника в системе с дискредитированным паролем будет ограничено.

Серьезные ошибки

Ведут к серьезным негативным последствиям. Являются результатом незнаний в области защиты данных.

Короткие пароли

При грамотном подходе длина пароля имеет приоритет над его сложностью, потому что в этом случае увеличивается число вариантов перебора. Марк Бернетт, исследователь в области безопасности, в своей книге Perfect passwords утверждает, что пароль длиной в 12–15 знаков надежнее, чем короткий, составленный из произвольной последовательности символов.

Какой же пароль лучше?Какой же пароль лучше?

Вместо того чтобы ломать голову над сложным паролем (который потом можно забыть), лучше взять простой и длинный и добавить туда, к примеру, несколько букв или цифр. Вместо T@MQ36n^iL использовать bREsTeMPosParDATIckl.

Очень сложные пароли

Сложность определяется двумя факторами:

    • Легкостью угадывания. Зависит от способа хранения и целей использования пароля.
    • Средним числом попыток на угадывание верного пароля. Зависит от длины, порядка символов и способа создания пароля.

Очень сложные пароли (оцените пример – mrCmTF%Lz^Y*k#o@prjL2O) трудно запоминать. Как следствие, их начинают записывать на бумагу, в смартфон или компьютер.

Сложный пароль надо еще и верно записатьСложный пароль надо еще и верно записать

Между тем американский криптограф Брюс Шнайер рекомендует записывать такие пароли на маленьких кусочках бумаги и хранить в кошельке.
Решить проблему использования очень сложных вариантов помогут мнемонические пароли, которые хорошо запоминаются.

Неграмотное использование спецсимволов

Почти все сервисы требуют при создании паролей использовать буквы, цифры и спецсимволы. Это адекватное требование, но пользователи неравномерно распределяют их в пароле. Например, цифры и специальные символы ставят в конец пароля, а заглавные буквы в начало – Okn@333.
Пример равномерного распределения знаков по паролю – kIs$t0cHk@.

Игнорирование альтернативных средств защиты

Надеяться только на сложный пароль для самых важных сервисов нельзя. Изощренные методы фишинговых атак, например просьба друга в личных сообщениях проголосовать за него, перейдя по ссылке, сведут на нет этот способ защиты.

Фишинг – враг безопасности данных Фишинг – враг безопасности данных

Выход – использовать двухфакторную аутентификацию: вы вводите пароль и затем получаете SMS с кодом доступа к ресурсу.

Недочеты и рекомендации

Знание первых и следование вторым приведет к грамотному использованию паролей.

Часто сменяемые пароли

Если человек постоянно создает новые пароли – добровольно или по требованию руководства – рано или поздно он станет придумывать каждый последующий пароль проще предыдущего, чтобы легче запоминать. Например, подставлять в конце цифру – «h0lst1», «h0lst2» и т. д.

Новый день – новый пароль?Новый день – новый пароль?

Лучше сразу придумать длинные пароли и сохранить их на долгий срок. При любых сомнениях в безопасности сразу же поменять.

Адекватное отношение к смене паролей

Если вы создали надежный и сложный пароль, не стоит думать, что его тут же ринутся взламывать «до победного конца». Например, банки используют очень серьезные меры по безопасности, поэтому попытки взлома зачастую теряют всякий смысл.

Использование автоматической генерации паролей

Какими бы ответственными ни были люди, они создают пароли по шаблонам собственного мышления, и это известно злоумышленникам. Исследования и анализ паролей показали, что 40 % из них можно подобрать, используя программные методы. Часто человек, придумывая пароль, указывает в нем то, что имеет непосредственное отношение к нему и/или его окружению.

При автоматической генерации исключается взаимосвязь между паролем и личностью пользователя. Случайно выбранный пароль создается из огромного массива данных, и подобрать его очень сложно.

Побочный эффект автогенерации – сложность запоминания (оцените пример T2tgU#&y59kUOo^). Пароль приходится записывать. А как хранить такие записи, мы уже советовали.
Важно учитывать, что пароль – это только одно и часто не самое главное из средств защиты. Чтобы понять, насколько защищены ваши данные, проведите аудит информационной безопасности. Если он недостаточный, нужно повысить уровень безопасности IT-инфраструктуры в целом, а при необходимости оценить ее соответствие нормативным актам.

Оптимальная длина и состав пароля / Хабр

Введение.

На фоне многочисленных постов о паролях решил провести небольшое исследование.

В настоящее время парольная защита является самым распространённым и, к сожалению, самым ненадёжным методом защиты. Существует много статей на тему «Как составить стойкий пароль», но мне не встречались статьи, где приводятся реальные данные о надёжности паролей.

В исследовании проводится оценка надёжности паролей противостоять атакам грубой силы. Наиболее эффективный метод грубой силы при переборе паролей для хеш-функций является составление радужных таблиц.

Расчёты проводятся для трёх хеш-функций md5, sha1 и sha2 (модификация sha512). В расчёт не берутся данные о коллизиях в данных хеш-функциях, так как с практической точки зрения в реальном подборе пароля они не помогут, да и достойных реализаций в ПО на настоящий время в открытом доступе нет. В исследовании принимают участия пароли длиной 7, 8, 10 и 12 символов трёх различных алфавитов.

Для наглядности результатов приводятся данные о количестве паролей, объёме дискового пространства для хранения радужных таблиц и ориентировочном времени построения радужных таблиц.


Инструментарий.

  • Компьютер с процессором Pentium 4 2.6 GHz и оперативной памятью 512 МБ;
  • Утилита winrtgen, входящая в состав Cain&Abel;

Промежуточные расчёты.

Количество комбинаций паролей равно (количество символов в алфавите)^(количество символов в пароле)
В исследовании принимают участие 3 алфавита:

  • А1={abcdefghijklmnopqrstuvwxyz0123456789} 36 символов
  • А2={abcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()-_+=»} 51 символ
  • А3={abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=} 77 символов
  • А4={0123456789} 10 символов

Результаты.

Для алфавита А1















Число символовХеш алгоритмДисковое пространствоВремя подсчёта
17md52,98 ГБ5 дней
28md589,4 ГБ159 дней
310md5113 249 ГБ661,5 года
412md5178 754 329 ГБ1,19851е+006 лет
57sha12,98 ГБ7 дней
68sha189,4 ГБ230 дней
710sha1113 249 ГБ918 лет
812sha1178 754 329 ГБ1,58632е+006 лет
97sha5122,98 ГБ16 дней
108sha51289,4 ГБ1,4 года
1110sha512113 249 ГБ1905 лет
1212sha512178 754 329 ГБ3,1438е+006

Для алфавита А2















Число символовХеш алгоритмДисковое пространствоВремя подсчёта
17md5232,5 ГБ1 год
28md517 881,4 ГБ90,2 года
310md577 486 038,2 ГБ462539 лет
412md5
57sha1232,5 ГБ1,6 года
68sha117 881,4 ГБ129 лет
710sha177 486 038,2 ГБ638089 лет
812sha1
97sha512232,5 ГБ3,54 года
108sha51217 881,4 ГБ286,5 года
1110sha51277 486 038,2 ГБ1,33807е+006 года
1212sha512

Для алфавита А3















Число символовХеш алгоритмДисковое пространствоВремя подсчёта
17md5596 ГБ2,73 года
28md541 723 ГБ206 лет
310md5238 418 579 ГБ1,38521е+006 лет
412md5
57sha1596 ГБ4 года
68sha141 723 ГБ301 год
710sha1238 418 579 ГБ1,91805е+006 лет
812sha1
97sha512596 ГБ9 лет
108sha51241 723 ГБ654 года
1110sha512238 418 579 ГБ3,95008е+006 лет
1212sha512

Для алфавита А4















Число символовХеш алгоритмДисковое пространствоВремя подсчёта
112md559,6 ГБ133 дня
215md559 604,64 ГБ426 лет
317md55 960 464,47 ГБ47 574 года
420md51 665 497 181 ГБ4,94612е+007 лет
512sha159,6 ГБ175 дней
615sha159 604,64 ГБ563 года
717sha15 960 464,47 ГБ60 505 лет
820sha11 665 497 181 ГБ6,2405е+007 лет
912sha51259,6 ГБ359 дней
1015sha51259 604,64 ГБ1040 лет
1117sha5125 960 464,47 ГБ110 162 года
1220sha5121 665 497 181 ГБ1,12256е+008 лет

Прочерк там, где программа решила, что с неё хватит подсчётов.

Выводы.

Длину и состав паролей каждый должен выбрать для себе сам, от себя могу лишь сказать, лучше выбрать пароль до 12 символов и периодически его менять, нежели взять пароль 20 символов и чувствовать себя в полной безопасности.

P.S. Это мой первый пост на хабре, сильно не пинайте, пожалуйста.

UPD Добавлен алфавит А4 и статистика к нему.

Эксперты назвали секреты создания надёжного пароля

Использование при составлении пароля легкодоступной информации и имён оставляет для преступников шансы взломать ваш аккаунт. Защитный код должен быть длинным и периодически нуждается в обновлении. Об этом сообщает РИА «Новости» со ссылкой на опрошенных экспертов.

На сегодняшний день всё больше людей с ответственностью подходят к защите своих данных и аккаунтов, но общий уровень цифровой грамотности всё ещё низок. Так считает эксперт «Лаборатории Касперского» Дмитрий Галов.

Он уточнил, что исследование компании показало, что отдельные пароли для разных аккаунтов создаёт лишь 39% россиян.

К сожалению, многие пользователи небрежно относятся к этому вопросу. Часто злоумышленники, получив логин и пароль от учётной записи на слабозащищённом сервере после утечки данных, пробуют применить его ко всем остальным сервисам. В случае если один и тот же пароль используется на разных учётных записях, у злоумышленников это получится, сказал глава представительства Avast в России и СНГ Алексей Фёдоров.

Идеальный код должен состоять из комбинации цифр, заглавных и прописных букв и знаков препинания, а его длина должна быть не менее 16 символов, отметили специалисты.

Не стоит забывать периодически обновлять пароль. Его срок жизни составляет от трёх до шести месяцев, отметил директор департамента корпоративных продаж ESET Russia Антон Пономарёв.

Придумайте забавное слово или фразу, добавьте пару цифр наугад и запишите в блокнот так, чтобы никто не видел, спрячьте его. Когда пароль запомнится — уничтожьте. Не меняйте пароли перед отпуском — точно не вспомните, лучше применить процедуру восстановления. Обязательно включите двухфакторную аутентификацию (подтверждения по СМС), — уточнил он.

К созданию кода нужно подходить с умом, но лучше всего подойдёт набор случайных символов и знаков. Основатель компании DeviceLock Ашот Оганесян советует воспользоваться генератором надёжных паролей.

А для хранения паролей не стоит использовать устройства. Если раньше советовали не записывать коды на листке рядом с монитором, то сейчас ситуация изменилась и хранение пароля на листочке в бумажнике является безопасным и надёжным.

Руководитель «Агентства кибербезопасности» Евгений Лифшиц советует обратить внимание, что сейчас преступники действуют через Интернет, поэтому хранение кодов в облаке, чатах или файлах на сервере не является правильным решением.

Лента новостей

Еще

Генератор паролей онлайн — сгенерировать пароль на Passgenerator

PassGenetaror – надежный онлайн генератор паролей

Значение качественного пароля сложно переоценить, ведь сегодня в различных базах данных сосредоточена вся личная, конфиденциальная, а также финансовая информация. Мы совершаем платежи онлайн с помощью различных платежных систем с многоэтапной авторизацией, пользуемся социальными сетями и электронной почтой, где находится множество личной информации. Все это требует использования паролей, и чем он сложнее, тем надежнее будет защищена ваша информация от взлома. А создать такой пароль вам поможет наш PassGenetaror. Все лишь несколько движений мышкой – и ваш уникальный пароль готов. Поэтому если вам нужен максимально сложный пароль, генератор на этом сайте поможет вам в считанные секунды решить эту задачу.

Как работает онлайн генератор паролей?Как работает онлайн генератор паролей?

Пароль – это набор различных символов, как правило, латинского алфавита, которые могут иметь различный регистр (большие, маленькие буквы), дополняться цифрами и знаками препинания.

Генератор случайных паролей, или по английски random password generator – это онлайн-программа, которая создает для вас уникальный пароль в соответствии с заданными параметрами.

Так, с помощью нашего генератора надежных паролей вы сможете сгенерировать пароль длиной от 4 до 20 символов с буквами нижнего и верхнего регистра. Таким образом, чтобы создать пароль онлайн с помощью генератора паролей, вам необходимо:

  • выбрать длину пароля;
  • включить числа;
  • включить буквы верхнего и нижнего регистра;
  • включить дополнительные символы;
  • выбрать количество паролей, которые вы хотите получить;
  • нажать на кнопку «Генерировать».

Теперь генератор сложных паролей закончил свою работу и вы можете скопировать пароль и использовать его для регистрации в какой-либо системе или для замены старого пароля в ней.

Как сгенерировать максимально надежный пароль?

Как сгенерировать максимально надежный пароль?Почему так важно сделать пароль максимально разнообразным? Чем более сложным является набор символов в пароле, тем сложнее хакерам будет его подобрать. Дело в том, что хакеры не ломают голову самостоятельно над подбором пароля, а используют специальные программы-взломщики, которые генерируют различные комбинации в автоматическом режиме. Чем сложнее ваш пароль, тем дольше программа будет искать эту комбинацию.

Как работает программа по подбору паролей

Программа по подбору паролей, взлом паролей - как происходитТак, специальная программа на первом этапе своей работы расшифровывает простые пароли – длиной от 1 до 6 символов, которые включают в себя 26 латинских букв обоих регистров, 10 цифр и 33 других символов. Все эти 95 символов предлагают сравнительно небольшое количество комбинаций, которые обычный персональный компьютер способен обработать за несколько минут. Удлините пароль до 8 символов – и компьютеру придется поработать уже несколько дней. Еще несколько символов заставит метод обычного подбора работать годами. Самыми надежными считаются ключи длиной 11-12 символов в разных регистрах, с использованием цифр и прочих символов.

Однако недостаточно просто сделать пароль разнообразным. Как показывает практика, даже разнообразные пароли, придуманные людьми, подвержены взломам. Гораздо надежнее работает именно софт, то есть специальный генератор паролей онлайн, который не использует в своей работе шаблоны. Вероятность расшифровки такого пароля будет ничтожна мала. Чаще меняйте пароли к своим аккаунтам и не используйте один и тот же пароль для доступа к разным сервисам.

Генератор случайных паролей

Чтобы предотвратить взлом ваших паролей с помощью методов социальной инженерии, грубой силы или атаки по словарю и обеспечить безопасность ваших учетных записей в Интернете, следует помнить, что:

1. Не используйте один и тот же пароль, контрольный вопрос и ответ для нескольких важных учетных записей.

2. Используйте пароль длиной не менее 16 символов, используйте как минимум одну цифру, одну заглавную букву, одну строчную букву и один специальный символ.

3.Не используйте имена ваших семей, друзей или домашних животных в ваших паролях.

4. Не используйте в своих паролях почтовые индексы, номера домов, номера телефонов, даты рождения, номера удостоверений личности, номера социального страхования и т. Д.

5. Не используйте слова из словаря в своих паролях.

Примеры надежных паролей: ePYHc ~ dS *) 8 $ + V- ‘, qzRtC {6rXN3N \ RgL, zbfUMZPE6`FC%) sZ.

Примеры слабых паролей: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321, nortonpassword.

6. Не используйте два или более одинаковых пароля, большинство символов которых совпадают, например, ilovefreshflowersMac, ilovefreshflowersDropBox, так как если один из этих паролей украден, то это означает, что все эти пароли украдены.

7. Не используйте что-то, что можно клонировать (но вы не можете изменить) в качестве паролей, например, ваши отпечатки пальцев.

8. Не позволяйте вашим веб-браузерам (FireFox, Chrome, Safari, Opera, IE) хранить ваши пароли, поскольку все пароли, сохраненные в веб-браузерах, могут быть легко открыты.

9. Не входите в важные учетные записи на компьютерах других пользователей или при подключении к общедоступной точке доступа Wi-Fi, Tor, бесплатному VPN или веб-прокси.

10. Не отправляйте конфиденциальную информацию онлайн через незашифрованные (например, HTTP или FTP) соединения, потому что сообщения в этих соединениях могут быть обнаружены без особых усилий. Вы должны использовать зашифрованные соединения, такие как HTTPS, SFTP, FTPS, SMTPS, IPSec, когда это возможно.

11. Во время путешествий вы можете зашифровать свои интернет-соединения, прежде чем они покинут ваш ноутбук, планшет, мобильный телефон или маршрутизатор.Например, вы можете настроить частную VPN (с протоколами MS-CHAP v2 или более сильной) на своем собственном сервере (домашний компьютер, выделенный сервер или VPS) и подключиться к нему. Кроме того, вы можете установить зашифрованный туннель SSH между вашим маршрутизатором и вашим домашним компьютером (или вашим собственным удаленным сервером) с помощью PuTTY и подключить ваши программы (например, FireFox) к PuTTY. Тогда даже если кто-то захватит ваши данные при их передаче между вашим устройством (например, ноутбуком, iPhone, iPad) и вашим сервером с помощью анализатора пакетов, он не сможет украсть ваши данные и пароли из зашифрованных потоковых данных.

12. Насколько безопасен мой пароль? Возможно, вы считаете, что ваши пароли очень надежны, их сложно взломать. Но если хакер украл ваше имя пользователя и хеш-значение MD5 вашего пароля с сервера компании, а радужная таблица хакера содержит этот хеш-код MD5, то ваш пароль будет взломан быстро.

Чтобы проверить надежность своих паролей и узнать, находятся ли они в популярных радужных таблицах, вы можете преобразовать свои пароли в хеши MD5 в генераторе хешей MD5, а затем расшифровать свои пароли, отправив эти хеши в онлайн-службу дешифрования MD5.Например, ваш пароль «0123456789A», используя метод грубой силы, компьютеру может понадобиться почти год, чтобы взломать ваш пароль, но если вы расшифруете его, отправив свой хэш MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) на сайт расшифровки MD5, как долго это займет, чтобы взломать это? Вы можете выполнить тест самостоятельно.

13. Рекомендуется менять ваши пароли каждые 10 недель.

14. Рекомендуется запомнить несколько мастер-паролей, сохранить другие пароли в текстовом файле и зашифровать этот файл с помощью 7-Zip, GPG или программного обеспечения для шифрования диска, такого как BitLocker, или управлять своими паролями с помощью программного обеспечения для управления паролями.

15. Зашифруйте и сохраните ваши пароли в разных местах, а затем, если вы потеряли доступ к своему компьютеру или учетной записи, вы сможете быстро восстановить свои пароли.

16. Включите двухэтапную аутентификацию, когда это возможно.

17. Не храните критически важные пароли в облаке.

18. Получайте прямой доступ к важным веб-сайтам (например, Paypal) из закладок, в противном случае, пожалуйста, внимательно проверьте его доменное имя. Рекомендуется проверить популярность веб-сайта с помощью панели инструментов Alexa, чтобы убедиться, что он не является фишинговым сайтом, прежде чем вводить свой пароль.

19. Защитите свой компьютер с помощью брандмауэра и антивирусного программного обеспечения, заблокируйте все входящие соединения и все ненужные исходящие соединения с помощью брандмауэра. Загружайте программное обеспечение только с надежных сайтов и по возможности проверяйте контрольную сумму MD5 / SHA1 / SHA256 или подпись GPG пакета установки.

20. Поддерживайте операционные системы (например, Windows 7, Windows 10, Mac OS X, iOS, Linux) и веб-браузеры (например, FireFox, Chrome, IE, Microsoft Edge) ваших устройств (например,грамм. Windows ПК, Mac PC, iPhone, iPad, планшет Android), установив последнее обновление для системы безопасности.

21. Если на вашем компьютере есть важные файлы, доступ к которым могут получить другие пользователи, проверьте, имеются ли аппаратные клавиатурные шпионы (например, анализатор беспроводной клавиатуры), программные клавиатурные шпионы и скрытые камеры, когда вы считаете это необходимым.

22. Если в вашем доме есть WIFI-роутеры, то вы можете узнать пароли, которые вы ввели (в доме вашего соседа), определяя жесты ваших пальцев и кистей рук, поскольку полученный ими сигнал WIFI изменится, когда вы будете двигать пальцами. и руки.Вы можете использовать экранную клавиатуру для ввода своих паролей в таких случаях, было бы более безопасно, если бы эта виртуальная клавиатура (или программная клавиатура) каждый раз меняла раскладки.

23. Заблокируйте свой компьютер и мобильный телефон, когда вы покинете их.

24. Прежде чем помещать на него важные файлы, зашифруйте весь жесткий диск с помощью LUKS или аналогичных инструментов и физически уничтожьте жесткий диск старых устройств, если это необходимо.

25. Получите доступ к важным веб-сайтам в приватном режиме или режиме инкогнито, или используйте один веб-браузер для доступа к важным веб-сайтам, используйте другой для доступа к другим сайтам.Или получить доступ к неважным веб-сайтам и установить новое программное обеспечение на виртуальной машине, созданной с помощью VMware, VirtualBox или Parallels.

26. Используйте как минимум 3 разных адреса электронной почты, используйте первый для получения писем от важных сайтов и приложений, таких как Paypal и Amazon, используйте второй для получения писем от неважных сайтов и приложений, используйте третий (от другой провайдер электронной почты, такой как Outlook и GMail), чтобы получать электронное письмо со сбросом пароля при взломе первого (например, Yahoo Mail).

27. Используйте как минимум 2 разных телефонных номера, НЕ сообщайте другим номер телефона, который вы используете для получения текстовых сообщений с проверочными кодами.

28. Не нажимайте на ссылку в сообщении электронной почты или SMS-сообщении, не сбрасывайте свои пароли, нажимая их, за исключением того, что вы знаете, что эти сообщения не являются поддельными.

29. Не сообщайте свои пароли никому в письме.

30. Возможно, что одно из загруженного или обновленного программного обеспечения или приложения было изменено хакерами, вы можете избежать этой проблемы, не устанавливая это программное обеспечение или приложение в первый раз, за ​​исключением того, что оно опубликовано для устранения брешей в безопасности.Вместо этого вы можете использовать веб-приложения, которые являются более безопасными и портативными.

31. Будьте осторожны при использовании инструментов онлайн-вставки и средств захвата экрана, не позволяйте им загружать ваши пароли в облако.

32. Если вы являетесь веб-мастером, не храните пароли пользователей, контрольные вопросы и ответы в виде простого текста в базе данных, вы должны хранить вместо этого соленые (SHA1, SHA256 или SHA512) хеш-значения этих строк.

Рекомендуется генерировать уникальную случайную строку соли для каждого пользователя.Кроме того, рекомендуется зарегистрировать информацию об устройстве пользователя (например, версию ОС, разрешение экрана и т. Д.) И сохранить их хеш-значения с солями, а затем, когда он попытается войти в систему с правильным паролем, но не с его / ее устройства. информация НЕ совпадает с предыдущей сохраненной информацией, поэтому этот пользователь может подтвердить свою личность, введя другой код подтверждения, отправленный по SMS или электронной почте.

33. Если вы являетесь разработчиком программного обеспечения, вы должны опубликовать пакет обновления, подписанный с помощью закрытого ключа, с помощью GnuPG, и проверить его подпись с помощью открытого ключа, опубликованного ранее.

34. Чтобы обеспечить безопасность своего интернет-бизнеса, вам необходимо зарегистрировать собственное доменное имя и создать учетную запись электронной почты с этим доменным именем, чтобы вы не потеряли свою учетную запись электронной почты и все свои контакты, поскольку вы можете разместить свой домен. почтовый сервер в любом месте, ваша учетная запись электронной почты не может быть отключена поставщиком электронной почты.

35. Если сайт онлайн-покупок позволяет совершать платежи только с помощью кредитных карт, вам следует использовать виртуальную кредитную карту.

36.Когда вы выходите из компьютера, закройте веб-браузер, в противном случае файлы cookie могут быть перехвачены небольшим USB-устройством, что позволяет обойти двухэтапную проверку и войти в свою учетную запись с украденными файлами cookie на других компьютерах.

37. Не доверяйте и удаляйте плохие SSL-сертификаты из своего веб-браузера, в противном случае вы НЕ сможете обеспечить конфиденциальность и целостность соединений HTTPS, которые используют эти сертификаты.

38.Зашифруйте весь системный раздел, в противном случае отключите файл подкачки и функции гибернации, поскольку ваши важные документы можно найти в файлах pagefile.sys и hiberfil.sys.

39. Для предотвращения атак с использованием входа в систему методом «грубой силы» на выделенные серверы, серверы VPS или облачные серверы можно установить программное обеспечение для обнаружения и предотвращения вторжений, такое как LFD (Login Failure Daemon) или Fail2Ban.

,

Генератор паролей | LastPass

Пароли представляют собой реальную угрозу безопасности. Недавний отчет показывает, что более 80% нарушений, связанных со взломом, происходит из-за слабых или украденных паролей. Поэтому, если вы хотите защитить свои личные данные и активы, создание надежных паролей — это большой первый шаг. И в этом может помочь генератор паролей LastPass.
Пароли, которые невозможно взломать, сложны с несколькими типами символов (цифры, буквы и символы).Создание разных паролей для каждого веб-сайта или приложения также помогает защититься от взлома.
Этот генератор паролей работает локально на вашем компьютере с Windows, Mac или Linux, а также на вашем устройстве iOS или Android. Пароли, которые вы генерируете, никогда не отправляются через Интернет.

Лучшие советы паролей от профи

  1. Всегда используйте уникальный пароль для каждой учетной записи, которую вы создаете. Опасность повторного использования паролей заключается в том, что, как только один сайт имеет проблему с безопасностью, хакерам очень легко попробовать такую ​​же комбинацию имени пользователя и пароля на других сайтах.
  2. Не используйте личную информацию в ваших паролях. Имена, дни рождения и адреса улиц могут быть легко запоминаемыми, но их также легко найти в Интернете, и их всегда следует избегать в паролях, чтобы обеспечить максимальную надежность.
  3. Убедитесь, что ваши пароли имеют длину не менее 12 символов и содержат буквы, цифры и специальные символы. Некоторые люди предпочитают генерировать пароли длиной 14 или 20 символов.
  4. Если вы создаете мастер-пароль, который вам нужно запомнить, попробуйте использовать фразы или слова из вашего любимого фильма или песни.Просто добавьте случайные символы, но не заменяйте их легкими шаблонами.
  5. Используйте менеджер паролей, как LastPass, чтобы сохранить ваши пароли. Мы сохраняем вашу информацию защищенной от атак или слежки.
  6. Избегайте слабых, часто используемых паролей, таких как asd123, password1 или Temp !. Вот несколько примеров надежного пароля: S & 2x4S12nLS1 *, JANa @ sx3l2 & s $, 49915w5 $ oYmH.
  7. Старайтесь не использовать личную информацию для своих секретных вопросов, вместо этого используйте LastPass для генерации другого «пароля» и сохраните его как ответ на эти вопросы.Причина? Некоторая информация, такая как название улицы, на которой вы выросли, или девичья фамилия вашей матери, легко может быть найдена хакерами и может быть использована в атаке методом перебора для получения доступа к вашим учетным записям.
  8. Избегайте использования похожих паролей, которые меняют только одно слово или символ. Эта практика ослабляет безопасность вашей учетной записи на нескольких сайтах.
  9. Измените свои пароли, когда у вас есть для этого причины, например, после того, как вы поделились ими с кем-то, после того, как веб-сайт был взломан или если с момента его последнего изменения прошло более года.
  10. Никогда не сообщайте свои пароли по электронной почте или текстовым сообщениям. Безопасный способ поделиться — это такой инструмент, как LastPass, который дает вам возможность поделиться скрытым паролем и даже отозвать доступ, когда придет время.

Зачем вам нужен встроенный генератор паролей

Упростите свою цифровую жизнь с помощью надежного генератора паролей, встроенного в ваш браузер или приложение на вашем телефоне. LastPass может создавать безопасные пароли сразу после регистрации, а затем запомнить их все для вас.Посмотрите, как работает LastPass.

,

Как долго должны быть мои пароли?

Когда каждый веб-сайт, для которого вы создаете логин, предлагает пароль разной длины, может быть сложно определить, как долго должен быть ваш пароль. Вы знаете, что более длинный пароль более безопасен, но длиннее, чем что? 6 символов? 12 символов? 24 персонажа?

Чтобы ответить на этот вопрос, нам сначала нужно посмотреть, какой пароль вам нужно создать. Это один из немногих, которые вам нужно запомнить, например ваш мастер-пароль 1Password, или это вы генерируете, используя наш генератор надежных паролей, который вам никогда не придется вводить, видеть или запоминать? Мы не говорим о паролях, созданных человеком, поскольку пароли, созданные людьми, легко угадываются машинами.

Итак, теперь мы предполагаем, что вы используете безопасный генератор паролей, как и должно быть.

Короткий ответ на длинный вопрос состоит в том, что при использовании генератора паролей 1Password вы должны просто использовать настройки по умолчанию: 20 символов для символьных паролей и четыре слова для списков слов.

Для каких сайтов требуется

Большинство требований, предъявляемых веб-сайтами и другими службами к людям, создающим пароли, на самом деле не применяются, когда мы рассматриваем пароли, созданные для обеспечения безопасности.Эти правила были разработаны, чтобы заставить людей создавать хорошие пароли. Также оказывается, что эти правила не работают даже по их прямому назначению. Действительно, NIST
теперь явно советует не навязывать какие-либо требования, кроме минимальной длины. Тем не менее, люди могут еще долго сталкиваться с такими требованиями.

Минимальная и максимальная длина пароля

Каждый веб-сайт отличается, но обычно он задает минимальную длину 8 или, возможно, 10 символов.(Последнее исследование, которое я видел по этому вопросу, сильно устарело, поэтому я в основном только догадываюсь об этом.)

Имеет смысл, что, когда вам будет предложено создать новый пароль, вы придумаете что-то короткое, насколько это возможно, как можно быстрее. Мы получим это. Вы хотите зарегистрироваться, войти и продолжить свой день. Но только соблюдая минимальные требования, вы становитесь более уязвимыми для взлома пароля.

Наша длина по умолчанию для сгенерированных символьных паролей составляет 20, но, как вы увидите ниже, это избыточно для сгенерированных паролей.Мы бы пошли с 15, но те не чувствуют себя достаточно сильными для людей, и мы будем получать жалобы. Многие люди не видят, насколько надежны правильно сгенерированные пароли.

Сложность слюни

Широко распространено убеждение, что использование цифр и специальных символов в пароле делает пароль более надежным. Но последствия этих требований различаются для паролей, созданных человеком, и для правильно сгенерированных паролей. Созданный человеком 11-значный пароль со смешанными регистрами букв, цифр и символов может выглядеть как Letmein! 123 .11-значный пароль, сгенерированный 1Password и использующий только буквы в смешанном регистре, может выглядеть как lwlXgHeaWiq . Сгенерированный, даже без цифр или специальных символов, будет гораздо сложнее угадать, чем созданный человеком.

Теперь наш генератор паролей будет создавать пароли с цифрами и символами, потому что они требуются для очень многих сайтов. И для вещей, которые сгенерированы правильно, добавление большего количества типов символов действительно увеличивает силу (немного).

Сила и энтропия

Прежде чем я начну использовать слово «энтропия», когда говорим о надежности пароля, я должен выпустить слово предупреждения. Почти все, что вы читаете, использует слово «энтропия», когда говорит о надежности пароля, неправильно. Энтропия имеет смысл только в качестве способа говорить о надежности пароля, если схема, используемая для создания пароля, с такой же вероятностью даст каждый возможный вывод, как и любой другой. Схема, которая генерирует 11-символьные пароли из букв, цифр и символов, которые с большей вероятностью могут придумать такой пароль, как Letmein! 123 , чем lwlXgHeaWiq , не подходит для слова «энтропия».Оказывается, что даже некоторые популярные генераторы паролей не создают пароли единообразно, но для этого обсуждения я сосредоточусь на безопасном генераторе паролей 1Password, который делает это правильно.

Итак, мы можем говорить об энтропии паролей, генерируемых генератором надежных паролей 1Password, но в этом нет смысла, если вы не понимаете, о чем я. Пароль с 20 битами энтропии взломать вдвое сложнее, чем пароль с 19 битами. 20-битный пароль вдвое сложнее взломать, чем пароль с 21 битом.Пароль с 20 битами энтропии выбирается равномерно и случайным образом из 2–2 возможных различных паролей. Это чуть более 1 миллиона. Поскольку системы подбора паролей могут выдавать сотни тысяч предположений в секунду (если пароли хорошо хешированы) или десятки миллионов предположений в секунду (если пароли плохо хешируются), 20-разрядный пароль недостаточно силен для много целей. Пароль из 11 символов, взятый только из букв со смешанным регистром, имеет около 65 бит энтропии, что более чем достаточно для почти любой цели.

Длина по сравнению с классами символов

Теперь, когда мы можем поговорить о битах энтропии для паролей, созданных 1Password, мы можем вернуться к вопросу о том, насколько длина влияет на силу, и сравнить ее с тем, насколько классы символов способствуют повышению прочности.

Давайте сравним две пары настроек генерации паролей. 11 или 12 символов, требующих только цифры против букв.

Урок из этой таблицы заключается в том, что при добавлении цифр увеличивается сила, вы получаете большее увеличение прочности даже при небольшом увеличении длины.Большее увеличение длины создает огромную разницу. Напомним, что каждый бит соответствует удвоению количества возможных паролей (и, следовательно, удвоению объема работы, которую необходимо выполнить злоумышленнику). Это делает 16-символьный пароль (91 бит) в 8 миллионов раз сложнее угадать, чем 12-значный (68 бит), в то время как 12-значный пароль с цифрами (71 бит) взломать только в восемь раз труднее, чем буквы — только одна.

Просто для того, чтобы дать вам представление о том, что некоторые из этих битов переводят, если 70-битный пароль хорошо хешируется: это , вероятно, за пределами диапазона, который может взломать главное правительство, в то время как если оно плохо хешируется, оно это , вероятно, в руках крупного правительства, готового посвятить огромное количество времени и ресурсов этой проблеме.(Для тех, кто собирается напомнить мне, что широко распространено мнение о том, что АНБ может использовать грубые криптографические ключи в диапазоне от 80 до 90 бит, я укажу, что угадывание ключей не включает в себя какие-либо операции с памятью, которые угадывают пароли делают.) 90-битный пароль находится далеко за пределами возможностей, которые может сделать даже самый решительный и обладающий достаточными ресурсами злоумышленник. Они просто не будут пытаться угадать это.

Чтобы получить представление о том, что нужно для взлома 128-битного криптографического ключа (о котором легче догадаться, чем о паролях), взгляните на то, что я написал о собаках, ищущих игрушки и возрасте вселенной. несколько лет назад.

Поскольку 1Password запомнит для вас пароль, сохранит его в безопасности, заполнит его на нужной веб-странице и позволит вам безопасно поделиться им с теми, кому вам может потребоваться предоставить пароль; вам не нужно беспокоиться о том, что это 20 символов нетипичного тарабарщины, которые невозможно запомнить или использовать по-человечески. Но если вы столкнетесь с какой-то службой, которая позволяет использовать только 16-символьные пароли, вам не нужно беспокоиться о их надежности. 16-символьный правильно сгенерированный пароль будет более чем надежным.

Те, которые вы должны помнить (и вводить)

Можно сгенерировать пароли, которые вам никогда не придется вводить или запоминать, но ваш мастер-пароль 1Password отличается. Советы, которые мы предлагаем в «На пути к лучшим мастер-паролям», остаются в силе, только с обновлением, которое генератор паролей 1Password создаст для вас пароли такого типа.

Для вашего мастер-пароля 1Password использование пароля из четырех слов (56 бит) из нашего генератора паролей будет достаточно для всех, потому что мы хорошо его хешируем и ваш секретный ключ означает, что взлом пароля не является жизнеспособной атакой на данных, которые мы храним.Однако сила вашего мастер-пароля и нашего хэширования — ваша защита от попыток взлома данных, украденных из вашей системы. Мастер-пароль из трех слов (42 бита) выиграет вам время, если ваши данные будут украдены. Месяцы или годы зависят от того, какие ресурсы атакующий может использовать. Главный пароль из четырех слов (56 бит) обойдется злоумышленнику в десятки миллионов долларов, а пароль из пяти слов (71 бит) окажется вне диапазона основных правительств, учитывая, как они хешируются.И даже если бы крупное правительство могло реально взломать пароль из четырех слов, оно почти наверняка предприняло бы менее дорогую линию атаки.

Знание ваших сильных сторон

Одним из преимуществ использования правильно сгенерированных паролей является то, что мы можем точно знать, насколько они надежны. Они сохраняют свою силу, даже когда злоумышленник точно знает, как они были созданы. Это противоположно многим умным схемам, которые люди придумывают для создания паролей. Большая часть предполагаемой безопасности многих из этих схем испаряется, как только злоумышленник может догадаться, что это схема, которую вы, возможно, использовали.

Все это приводит к интересному парадоксу. Большинство советов по созданию паролей становится плохим советом, поскольку все больше людей его используют. Чем популярнее становится схема, тем больше злоумышленников будут настраивать свои системы. Помните, что преступники знают больше о поведении при создании пароля, чем кто-либо другой, поскольку они видели и изучали самые реальные данные. С другой стороны, правильный генератор паролей остается таким же сильным, даже если его используют все, и злоумышленник знает каждую деталь схемы. С извинениями Иммануилу Канту: Хороший совет по созданию пароля должен оставаться хорошим, даже если все следуют ему.

Зарегистрируйтесь на 30 дней бесплатно!

Нужна помощь в создании уникальных и безопасных паролей? Сохраните ваши пароли в безопасности и вашу информацию в безопасности, подписавшись на учетную запись 1Password. Ваши первые 30 дней бесплатны!

Попробуйте 1Password БЕСПЛАТНО

Джеффри Голдберг

Главный защитник от темных искусств

,

Руководство по созданию надежных паролей

Рамеш Натараджан
8 июня 2008 г.

«Обращайтесь со своим паролем как с зубной щеткой. Не позволяйте никому использовать его и приобретайте новый каждые шесть месяцев »- Clifford Stoll

Когда вы создаете учетную запись на веб-сайте, у вас может возникнуть «дилемма пароля» на секунду. Дилемма заключается в том, следует ли указывать слабый пароль, который легко запомнить, или надежный пароль, который трудно запомнить.Ниже приведены правила и рекомендации, которые могут помочь вам преодолеть дилемму пароля и помочь вам создать надежный надежный пароль. Это те вещи, которые я использовал на протяжении многих лет, исходя из моего собственного интереса в области обеспечения безопасности и надежности пароля.

I. Два основных правила пароля:

Следующие два правила являются минимальными, которые вы должны соблюдать при создании пароля.

Правило 1 — Длина пароля: Используйте пароли длиной не менее 8 символов.Чем больше символов в паролях, тем лучше, так как время взлома пароля злоумышленником будет больше. 10 символов или больше лучше.

Правило 2 — Сложность пароля: Должен содержать хотя бы один символ из каждой следующей группы. Минимум 4 символа в ваших паролях должны быть следующими.

  1. Строчные алфавиты
  2. Верхний регистр алфавитов
  3. номеров
  4. Специальные символы

Я называю вышеупомянутые два правила, объединенные как «Правило 8 4» (Восьмое правило):

  • 8 = 8 символов минимальная длина
  • 4 = 1 строчная + 1 прописная + 1 цифра + 1 специальный символ.

Соблюдение «правила 8 4» станет огромным улучшением и мгновенно сделает ваш пароль намного надежнее, чем раньше, для большинства из вас, кто не соблюдает никаких правил или правил при создании паролей. Если ваши банковские и какие-либо пароли на веб-сайтах, чувствительные к финансовым последствиям, не соответствуют «правилу 8 4», я настоятельно рекомендую вам сейчас все прекратить и сменить эти пароли, чтобы следовать «правилу 8 4».

II. Рекомендации по созданию надежных паролей:

  1. Соблюдайте «8 4 Правило». Как я уже говорил выше, это основа создания надежного пароля.
  2. уникальных персонажей. должен содержать не менее 5 уникальных символов. У вас уже есть 4 разных персонажа, если вы следовали «8 4 Правилу».
  3. Использовать менеджер паролей. Надежные пароли трудно запомнить. Таким образом, для создания надежного пароля необходим надежный и надежный способ запоминания надежного пароля. Использование инструмента управления паролями для хранения паролей должно стать привычкой.Каждый раз, когда вы создаете пароль, запишите его в диспетчере паролей, который зашифрует пароль и сохранит его для вас. Я рекомендую Password Dragon (Shameless plug. Я являюсь разработчиком этого программного обеспечения), бесплатный, простой и безопасный менеджер паролей, который работает в Windows, Linux и Mac. Это также можно запустить с USB-накопителя. Существует множество бесплатных инструментов для управления паролями, выберите тот, который лучше всего вам подходит и используйте его.
  4. Используйте пароль. Если вы не хотите использовать инструмент управления паролями, используйте парольную фразу, чтобы легко запомнить пароли.Вы можете использовать инициалы песни или фразы, которые вам очень знакомы. например, «Пароли похожи на нижнее белье, часто меняйте!» Фраза может быть преобразована в надежный пароль «Prlu, Curs0!»

III. Рекомендации по избежанию слабых паролей.

Избегайте следующего в ваших паролях. Даже часть ваших паролей не должна содержать ничего в следующих пунктах.

  1. Пароль такой же, как имя пользователя или часть имени пользователя
  2. Имя членов семьи, друзей или домашних животных.
  3. Личная информация о себе или членах семьи. Это включает в себя общую информацию, которую можно легко получить о вас, такую ​​как дата рождения, номер телефона, номерной знак транспортного средства, название улицы, номер квартиры / дома и т. Д.
  4. последовательностей. т.е. последовательные алфавиты, цифры или клавиши на клавиатуре. например, abcde, 12345, qwert.
  5. словарь слов. Словарные слова с цифрой или символом спереди или сзади
  6. Настоящее слово с любого языка
  7. Слово найдено в словаре с заменой слова на слово похожи.например, Заменив букву O цифрой 0. Т.е. passw0rd.
  8. Любой из вышеперечисленных в обратной последовательности
  9. Любое из перечисленного с номером спереди или сзади.
  10. Пустой пароль

IV. Здравый смысл о паролях:

Все следующие пункты не являются чем-то новым и очень здравым смыслом. Но большую часть времени мы склонны игнорировать эти пункты.

  1. Каждый раз создавайте уникальный пароль . Когда вы меняете пароль для существующей учетной записи, он не должен совпадать с предыдущим паролем.Также не используйте инкрементные пароли при его изменении. т.е. пароль1, пароль2 и т. д.
  2. Меняйте свои пароли для всех учетных записей раз в 6 месяцев . Поскольку пароли имеют фиксированную длину, атака методом «грубой силы», позволяющая угадать пароль, всегда будет успешной, если злоумышленнику будет доступно достаточно времени и вычислительной мощности. Поэтому всегда рекомендуется часто менять пароли. Запланируйте регулярные встречи в календаре, чтобы менять свои пароли один раз каждые 6 месяцев.
  3. Никогда не записывайте свои пароли . Создать очень надежный пароль и записать его на бумаге так же плохо, как создать легкий для запоминания слабый пароль и никуда его не записывать. Есть несколько интересных опросов, сделанных на эту тему, где было обнаружено, что несколько человек записывают пароль и хранят его где-то рядом с компьютером. Некоторые из них думают, что держать заметку под мышкой достаточно безопасно. Вы никогда не должны записывать пароль на бумаге.Если вы хотите всегда иметь при себе свой пароль, используйте инструмент управления паролями, который запускается с USB-накопителя, и всегда держите его при себе.
  4. Не делись ни с кем . Любой включает в себя ваших друзей и семью. Возможно, вы слышали фразу «Пароли похожи на нижнее белье, не делитесь ни с кем». Мы учим наших детей нескольким вещам в жизни. Одним из них должно быть обучение их безопасности в интернете и не сообщать кому-либо пароль.
  5. Никогда не сохраняйте один и тот же пароль для двух разных сайтов .Очень заманчиво создать один набор паролей для всех ваших электронных писем, другой пароль для всех банковских сайтов, другой пароль для всех сайтов социальных сетей и т. Д. Избегайте этого соблазна и сохраняйте уникальные пароли для всех ваших учетных записей.
  6. Не вводите пароль, когда кто-то смотрит через ваше плечо . Это особенно важно, если вы набираете медленно, ищите буквы на клавиатуре и набираете текст одним пальцем, так как кто-то, глядя через плечо, может легко определить пароль.
  7. Никогда никому не отправляйте свой пароль по электронной почте . Если вы будете следовать # 3, упомянутому выше, это не должно быть вариантом. Но причина, по которой я специально говорю об этом, заключается в том, что несколько хакеров отправляют электронные письма в качестве службы поддержки и спрашивают ваше имя пользователя и пароль по электронной почте. Законный веб-сайт или организация никогда не будут запрашивать ваше имя пользователя и пароль по электронной почте или по телефону.
  8. Измените пароль немедленно, когда они скомпрометированы .Даже если у вас есть малейшие сомнения в том, что кто-то мог украсть ваш пароль, немедленно измените его. Даже не теряй ни минуты.
  9. Не используйте опцию «Запомнить пароль» в браузере без установки мастер-пароля. Не используйте эту функцию браузера для хранения вашего имени пользователя и паролей, не включив опцию «Главный пароль». Если вы не установили мастер-пароль в браузере Firefox, любой, кто использует ваш браузер Firefox, сможет увидеть все пароли, хранящиеся в браузере Firefox, в виде простого текста.Кроме того, будьте очень осторожны с этой опцией и скажите «Не сейчас» во всплывающем окне «Запомните пароль», когда вы используете систему, которая вам не принадлежит.
  10. Не вводите пароль на компьютере, который вам не принадлежит. Если возможно, не используйте чужой компьютер, которому вы не доверяете, для входа на любой веб-сайт, особенно на очень деликатный веб-сайт, например, банковский. Для хакеров очень распространена практика использования клавиатурных шпионов, которые будут регистрировать все нажатия клавиш в системе, которые будут фиксировать все, что вы вводите, включая пароли.

Пожалуйста, оставьте свои комментарии об этом посте. Если вы используете разные методы или правила для создания надежного пароля, пожалуйста, поделитесь ими со всеми в комментариях.

Если вам понравился этот пост, пожалуйста, добавьте его в закладки на del.icio.us и запомните его.

Если вам понравилась эта статья, вам также может понравиться ..

Помечено как:
аутентификация,
Пароль безопасности
Пароль,
Безопасность пароля,
Надежность Пароля,
случайный пароль,
Безопасный пароль,
Надежный пароль,
политика надежных паролей,
сильный pwd

,

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2024 © Все права защищены.